AWS Cloud Practitioner Essentials (Networking)

Amazon VPC 및 서브넷

AWS에서 네트워킹은 애플리케이션과 리소스가 서로 통신하도록 하는 네트워크 환경을 의미한다.
이 환경의 핵심 구성 요소는 VPC와 Subnet이다.

• VPC → AWS 안의 격리된 네트워크
• Subnet → VPC 내부 네트워크 구역
• Public Subnet → 인터넷 접근 가능
• Private Subnet → 인터넷 접근 불가

VPC는 AWS 클라우드 안에 생성하는 격리된 가상 네트워크이며, 서브넷은 VPC 내부 네트워크 구역으로 퍼블릭 서브넷은 인터넷 접근이 가능하고 프라이빗 서브넷은 내부 리소스를 보호하기 위해 인터넷 접근이 제한된다.

---

1. Amazon VPC (Virtual Private Cloud)

개념

AWS 클라우드 안에 생성하는 논리적으로 격리된 가상 네트워크

AWS 안에 나만 사용하는 독립적인 네트워크 공간

역할

• AWS 리소스 네트워크 환경 제공
• IP 주소 범위 정의
• 네트워크 보안 제어
• 퍼블릭/프라이빗 리소스 분리

VPC에서 배치 가능한 리소스

• EC2
• RDS
• Load Balancer
• Lambda (VPC 연결)
• ECS / EKS

특징

• AWS 계정별로 생성 가능
• CIDR 기반 IP 범위 사용
• 여러 가용 영역에 걸쳐 구성 가능

예시

AWS Cloud
 └ Region
    └ VPC

VPC는 리전 안에 존재한다.

---

2. 서브넷 (Subnet)

개념

VPC를 더 작은 네트워크로 나눈 IP 주소 범위

VPC 내부의 네트워크 구역

목적

• 네트워크 구조 관리
• 리소스 그룹 분리
• 보안 강화
• 트래픽 제어

구조

VPC
 ├ Subnet A
 ├ Subnet B
 └ Subnet C

각 서브넷은 보통 가용 영역(AZ)에 배치된다.

---

3. 퍼블릭 서브넷 (Public Subnet)

개념

인터넷에 직접 연결 가능한 서브넷

특징

• Internet Gateway 연결
• 외부에서 접근 가능

배치되는 리소스 예

• 웹 서버
• 로드 밸런서
• Bastion Host
• API 서버

예시

Internet
   │
Internet Gateway
   │
Public Subnet
   │
EC2 Web Server

---

4. 프라이빗 서브넷 (Private Subnet)

개념

인터넷에서 직접 접근할 수 없는 서브넷

특징

• 외부에서 직접 접근 불가
• 내부 서비스용

배치되는 리소스 예

• 데이터베이스
• 내부 API 서버
• 백엔드 서비스
• 캐시 서버

예시

Public Subnet
   │
Application Server
   │
Private Subnet
   │
Database

---

5. 퍼블릭 vs 프라이빗 서브넷

구분 | 퍼블릭 서브넷 | 프라이빗 서브넷

인터넷 접근	가능	불가능
Internet Gateway	연결	연결 없음
주요 리소스	웹 서버	데이터베이스
보안 수준	낮음	높음

---

6. 일반적인 VPC 아키텍처

보통 다음 구조를 사용한다.

Internet
   │
Internet Gateway
   │
Public Subnet
   │
Load Balancer / Web Server
   │
Private Subnet
   │
Application Server
   │
Private Subnet
   │
Database

---

7. VPC 아키텍처의 장점

• 네트워크 격리
• 보안 강화
• 트래픽 제어
• 구조적 설계 가능
• 확장성 제공

---

8. AWS 네트워크 계층 구조

전체 구조를 정리하면 다음과 같다.

AWS Cloud
 └ Region
    └ VPC
       └ Subnet
          └ Resource (EC2, DB 등)

---

VPC 게이트웨이 및 네트워크 구성 요소

AWS 네트워크 아키텍처에서 VPC는 기본 네트워크 경계이며,게이트웨이를 통해 외부 네트워크와 연결된다.

Internet Gateway, Virtual Private Gateway, Direct Connect의 역할을 이해하는 것이 핵심이다.

• Internet Gateway → VPC ↔ Internet 연결
• Virtual Private Gateway → VPC ↔ On-premise VPN 연결
• Direct Connect → VPC ↔ On-premise 전용 회선 연결

Internet Gateway는 VPC를 인터넷에 연결하는 게이트웨이이고, Virtual Private Gateway는 온프레미스 네트워크와 VPC를 VPN으로 연결하는 구성 요소이며, Direct Connect는 온프레미스와 AWS를 전용 네트워크 회선으로 연결하는 서비스이다.

---

1. Amazon VPC 핵심 개념 복습

VPC는 AWS 클라우드 안에 생성하는 논리적으로 격리된 가상 네트워크이다.

VPC를 사용하면 다음을 정의할 수 있다.

• IP 주소 범위 (CIDR)
• 서브넷 구성
• 라우팅 정책
• 네트워크 보안
• 외부 네트워크 연결

즉, AWS 안에서 나만의 데이터센터 네트워크를 만드는 것이다.

---

2. 서브넷 역할

서브넷은 VPC 내부 네트워크를 나눈 작은 영역이다.

