VPC 및 서브넷 생성 (private인스턴스와 public인스턴스 분리 생성하기)

VPC 및 서브넷 생성 (private인스턴스와 public인스턴스 분리 생성하기)

출처 : 우디의 필기노트 & 가르침 🙇‍♂️

VPC란?

위 글을 먼저 읽어보고 시작하자.

• VPC : virtual private cloud 가상 사설망(사설네트워크).
• VPC 왜 만드는가?
  • 서비스와 개발망을 분리하는 등 '망 분리'를 위해 VPC를 생성한다.
  • 기능에 따라 VPC를 통해 네트워크를 분리하면 보안상, 관리상 이점이 있기 때문에 사용한다.
  • 예를 들어 개발/프로덕션/베타테스트/서비스 ... 등 환경이 조금씩 달라야 하므로 VPC를 사용한다.
• VPC의 IPv4 CIDR는 사설IP이므로 다른 사람들이 쓰는 IP와 겹치지 않는다. 하지만 reserved ip(private address space)를 피해 10.0.0.0/16, 172.16.0.0/16, 192.168.0.0/16 범위 내에서만 사용하자. 또, 관습적으로 사설망은 10번대로 사용한다.

1. VPC 만들기

1. aws 접속 - 서비스 - [VPC] - [VPC생성]

2. 이름 설정

3. IPv4 CIDR블록 설정

   1. 특별한 이유가 없다면 아래 범위에서 설정한다. (참고 - IPv4 CIDR 읽는 법)

      // Private Address Space         
          10.0.0.0        -   10.255.255.255  (10/8 prefix)
          172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
          192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

      10 / 172 / 192 로 시작하며, 최소한 뒤의 두 자리는 사용할 수 있도록 prefix를 /16으로 설정한다. (prefix는 /28 부터 /16까지 설정할 수 있다)

      예를 들어 10.10.0.0/16 으로 설정 시, 10.10.0.0 ~ 10.10.255.255까지 사용 가능하다.

4. 나머지 옵션은 기본값으로 둔 뒤 생성한다.

5. VPC가 생성되면, 자동으로 기본 라우팅 테이블이 1개 생성된다.

2. 서브넷 만들기

private, public 인스턴스를 담을 서브넷을 각각 생성한다.

서브넷은 1.에서 생성한 VPC에 포함된다. (VPC ⊃ 서브넷)

• 두 서브넷은 다른 AZ여도 상관없다
• 단, 서브넷이 포함된 VPC 내부 범위에서만 IPv4 CIDR를 설정할 수 있다.
• 서브넷끼리는 IPv4 범위가 겹쳐서는 안 된다.

1. [VPC] - [서브넷] - [서브넷 생성]
2. VPC : 1.에서 생성한 VPC로 선택.
3. 맨 아래의 [새 서브넷 추가]를 눌러 총 2개의 서브넷을 생성할 것이다.
   1. 서브넷 이름 : 적당히 설정하되 하나는 private, 하나는 public이라고 설정
   2. 가용 영역 : 같은 가용 영역으로 설정해도 괜찮다.
   3. IPv4 CIDR 블록 : VPC IPv4의 범위에 포함되어야 함 & 서브넷끼리 범위가 겹쳐선 안 됨.
      1. 예를 들어 public인스턴스를 위한 서브넷은 10.10.1.0/24로, private인스턴스를 위한 서브넷은 10.10.2.0/24로 설정한다.

3. 라우팅 테이블 만들기

VPC와 서브넷은 반드시 라우팅 테이블과 연결되어 있어야 한다.

private, public 인스턴스에 연결할 라우팅테이블을 각각 만든다.

주의 : 인터넷은 public 라우팅 테이블에만 연결되어야 한다. private 라우팅 테이블에는 인터넷 연결이 없어야 한다.

1. VPC생성을 통해 기본으로 만들어진 라우팅 테이블은 private인스턴스에 사용될 예정. 인터넷 연결이 없는지 확인한다. (라우팅 목록이 local뿐이어야 함)
   1. 다른 라우팅 목록이 있다면 [라우팅 편집]을 눌러 삭제한다.
2. public인스턴스가 사용할, 인터넷이 연결된 라우팅 테이블을 새로 생성한다.
   1. [라우팅 테이블 생성] - 이름 설정
   2. VPC 선택 - 1.에서 생성한 VPC로 선택한다.
3. 각 라우팅 테이블을 만들고 나서, [서브넷 연결] - [서브넷 연결 편집]을 통해 private라우팅 테이블 - private 서브넷, public 라우팅 테이블 - public 서브넷 끼리 연결한다.

