[AWS] 6장. 인터넷 게이트웨이(Internet Gateway) 및 시작하기

NAT Gateway와 NAT Instance

NAT(Network Address Translation)는 일반적으로 Private Network와 Public Network 사이에 IP를 전환해주기 위해 사용하며 AWS에서 NAT를 사용하는 방법은 다음의 2가지가 있다.

1. NAT 인스턴스 : EC2 인스턴스에 다음의 옵션을 실행해  EC2를 NAT로 활용할 수 있다.
   

   sudo sysctl -w net.ipv4.ip_forward=1 sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo yum install iptables-services sudo service iptables save

2. NAT gateway: NAT 게이트웨이는 NAT(네트워크 주소 변환) 서비스로써 프라이빗 서브넷의 인스턴스가 VPC 외부의 서비스에 연결할 수 있지만 외부 서비스에서 이러한 인스턴스와의 연결을 시작할 수 없도록 NAT 게이트웨이를 사용할 수 있다.

이 두가지는 기능은 몇 가지 차이점을 제외하고 기능이 서로 유사하지만 일반적으로는 더 고가용성을 보장하는 NAT Gateway 사용을 권한다. 이 둘의 상세한 차이는 aws의 NAT 옵션 비교 페이지를 참고하기 바란다.

 

 

Internet Gateway

Internet Gateway(이하 인터넷 게이트웨이)는 VPC와 인터넷 구간 사이의 통로(인바운드/아웃바운드 연결 통로) 역할을 수행한다. VPC당 인터넷 게이트웨이는 1개를 설정할 수 있다.퍼블릭 서브넷의 라우팅 테이블에는 외부 인터넷 구간으로 나가는 타켓을 이 인터넷 게이트웨이로 지정해 주어야 한다. 단 아래 그림에서 볼 수 있듯이 NAT Gateway를 통하면 프라이븟 서브넷 구간의 자원도 인터넷 게이트웨이를 통해 인터넷 망에 접속할 수 있다.

 

 

VPC 상에서의 보안 기술(Sequrity Group and Network ACL)

AWS의 VPC 상에서의 보안 기술로는 시큐리티 그룹과 네트워크 ACL(Access Control Lists)이 있다. EC2와 같은 인스턴스 레벨에서의 보안 기술이 시큐리티 그룹이고 서브넷 레벨에서의 보안 기술이 네트워크 ACL이라고 생각하면 쉽다.

 

 

Elastic IP

Elastic IP는 VPC내의 EC2와 같은 인스턴스들에게 할당될 수 있는 고정 IP를 의미하며 이 IP는 Public IP이다. EC2 인스턴스를 생성하면 기본적으로 공인 IP를 할당할 수 있는데 이 IP는 인스턴스가 실행되고 있는 동안에만 유효하며 EC2 인스턴스가 중단되면 IP 주소는 반납되게 된다. 따라서 EC2 인스턴스를 다시 실행하면 이 공인 IP는 바뀔 수 있다. 즉, 유동 IP이다. 이런 문제를 해결하기 위한 것이 Elastic IP이다.  즉, Elastic IP는 특별한 기능이 있는 IP는 아니지만 한번 할당하면 계속 유효한 Public IP이다.

 

---

인터넷 게이트웨이(Internet Gateway) 생성하기

VPC 서브넷의 인스턴스에 대해 인터넷 접속이 가능하기 위해서는 VPC에 Internet Gateway가 연결되어 하며 서브넷의 라우팅 테이블과 생성한 Internet Gateway간에 연결이 되어 있도록 해야 한다. 또한 네트워크 ACL 및 시큐리티 그룹 체크도 필요하다.

(*인터넷 게이트웨이가 설정되어 있어야 인스턴스가 외부 접속이 가능하고 외부에서도 SSH등으로 접속이 가능하다)

 

AWS 관리 콘솔에서 VPC 항목을 찾아 들어가 아래와 같이 인터넷 게이트웨이를 선택한다.(아래의 그림에는 default vpn에 연결된 인터넷 게이트웨이 하나가 보인다.)

 

새로운 인터넷 게이트웨이 생성을 위해 인터넷 게이트웨이 생성 버튼을 클릭한다.

 

원하는 이름을 입력하고 인터넷 게이트웨이 생성 버튼을 클릭한다.

생성이 완료되면 아래와 같이 상태가 Detached 로 표시된다.

 

작업 버튼을 클릭해 VPC에 연결을 선택한다.

 

VPC 연결 창에서 우리가 만든 vpc(my-vpc-01)를 선택한다.

 

 

이제 이렇게 완성한 internet gateway를 우리가 만든 서브넷의 라이팅 테이블이 가리키도록 해야 한다.

 

VPC 대시보드(아래 그림 참조)에서 라우팅 테이블 항목을 클릭해 아래와 같이 화면을 연다. 그리고 우리의 VPC에 할당된 라우팅 테이블을 선택한 후 라우팅 탭을 선택한다. 그리고 라우팅 편집 버튼을 클릭하도록 한다.

 

라우팅 편집 창이 뜨면 라우팅 추가 버튼을 클릭해 대상에 0.0.0.0/0 (모든 IP) 과 인터넷 게이트웨이를 각각 입력 및 선택 하도록 한다.

 

마지막으로 변경 사항 저장을 클릭하고 인터넷 게이트웨이를 생성하면 모든 것이 완료된다.

 

이제 우리의 EC2서버는 외부에서 SSH로 접속 할 수 있다.