목적

• 리소스 그룹화
• 보안 분리
• 퍼블릭 / 프라이빗 분리

예

VPC

• Public Subnet → 웹 서버
• Private Subnet → 데이터베이스

---

3. Internet Gateway (IGW)

정의

VPC와 인터넷을 연결하는 게이트웨이

역할

• 인터넷 → VPC 트래픽 허용
• VPC → 인터넷 트래픽 허용

특징

• VPC에 연결해야 사용 가능
• 퍼블릭 서브넷에서 사용

예

Internet
   │
Internet Gateway
   │
Public Subnet
   │
EC2 Web Server

Internet Gateway가 없으면 → 외부 인터넷에서 VPC 리소스 접근 불가능

---

4. Virtual Private Gateway (VGW)

정의

온프레미스 네트워크와 VPC를 연결하는 VPN 게이트웨이

역할

• 온프레미스 데이터센터 연결
• 회사 내부 네트워크 연결
• 암호화된 VPN 터널 생성

특징

• 인터넷 위에서 동작
• VPN 터널 사용
• 트래픽 암호화

구조

On-Premise Network
       │
       VPN
       │
Virtual Private Gateway
       │
       VPC

---

5. VPN (Virtual Private Network)

개념

인터넷 위에 만드는 암호화된 네트워크 터널

특징

• 트래픽 암호화
• 보안 통신
• 공유 인터넷 사용

단점

• 인터넷 기반이라 속도 변동 가능
• 대역폭 제한 가능

---

6. AWS Direct Connect

정의

온프레미스 데이터센터와 AWS를 연결하는 전용 네트워크 회선

특징

• 전용 광케이블 연결
• 인터넷 사용하지 않음
• 높은 대역폭
• 낮은 지연 시간
• 안정적인 연결

구조

On-Premise Data Center
       │
 Direct Connect
       │
       VPC

---

VPN vs Direct Connect

항목 | VPN | Direct Connect

네트워크	인터넷	전용 회선
보안	암호화	물리적 전용
속도	변동 가능	안정적
비용	저렴	상대적으로 비쌈

---

7. VPC 핵심 구성 요소

AWS VPC 네트워크의 주요 구성 요소

• VPC
• Subnet
• Internet Gateway
• Virtual Private Gateway
• VPN
• Direct Connect

---

8. 전체 네트워크 구조 예

일반적인 AWS 아키텍처

Internet
   │
Internet Gateway
   │
Public Subnet
   │
Load Balancer
   │
Application Server
   │
Private Subnet
   │
Database

온프레미스 연결

Corporate Network
      │
     VPN
      │
Virtual Private Gateway
      │
      VPC

---

9. VPC 사용 이점

1. 네트워크 격리
2. 보안 강화
3. 트래픽 제어
4. 리소스 접근 제어
5. 온프레미스 통합

---

AWS 하이브리드 연결 서비스 정리

기업은 다양한 방식으로 온프레미스 네트워크, 원격 사용자, 다른 VPC를 AWS 클라우드에 연결해야 한다.
AWS는 이를 위해 여러 네트워크 연결 서비스를 제공한다.

• AWS Client VPN → 원격 사용자 연결
• AWS Site-to-Site VPN → 온프레미스 네트워크 연결
• AWS PrivateLink → VPC 서비스 간 프라이빗 연결
• AWS Direct Connect → 전용 네트워크 연결

---

1. AWS Client VPN

정의

원격 사용자(개인 컴퓨터)를 AWS 네트워크에 연결하는 관리형 VPN 서비스

역할

• 원격 근무자 연결
• AWS 리소스 접근
• 온프레미스 네트워크 접근

특징

• OpenVPN 기반
• 완전관리형 서비스
• 자동 스케일링
• 고급 인증 시스템 지원

구조

Remote User
     │
 VPN Client
     │
AWS Client VPN
     │
     VPC

 

사용 사례

• 재택근무 직원
• 외부 협력사 접속
• 글로벌 원격 개발팀

---

2. AWS Site-to-Site VPN

정의

온프레미스 네트워크와 AWS VPC를 연결하는 VPN 연결

역할

• 회사 데이터센터 연결
• 지사 네트워크 연결
• 온프레미스 시스템 연동

특징

• 암호화된 터널
• Virtual Private Gateway 사용
• 인터넷 기반 연결

구조

Company Data Center
        │
      VPN
        │
Virtual Private Gateway
        │
        VPC

 

가상 프라이빗 게이트웨이(Virtual Private Gateway)는 보호된 인터넷 트래픽이 VPC로 들어오도록 허용하는 구성 요소, 보호된 인터넷 트래픽에 대해서만 액세스를 제한

사용 사례

• 온프레미스 → AWS 마이그레이션
• 하이브리드 클라우드
• 지사 시스템 연결

---

3. AWS PrivateLink

정의

VPC에서 인터넷을 사용하지 않고 AWS 서비스 또는 다른 VPC 서비스에 연결하는 기술

역할

• 서비스 간 프라이빗 연결
• AWS 서비스 접근
• SaaS 서비스 연결

특징

• 인터넷 사용 없음
• NAT 필요 없음
• Private IP 사용

구조

VPC Client
     │
VPC Endpoint
     │
AWS PrivateLink
     │
Service (Other VPC / AWS Service)

 

사용 사례

• S3 접근
• DynamoDB 접근
• SaaS 서비스 연결
• 마이크로서비스 통신

---

4. AWS Direct Connect

정의

온프레미스 네트워크와 AWS를 연결하는 전용 네트워크 회선

하이브리드 솔루션의 지속적인 데이터 전송 외에도, 마이그레이션을 위한 대역폭 요구 사항을 제공합니다.

