AWS VPC -2

Transit Gateway

여기서는 VPC를 모두 피어링 할 필요가 없으며

Transit Gateway를 통해 전이적으로 연결된다. 모든 VPC가 서로 통신할 수 있는데

Direct Connect Gateway를 Transit Gateway에 연결하면

Direct Connect연결이 각기 다른 VPC에 직접 연결된다.

또 site to site VPN으로 연결하고 싶은 경우도 Transit Gateway와 연결할 수 있다.

IP멀티캐스트가 나오면 Trainsit Gateway를 찍자

 

Traffic Mirroring

VPC에서 네트워크 트래픽을 수집하고 검사하되

방해되지 않는 방식으로 실행하는 기능이다. 관리 중인 보안 어플라이언스로 트래픽을 라우팅한다.

예시를 들어보면 EC2 인스턴스(소스A)와 탄력적 네트워크 인터페이스가 있고 ENI가 연결돼 문제없이 작동하며

EC2 인스턴스는 인터넷에 액세스 중이다. 그리고 ENI에서 EC2 인스턴스로 인바운드 및 아웃바운드 트래픽이 많이 생긴다. 이때 트래픽을 분석하려면 로드밸런서를 설정해야한다. 그리고 오토스캐일링을 활성화하자.

 

이 때 소스 A의 트래픽을 네트워트 로드 밸런서로 보낸다. 이걸 트래픽 미러링이라고한다. 네트워크 로드 밸런서로 보내서 

트래픽 자체를 분석하게 된다. 또한 소스 하나가 아니라 여러 개에 적용된다. 두 번째 EC2 인스턴스(소스B)에 또 다른 ENI가 있다면 이걸 아까 만든 네트워크 로드밸런서로 보내 트래픽을 미러링 할 수 있다.

 

VPC용 IPv6

IPv6와 IPv4를 같이 사용할 수 있는 듀얼 스택 모드가 있다.

IPv4는 VPC및 서브넷에서 비활성화 될 수 없다. IPv6는 활성화 될 수 있다 ( 기본값 비활 ) IPv6 CIDR활성화 하면 가능

보안그룹에 IPv6도 추가해야한다.

만약 IPv6가 활성화된 VPC가 있는데 서브넷에서 EC2인스턴스를 실행할 수 없다고 하면

원인은 서브넷에 이용가능한 IPv4가 없기 때문일 것이다. 솔루션은 서브넷에 IPv4 CIDR을 생성하는 것이다.

 

Egress-only Internet Gateway

IPv6트래픽에만 사용된다. NAT gateway와 비슷함 (NAT gateway는 ipv4 only )

프라이빗 서브넷에 존재하는 ipv6를 가진 인스턴스가 Egress-only internet gateway를 사용하여 외부 인터넷과 연결할 수 있지만 그에 대한 응답은 받지 못한다. 

즉 프라이빗 서브넷에 존재하는 ipv6아이피를 가진 인스턴스가 외부와 통신할때에는 보내기만 가능하고 받는건 불가하다.

퍼블릭 서브넷에 존재하는 ipv6아이피를 가진 인스턴스는 그냥 인터넷 게이트웨이를 통해서 통신가능하다.

프라이빗 서브넷에 존재하는 ipv4아이피를 가진 인스턴스는 NAT 게이트웨이를 사용하여 외부와 통신가능

 

Networking costs in aws per gb

1.외부에서 ec2로 들어오는 트래픽은 무료이고,

2.같은 가용영역에 존재하는 ec2간 프라이빗으로 연결하면 무료이다.

 

3.같은 레전 안에 다른 가용영역에 있는 ec2와 연결하고 싶은 경우 공용IP나, 탄력적 IP를 사용하는 방법이 있다.

이 때 청구되는 비용은 GB당 2센트이다. 두 인스턴스가 통신하려면 AWS 네트워크 밖으로 나갔다 다시 들어와야 하므로

AWS에서 비용을 청구한다. 대신 사설 IP를 사용하면 비용이 반으로 절감된다.

--> 인스턴스가 소통할 때 속도는 높이고 비용은 줄이려면 공용IP보다는 사설IP로 통신해야한다. 하지만 가용성을 떨어지므로 적당히 균형을 맞추도록 해야한다.

4.다른 레전에 있는 인스턴스와 통신할때에 gb당 2센트가 청구된다.

 

5. 읽기 전용 복제본을 같은 AZ에 복제하면 비용이 들지 않지만 다른 AZ에 복제한다면 GB당 1센트를 지불해야한다. 두 데이터 베이스간 데이터를 수송하는 비용으로 말이다.

 

송신 -> 아웃바운드 수신 -> 인바운드

외부에서 aws로 들어오는 트래픽은 보통 무료지만 밖으로 내보낼 땐 비용이 드니까 트래픽을 최대한 aws내부에 두고 비용을 최소화 해야한다.

 

6. 인터넷에서 s3로 업로드할 때는 비용이 무료이지만

s3에서 인터넷으로 보낼 때, 비용이 GB당 9센트이며

transfer acceleration을 사용하면 + 4센트가 추가된다.

cloud front를 사용할 경우에 s3에서 cloud front까지는 공짜이지만 여기서 인터넷으로 다시 보낼때는 8.5센트가 든다. 일반 s3로 사용할 때 보다 더 저렴하다. 그 외에 캐싱 기능도 있으니 지연시간도 짧아서 비용이 절감된다.

 

7.s3를 리전간 복제 수행 시 GB당 2센트를 지불해야 한다.

 

이 가격은 미국가격인데 비용은 시간에따라, 지역에 따라 달라질 수 있다.

 

8.NAT Gateway를 사용하여 인터넷으로 한번 나갔다가 s3로 가는 경우보다 VPC Endpoint를 통해 s3로 가면 돈이 거의 안들기에 이 방법을 추천한다.

 

Network Protection on AWS

1. NACL

2. SG

3. WAF

4. Shield 

5. filewall manager

전체 VPC를 보호할 수 있는 수준 높은 방법은 없을까?

AWS Network Firewall을 사용하면 된다.

전체 VPC를 방화벽으로 보호해준다. 3 ~ 7계층 까지 보호 해준다.\

모든 방향에서 들어오는 모든 트래픽을 검사한다.

 

인터넷과의 통신, 피어링된 다른 vpc로부터의 통신, direct connect, site to site VPN을 오가는 모든 트래픽을 보호한다.

 

수만 IP를 포트별로 필터링도 가능하다. 프로토콜 별로도 가능하다.

트래픽 필터와 플로우 검사가 가능