[aws] VPC 네트워킹 구성 요소의 포함 관계

안녕하세요 :)

최근에 "Amazon VPC 네트워킹 원리와 보안"이라는 책을 읽고 있습니다.
이 책은 AWS에서 사용하는 기본적인 네트워킹 원리에 대해 이야기 합니다.
오늘은 이 책을 읽고, VPC 네트워킹의 공간적 요소에 대해 기록하려 합니다.

Amazon VPC 네트워킹 원리와 보안 - YES24

 

---

🙂 VPC 네트워킹 구성 요소의 포함 관계

VPC 네트워킹에서 말하는 "공간"은 5개의 요소로 분류합니다.

• 계정 : AWS Cloud는 계정 전용 공간이며, 계정은 Account ID 식별자로 구분됩니다. 이 공간은 독립적으로 구성되어 있어, 서로 다른 AWS 계정 사이를 침범할 수 없고 서로 통신을 하려면 별도 설정이 필요합니다.
• 리전 : 리전은 지리적 개념으로, 사용자가 선택한 리전에 따라 서비스는 선택한 리전에 실존하는 데이터센터(가용 영역)에 프로비저닝 됩니다.
• VPC : VPC는 Virtual Private Cloud의 약자로 1개의 리전에 생성되는 논리적인 개념입니다.
• 가용 영역 : 가용 영역은 리전을 세분화해 격리시킨, 가용성 보장을 위한 공간입니다. 실제 데이터센터가 존재하는 물리적 개념이며, 리전에 따라 적게는 1개부터 6개 이상의 가용 영역을 포함하고 있습니다.
• 서브넷 : 서브넷을 생성할 때, 리전과 가용영역을 선택하도록 되어 있어, 서브넷은 VPC와 가용 영역 모두에 포함되는 관계가 성립합니다.

 

---

계정과 리전의 관계 ❓

AWS Cloud는 계정 전용 공간이며, 해당 계정 공간에서도 리전을 선택해 원하는 서비스를 구축할 수 있습니다.
=> 즉, AWS Cloud는 다수 리전을 담고 있는 하나의 계정의 AWS 클라우드 공간으로 정의할 수 있습니다.

---

리전과 VPC의 관계 ❓

서울 리전에 VPC를 생성하면 서울 리전 이외의 다른 리전에서는 서울 리전의 VPC를 확인할 수 없습니다.
=> 즉, 리전은 VPC를 포함하고, VPC는 리전에 포함됩니다.

---

리전과 가용 영역의 관계 ❓

가용 영역은 리전을 세분화해 격리시킨, 가용성 보장을 위한 공간입니다. 리전에 따라, 적게는 1개부터 6개 이상의 가용 영역을 포함하고 있습니다. 가용 영역은 리전 이름 뒤에 a, b, c 순서로 알파벳을 붙입니다. 해당 알파벳으로 가용영역을 식별할 수는 없습니다. 예를 들어, A 계정에서의 a존이 B 계정에서의 a존과는 다를 수 있습니다. 대신, 실제 가용영역의 ID로 두 개의 존이 동일한지 판단할 수 있습니다.

=> 즉, 가용 영역의 모음이 리전이 됩니다.

---

VPC와 가용 영역의 관계 ❓

VPC와 가용 영역은 자기만의 고유 영역이 있습니다.

노란색 부분 : VPC만의 전용 공간(보안 그룹, 네트워크 ACL 등)
파란색 부분 : 가용 영역의 전용 공간(S3, VPC와 연결 해제 상태의 서비스 등)
VPC에서 인터넷 게이트웨이 연결을 해제하면, 리전으로 복귀할 것입니다. 그러나, 리전 또한 하나의 논리적인 개념이기 때문에 실제로는 리전을 구성하는 가용 영역 중 일부나 전부로 돌아가게 될 것입니다. 
=> 즉, VPC와 가용 영역은 서로 포함하거나 포함되는 관계가 아닙니다.

---

서브넷과 리전/가용 영역의 관계 ❓

서브넷 생성 화면을 보면, VPC와 가용 영역을 모두 선택하도록 합니다.
=> 즉, 서브넷은 VPC와 가용 영역 모두에 포함되는 관계가 성립됩니다.

---

[결론]

위에서 이야기한 내용을 바탕으로, AWS 아키텍처는 아래와 같이 표현할 수 있습니다.

 

---

참고) Amazon VPC 네트워킹 원리와 보안

Amazon VPC 네트워킹 원리와 보안 - YES24