[ANS]1. AWS 네트워킹 개요

*아마존 VPC 네트워킹과 보안 책 참고해 작성했습니다.

1. AWS 네트워킹 개요

1장 AWS 네트워킹 콘셉트

1.1. VPC 개념을 도입하다

: 초기 AWS 네트워킹 기획 단계에서는 온프레미스와 유사하면서 쉽게 관리할 수 있는 네트워크 플랫폼을 기획한다. 

: 현재 AWS는 기존 온프레미스 환경 변화를 최소화하고, VPC로 마이그레이션이 가능하고, 클라우드에 최적화된 모습으로 마이그레이션이 가능하다.

1.2 VPC 네트워킹의 개념

1) 네트워킹 서비스 분류

AWS 전체 서비스 

-   네트워킹 관련 서비스      -   VPC 네트워킹과 서비스   - A유형: VPC 네트워킹 필수 서비스

                                                                                         - B유형: VPC 네트워킹 선택 가능 서비스

                                             - VPC 네트워킹 불가 서비스                                    

 -  네트워킹과 무관한 서비스

2) A 유형 | VPC 네트워킹 필수 서비스

 : 인스턴스나 RDS 같은 가상 머신에 네트워크 인터페이스(Elastic Network IF)를 연결해 통신하는 서비스를 의미한다. 

 : 일반적으로 사용자는 가상 서버에 네트워크 인터페이스가 연결되어 있다고 생각을 하지만, NIF는 서브넷 없이 존재할 수 없다.

* VPC 네트워킹의 기본규칙

•  보안 그룹을 반드시 수반하는 네트워크 인터페이스가 있다.(보안 그룹여부에 따라, 컴퓨팅 ENI 와 라우팅 ENI가 있다)
• EIF 생성 조건은 서브넷이다. 서브넷이 있어야 EIF를 생성할 수 있다.
• 서브넷의 생성조건은 VPC 이다. 
• VPC 생성된 서브넷에는 무조건 1개의 라우팅 테이블과 네트워크 ACL이 연결된다. 서브넷 최초 생성 시점엔 기본 라우팅 테이블과 기본 네트워크 ACL이 자동 연결되지만, 이후 생성한 테이브로가 ACL로 변경할 수 있다. 

3) B 유형 | VPC 네트워킹 선택 가능 서비스

 : 클라우드 SaaS 서비스는 사용자의 선택에 따라 NIF 가 연결되거나 혹은 연결되지 않을 수 도 있다. 

4) 결론

 : 네트워크 인터페이스: 보안그룹subnet을 전제

 : 서브넷: VPC를 전제

: 서브넷 생성 시, 네트워크 ACL, 라우팅 테이블에 자동 연결 되 VPC 통제를 받는다.

: VPC는 가용영역과 리전 영역을 전제

즉, " VPC 네트워킹을 사용한다."
   -> AWS 서비스가  NIF 사용하면서 보안그룹, NACL, 라우팅 테이블의 통제 영역에 있을 때 사용한다.

서비스▶ EC2  ▶ 네트워크 인터페이스

2장 VPC 네트워킹 구성 요소의 역할 분류

2.1. 우리 동네와 닮은 VPC

 책에서는 이렇게 표현한다.

        우리 집: 인스턴스 | 마을: 인스턴스가 모여있는 서브넷 | 동: 여러 마을로 구성 되므로 서브넷의 집합인 VPC
        나: 인스턴스에서 나온 패킷 또는 트래픽 | 초등학교, 중학교: 인스턴스와 통신하는 대상 서비스 
        등교: 통신

 : VPC에 4개 서브넷을 생성하고, 각 서브넷에 인스턴스를 생성한다.
서브넷 내부간 인스턴스 통신은 별도 라우팅 테이블이 필요 없고, 다른 서브넷의 인스턴스에 접속할 때는 라우팅이 필요하다.
AWS에서는 local 라우팅으로 VPC 내부의 모든 통신을 할 수 있다. 
다른 VPC로 접속하려면 VPC 피어링이나 전송 게이트웨이를 이용하면 된다. 물론 별도 서브넷 라우팅 등록이 필요하다.

2.2 VPC 네트워킹의 3요소 : 공간, 연결, 컴퓨팅

• 서비스를 생성할 공간 요소 (VPC, Subnet)
• 공간 사이를 이어, 도로 역할을 하는 연결 요소 ( routing, Peering)
• 공간상에서 연결 요소를 활용해 트래픽을 전송하는 컴퓨팅 서비스 ( 그림 2-2)

* 서비스와 리소스 란?
- 서비스: AWS 에서 제공하는 서비스 그자체
- 리소스: 서비스 메뉴에서 생성한 유일한 객체를 뜻함. 또는 S3 처럼 데이터를 저장하거나 인스턴스같이 트래픽을                 주고받는 컴퓨팅 서비스를 지칭할 때 주로 사용함.
  ex) 객체지향 프로그래밍에 대비하면 서비스 = 클래스, 리소스 = 객체 

 => 공간을 만들고 ,그 공간 사이에 네트워킹(연결)을 구축하면 컴퓨팅 서비스가 통신할 수 있는 기반이 마련된다. 

