- 인쇄
- PDF
시나리오 4. VPC간 사설 통신(Peering 구성)
- 인쇄
- PDF
VPC 환경에서 이용 가능합니다.
아키텍쳐
하나의 사용자에게 최대 3개의 VPC를 제공합니다. 일부 사용자는 자신이 보유한 VPC 간 다양한 통신을 요구할 수도 있습니다. 기본적으로 VPC간 통신은 공인 IP를 이용하나 보안과 안정성을 위한다면 사설 IP 통신이 권장됩니다. VPC Peering은 VPC 간 사설 IP 통신을 지원하는 통신 도구입니다.
1. VPC
- IPv4 CIDR 블록의 크기가 /16(예: 10.0.0.0/16). 65,536개의 주소 공간을 제공합니다.
2. VPC Peering
VPC Peering 연결을 제공하는 가상 네트워크 도구입니다.
기본 단방향 통신이며, 양방향 통신 시 VPC Peering을 요청 및 수락하며, VPC를 변경하여 2개를 생성합니다.
3. 연결하고자 하는 서브넷
- VPC Peering에 연결을 하고자 하는 서브넷은 상대 VPC로 라우팅 설정과 NACL을 허용해야 합니다.
4. 라우팅 테이블
A Subnet : 서버가 VPC 내 다른 인스턴스와 통신할 수 있게 하는 항목(local)과, 다른 VPC로 사설 통신을 할 수 있게 하는 VPC Peering-B가 입력됩니다.
B Subnet :서버가 VPC의 다른 인스턴스와 통신할 수 있게 하는 항목(local)과, 다른 VPC로 사설 통신을 할 수 있게 하는 VPC Peering-A가 입력됩니다.
라우팅
라우팅 정보는 아래와 같습니다.
VPC A의 Route Table
VPC B의 Route Table
보안
보안을 위해 ACG와 Network ACL을 제공합니다. ACG는 서버의 Inbound/Outbound 트래픽을 제어하고, Network ACL은 Subnet의 Inbound/Outbound의 트레픽을 제어합니다. 본 시나리오에서 ACG와 Network ACL은 아래와 같이 구성하는 것을 권장합니다.
- Inbound
우선순위 | 프로토콜 | 접근 소스 | 포트 | 허용 여부 | 메모 |
---|---|---|---|---|---|
1 | TCP | 172.16.0.0/16 | 1-65535 | 허용 | Peering VPC의 IP 대역에 대해 Inbound 통신 허용(제시된 IP와 포트는 예시이므로 구성에 맞는 설정을 진행하시기 바랍니다) |
2 | TCP | 0.0.0.0/0 | 32768-65535 | 허용 | Subnet에서 발신되는 요청에 대한 Inbound 리턴 트래픽 허용(제시된 IP와 포트는 예시이므로 구성에 맞는 설정을 진행하시기 바랍니다) |
197 | TCP | 0.0.0.0/0 | 1-65535 | 거부 | 위 규칙을 제외한 나머지는 모두 트래픽 거부 |
198 | UDP | 0.0.0.0/0 | 1-65535 | 거부 | 위 규칙을 제외한 나머지는 모두 트래픽 거부 |
199 | ICMP | 0.0.0.0/0 | - | 거부 | 위 규칙을 제외한 나머지는 모두 트래픽 거부 |
- Outbound
우선순위 | 프로토콜 | 접근 소스 | 포트 | 허용 여부 | 메모 |
---|---|---|---|---|---|
1 | TCP | 172.16.0.0/16 | 1-65535 | 허용 | Peering VPC의 IP 대역에 대해 Outbound 통신 허용(제시된 IP와 포트는 예시이므로 구성에 맞는 설정을 진행하시기 바랍니다) |
2 | TCP | 0.0.0.0/0 | 32768-65535 | 허용 | 인터넷에서 클라이언트에 대한 Outbound 응답을 허용(제시된 IP와 포트는 예시이므로 구성에 맞는 설정을 진행하시기 바랍니다) |
197 | TCP | 0.0.0.0/0 | 1-65535 | 거부 | 위 규칙을 제외한 나머지는 모두 트래픽 거부 |
198 | UDP | 0.0.0.0/0 | 1-65535 | 거부 | 위 규칙을 제외한 나머지는 모두 트래픽 거부 |
199 | ICMP | 0.0.0.0/0 | - | 거부 | 위 규칙을 제외한 나머지는 모두 트래픽 거부 |
시나리오 구현
두 개의 VPC(VPC A, VPC B)와 Subnet(A Subnet, B Subnet)을 미리 생성해야 본 시나리오(Scenario 4)의 구성이 가능합니다.