4. 인터넷 게이트웨이 만들기

VPC가 사용할 인터넷 게이트웨이를 만들어 주어야 한다.

1. [VPC] - [인터넷 게이트웨이] - [인터넷 게이트웨이 생성]
   1. 이름만 설정한 뒤 생성하기.
2. [작업] - [VPC에 연결] - 1.에서 생성한 VPC에 연결해 준다.

5. private 인스턴스, public 인스턴스 만들기

DB를 구축할 private인스턴스와, 서버를 구축할 public인스턴스를 각각 생성한다.

[EC2] - [인스턴스 시작]

1. AMI : 특별한 이유가 없다면 Ubuntu Server 64비트(x86) 선택
2. 인스턴스 유형 : 프리티어 사용중이라면 프리티어 사용 가능한 유형 선택
3. 인스턴스 세부 정보 구성 :
   1. 네트워크 : 1.에서 생성한 VPC로 선택
   2. 서브넷 : private 인스턴스 생성 시에는 private 서브넷으로, public 인스턴스 생성 시에는 public 서브넷으로 선택한다
   3. 퍼블릭IP 자동 할당 : public 인스턴스 생성 시에는 [활성화], private 인스턴스 생성 시에는 [비활성화]를 선택한다.
   4. 다른 항목들은 기본값으로 둔다.
4. 스토리지 추가 : 특별한 이유가 없다면 기본값으로 두고 다음 선택
5. 태그 추가 : 적당히 Name 태그를 추가해 인스턴스 이름을 적어 줌
6. 보안 그룹 : 새 보안 그룹 선택. 보안 그룹 이름은 적당히 짓되 private와 public이 구분되게 함
   1. private 인스턴스 생성 시, 포트로 22번(SSH), 3306(MySQL포트) 을 개방함 (다른 DB 사용 시 해당 DB가 사용하는 포트 열기). 소스는 22, 3306 둘 다 public서브넷에만 열려 있어야 한다. public인스턴스의 ip주소를 적거나, sg를 입력해 자동완성되는 public서브넷을 선택해 생성한다.
   2. public 인스턴스 생성 시, 포트로 22번(SSH), 8080(스프링 앱), 80(HTTP) 을 개방함 (서버에서 실행할 애플리케이션이 동작하는 포트 개방). 소스는 0.0.0.0/0 및 ::/0으로 설정

6. private 인스턴스에 인터넷 연결 (DB설치를 위해)

(나의 경우 MySQL을 설치했다)

private인스턴스에는 기본적으로 인터넷 연결이 되지 않으며 되어서도 안 된다. 그러나 DB 설치 작업을 위해 잠시 동안 인터넷 연결을 해 준다.

1. 라우팅 테이블 - public 라우팅 테이블 선택 - 서브넷 연결 - 명시적 서브넷 연결의 [서브넷 연결 편집]
2. 선택된 public외에 private 서브넷까지 선택 후 저장

(또는 서브넷 - private 서브넷 선택 - 라우팅 테이블 - [라우팅 테이블 연결 편집] - 라우팅 테이블 ID를 public으로 설정한다.)

이제 private 인스턴스가 인터넷이 가능한 상태가 되었지만, 인터넷 연결을 위해 ip주소가 필요하다. 잠시 동안 private인스턴스에 탄력적IP를 연결해 준다.

1. 탄력적 IP - [탄력적 IP 주소 할당] - 기본 옵션 그대로 [할당] 누르기
2. 생성된 탄력적IP 선택 - [탄력적 IP주소 연결]
3. 리소스 유형 : 인스턴스, 인스턴스 : private 선택 후 저장

이제 private인스턴스가 인터넷 사용 가능한 상태가 되었으므로, public인스턴스를 통해 private인스턴스로 접속해 DB를 설치한다.

(인터넷 연결 상태 확인 명령어 : ping ietf.org)

---

DB 설치 완료 후에는 다시 private인스턴스의 인터넷 연결을 끊어야 한다.

(❗ 탄력적IP는 생성 후 아무 인스턴스에도 연결되어 있지 않을 시 과금이 시작됨)

1. 탄력적IP - 생성한 IP 선택 - [작업] - [탄력적 IP주소 연결 해제]
2. 다시 생성한 IP선택 - [작업] - [탄력적 IP주소 릴리스] (=삭제)
3. private 서브넷 - 라우팅 테이블 - [라우팅 테이블 연결 편집] - public 외의 기본 라우팅 테이블로 설정

이제 DB인스턴스는 private으로, 서버 인스턴스는 public으로 안전하게 분리해 사용할 수 있다!

(DB접속 시에는 public인스턴스를 통해 private인스턴스로 접속해야 함)