Dogpap&Life

개요 

- Amazon VPC, AWS 계정 및 On-Premise 네트워크를 단일 게이트웨이에 연결해 클라우드 라우터 역할을 함

내용

- 퍼블릭 인터넷을 통하지 않고 자동으로 데이터 암호화

- VPN을 사용해 On-Premise와 Transit Gateway간 연결 생성으로 엣지 연결

- 두 VPN간 NAT 게이트웨이, Network Load Balancer, AWS PrivateLink 및 Amazon Elastic File System에 액세스 가능

- IAM과 통합되어 안전하게 액세스 관리

제한

- https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/transit-gateway-quotas.html

개요

- 두 VPC간 Private IP를 사용해 트래픽을 라우팅 할 수 있도록 하는 네트워크 연결 

- VPN 연결이나 물리적 연결에 의존하지 않아 병목에 대한 단일 지점 장애가 없음

기능

- 다른 계정, 리전의 VPC와의 연결 가능

- 프라이빗 IP 공간 안에서 트래픽이 유지되며, 모든 리전 간 트래픽은 암호화 됨

- 트래픽은 항상 AWS *백본에서만 유지되고 절대로 퍼블릭 인터넷을 통과하지 않음

제한

- 중첩된 *CIDR 블록이 있을 경우 VPC Peering 연결을 할 수 없음

- 연결된 Peering VPC를 통해 인터넷 게이트웨이로 패킷을 내보낼 수 없음

* 백본 : 다양한 네트워크를 상호 연결하는 네트워크로 트래픽은 라우터 뒤에 있는 백본을 지나치게 됨

* CIDR : 네트워크 대역

 설정 전

- EC2 인스턴스 생성 후 별도 설정 없이 AMI를 생성 하면 시스템 변경 값이 저장되지 않고 /etc/cloud/cloud.cfg 설정값대로 생성 되거나 다른 오류가 발생할 수 있음

설정 후

- EC2 인스턴스 생성 후 /etc/cloud/cloud.cfg 파일에 변경할 시스템 값을 설정 후 AMI를 생성 하면 시스템 변경 값을 유지한 채 생성 됨

- 또는 EC2 생성 과정에 user-data 입력란에서 cloud-init 명령을 전달해 설정 가능

예제

- ssh password 접속 설정

# ssh_pwaut 부분을 True 또는 1로 설정

참고

- https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/user-data.html

- https://access.redhat.com/documentation/ko-kr/red_hat_virtualization/4.1/html/virtual_machine_management_guide/sect-using_cloud-init_to_automate_the_configuration_of_virtual_machines

중요

- Instance ID로 지정한 Target Group의 경우 DSR(Direct Server Return)이 활성화 되어 인스턴스는 NLB를 거치지 않고 Response를 Client에게 바로 보냄

- Instance IP로 지정한 Target Group의 경우 Request/Response 트래픽 모두 NLB를 거쳐서 통신

지원

- 프로토콜 : TCP, TLS, UDP, TCP_UDP

- 포트 : 1 ~ 65535

참고

- https://blog.leedoing.com/116

개요

- VPC와 인터넷 간에 통신이 가능하게 해주는 구성 요소

기능

- VPC 라우팅 테이블에 대상을 제공

- 퍼블릭 IPv4 또는 EIP가 할당된 인스턴스에 대해 NAT를 수행

내용

[ 외부 > 내부 ]

- 인스턴스의 Public IP 또는 EIP를 대상으로 하는 트래픽에는 VPC에 트래픽이 전달되기 전에 인스턴스의 Private IPv4 주소로 변환되는 대상 주소가 있음

[ 내부 > 외부 ]

- 사용자의 인스턴스는 VPC 및 Subnet 내부에서 정의된 Private IP 주소만 인식하기 때문에 Internet Gateway는 사용자 인스턴스와 1:1 NAT를 제공함

- 트래픽이 VPC외부로 이동할 때 회신 주소 필드는 Private IP 주소가 아닌 인스턴스의 Public IP 또는 EIP 주소로 설정됨  

[ IPv6 ]

- VPC 및 Subnet에 연결된 IPv6 CIDR 블록 필요

- 서브넷 범위에 속한 IPv6 주소가 인스턴스에 할당 되어야 함

- 주소가 전역적으로 고유하기 때문에 기본적으로 퍼블릭 설정되어 있음

[ NAT ]