Network ACL과 Route Table을 설정할 때, 상대 VPC의 IP 대역 정보를 입력하는 방식 등과 같이 해당 설정 방법에 일부 차이가 있사오니 주의 바랍니다.
Step 1. VPC 생성
VPC를 생성합니다.
(1) 콘솔 > VPC > VPC Management로 이동해 주십시오.
(2) 화면 상단 [VPC 생성] 버튼을 누른 후, VPC 이름과 IP 주소 범위를 입력해 주십시오.
- IP 주소 범위는 추후 수정이 불가하므로 신중하게 지정해 주십시오.
Step 2. Subnet 생성
Subnet을 생성합니다.
(1) 콘솔 > VPC > Subnet Management로 이동해 주십시오.
(2) 화면 상단 [Subnet 생성] 버튼을 클릭한 후 정보를 입력해 주십시오.
Subnet 이름 : 목적에 맞는 Subnet명을 입력해 주십시오.
VPC : Subnet을 배치시킬 vpc를 선택해 주십시오.
IP주소 범위 : VPC의 주소 범위 내에서 Subnet 주소 범위를 일부 할당해 주십시오.
가용Zone : Subnet을 배치될 물리적인 가용 Zone을 선택해 주십시오..
- 현재는 Single Zone으로 운영중입니다. 추가 Zone을 준비 중에 있습니다.
Network ACL : 기본적으로 Default ACL 룰을 제공합니다. 사전에 네트워크 구성 요건에 맞춰 Network ACL을 구성하면 보안을 더욱 강화할 수 있습니다.
Internet Gateway 전용 여부 : 사용하고자 하는 Subnet 특성을 고려하여 Public Subnet을 사용할 경우는 Y를, Private Subnet을 사용할 경우는 N을 선택합니다. Public Subnet 내에서 생성한 서버는 공인 IP를 할당할 수 있으며, 인터넷 통신이 가능합니다.
Step 3. Network ACL 설정
Network ACL을 설정합니다.
(1) 콘솔 > VPC > Network ACL로 이동해 주십시오.
(2) [Network ACL 생성] 버튼을 누른 후 정보를 입력해 주십시오.
Network ACL 이름 : ACL의 목적을 고려하여 이름을 입력해 주십시오.
VPC : 생성하고자 하는 Network ACL이 적용될 VPC를 선택해 주십시오.
(3) Rule 설정을 통해 Network ACL의 Inbound와 Outbound 규칙을 수정할 수 있으며 본 시나리오의 보안에서 권장하는 룰을 입력해 주십시오.
Step 4. Route Table 설정
Route Table을 설정합니다.
(1) 콘솔 > VPC > Route Table로 이동합니다.
(2) [Route Table 생성] 버튼을 누른 후 정보를 입력해 주십시오.
Route Table 이름 : 사용하길 원하는 Route Table의 이름을 입력해 주십시오.
VPC : Route Table은 Subnet 단위로 적용됩니다. 적용하실 Subnet이 있는 VPC를 입력해 주십시오.
Subnet 지원 유형 : Internet Gateway가 연결되는 Subnet에 적용되는 Route Table 이라면 공인을 ,그렇지 않은 경우에는 사설을 선택해 주십시오.
(3) 연관 Subnet 설정 을 통해 해당 Route Table이 적용될 Subnet을 선택할 수 있습니다.
(4) Route 설정을 통해 라우팅 테이블을 설정할 수 있습니다. 본 시나리오를 위해 위에서 언급된 라우팅 테이블 룰을 등록 바랍니다. Target 유형은 VPC Peering을 선택하면 됩니다.
Step 5. 서버 생성
서버를 생성합니다.
(1) 서버 생성 과정은 서버 사용자 가이드를 참고 바랍니다.
(2) 생성 과정에서 VPC, Subnet 및 위에서 언급한 ACG를 입력해 주십시오.
(3) 생성한 2개의 VPC에 각각 서버를 생성하여 통신 테스트를 수행해 주십시오.