Aws vpc (2) SG , NACL

vpc 

-보안 그룹(SG) : 보안 그룹은 연결된 ec2 인스턴스에 대한 방화벽 역할을 하여 인스턴스 수준에서 인바운드 트래픽과 아웃바운드 트래픽을 모두 제어한다. 시작시 하나 이상의 보안 그룹과 인스턴스 연결 가능 하다. 연결 안하면 자동으로 기본 보안그룹으로 저장 된다. 

-네트워크 액세스제어목록 (Nacl) : 연결된 서브넷에 대해 방화벽 역활을 하여 서브넷 수준에서 인바운드 트래픽, 아웃바운드 트래픽을 모두 제어한다.

-흐름 로그 (flow log): 흐름 로그는  vpc의 네트워크 인터페에서 양방향으로 이동하는 ip 트랙픽에 대한 정보를 캡쳐한다.  vpc, 서브넷 또는 개별 네트워크 인터페이스에 대한 흐름 로그를 생성 할 수 있다. 흐름 로그 데이터는 cloudwatch or S3에 게시되며 과도한 제한을 하거나 과도하게 허용하는 보안 그룹과 네트워크 acl 규칙을 진단하는 데 도움이 된다.

 

보안 그룹(SG) 및 네트워크 액세스제어목록(Nacl) 

 

보안 그룹(SG)	네트워크 액세스제어목록(Nacl)
인스턴스 레벨에서 운영	서브넷 레벨 에서 운영
허용 규칙만 지원	허용 및 거부 규칙 지원
상태 저장: 규칙 관계 x 반환 트래픽이 자동 허용	상태 비저장 : 규칙에 의해 명시적으로 허용
트래픽 허용 여부를 결정하기전 모든 규칙 평가	트래픽 허용 여부를 결정할때 낮은 순서대로
시작시 보안그룹 지정, 차후 보안그룹 지정	연결된 서브넷의 모든 인스턴스에 자동 적용

 

 

네트워크 격리

-서브넷은 vpc의 ip 주소 범위, 인스턴스 시작할때 vpc의 서브넷에서 인스턴스를 시작함. 

로드밸런스 이외에도 인바운드를 위한 소스는 프로덕션 시나리오에서는 모든 ip주소와 포트에 대해 개방이 안된다.

인터넷 게이트웨이 -> vpc에서 호스팅 하는 리소스와 인터넷간의 통신을 가능하게 해주는 역활.

 

aws컴포넌트 (vpc 생성시 인터넷 게이트웨이와 맵핑이 안되어 있다면, ssh ,및 아무것도 연결 안됨)