역할

• 전용 네트워크 연결
• 높은 대역폭 제공
• 안정적인 네트워크

특징

• 인터넷 우회
• 낮은 지연시간
• 높은 안정성

구조

Company Data Center
        │
Direct Connect Line
        │
AWS Direct Connect Location
        │
        VPC

 

사용 사례

• 대규모 데이터 전송
• 실시간 분석
• 미디어 스트리밍
• 금융 시스템

---

5. 네 가지 연결 방식 비교

Client VPN	개인 사용자	원격 근무자 접속
Site-to-Site VPN	회사 네트워크	온프레미스 연결
PrivateLink	서비스	VPC 간 프라이빗 연결
Direct Connect	데이터센터	전용 회선 연결

---

6. 언제 어떤 서비스를 사용해야 할까

원격 직원 접속 → Client VPN

회사 데이터센터 연결 → Site-to-Site VPN

VPC 서비스 간 연결 → PrivateLink

대규모 데이터 전송 → Direct Connect

---

7. 추가 게이트웨이 서비스

AWS Transit Gateway (트랜짓 게이트워이)

여러 VPC와 온프레미스 네트워크를 중앙 허브로 연결(중앙 허브를 통해 VPC와 온프레미스 네트워크를 연결하는 데 사용)

NAT(네트워크 주소 변환) Gateway

프라이빗 서브넷이 외부 인터넷에 나갈 수 있도록 지원 하지만 외부에서 내부로 접근은 불가능

Amazon API Gateway

API 생성, 관리, 보안을 담당하는 서비스

---

8. 전체 네트워크 연결 구조 예

Remote User
    │
Client VPN
    │
VPC
    │
PrivateLink → AWS Services
    │
Site-to-Site VPN
    │
On-Premise Network
    │
Direct Connect

---

VPC 트래픽 제어, 보안 그룹, 네트워크 ACL

AWS VPC에서는 네트워크 트래픽을 보호하기 위해 서브넷 수준과 인스턴스 수준에서 각각 다른 보안 제어를 적용할 수 있다.
이때 핵심 구성 요소는 네트워크 액세스 제어 목록(Network ACL) 과 보안 그룹(Security Group) 이며, 둘의 가장 중요한 차이는 스테이트리스(네트워크 액세스 제어 목록의 작동방식)인지, 스테이트풀(보안그룹 작동방식)인지이다.

• 보안 그룹 = 인스턴스 수준, 스테이트풀
• 네트워크 ACL = 서브넷 수준, 스테이트리스
• 보안 그룹은 반환 트래픽 자동 허용
• 네트워크 ACL은 인바운드/아웃바운드 각각 따로 허용 필요

VPC에서 네트워크 ACL은 서브넷 수준의 스테이트리스 방화벽이고, 보안 그룹은 인스턴스 수준의 스테이트풀 방화벽이며, 둘 모두 고객이 직접 구성해야 하는 보안 책임 영역이다.

---

1. 핵심 전제: VPC 내부 트래픽도 제어해야 한다

• VPC는 네트워크 경계를 제공하지만, 그것만으로 충분하지 않다.
• 실제 보안 설계에서는
  • 서브넷 경계를 지나는 트래픽
  • 개별 EC2 인스턴스로 들어가는 트래픽
    를 각각 따로 제어해야 한다.
• 이를 위해 AWS는
  • 네트워크 ACL: 서브넷 수준 제어
  • 보안 그룹: 인스턴스 수준 제어
    를 제공한다.

---

2. VPC에서 네트워크 트래픽이 흐르는 방식

• 외부 클라이언트가 애플리케이션에 요청을 보내면 데이터는 패킷(packet) 형태로 전송된다.
• 퍼블릭 트래픽의 경우 패킷은 일반적으로:
  1. 인터넷
  2. 인터넷 게이트웨이
  3. 서브넷의 네트워크 ACL
  4. EC2 인스턴스의 보안 그룹
  5. EC2 인스턴스
     순서로 평가된다.
• 즉, 서브넷 수준 필터링을 먼저 거치고, 그다음 인스턴스 수준 필터링을 거친다.

---

3. 서브넷(Subnet)의 역할

• 서브넷은 VPC 안에서 리소스를 그룹화하는 구역이다.
• 보안 및 운영 목적에 따라 리소스를 분리할 수 있다.
• 예:
  • 퍼블릭 서브넷 → 웹 서버
  • 프라이빗 서브넷 → 데이터베이스
• 서로 다른 서브넷 간 통신도 규칙에 따라 허용하거나 제한할 수 있다.

---

4. 네트워크 ACL(Network Access Control List)

개념

• 서브넷 수준에서 인바운드/아웃바운드 트래픽을 제어하는 가상 방화벽

역할

• 패킷이 서브넷에 들어오거나 나갈 때마다 검사
• 서브넷 경계를 통과하는 트래픽의 허용/거부 여부 결정

특징

• 허용 규칙과 거부 규칙 모두 사용 가능
• 기본 네트워크 ACL은 기본적으로 모든 인바운드/아웃바운드 허용
• 사용자 지정 네트워크 ACL은 규칙을 넣기 전까지 기본적으로 차단 중심으로 동작

---

5. 네트워크 ACL은 스테이트리스(StateLess)이다

의미

• 이전 요청을 기억하지 않는다
• 들어오는 패킷과 나가는 패킷을 각각 별도로 검사한다

결과

• 인바운드(들어오는) 트래픽을 허용했다고 해서
• 반환(아웃바운드) 트래픽(응답)이 자동 허용되지 않는다
• 응답도 별도의 아웃바운드 규칙으로 명시적으로 허용해야 한다

핵심 포인트

• 네트워크 ACL은 매번 목록을 다시 확인한다

---

6. 보안 그룹(Security Group)

개념

• 인스턴스 수준에서 인바운드/아웃바운드 트래픽을 제어하는 가상 방화벽
• 주로 EC2 인스턴스에 연결된다

기본 동작

• 모든 인바운드 트래픽 거부
• 모든 아웃바운드 트래픽 허용

역할

• 특정 인스턴스가 어떤 트래픽을 받아들일지 제어
• 예:
  • HTTPS만 허용
  • 특정 포트만 허용
  • 특정 IP만 허용

---

7. 보안 그룹은 스테이트풀(Stateful)이다

의미

• 이전 요청을 기억한다
• 허용된 요청에 대한 응답은 자동 허용한다

결과

• 인바운드 요청이 허용되어 들어오면
• 그에 대한 반환 트래픽은 별도의 아웃바운드 허용 규칙 없이도 자동 허용된다

핵심 포인트

• 보안 그룹은 허용된 연결 상태를 기억한다

---

8. 네트워크 ACL과 보안 그룹의 핵심 차이

범위 차이

• 네트워크 ACL → 서브넷 수준
• 보안 그룹 → 인스턴스 수준

상태 저장 여부

• 네트워크 ACL → 스테이트리스
• 보안 그룹 → 스테이트풀

규칙 차이

• 네트워크 ACL → 허용 + 거부 규칙 가능
• 보안 그룹 → 허용 규칙 중심

반환 트래픽 처리

• 네트워크 ACL → 반환도 별도 허용 필요
• 보안 그룹 → 반환 자동 허용

---

9. 패킷이 한 인스턴스에서 다른 서브넷의 인스턴스로 갈 때

예를 들어 인스턴스 A가 다른 서브넷의 인스턴스 B에 요청을 보낸다면 흐름은 다음과 같다.

