정리 블로그

1. IGW가 설정되어야 구성한 VPC가 외부와 인터넷 통신이 가능. 만약 인터넷을 쓰지 않으려면 IGW가 없어도 됨. 단, VPC로 연결하려면 VPN과 VPC를 연결하는 IPSec-VPN을 연결하거나, Custom Gateway 등의 구성을 해야 VPC 내부로 접속이 가능하다. 보통의 경우, NAT-Gateway나 Bastion Host를 통해 VPC 내부와 통신하기 때문에 IGW가 필요함.

2. WEB 서버일지라도 Public Subnet보다는 Private Subnet에 위치시키고, Internet-facing LB를 통해 WEB용도의 인스턴스에 접속되게 하는 것이 보안상 안전.

3. NAT 인스턴스의 역할은 VPC내 생성된 인스턴스를 터미널(linux계열) 혹은 원격데스크톱(윈도우 계열)을 통해 접속하기 위해 필요함. 또한, Private Subnet에 위치한 인스턴스가 인터넷을 사용할 수 있게 해주는 역할도 할 수 있다.

4. AZ는 이중화를 하여 구성할 것을 추천. 단일 AZ를 사용할 경우, LB를 통해 무중단을 위한 구성에 제약이 있음.(사용 가능한 AZ 개수는 리전마다 다름)

5. Subnet은 기본적으로 6개의 구성(Public Subnet 2EA, Private Subnet 4EA)을 하고, 특별한 이유가 있지 않다면 Private Subnet에 인스턴스를 구성하여 외부에 노출되지 않도록 한다. 각각의 subnet은 필요에 따라 라우팅을 달리하여 용도에 따라 통신경로를 지정해줄 수 있다.

6. LB는 Internet-facing을 통해 대외 서비스를 할 수 있도록 한다. 대내 서비스의 경우, Internal 구성을 하도록 하자.

*위 구성도에서 DevOps User도 IGW를 통해 VPC 내부로 접속하는게 맞음.

1. Private Subnet에서 인터넷 사용하는 방법

  - ㄱ. NAT-Gateway 사용하기

       1) NAT-Gateway를 Public Subnet에 위치시키고, Private Subnet의 라우팅을 NAT-Gateway로 설정

  - ㄴ. VPN 인스턴스 사용하기

       1) OpenVPN과 같은 NAT-인스턴스를 Public Subnet에 위치시키고, Private Subnet의 라우팅을 eni로 설정

2. Private Subnet에서 인터넷 사용 구성

  - ㄱ.

     -. NAT-Gateway가 위치한 Public Subnet의 라우팅은 igw로 설정하고, Private Subnet의 라우팅은 nat-gateway로 설정하여 'Private Server' -> 'NAT-Gateway' -> 'Internet-Gateway' 순으로 통신하도록 라우팅 설정.

  -ㄴ.

     -. 첫 번째 방법에서 NAT-Gateway 대신 VPN SERVER를 사용하는 방법. NAT-Gateway보다 비용이 저렴하지만, OpenVPN과 같은 VPN역할을 하는 직접 서버를 구성해야 한다. 번거로움이 있지만, 낮은 사양(t2.micro)으로 구성하기때문에 비용이 저렴하다. 물론, NAT 인스턴스(Server)는 외부와 통신할 수 있도록 Public IP(EIP)가 있어야 함.

3. Internet Gateway의 역할

  ㄱ. 인터넷게이트웨이는 VPC가 인터넷 통신을 할 수 있도록 하는 역할. 인터넷게이트웨이가 없다면 외부에서 VPC로 접근할 수 없을 뿐 아니라, 내부에서도 외부로 통신을 할 수 없다.

즉, VPN SERVER에 Elastic IP(Public IP)를 추가하더라도 인터넷 통신이 불가함.

Internet-gateway(IGW), NAT-gateway(VPN Server), Private Server 등 모든 준비가 되었더라도, Routing Table 설정이 정상적으로 되어있지 않다면 정상적으로 통신할 수 없으니 주의해야 한다.