시나리오 2. Public과 Private Subnet

VPC 환경에서 이용 가능합니다.

아키텍쳐

Virtual Private Cloud(VPC)에 Public Subnet과 Private Subnet이 구성됩니다. 이 시나리오는 Private 서버(예: DB)에 대한 공개적인 접근을 차단하며 Public Web Application을 실행하려는 경우에 권장됩니다.

• 웹 서버가 데이터베이스 서버와 통신할 수 있도록 보안 및 라우팅을 제공합니다.

1. VPC

• IPv4 CIDR 블록의 크기가 /16(예: 10.0.0.0/16)으로 제공되며 65,536개의 주소 공간을 제공합니다.

2. Public Subnet

• Subnet 크기가 최대 /24(예: 10.0.0.0/24)으로 제공되며 256개의 주소 공간을 제공합니다.

  • Public Subnet내의 서버는 인터넷과 연결이 필요한 서버입니다. (예 : 웹서버)
  • 각각의 서버는 공인 IP를 하나씩 보유합니다. (1 : 1 NAT)

3. Private Subnet

• Subnet 크기가 최대 /24(예: 10.0.0.0/24)으로 제공되며 256개의 주소 공간을 제공합니다.
• Private Subnet내의 서버는 인터넷에서 수신되는 트래픽을 수락할 필요가 없는 서버입니다.(예 : DB)

4. Internet Gateway

• VPC를 인터넷 및 다른 Ncloud 서비스에 연결합니다.

5. NAT Gateway

• Private Subnet 내의 서버가 인터넷 연결 시에 사용하는 게이트웨이 입니다.

6. 라우팅 테이블

• Public Subnet : 서버가 VPC 내의 다른 인스턴스와 통신할 수 있게 하는 항목(local)과 인터넷과 직접 통신할 수 있게 하는 항목(IGW)이 저장됩니다.

• Private Subnet : 서버가 VPC 내의 다른 인스턴스와 통신할 수 있게 하는 항목(local)과 NAT Gateway를 통해 인터넷과 통신할 수 있게 하는 항목이 저장됩니다.

라우팅

라우팅 정보는 아래와 같습니다.

• Public Subnet

• Private Subnet

보안

보안을 위해 ACG와 Network ACL을 제공합니다. ACG는 서버의 Inbound/ Outbound 트래픽을 제어하고, Network ACL은 Subnet의 Inbound/Outbound 의 트레픽을 제어합니다. 본 시나리오에서 ACG와 Network ACL은 아래와 같이 구성하는 것을 권장합니다.

• Public Subnet : Inbound

• Public Subnet : Outbound

• Private Subnet : Inbound

• Private Subnet : Outbound

시나리오 구현

Step 1. VPC 생성

VPC를 생성합니다.

(1) 콘솔 > VPC > VPC Management로 이동합니다.

(2) 화면 상단 [VPC 생성] 버튼을 누른 후, VPC 이름과 IP 주소 범위를 입력합니다.

• IP 주소 범위는 추후 수정이 불가하므로 신중하게 지정 바랍니다.

Step 2. Subnet 생성

Subnet을 생성합니다.

(1) 콘솔 > VPC > Subnet Management로 이동합니다.

(2) 화면 상단 [Subnet 생성] 버튼을 누른 후, 정보를 입력합니다.

• Subnet 이름 : 목적에 맞는 Subnet명을 입력합니다.

• VPC : Subnet을 배치시킬 vpc를 선택합니다.

• IP주소 범위 : VPC의 주소 범위 내에서 Subnet 주소 범위를 일부 할당합니다.

• 가용Zone : Subnet이 배치될 물리적인 가용 Zone을 선택합니다.

  • 현재는 Single Zone으로 운영중입니다. 추가 Zone도 준비중이오니 양해바랍니다.

• Network ACL : 기본적으로 Default ACL 룰을 제공합니다. 사전에 네트워크 구성 요건에 맞춰 Network ACL을 구성하시면 보안을 더욱 강화할 수 있습니다.

• Internet Gateway 전용 여부 : 사용하고자 하는 Subnet 특성을 고려하여 Public Subnet을 사용할 경우는 Y를, Private Subnet을 사용할 경우는 N을 선택합니다.

  • Public Subnet 내에서 생성한 서버는 공인 IP를 할당할 수 있으며, 인터넷 통신이 가능합니다.

  • 이 시나리오를 구현하기 위해서는 Public, Private Subnet을 각각 생성해야 합니다.

Step 3. Network ACL 설정

Network ACL을 설정합니다.

(1) 콘솔 > VPC > Network ACL로 이동합니다.

(2) [Network ACL 생성] 버튼을 누른 후 정보를 입력합니다.

• Network ACL 이름 : ACL의 목적을 고려하여 이름을 입력합니다.

• VPC : 생성하고자 하는 Network ACL이 적용될 VPC를 선택합니다.

(3) Rule 설정을 통해 Network ACL의 Inbound와 Outbound 규칙을 수정할 수 있습니다. 본 시나리오의 보안에서 권장하는 룰을 입력하시면 됩니다.

Step 4. Route Table 설정

Route Table을 설정합니다.

(1) 콘솔 > VPC > Route Table로 이동합니다.

(2) [Route Table 생성] 버튼을 누른 후 정보를 입력합니다.

• Route Table 이름 : 사용하길 원하는 Route Table의 이름을 입력합니다.

• VPC : Route Table은 Subnet 단위로 적용됩니다. 적용하실 Subnet이 있는 VPC를 입력하면 됩니다.

• Subnet 지원 유형 : Internet Gateway가 연결되는 Subnet에 적용되는 Route Table 이라면 공인을 선택하며 그렇지 않은 경우 사설을 선택하면 됩니다.

(3) 연관 Subnet 설정 을 통해 해당 Route Table이 적용될 Subnet을 선택할 수 있습니다.

(4) Route 설정을 통해 라우팅 테이블을 설정할 수 있습니다. 본 시나리오에서 위 설정이 자동으로 반영 됩니다.

Step 5. NAT Gateway 생성

NAT Gateway를 생성합니다.

(1) 콘솔 > VPC > NAT Gateway로 이동합니다

(2) [NAT Gateway 생성] 버튼을 누른 후 해당하는 정보를 입력합니다.

• NAT Gateway 이름 : 목적에 맞는 NAT Gateway 이름을 입력합니다.

• VPC : 생성하고자 하는 NAT Gateway가 적용될 VPC를 선택합니다.

• ZONE : Subnet이 배치될 물리적인 가용 Zone을 선택합니다

  • 현재는 single zone으로 운영중입니다. 추가 Zone도 준비중이오니 양해 바랍니다.

Step 6. Route Table 설정

Route Table을 설정합니다.

(1) 콘솔 > VPC > Route Table로 이동합니다

(2) 앞서 생성한 사설 Subnet과 연관된 Route Table을 선택하고 [Route 설정] 버튼을 누른 후 해당하는 정보를 입력합니다.

• Destination : 통신할 대상 네트워크의 주소형태를 CIDR 형태로 입력합니다.

  • 인터넷 전체에 대한 통신이 필요할 경우 “0.0.0.0/0” 이 됩니다.

• Target Type : 트래픽이 전달될 대상을 선택합니다.

  • 이 시나리오에서는 “NATGW”가 됩니다.

• Target Name : 생성한 NAT Gateway를 선택합니다.

(3) 연관 Subnet 설정을 통해 해당 Route Table이 적용될 Subnet을 추가할 수 있습니다.