1. 인스턴스 A의 보안 그룹 검사
2. 서브넷 A의 네트워크 ACL 검사
3. 서브넷 B의 네트워크 ACL 검사
4. 인스턴스 B의 보안 그룹 검사
5. 인스턴스 B 도달

응답이 돌아올 때는 다시 반대로 지나가며 검사된다.
이때 보안 그룹은 상태를 기억하지만, 네트워크 ACL은 매번 규칙을 다시 본다.

---

10. 언제 무엇을 주로 쓰는가

보안 그룹

• 개별 EC2 인스턴스 보호
• 애플리케이션 포트 제어
• 세밀한 접근 제어

네트워크 ACL

• 서브넷 단위의 광범위한 차단/허용
• 추가적인 방어 계층
• 특정 IP 대역 차단 같은 정책 적용

---

11. 공동 책임 모델에서 누가 책임지는가

• AWS 공동 책임 모델에 따라
• 보안 그룹과 네트워크 ACL을 구성하고 관리할 책임은 고객에게 있다
• 즉, VPC 내부 리소스와 서브넷을 보호하는 네트워크 규칙 설정은 사용자 책임이다

시험 포인트

• AWS는 인프라를 보호하지만
• 클라우드 안의 네트워크 접근 제어 설정은 고객 책임

---

Amazon VPC 구축 데모

AWS Management Console을 사용하면 Amazon VPC와 서브넷, 인터넷 게이트웨이, 라우팅 테이블 같은 네트워크 구성 요소를 직접 생성할 수 있다.
이 데모의 핵심은 VPC 생성 → 퍼블릭/프라이빗 서브넷 생성 → 인터넷 게이트웨이 연결 → 라우팅 테이블 구성 순서로 네트워크를 완성하는 흐름을 이해하는 것이다.

• VPC를 먼저 만든다
• 서브넷은 VPC CIDR 안에서 나눈다
• 퍼블릭 서브넷은 퍼블릭 IP 자동 할당 + 인터넷 경로가 필요하다
• 인터넷 게이트웨이는 VPC에 연결되어야 한다
• 0.0.0.0/0 경로를 인터넷 게이트웨이로 보내면 인터넷 접근이 가능하다
• 다중 AZ에 퍼블릭/프라이빗 서브넷을 나누는 것은 고가용성 모범 사례다

Amazon VPC 구축의 기본 흐름은 VPC 생성, 퍼블릭·프라이빗 서브넷 생성, 인터넷 게이트웨이 연결, 라우팅 테이블 설정 순서이며, 퍼블릭 서브넷은 인터넷 게이트웨이와 0.0.0.0/0 경로가 연결되어야 실제로 인터넷에 접근할 수 있다.

---

1. 핵심 전제: VPC 구축은 네트워크 골격을 만드는 작업이다

• AWS에서 리소스를 안전하게 배치하려면 먼저 VPC라는 네트워크 공간이 필요하다.
• 그다음 VPC 내부를 퍼블릭 서브넷과 프라이빗 서브넷으로 분리한다.
• 이후 인터넷 연결이 필요한 리소스를 위해
  • 인터넷 게이트웨이
  • 라우팅 테이블
    을 설정해야 한다.

---

2. 구축 목표: 어떤 구조를 만드는가

이 데모에서 만드는 구조는 다음과 같다.

• 1개의 VPC
• 2개의 가용 영역(AZ)
• 2개의 퍼블릭 서브넷
• 2개의 프라이빗 서브넷
• 1개의 인터넷 게이트웨이
• 1개의 퍼블릭 라우팅 테이블

이 구조는 고가용성을 고려한 기본적인 VPC 설계 예시이다.

---

3. 1단계: VPC 생성

콘솔 작업

• VPC 서비스 이동
• Create VPC 선택
• Resource to create에서 VPC only 선택

설정값

• Name tag: my-vpc
• IPv4 CIDR block: 10.0.0.0/16

의미

• 이 CIDR은 VPC 전체에서 사용할 프라이빗 IP 주소 범위를 정의한다.
• 이후 생성되는 모든 서브넷은 이 VPC CIDR 범위 안에서 나뉘어야 한다.

---

4. 2단계: 프라이빗 서브넷 생성

목적

• 인터넷에 직접 노출되지 않는 리소스 배치
• 예: 데이터베이스, 내부 애플리케이션

예시 설정

• private-subnet-1
• AZ: us-east-1a
• CIDR: 10.0.1.0/24

주의점

• 프라이빗 서브넷은 퍼블릭 IP 자동 할당을 활성화하면 안 된다
• 자동 퍼블릭 IP가 붙으면 프라이빗 서브넷 설계 의도와 어긋난다

추가 구성

• 다른 AZ에 private-subnet-2
• 예: 10.0.2.0/24

---

5. 3단계: 퍼블릭 서브넷 생성

동일하게 생성하고 자동할당 켜기

목적

• 인터넷에서 접근 가능한 리소스 배치
• 예: 웹 서버, 로드 밸런서

예시 설정

• public-subnet-1
• AZ: us-east-1a
• CIDR: 10.0.3.0/24

중요한 설정

• Auto-assign public IPv4 address 활성화
• 이 설정을 통해 해당 서브넷에서 시작되는 리소스가 퍼블릭 IP를 받을 수 있다

추가 구성

• 다른 AZ에 public-subnet-2
• 예: 10.0.4.0/24

---

6. 서브넷 이름만으로는 퍼블릭/프라이빗이 결정되지 않는다

• public-subnet-1 같은 이름을 붙였다고 해서 자동으로 퍼블릭 서브넷이 되는 것은 아니다.
• 퍼블릭 서브넷이 되려면 반드시
  1. 인터넷 게이트웨이가 VPC에 연결되어 있어야 하고
  2. 라우팅 테이블에 인터넷 경로가 있어야 한다

이 두 조건이 충족되어야 실제로 퍼블릭 서브넷이 된다.

