Cloud Technology Blog

AWS VPC 환경에서 안전한 인터넷 연결을 위해서는 NAT 를 사용 하여야 한다. 이때 선택 할 수 있는 옵션이 NAT GW 와 NAT 인스턴스가 있다. 

NAT GW

• 퍼블릭 - 프라이빗 서브넷의 인스턴스는 퍼블릭 NAT 게이트웨이를 통해 인터넷에 연결할 수 있지만 인터넷에서 원치 않는 인바운드 연결을 수신할 수 없습니다. 퍼블릭 서브넷에서 퍼블릭 NAT 게이트웨이를 생성하고 생성 시 탄력적 IP 주소를 NAT 게이트웨이와 연결해야 합니다. 트래픽을 NAT 게이트웨이에서 VPC용 인터넷 게이트웨이로 라우팅합니다.
• 프라이빗- 프라이빗 서브넷의 인스턴스는 프라이빗 NAT 게이트웨이를 통해 다른 VPC 또는 온프레미스 네트워크에 연결할 수 있습니다. 트래픽을 NAT 게이트웨이에서 Transit Gateway 또는 가상 프라이빗 게이트웨이를 통해 트래픽을 라우팅할 수 있습니다. 탄력적 IP 주소를 프라이빗 NAT 게이트웨이에 연결할 수 없습니다. 프라이빗 NAT 게이트웨이를 사용하여 VPC에 인터넷 게이트웨이를 연결할 수 있지만 프라이빗 NAT 게이트웨이에서 인터넷 게이트웨이로 트래픽을 라우팅하는 경우 인터넷 게이트웨이가 트래픽을 삭제합니다.

특이사항(NAT Instance는 반대)

NAT 게이트웨이는 고가용성 또는 탄력성을 제공합니다.

NAT 게이트웨이는 최대 45Gbps까지 원활하게 확장됩니다.

NAT 게이트웨이는 AWS에서 관리하는 매니지드 서비스 입니다.

NAT 게이트웨이는 보안그룹이 없습니다.

NAT 게이트웨이는 포트포워딩을 지원하지 않습니다.

NAT Instance

네트워크 주소 변환을 제공하는 고유한 AMI를 생성하고 자신의 AMI를 사용하여 EC2 인스턴스를 NAT 인스턴스로 시작할 수 있습니다. 퍼블릭 서브넷에 있는 NAT 인스턴스를 시작하여 프라이빗 서브넷에 있는 인스턴스가 인터넷 또는 다른 AWS 서비스로의 아웃바운드 IPv4 트래픽을 시작하되, 인터넷에서 시작된 인바운드 트래픽은 인스턴스가 수신하지 못하게 막을 수 있습니다.

DX 에는 다음과 같은 두 가지 유형의 DX 연결 타입을 설정 할 수 있습니다.

1. 전용 연결: 단일 고객과 연결된 물리적 이더넷 연결입니다. 고객은AWS Direct Connect 콘솔, CLI 또는 API를 통해 전용 연결을 요청할 수 있습니다. 

 - 가능한 포트 속도는 1Gbps, 10Gbps 및 100Gbps입니다. 

 - 생성한 후에는 속도 변경이 불가능하며 변경필요 시 재생성 해야 합니다

2. 호스팅된 연결:AWS Direct Connect 파트너가 고객을 대신하여 제공하는 물리적 이더넷 연결입니다. 고객은 파트너 프로그램의 파트너에게 연락하여 호스팅된 연결을 요청합니다.AWS Direct Connect 파트너는 연결을 제공합니다.

 - 가능한 포트 속도는 가능한 값은 50Mbps, 100Mbps, 200Mbps, 300Mbps, 400Mbps, 500Mbps, 1Gbps, 2Gbps, 5Gbps 및 10Gbps입니다

 - 특정 요구 사항을 충족하는AWS Direct Connect 파트너만 1Gbps, 2Gbps, 5Gbps 또는 10Gbps 호스팅 연결을 만들 수 있습니다.

 - AWS는 호스팅 연결에서 트래픽 정책을 사용합니다. 즉, 트래픽 속도가 구성된 최대 속도에 도달하면 초과 트래픽이 삭제됩니다. 이로 인해 급증하는 트래픽의 처리량이 급증하지 않는 트래픽보다 낮을 수 있습니다.

https://docs.aws.amazon.com/ko_kr/directconnect/latest/UserGuide/WorkingWithConnections.html

Direct Connect 게이트웨이는 가상 프라이빗 게이트웨이(VGW)와 프라이빗 가상 인터페이스(VIF)의 그룹입니다. 

Direct Connect 게이트웨이는 전역적으로 사용 가능한 리소스입니다. 모든 리전에서 Direct Connect 게이트웨이를 생성하고 다른 모든 리전에서 액세스할 수 있습니다.

Direct Connect게이트웨이를 사용하여 VPC를 연결 할 수 있습니다. 게이트웨이를 아래 항목에 연결 할 수 있습니다.

가상 인터페이스(VIF)는 AWS 서비스에 액세스 하는 데 필요하며, 퍼블릭 / 프라이빗 으로 구성 할 수 있습니다.

퍼블릭 가상인터페이스는 S3, Glacier 등과 같은 퍼블릭 서비스에 액세스 할 수 있습니다

프라이빗 가상인터페이스는 VPC 에 엑세스 할 수 있습니다.

https://docs.aws.amazon.com/ko_kr/directconnect/latest/UserGuide/Welcome.html

AWs NLB 와 ALB 에서는 Source IP 를 확인이 가능하다.

다만 아래와 같은 설정이 필요하기 때문에, 설정에 참고 하도록 하자.

ALB : 기본적으로는 Application 서버에서 Source IP로 ALB IP 가 남게 된다. 다만 X-Forwarded-For 설정을 추가 함으로써, Source IP를 남길 수 있다.

NLB : NLB는 대상그룹을 설정한 방법에 따라 Suorce IP를 남길 수 있다. 대상그룹에서 Instance ID 를 지정한경우 Source IP는 클라이언트 IP가 남게 된다. 대상 그룹에서 Instance IP를 지정한경우에는 NLB IP가 Source IP로 남게 된다.

https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/x-forwarded-headers.html

VPC 의 DHCP 를 사용하면 VPC의 디바이스에서 사용하는 DNS 서버, 도메인 이름 또는 NTP(Network Time Protocol) 서버를 제어할 수 있습니다.

DHCP 는 생성 후 수정이 불가능하며, 수정이 필요한경우 새로 생성하여 연결 하여야 한다.

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_DHCP_Options.html

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/DHCPOptionSetConcepts.html

AWS ANS (Network) - Route53 Loging