[AWS][Networking][강의노트] IPv6, VPC 요약정리

IPv6 IPv4 한계점 4.3 Billion개의 주소들이 곧 소진된다. IPv6의 특징 주소 형태: x:x:x:x:x:x:x:x where x = [0000, ffff] 2바이트 * 8개 = 16바이트 주소 = 128비트 주소 3.4 x 10^38의 범위 www에서 라우팅 가능해야 한다. (=no private range) IPv6와 VPC IPv6 CIDR IPv6 주소를 갖는 인스턴스를 만들고 싶다면 VPC에 IPv6 CIDR를 설정하자. 듀얼 스택 모드 위같이 설정하면 인스턴스에 반드시 사설 IPv4 주소 & 공용 IPv6 주소가 할당된다. IPv6 지원하는 IGW 붙이면 인터넷 통신이 가능하다. 트러블 슈팅 만약 IPv6 주소부여 허용된 VPC 위에서 인스턴스 생성이 안 된다면? IPv6의 주소..

[AWS][Networking][강의노트] VPN, DX, Endpoint Service, Transit Gateway, Traffic Mirroring

사내망과 VPN 연결 만들기 Virtual Private Gateway (VGW) VPN AWS 자원과 사내망 간에 연결을 수립한다. www상에서 연결이 맺어지지만 암호화로 보호된다. VGW를 통한 VPN 연결 설정 VPC에 Virtual Private Gateway(VGW)를 붙인다. 회사는 Customer Gateway를 노출 한다. 회사 Customer Gateway를 Private으로 두고 싶다면, 앞단에 Public NAT Gateway를 노출하고 있어야 한다. Route Propagation 활성화 당신 서브넷에 달린 라우트 테이블에서 Route Propagation 옵션을 켜둔다. 연결 대상 VGW ↔ Customer Gateway 또는, VGW ↔ Customer NAT Gateway 연결..

[AWS][Networking][강의노트] VPC 보안 및 심화 기능

VPC Security Security Group SG는 ENI에 붙여주는 보안 레이어. 여태까지 쓰던 녀석. ENI와 SG는 다대다 관계. NACL NACL는 서브넷에 붙여주는 보안 레이어. 서브넷과 NACL은 다대일 관계. Default NACL 아주 개방적 상태이다. 기본 NACL이 폐쇄적이면 뉴비들이 EC2를 쓰기 힘들다. 모든 인바운드 허용 모든 아웃바운드 허용 기본 NACL을 수정해 사용하기를 지양한다. SG vs. NACL 차이점 SG: Inboud 규칙을 통과한 요청에 대응하여 인스턴스가 생성한 응답은 Outboud 규칙을 적용받지 않는다. 여기서 SG를 Stateful하다고 일컫는다. NACL: : Inboud 규칙을 통과한 요청에 대응하여 인스턴스가 생성한 응답에게도 Outboud 규칙..

[AWS][Networking][강의노트] VPC 개요

IP 주소의 할당방식 IP 주소는 Security Group과 VPC 관련 설정에서 많이 볼 수 있다. CIDR ↔ IPv4 Range 변환 툴 Classless Inter-Domain Routing (CIDR) CIDR(사이더)란, IP 주소의 할당 방식이다. CIDR는 IP 주소를 범위로 표현할 수 있다. ww.xx.yy.zz/32 : 어떤 특정 아이피 0.0.0.0/0 : 모든 아이피 192.168.0.0/26: 192.168.0.0 ~ 192.168.0.63 의 64개 아이피 IPv4 주소 형식 BaseIP + SubnetMask 서브넷 마스크의 슬래시 형식 /0 = 0.0.0.0 /8 = 최상위 바이트를 셋하여 255.0.0.0 /16 = 최상위 2바이트를 셋하여 255.255.0.0 ... /..

[AWS][Security][강의노트] 보안 관련 서비스들

암호화 메커니즘 In-flight 온라인 결제 정보를 전송할 때, 전송 구간에서는 그 정보가 암호화되고 서버만 까볼 수 있어야 한다. → man in the middle attack 방지 SSL + HTTPS At-rest 서버가 다른 이에게 공격받았을 때 저장되어 있던 정보가 노출되어도 안전해야하겠다. 따라서 데이터가 서버에 도착하면 특정 key를 사용해서 암호처리된다. Key Management Service (KMS) Service Managed Key Custom Key Client side encryption 서버는 처음부터 암호화된 자료를 받아서 그 내용을 알아볼 수 없다. Envelope Encryption Key 종류 KMS의 Key를 Customer Master Key 라고 부른다. 대칭..