---

7. 4단계: 인터넷 게이트웨이 생성 및 연결

게이트웨이 생성 버튼 옆 작업 버튼 클릭 후 연결

콘솔 작업

• Internet gateways 선택
• Create internet gateway
• Name: my-ig
• 생성 후 VPC에 연결(Attach to VPC)

역할

• VPC와 인터넷 사이의 연결 지점
• 퍼블릭 서브넷 리소스가 외부와 통신할 수 있게 함

핵심 포인트

• 인터넷 게이트웨이가 없으면 인터넷 접근 자체가 불가능하다

---

8. 5단계: 라우팅 테이블 생성

콘솔 작업

• Route tables 선택
• Create route table
• Name: public-route-table
• VPC: my-vpc

역할

• 네트워크 트래픽이 어디로 가야 하는지 결정하는 규칙 집합
• 각 서브넷은 라우팅 테이블과 연결되어야 한다

---

9. 6단계: 퍼블릭 인터넷 경로 추가

설정값

• Destination: 0.0.0.0/0
• Target: 생성한 Internet Gateway (my-ig)

의미

• 0.0.0.0/0은 모든 외부 IPv4 주소를 의미
• 즉, 인터넷으로 향하는 모든 트래픽을 인터넷 게이트웨이로 보낸다는 뜻

이 경로가 있어야 퍼블릭 서브넷의 리소스가 인터넷에 나갈 수 있다.

---

10. 7단계: 퍼블릭 서브넷을 라우팅 테이블과 연결

콘솔 작업

• Subnet associations 탭
• public-subnet-1, public-subnet-2 선택
• 연결 저장

결과

• 이 두 서브넷은 인터넷 게이트웨이 경로를 사용하게 된다
• 따라서 실제 퍼블릭 서브넷이 된다

반면

• 프라이빗 서브넷은 이 라우팅 테이블과 연결되지 않으므로 여전히 프라이빗 상태를 유지한다

---

11. 최종 아키텍처 구조

이 데모가 끝나면 다음 구조가 완성된다.

• VPC: 10.0.0.0/16
• AZ 2개
• 프라이빗 서브넷 2개
• 퍼블릭 서브넷 2개
• 인터넷 게이트웨이 1개
• 퍼블릭 라우팅 테이블 1개

이 구조는 AWS에서 매우 자주 사용하는 기본 2-AZ 네트워크 설계 패턴이다.

---

12. 이후 단계: 보안 그룹과 네트워크 ACL

이 데모에서는 네트워크 골격만 만들었고, 실제 트래픽 필터링은 다음 단계에서 수행한다.

• 보안 그룹(Security Group)은 인스턴스 수준 제어
• 네트워크 ACL은 서브넷 수준 제어

즉, 라우팅 테이블은 “어디로 보낼지” 보안 그룹 / NACL은 “무엇을 허용할지”를 담당한다.

---

 

글로벌 네트워킹 (Edge Networking)

엣지 네트워킹은 데이터를 사용자와 가까운 위치에서 처리하거나 전달하는 네트워크 구조이다.
사용자와 가까운 위치에서 콘텐츠를 제공하면 지연 시간(Latency)이 감소하고 응답 속도가 빨라진다.
AWS에서는 이를 위해 엣지 로케이션(Edge Location) 을 전 세계에 배치하여 사용자에게 더 빠른 서비스 경험을 제공한다.

• 엣지 네트워킹 = 사용자 가까운 위치에서 데이터 처리 → 지연시간 감소 및 성능 향상

대표적인 서비스

• DNS = 도메인 이름을 IP 주소로 변환하는 인터넷의 전화번호부
• Route 53 = AWS의 관리형 DNS 서비스 + 다양한 라우팅 정책 제공
• CloudFront = 전 세계 Edge Location을 이용해 콘텐츠를 빠르게 전달하는 CDN 서비스
• Global Accelerator = AWS 글로벌 네트워크를 이용해 애플리케이션 트래픽을 가속하는 서비스

---

1. DNS (Domain Name System)

DNS는 도메인 이름을 IP 주소로 변환하는 시스템이다.
사람은 example.com 같은 도메인 이름을 이해하고, 컴퓨터는 192.0.2.0 같은 IP 주소를 이해한다.
DNS는 이 둘을 연결하는 인터넷의 전화번호부 역할을 한다.

예를 들어 사용자가 브라우저에 웹 사이트 주소를 입력하면 다음 과정이 진행된다.

1. 사용자가 브라우저에 도메인 입력
2. DNS 서버에 IP 주소 요청
3. DNS가 도메인을 IP 주소로 변환
4. 브라우저가 해당 IP 주소로 요청 전송

---

2. Amazon Route 53

Amazon Route 53은 AWS에서 제공하는 확장 가능하고 고가용성의 DNS 서비스이다.
사용자의 요청을 AWS 리소스(EC2, Load Balancer 등) 또는 외부 인프라로 라우팅할 수 있다.

또한 Route 53은 도메인 등록 서비스도 제공한다.
사용자는 Route 53에서 직접 도메인을 구매하거나 기존 도메인의 DNS 레코드를 관리할 수 있다.

Route 53은 다양한 라우팅 정책(Routing Policy) 을 제공한다.