2장 VPC 네트워킹 구성 요소의 포함 관계

3.1 수학의 집합

: VPC 네트워킹 3요소?  공간요소(리전, VPC, 서브넷 등), 원소 (컴퓨팅 서비스), 연결(작은 공간들을 연결)

3.2 공간의 포함 관계 

: VPC 네트워킹의 첫번째 요소인 공간은 5개 요소로 분류한다.
  VPC 없이는 인스턴스, 라우팅 그 무엇도 존재할 수 없다.

계정, 리전, VPC, 가용영역, 서브넷

1) 계정과 리전의 관계 

: AWS의 모든 서비스는 암묵적으로 12자리 숫자로 구성된 계정 ID 식별자를 달고 있다.

: 계정이라는 이 공간은 독립되어 있어 서로 다른 AWS 계정을 침범할 수 없으며, 서로 통신을 해야 한다면 별도 설정이 필요하다.

: AWS Cloud는 계정 전용 공간이며, 그 공간 안에서도 지역을 선택해 원하는 서비스를 확장해 나갈 수 있다. 여기서 말하는 지역을 AWS에서는 리전이라한다. 

: 리전은 물리적으로 떨어진 독립 공간이므로, 리전 사이에 교집합은 존재할 수 없다. 

즉, AWS Cloud 는 '다수 리전을 담고 있는 나만의 AWS 클라우드 공간' 정의할 수 있다.

2) 리전과 VPC의 관계

 : VPC는 오직 1개의 리전에만 유일하게 포함 될 수 있다.

3) 리전과 가용 영역의 관계

 : 가용영역은 리전을 세분화해 격리시킨, 가용성 보장을 위한 공간이다. 

 :리전에따라 1개 ~ 6개 이상의 가용영역이 있으며 리전 이름 뒤에 알파벳을 붙인다.

4) VPC와 가용 영역의 관계 

: 로드 밸런서가 2개의 가용 영역에 존재하면, 한 가용 영역의 데이터 선터에 재해나 시설 장애가 발생했을 때, 
최소 중단 시간 내에 또 다른 가용 영역에서 서비스를 지속할 수 있다.

: VPC는 가상이면서 논리적이고, 가용 영역은 실제 데이터센터가 존재하는 물리적인 개념으로서, VPC의 모든 가상 활동은 가용영역이 존재하기에 가능하다. 

 VPC ⊂ 리전, 가용영역 ⊂ 리전 

5) 서브넷과 VPC, 서브넷과 가용 영역의 관계 

 : 서브넷은 VPC와 가용 영역에 모두 포함되는 관계이다. 

 : 서브넷은 VPC를 벗어나거나 서로 다른 VPC를 공유하는 구성도 불가능하다.

서브넷 ⊂ VPC, 서브넷 ⊂ 가용영역

6) 공간의 포함 관계 정리 

3.3 공간과 다른 요소(연결, 컴퓨팅)간 포함 관계

1) 패런트와 연결(Attach or Associate)

 이해를 돕기 위해, 트리 자료 구조에서, 어느 한 노드의 루트 노드 방향에 연결된 상위 노드를 부모노드(Parent Node)
 이를 인용해 VPC 공간 요소간 집합 관계에서 자신을 포함하는 유일한 직속 상위 집합을 패런트(Parent)

• VPC의 Parent = Region
• 계정의 Parent = Region 

      → VPC와 계정 사이에는 Region이 존재한다. 

• 가용영역의  Parent = Region
• Subnet의  Parent = VPC, 가용 영역 

Q. 연결 Attach or Associate 란? 

A. 네트워크 인터페이스를 인스턴스에 붙일때는 연결 (Attach), 라우팅 테이블을 서브넷에 붙일 때( Associate), VPC 네트워크 3요소인 연결(Connection) 과는 다른 개념이다. 

2) VPC 포함 관계의 이해: 패런트와 연결 해제 

- 인터넷 게이트웨이

 서울 리전에 생성된 인터넷 게이트웨이는 소멸될때까지 서울 리전과 종속 관계를 유지한다. 이를 연결종속성(1:N불가)라고 한다.

이를 통해, VPC 개수 한도 == 인터넷게이트웨이 개수 한도 유추할 수 있다. 

- 네트워크 인터페이스

수명 주기 동안 다른 요소에 연결 가능한 성질이 있지만, 특정 네트워크 인터페이스를 여러 인스턴스에 연결할 수 는 없다.  즉, 연결 종속성으로 인해 단 하나의 인스턴스에만 연결할 수 있다.

- 보안그룹, NACL, 라우팅 테이블

연결 종속성이 없고, 다중 연결성이 있어 완전 독립적인 성향을 띤다.

3) 요약

• 공간은 집합 역할을 하며 컴퓨팅 서비스와 연결 요소를 원소로 가진다.
• 자신을 포함하는 직속상위 공간을 패런트로 정의했다. 모든 VPC 요소는 수명 주기 동안 자신의 패런트를 벗어날 수 없다.
• 다른 요소에 연결 가능한 요소들도 있다. 인터넷 게이트웨이처럼 다중 연결이 불가능한 요소가 잇는 반면, 보안 그룹처럼 다중 연결 가능한 요소도 있다.