AWS SAA-C02개념정리::VPC

1. VPC의 외부접속
-퍼블릭 서브넷에서 인터넷에 접속하기 위해서는 인터넷 게이트웨이가 필요하다.
-웹서버에서 프라이벳 서브넷에 있는 EC2인스턴스에 접근하기 위해서는 퍼블릭 서브넷에 인터넷 게이트웨이를 설치한다.
-프라이벳 서브넷에서 인터넷에 접속하기 위해서는 NAT게이트웨이가 퍼블릭 서브넷에 필요하다.
-프라이벳 서브넷에 있는 인스턴스의 소프트웨어 갱신등에 인터넷이 필요할 경우, 퍼블릭 서브넷의 인스턴스를 경유서버로하여 NAT게이트웨이를 통해 접근시킨다.
-VPC외부에 있는 리소스(EC2혹은 S3과같은)와 통신하기 위해서는 퍼블릭 서브넷의 네트워크 혹은 엔드포인트를 이용한다.
-트래픽 설정은 서큐리티 그룹 혹은 네트워크 ACL을 이용한다.

2. 서큐리티 그룹
-Stateful이다
-서버단위로 지정한다
-허가할 트래픽만 In/Out으로 지정한다
-디폴트에서는 같은 서큐리티 그룹안 통신만 가능하다
-SSH등 필요한 통신은 허가 설정이 필요하다
-설정된 모든 룰을 적용한다

3. 네트워크 ACLs
-Stateless이다.
-서브넷 단위로 지정한다.
-허가와 거부 따로따로 In/Out으로 지정한다
-디폴트에서는 모든 소스IP를 허가한다
-번호순서대로 룰을 적용한다.

4. Direct Connet(VS VPN)
-온프레미스와 VPC의 연결에 사용된다.
-아웃바운드 트래픽 요금이 저렴하며, 네트워크의 신뢰성과 대역폭을 향상시킬수 있다.
(요금만 놓고보면 VPN이 더 저렴하다. 하지만 인터넷의 품질에 영향을 받기때문에 품질보증이 어렵다)
-바로 쓸수는 없고 물리 대응이 피용해서 몇주 걸린다.(VPN은 바로 쓸 수 있다)
-Direct Connet Gateway를 이용하여 동일계정에 소속된 여러 리젼간, 여러 AZ간의 VPC에 접속 할 수 있다.

5. VPC엔드포인트
-Gateway형과 PrivateLink형이 있다.
-Gateway형은 서브넷에 특수한 라우팅을 설정해서 VPC내부에서 외부서비스와 통신한다.
-엔드포인트 폴리시를 설정하며, 요금은 무료이고, 장단성은 AWS가 담당한다.
-PrivateLink형은 서브넷에 엔드포인트용 프라이빗 IP어드레스를 생성하여 DNS가 이름결정 라우팅을 한다.
-서큐리티그룹을 설정하며, 요금은 유료이고, 장단성은 멀티AZ구성해야한다.(즉, 고객설정에 의존한다)

6. VPC 피어링
-2개의 VPC사이에서도 트래픽 라우팅이 가능하다
-다른 AWS계정간의 VPC사이에서도 피어접속가능하다
-리젼에 따라 다르지만 리젼간 다른 VPC사이에서도 피어접속이 가능하다
-단일장애나 대역폭 보틀넥이 존재하지 않는다

7.NAT게이트웨이
-AWS 매니지드 서비스
-고가용성
-AZ 마다 설치

8.VPC Flow Logs
-네트워크 트래픽을 취득하여 CloudWatch로 모니터링 할수 있도록 함
-네트워크 인터페이스를 송신, 수신지로 하는 트래픽이 대상이다
-서큐리티 그릅과 네트워크 ACL 규칙에서 accepted/reject된 트래픽로그를 취득
-캡쳐윈도우로 수집, 프로세싱, 보존한다.
-RDS, Redshift, ElasticCache, WorkSpace등의 인터넷 인터페이스 트래픽도 취득가능하다
-추가요금없음.

9. 글로벌 인프라 구성
-리젼>AZ>엣지 로케이션 순으로 구성. 리젼이 가장 광범위하고, 숫자는 가장 적다.
-리젼:물리적으로 독립된 인프라 거점이다.
근접리젼간은 광대역 전용네트워크로 연결되어있다.
리젼마다 쓸수 있는 서비스가 다를 수 있다. 
BCP(사업계속성계획)을 목적으로 데이터나 예비시스템으로서 복수 리젼에 배치하는 경우도 있다.
-AZ:동일 리젼간 다른 AZ는 저지연 링크로 연결되어있다.
AZ는 하나이상의 물리적 데이터센터로 구성되어있다.
복수 AZ에 동일 리소스를 하나씩 배치하는것이 AWS의 기본적인 고가용 아키택쳐이다.
하나이상의 AZ를 사용하여 고가용성을 높일수 있지만 시스템간 연계나 공유가 제한받을 수 있다.(=연계나 공유를 위한 별도 설정이 필요하다)
-엣지로케이션:캐쉬데이터등을 이용할때 엔드포인트가 된다. 서비스로는 CloudFront와 Lambda엣지가 있다.

10. 리젼간 연계
-AWS Direct Connect Gateway로 연계
-인터리젼 VPC Peering으로 연계
-EC2 리젼에서 AMI카피
-S3리젼간 레플리케이션
-RDS 리젼에서 리드 레플리카
-DynamoDB리젼에서 레플리카 라이브러리
-Route53DNS페일오버

#제 돈 주고산 유료강의를 듣고 정리한 요약노트입니다. #AWS비슷비슷한 서비스, 기능들 위주로 요약했습니다. #일본거주자라 일본어강의여서 가끔 단어가 이상할 수 있습니다.