대표적인 라우팅 정책

• Latency-based routing
  가장 지연 시간이 낮은 리전으로 트래픽 전달
• Geolocation routing
  사용자 위치 기반 라우팅
• Geoproximity routing
  사용자 위치 + 리소스 위치 기반 라우팅
• Weighted routing
  가중치 기반 트래픽 분배
• Failover routing
  장애 발생 시 백업 리소스로 트래픽 전달

---

3. Amazon CloudFront

Amazon CloudFront는 콘텐츠 전송 네트워크(CDN, Content Delivery Network) 서비스이다.
웹 콘텐츠(이미지, 동영상, 정적 파일 등)를 사용자와 가까운 엣지 로케이션에 캐싱하여 빠르게 전달한다.

기본 동작 구조

1. 사용자가 콘텐츠 요청
2. 가장 가까운 Edge Location에서 캐시 확인
3. 캐시가 있으면 즉시 전달
4. 없으면 Origin 서버(S3, EC2 등) 에서 가져와 캐싱 후 전달

이 방식으로 다음과 같은 장점이 있다.

• 로딩 속도 향상
• 서버 부하 감소
• 비용 절감
• 글로벌 사용자 성능 향상

대표 사용 사례

• 스트리밍 영상 서비스
• 전자상거래 사이트
• 모바일 앱 콘텐츠 전달

---

4. Route 53 + CloudFront 동작 흐름

사용자가 웹 사이트에 접속할 때 다음 과정이 발생한다.

1. 사용자가 웹 사이트 요청
2. Route 53이 DNS 조회 수행
3. 해당 도메인의 IP 주소 반환
4. 요청이 CloudFront Edge Location으로 전달
5. CloudFront가 콘텐츠 제공
6. 필요 시 Origin 서버(ALB, EC2 등)에서 데이터 가져옴

Route 53 = DNS 해석 / CloudFront = 콘텐츠 전송 가속

---

5. AWS Global Accelerator

AWS Global Accelerator는 AWS 글로벌 네트워크를 사용하여 애플리케이션 트래픽을 최적화하는 서비스이다.

일반 인터넷 경로 대신 AWS 프라이빗 글로벌 네트워크를 사용하여 트래픽을 전달한다.
이를 통해 애플리케이션의 성능, 가용성, 안정성을 향상시킨다.

주요 기능

• 글로벌 트래픽 가속
• 자동 장애 조치(Failover)
• 지능형 라우팅
• 고정 Anycast IP 제공

대표 사용 사례

• 글로벌 온라인 게임
• 금융 서비스 애플리케이션
• 글로벌 SaaS 서비스

---

6. AWS Edge Networking 서비스 비교

Amazon Route 53

• DNS 서비스
• 도메인 → IP 주소 변환
• 트래픽 라우팅

 DNS 기반 트래픽 라우팅 서비스

Amazon CloudFront

• CDN 서비스
• Edge Location 캐싱
• 콘텐츠 전송 가속

글로벌 CDN 서비스

AWS Global Accelerator

• 네트워크 가속 서비스
• AWS 글로벌 네트워크 사용
• 애플리케이션 성능 향상

AWS 네트워크 기반 트래픽 가속 서비스

---

 

실제 환경에서의 클라우드: VPN, Direct Connect, 다중 리전 아키텍처

실제 기업 환경에서는 단일 리전, 단일 VPC만 사용하는 경우보다 훨씬 복잡한 구조를 자주 사용한다.
글로벌 고객 지원, 고가용성, 하이브리드 연결, 대규모 데이터 전송 요구사항 때문에 여러 AWS 계정, 여러 리전, 여러 VPC, 온프레미스 연동이 함께 사용된다.
이 과정에서 자주 등장하는 서비스가 VPN, AWS Direct Connect, Amazon Route 53, Amazon CloudFront 이다.

실제 환경 = 멀티 리전 + 멀티 VPC + 하이브리드 연결 + 글로벌 트래픽 분산

온프레미스와 AWS를 안전하게 연결하려면 VPN 또는 Direct Connect를 사용한다.
전 세계 사용자에게 빠르게 콘텐츠를 전달하려면 Route 53와 CloudFront를 함께 사용한다.
고가용성과 성능을 더 높이려면 다중 리전 + 여러 AZ + 다중 Direct Connect/VPN 백업 구조를 고려한다.

• 연결은 VPN/DX, 글로벌 전달은 Route 53/CloudFront, 복원력은 멀티 리전

---

VPN (Virtual Private Network)

VPN은 퍼블릭 인터넷을 통해 온프레미스 네트워크와 AWS를 암호화된 터널로 연결하는 방식이다.
회사는 이를 통해 사무실, 지사, 원격 사용자 환경에서 AWS VPC 내부 리소스에 안전하게 접근할 수 있다.
즉, 인터넷을 사용하지만 데이터는 암호화되어 전송되므로 보안성과 유연성을 동시에 확보할 수 있다.

VPN은 특히 다음과 같은 경우에 적합하다.

• 원격 직원이 AWS 리소스에 안전하게 접근해야 하는 경우
• 비교적 적은 양의 데이터를 전송하는 경우
• 빠르게 연결을 구축해야 하는 경우
• 전용 회선까지는 필요하지 않은 경우

VPN = 퍼블릭 인터넷 기반의 암호화된 사설 연결

VPN의 한계

VPN은 편리하고 유연하지만, 인터넷 기반 연결이라는 점에서 한계가 있다.
즉, 로컬 인터넷 대역폭을 다른 트래픽과 공유하므로 대량의 데이터를 전송하면 성능이 떨어질 수 있다.
또한 일부 기업은 규제, 감사, 컴플라이언스 요구사항 때문에 인터넷 기반 연결만으로는 충분하지 않을 수 있다.

따라서 VPN은 유연성과 빠른 구축에는 강점이 있지만, 고대역폭·일관된 성능·전용선 요구사항에는 불리할 수 있다.