- 인스턴스에 Public IP 또는 EIP를 할당하지 않고 인터넷에 액세스 하려면 NAT를 사용

- 서브넷의 인스턴스를 인터넷에 연결하도록 하거나, 외부에서 접근하지 못하도록 할 수 있음

참고

- docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/gateway/getting-started.html#create-endpoint

개요

- 네트워크 트래픽을 다루는 다양한 여러 업체의 가상 어플라이언스들을 쉽고 비용 효율적으로 배포, 확장 그리고 관리 해주는 완전 관리형 서비스

기능

[기존 환경]

- 기존 환경에서는 VPC Ingress 라우팅을 사용해 IGW,VGW를 거쳐 들어오는 VPC 트래픽에 대해 라우팅 테이블을 적용해 VPC내에 있는 해당 인스턴스 경로를 통하도록 했는데 구축이 번거롭고 고가용성과 확장성 확보가 어려웠음

[GWLB환경]

- Network GW, LB, 가상 어플라이언스들에 대한 오토 스케일링과 VPC엔드포인트와 같은 역할을 동시에 완전 관리형 서비스로 지원 및 수행

- Geneve 프로토콜과 6081 포트를 사용하여 설정되는 대상 그룹으로 요청을 라우팅 처리 

- 단일 가용영역 내에서 실행(배포 단위)

- 단일 가상 어플라이언스 인스턴스 장애시 라우팅 목록에서 해당 인스턴스를 제거하고 트래픽을 정상 상태의 다른 어플를라이언스 인스턴스로 다시 라우팅

- 단일 가용 영역 내의 모든 어플라이언스 장애시 해당 네트워크 트래픽을 삭제하기 때문에 가용성 측면에서 여러 가용영역에 배포하는 것이 좋음

( 스크립트를 사용해 새 어플라이언스 추가하거나 트래픽 대상을 다른 가용 영역의 GWLB로 지정할 수 있음)

[GWLBe]

- GWLBe가 필요한 이유는 가상 어플라이언스로 송수신되는 트래픽을 안전하게 연결하고 지연시간을 짧게 하기 위함

- 어플라이언스를 다른 AWS 계정 및 VPC에 배치할 수 있음

[PrivateLink 와 GWLBe 차이점]

* PrivateLink 엔드포인트

- 웹 애플리케이션을 위해 전송되는 TCP/UDP 트래픽 분산을 위해 PrivateLink 엔드포인트는 NLB와 함께 작동

* GWLBe

- 트래픽이 GWLBe에서 GWLB로 전송될 때는 가상 어플라이언스를 거치게 되고, 다시 대상으로 전송될 때는 안전한 PrivateLink 연결을 거치게 됨

개요

- Bastion Host + 키페어 + Security Group을 사용하지 않고 인스턴스에 접근할 수 있음

- AWS SSM Agent가 아웃바운드 443포트로 AWS 서비스를 요청함( 하지만 실제로 요청할 때 AWS 서비스의 공인 IP로 콜함 이걸 내부로 하기 위해 나온 것이 Private Link임)

- Private Link는 지원되는 서비스가 있음( 하나씩 늘어나고 있는 추세 )

- Amazon Linux는 기본적으로 Agent가 설치되어 있음

- Private Subnet에 있는 EC2에 접근하려면 VPC 엔드포인트를 사용해야함

보안점

- 아웃바운드 트래픽 제어 및 주요정보 로깅시 외부통신 안하는지 체크해야함

// 고객사 담당자는 이런 부분까지는 모름 MSP업체에서 이렇게 구성해달라고 안했다고 하면 할말이 없음

중요

- 내부 dns 통신 하지 않는 이상 서비스 콜하면 외부로 다녀옴( 엔드포인트가 외부에서 접근이 가능하면 외부로 다녀온다고 생각하면 됨 ) // 비용문제 + 컴플라이언스 문제

- 때문에 Private Link를 달아 내부에서 통신하게 함

- 2021년 6월부터 AWS CLI용 시스템 매니저/ 세션 관리자 플러그인이 오픈소스로 제공됨

  ( https://aws.amazon.com/ko/about-aws/whats-new/2021/06/aws-systems-manager-session-manager-plugin-for-the-aws-cli-is-now-opensource/ )

개요

> VPC 내부/외부 트래픽을 검사하는 솔루션

> 사용자 정의 보안 규칙 사용(IP, Port, Domain, Suricata Rule)

구조

- 타사 방화벽을 AWS 환경과 통합하기 위한 아키텍쳐

- https://aws.amazon.com/ko/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/