25.09.18 목요일 24일차 (AWS 네트워킹)

네트워크 관련 자격증 (국제 공인)

CCNA : Pearson VUE 공인 시험 센터

CCIE : 외국에서만 가능

 

데이터 분석 자격증 (국가 공인)

ADsP

ADP

빅데이터분석 Python / R (파이썬 또는 R) + ML -> 필기, 실기

 

infra       ->  network

              ->  computing -> container

 

docker 자격증보단 kubarnetes 자격증을 선호

 

VPC

IPv4 32비트 주소

주소 43억 개

주소를 재사용해야 함.

주소는 숫자와 점을 사용하는 10진수 표기법으로 작성

172.31.0.0/16

172 -> 권장 : RFC1918(국제표준 규격) 범위

/16 -> 권장 : 16(주소 65,536개)

 

전세계적으로 IP 부족 현상 -> 대처 : NAT, IPv6

NAT : 내부 네트워크의 사설 IP 주소를 외부 네트워크의 공인 IP 주소로 변환해주는 기술

• IP 주소 고갈 문제를 해결
• 내부 네트워크에 대한 보안을 강화

IPv6 : 128비트 주소 체계를 사용하여 사실상 무제한의 IP 주소를 제공

• IPsec을 통한 강화된 보안 기능
• 간소화된 헤더
• 주소 자동 설정 기능 등을 제공
• 향상된 모바일 지원

IPv4와 IPv6의 차이점 

 

구분	IPv4	IPv6
주소 길이	32비트	128비트
주소 고갈 문제	발생	해결
보안	별도 지원(IPsec)	기본 지원(IPsec)
헤더	복잡	단순화, 확장 헤더 사용

CIDR : CIDR 블록이라는 IP 주소 범위를 지정

/24 -> 총 IP (256개) / 물리서버(-2 254개) / AWS(-5 251개)

 

 

서브넷

퍼블릭 서브넷

프라이빗 서브넷

 

퍼블릭 서브넷은 라우팅테이블(신호등 역할)을 타게되어있음 -> 트래픽 방향을 제어

 

프라이빗은 서브넷 라우팅테이블 igw 없음

 

EC2와 VPC는 라우팅테이블의 local을 사용해 통신

 

사설 네트워크 대역

10

172.16

192.168

 

전용선과 VPN의 기술적 차이점

 

전용선 : 특정 고객만 사용할 수 있고 회선을 공유하지 않는 물리적인 통신 회선, 고정된 대역폭과 지연 시간을 제공해 다른 고객의 트래픽이나 인터넷의 혼잡도에 영향을 받지 않음

 

1. 물리적 연결 : 기업과 통신사 간에 물리적으로 연결된 케이블로 구성. 외부 네트워크와 격리되어 있어 고객 간의 데이터 교환이 안전
2. 대역폭 보장 : 고정된 대역폭을 제공 인터넷 서비스와 달리 트래픽이 증가해도 대역폭이 일정하게 유지되어 성능 저하가 없음
3. 낮은 지연 시간 : 통신사와 기업 사이에 직접 연결되기 때문에 데이터 전송 지연 시간이 짧음. 실시간 서비스나 민감한 애플리케이션에 적합
4. 높은 가용성 : 통신사의 SLA(Service Level Agreement)에 따라 높은 가용성을 보장. 비지니스의 중단 없이 서비스를 지속

 

VPN(Virtual Private Network) : 가상 사설망이라는 뜻으로 공용 인터넷망을 통해 사설망처럼 안전하게 데이터를 주고 받을 수 있는 기술. VPN은 인터넷을 통해 데이터를 전송할 때 암호화하여 전송하므로, 제 3자가 데이터를 도청하거나 탈취하기 어려움. 

-> 전용선 필요 없음 

 

1. 가상 사설망 : 인터넷을 통해 가상의 사설 네트워크를 구축. 이를 통해 회사의 원격 직원이나 다른 지점과 안전하게 연결
2. 암호화 및 터널링 프로토콜 : VPN은 데이터를 암호화하여 안전하게 전송하기 위해 다양한 암호화 및 터널링 프로토콜을 사용, 주요 프로토콜로는 IPsec, SSL/TLS, PPTP, L2TP 등이 있음
3. 암호화 강도 : 전송되는 데이터를 보호하기 위해 다양한 암호화 알고리즘을 사용. 각 알고리즘은 서로 다른 보안 수준을 제공해 사용자의 요구 사항에 따라 선택
4. 네트워크 접근 제어 : 사용자 인증 및 접근 제어 기능을 제공. 특정 사용자만 네트워크에 접근할 수 있도록 설정.

AWS Network ACL vs Security Group

 

Security Group	AWS Network ACL
인스턴스 기준 적용(1차 보안 계층)	서브넷 기준 적용(2차 보안 계층)
룰에 대한 허용 규칙만 지원	룰에 대한 허용 및 거부 규칙 지원
아웃바운드 요청에 대한 응답 자동 허용	아웃바운드 요청에 대한 응답 규칙 정의 필요
등록된 모든 규칙을 평가하여 트래픽 허용	등록된 규칙의 번호순으로 트래픽 허용 및 거부
특정 그룹을 지정시에만 Instance에 적용됨	설정된 서브넷 하단의 모든 Instance에 자동 적용됨

 

DNS (Domain Name System)

외부 IP 접속 시 가장 먼저 hosts 파일을 찾아감 

 

DNS의 주요 역할

 

• 이름-주소 변환: 사람이 읽을 수 있는 도메인 이름을, 컴퓨터가 통신하는 데 사용하는 숫자 IP 주소로 변환
• 인터넷 자원 접근: 사용자가 웹 브라우저에서 google.com을 입력하면, DNS 서버가 해당 도메인의 IP 주소를 찾아 웹사이트를 로드할 수 있도록 함
• 편의성 증대: DNS를 통해 사용자는 기억하기 쉬운 도메인 이름으로 인터넷에 쉽게 접근가능

DNS의 원리

 

• DNS 쿼리: 사용자가 도메인 이름을 입력하면, 사용자 PC의 운영체제나 브라우저는 DNS 요청을 보냄
• DNS 서버의 역할: 이 요청은 설정된 DNS 서버로 전달되며, DNS 서버는 이 도메인 이름을 데이터베이스에서 찾아 해당 IP 주소를 반환
• 접속: 반환된 IP 주소를 통해 브라우저는 웹사이트 서버에 접속하고 정보를 가져오게 됨
• 캐시: 자주 사용되는 DNS 정보는 DNS 캐시에 임시로 저장되어, 다음 요청 시 빠르게 IP 주소를 찾아 인터넷 접속 시간을 단축

보안그룹 처음 생성시

인바운드는 아무것도 없고

아웃바운드는 기본적으로 모두 허용