VPN 한계 = 인터넷 공유 대역폭 사용 → 대용량 전송/엄격한 규제 환경에 불리

---

AWS Direct Connect

AWS Direct Connect는 온프레미스 데이터 센터와 AWS를 전용 프라이빗 회선으로 연결하는 서비스이다.
퍼블릭 인터넷을 거치지 않고 AWS로 연결되므로 더 안정적이고 빠르며 예측 가능한 네트워크 성능을 제공한다.
일반적으로 회사 데이터 센터 → Direct Connect 위치 → 가상 프라이빗 게이트웨이(VGW) → VPC 구조로 연결된다.

Direct Connect의 주요 장점은 다음과 같다.

• 높은 대역폭 제공
• 대규모 데이터 전송에 적합
• 더 안정적인 네트워크 성능
• 보안 및 규정 준수 요구사항 충족에 유리
• 지연 시간 및 네트워크 품질 예측 가능

Direct Connect = 온프레미스와 AWS를 연결하는 전용 프라이빗 회선 서비스

---

VPN과 Direct Connect 선택 기준

VPN은 안전하면서도 유연한 연결이 필요할 때 적합하다.
특히 소규모 데이터 전송, 빠른 구축, 전용 회선이 필요 없는 환경에서 유리하다.

Direct Connect는 고대역폭과 안정적인 전용 연결이 필요할 때 적합하다.
특히 온프레미스와 AWS 간에 대용량 데이터를 지속적으로 전송하거나, 중요한 애플리케이션 성능이 필요한 경우에 유리하다.

즉, 핵심 차이는 다음과 같다.

• VPN: 인터넷 기반, 유연함, 비교적 저렴함, 빠른 구축
• Direct Connect: 전용선 기반, 고성능, 고대역폭, 안정성 우수

VPN = 유연성 / Direct Connect = 고대역폭·전용선·안정성

---

VPN과 Direct Connect를 함께 사용하는 경우

실무에서는 VPN과 Direct Connect를 함께 사용하는 경우도 많다.
가장 대표적인 사례는 VPN을 Direct Connect의 장애 조치(Failover) 백업으로 사용하는 경우이다.

Direct Connect는 물리적인 회선이므로 장애가 발생할 가능성을 완전히 배제할 수 없다.
이때 VPN을 백업 연결로 준비해 두면 Direct Connect 장애 시에도 AWS 리소스에 계속 연결할 수 있다.

또한 여러 Direct Connect 회선을 함께 사용하면 집계 대역폭(Aggregated Bandwidth) 을 높일 수도 있다.
즉, 단순한 장애 조치뿐 아니라 성능 확장 목적에도 다중 연결이 활용된다.

실무 패턴 = Direct Connect 주 회선 + VPN 백업 회선

---

VPC와 VPN / Direct Connect의 관계

Amazon VPC는 AWS 내에서 격리된 가상 네트워크 환경을 제공한다.
VPN이나 Direct Connect는 이 VPC와 온프레미스 환경을 연결하는 방식으로 동작한다.

일반적으로 온프레미스 네트워크는 가상 프라이빗 게이트웨이(Virtual Private Gateway, VGW) 를 통해 VPC에 연결된다.
이렇게 하면 VPC 내부의 프라이빗 서브넷, EC2 인스턴스, 내부 애플리케이션 같은 리소스에 안전하게 접근할 수 있다.

즉, VPC는 AWS 내부 네트워크 영역이고, VPN/Direct Connect는 그 영역을 외부 온프레미스와 이어주는 연결 수단이다.

VPC = AWS 내부 네트워크 / VPN·DX = 온프레미스와 연결하는 통로

---

다중 리전 아키텍처

다중 리전 아키텍처는 여러 AWS 리전에 애플리케이션과 인프라를 배포하는 구조이다.
글로벌 사용자에게 더 빠른 응답을 제공하고, 장애 발생 시 다른 리전으로 서비스 지속성을 확보하기 위해 사용한다.

이 구조에서는 사용자가 어느 지역에서 접속하느냐에 따라 가장 가까운 리전 또는 가장 성능이 좋은 리전 으로 요청을 보내는 것이 중요하다.
이때 핵심적으로 사용되는 서비스가 Route 53와 CloudFront 이다.

다중 리전 아키텍처 = 글로벌 성능 + 고가용성 + 장애 대응 강화

---

Route 53와 CloudFront가 다중 리전에서 동작하는 방식

사용자가 사용자 지정 도메인으로 웹 사이트에 접속하면, 먼저 요청은 Amazon Route 53 으로 간다.
Route 53는 라우팅 정책을 이용해 사용자와 가장 가까운 리전 또는 가장 적절한 리전을 결정한다.
그 후 사용자를 알맞은 CloudFront 엣지 로케이션(Edge Location) 으로 보낸다.

CloudFront는 사용자와 가까운 엣지 로케이션에서 캐시된 콘텐츠를 제공한다.
캐시에 콘텐츠가 없으면 선택된 리전의 오리진 서버(예: ALB, EC2, S3) 에서 가져와 사용자에게 전달한다.
이 구조를 통해 글로벌 사용자도 지연 시간이 짧은 경험을 할 수 있다.

Route 53 = 리전 선택 / CloudFront = 가까운 위치에서 콘텐츠 전달

---

다중 리전 + CloudFront + Route 53 흐름

다중 리전 환경에서 요청 흐름은 일반적으로 다음과 같다.

1. 사용자가 사용자 지정 도메인으로 접속
2. Route 53이 DNS 확인 및 라우팅 정책 적용
3. 가장 적절한 리전 결정
4. 사용자를 해당 리전과 연계된 CloudFront 엣지 로케이션으로 안내
5. CloudFront가 캐시된 콘텐츠 전달
6. 필요 시 선택된 리전의 오리진 서버에서 콘텐츠 조회
7. 해당 리전 내부에서는 여러 AZ의 리소스를 사용해 고가용성 확보

즉, Route 53는 어디로 보낼지 결정하고, CloudFront는 어떻게 빠르게 전달할지 담당한다.

Route 53는 트래픽 분산, CloudFront는 글로벌 캐싱 및 전송 가속 담당

---

Direct Connect 장애 조치와 대역폭 집계

기업이 대규모 데이터 전송과 중요한 애플리케이션 성능을 요구하는 경우, 다중 Direct Connect 연결을 둘 수 있다.
이렇게 하면 한 회선이 장애가 나더라도 다른 회선으로 트래픽을 넘겨 내결함성(Fault Tolerance) 을 확보할 수 있다.

또한 여러 Direct Connect 연결을 함께 사용하면 집계 대역폭 증가도 가능하다.
즉, 단순히 장애 대비뿐 아니라 더 큰 전송 용량 확보를 위한 설계로도 사용된다.

다중 Direct Connect = 장애 조치 + 집계 대역폭 증가

---

Amazon Virtual Private Cloud(opens in a new tab)	Amazon VPC는 AWS 클라우드에서 논리적으로 격리된 공간을 프로비저닝하여 사용자가 정의하는 가상 네트워크에서 AWS 리소스를 시작할 수 있는 서비스입니다.
서브넷(opens in a new tab)	서브넷은 리소스를 포함할 수 있고 리소스를 구성하는 데 사용되는 VPC의 섹션입니다. 여기에는 퍼블릭 또는 프라이빗이 포함될 수 있습니다.
인터넷 게이트웨이(opens in a new tab)	인터넷 게이트웨이는 VPC와 인터넷 간의 연결입니다. 이 연결을 통해 인터넷의 퍼블릭 트래픽이 VPC에 액세스할 수 있습니다.
가상 프라이빗 게이트웨이(opens in a new tab)	가상 프라이빗 게이트웨이는 보호된 인터넷 트래픽이 VPC로 들어오도록 허용하는 구성 요소입니다. 승인된 네트워크에서 들어오는 경우에만 VPC와 프라이빗 네트워크 간의 연결을 허용합니다.
AWS Client VPN(opens in a new tab)	Amazon Client VPN은 원격 작업자와 온프레미스 네트워크를 클라우드에 연결하는 데 사용할 수 있는 네트워킹 서비스입니다. 이는 탄력적인 완전관리형 VPN 서비스로, 사용자 수요에 따라 자동으로 스케일 업하거나 스케일 다운합니다.
AWS Site-to-Site VPN(opens in a new tab)	AWS Site-to-Site VPN은 데이터 센터 또는 지사와 AWS 클라우드 리소스 간에 안전한 연결을 설정합니다.
AWS PrivateLink(opens in a new tab)	AWS PrivateLink는 VPC를 서비스 및 리소스에 비공개로 연결하는 데 사용할 수 있는 가용성과 확장성이 뛰어난 기술입니다. 이는 마치 사용자가 자체적으로 보유한 VPC에서 서비스와 리소스가 제공되는 것과 같은 방식입니다.
AWS Direct Connect(opens in a new tab)	AWS Direct Connect는 데이터 센터와 VPC 간에 전용 프라이빗 연결을 제공하는 서비스입니다.
네트워크 액세스 제어 목록(네트워크 ACL)(opens in a new tab)	네트워크 ACL은 스테이트리스 패킷 필터링을 사용하여 서브넷 수준에서 특정 인바운드 또는 아웃바운드 트래픽을 허용하거나 거부합니다.
보안 그룹(opens in a new tab)	보안 그룹은 스테이트풀 패킷 필터링을 사용하여 인스턴스 수준에서 리소스의 인바운드 및 아웃바운드 트래픽을 제어합니다.
도메인 이름 시스템(DNS)(opens in a new tab)	DNS는 사람이 읽을 수 있는 도메인 이름을 컴퓨터가 읽을 수 있는 IP 주소(예: 192.0.2.0)로 변환합니다.
Amazon Route 53(opens in a new tab)	Route 53는 확장 가능하고 신뢰할 수 있는 DNS 웹 서비스로, 개발자와 기업이 AWS에서 또는 그 밖의 모든 곳에서 호스팅되는 인터넷 애플리케이션에 최종 사용자를 라우팅할 수 있도록 지원합니다. 또한 도메인 등록, 상태 확인, 고급 트래픽 라우팅 정책을 지원합니다.
Amazon CloudFront(opens in a new tab)	CloudFront는 엣지 로케이션이라고 하는 데이터 센터의 전 세계 네트워크를 통해 웹 콘텐츠를 사용자 빠르게 배포하는 웹 서비스입니다. 이 서비스는 짧은 지연 시간과 빠른 전송 속도로 콘텐츠를 안전하게 제공합니다.
AWS Global Accelerator(opens in a new tab)	Global Accelerator는 AWS 글로벌 네트워크를 통해 트래픽을 라우팅하여 전 세계 사용자를 위해 애플리케이션의 가용성과 성능을 개선하는 네트워킹 서비스입니다. 이 서비스는 애플리케이션 가용성, 성능, 보안을 개선하는 데 도움이 됩니다.
Amazon Transit Gateway(opens in a new tab)	Amazon VPC Transit Gateway는 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용되는 네트워크 전송 허브입니다.
NAT 게이트웨이(opens in a new tab)	Network Address Translation(NAT) 게이트웨이를 사용하면 프라이빗 서브넷의 인스턴스가 VPC 외부 서비스에 연결할 수 있습니다. 외부 서비스는 이러한 인스턴스에 대한 연결을 시작할 수 없습니다.
API Gateway(opens in a new tab)	Amazon API Gateway는 API를 생성, 게시, 유지 관리, 모니터링, 보호하는 AWS 서비스입니다. 이 서비스는 최대 수십만 개의 동시 API 호출 허용을 수락하고 처리하는 모든 태스크를 다룹니다.