목차

시나리오 2. Public과 Private Subnet

VPC 환경에서 이용 가능합니다.

아키텍쳐

Virtual Private Cloud(VPC)에 Public Subnet과 Private Subnet이 구성됩니다. 이 시나리오는 Private 서버(예: DB)에 대한 공개적인 접근을 차단하며 Public Web Application을 실행하려는 경우에 권장됩니다.

  • 웹 서버가 데이터베이스 서버와 통신할 수 있도록 보안 및 라우팅을 제공합니다.

1. VPC

  • IPv4 CIDR 블록의 크기가 /16(예: 10.0.0.0/16)으로 제공되며 65,536개의 주소 공간을 제공합니다.

2. Public Subnet

  • Subnet 크기가 최대 /24(예: 10.0.0.0/24)으로 제공되며 256개의 주소 공간을 제공합니다.

    • Public Subnet내의 서버는 인터넷과 연결이 필요한 서버입니다. (예 : 웹서버)
    • 각각의 서버는 공인 IP를 하나씩 보유합니다. (1 : 1 NAT)

3. Private Subnet

  • Subnet 크기가 최대 /24(예: 10.0.0.0/24)으로 제공되며 256개의 주소 공간을 제공합니다.
  • Private Subnet내의 서버는 인터넷에서 수신되는 트래픽을 수락할 필요가 없는 서버입니다.(예 : DB)

4. Internet Gateway

  • VPC를 인터넷 및 다른 Ncloud 서비스에 연결합니다.

5. NAT Gateway

  • Private Subnet 내의 서버가 인터넷 연결 시에 사용하는 게이트웨이 입니다.

6. 라우팅 테이블

  • Public Subnet : 서버가 VPC 내의 다른 인스턴스와 통신할 수 있게 하는 항목(local)과 인터넷과 직접 통신할 수 있게 하는 항목(IGW)이 저장됩니다.

  • Private Subnet : 서버가 VPC 내의 다른 인스턴스와 통신할 수 있게 하는 항목(local)과 NAT Gateway를 통해 인터넷과 통신할 수 있게 하는 항목이 저장됩니다.

라우팅

라우팅 정보는 아래와 같습니다.

  • Public Subnet

  • Private Subnet

보안

보안을 위해 ACG와 Network ACL을 제공합니다. ACG는 서버의 Inbound/ Outbound 트래픽을 제어하고, Network ACL은 Subnet의 Inbound/Outbound 의 트레픽을 제어합니다. 본 시나리오에서 ACG와 Network ACL은 아래와 같이 구성하는 것을 권장합니다.

  • Public Subnet : Inbound
우선순위 프로토콜 접근 소스 포트 허용 여부 메모
1 TCP 0.0.0.0/0 80 허용 Inbound HTTP 트래픽 허용
2 TCP 0.0.0.0/0 443 허용 Inbound HTTPS 트래픽 허용
3 TCP 접속자 IP 22 허용 접속자 IP로부터 SSH 트래픽 허용(인터넷 게이트웨이를 통해)
4 TCP 접속자 IP 3389 허용 접속자 IP로부터 RDP 트래픽 허용(인터넷 게이트웨이를 통해)
5 TCP 0.0.0.0/0 32768-65535 허용 Subnet에서 발신되는 요청에 대한 Inbound 리턴 트래픽 허용(표시된 IP 및 포트는 예시이므로 구성에 맞는 설정을 진행하시기 바랍니다)
197 TCP 0.0.0.0/0 1-65535 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
198 UDP 0.0.0.0/0 1-65535 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
199 ICMP 0.0.0.0/0 - 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
  • Public Subnet : Outbound
우선순위 프로토콜 접근 소스 포트 허용 여부 메모
1 TCP 0.0.0.0/0 80 허용 Outbound HTTP 트래픽 허용
2 TCP 0.0.0.0/0 443 허용 Outbound HTTPS 트래픽 허용
3 TCP 0.0.0.0/0 32768-65535 허용 인터넷에서 클라이언트에 대한 Outbound 응답을 허용(표시된 IP 및 포트는 예시이므로 구성에 맞는 설정을 진행하시기 바랍니다)
4 TCP Private 서버 Private IP Private 서버 포트(예: DB) 허용 Private 서버와 통신을 하기 위한 트래픽 허용
197 TCP 0.0.0.0/0 1-65535 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
198 UDP 0.0.0.0/0 1-65535 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
199 ICMP 0.0.0.0/0 - 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
  • Private Subnet : Inbound
우선순위 프로토콜 접근 소스 포트 허용 여부 메모
1 TCP Public Subnet 서버의 비공인 IP Private 서버 포트(예: DB포트) 허용 Public 서버와 통신을 하기 위한 트래픽 허용
2 TCP 0.0.0.0/0 32768-65535 허용 인터넷으로 발신되는 요청에 대한 Inbound 리턴 트래픽 허용(표시된 IP 및 포트는 예시이므로 구성에 맞는 설정을 진행하시기 바랍니다)
197 TCP 0.0.0.0/0 1-65535 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
198 UDP 0.0.0.0/0 1-65535 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
199 ICMP 0.0.0.0/0 - 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
  • Private Subnet : Outbound
우선순위 프로토콜 접근 소스 포트 허용 여부 메모
1 TCP Public Subnet 서버의 비공인 IP 32768-65535 허용 Public서버에서 Private 서버에 대한 Outbound 응답을 허용(표시된 IP 및 포트는 예시이므로 구성에 맞는 설정을 진행하시기 바랍니다)
197 TCP 0.0.0.0/0 1-65535 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
198 UDP 0.0.0.0/0 1-65535 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.
199 ICMP 0.0.0.0/0 - 거부 위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됩니다.

시나리오 구현

1. VPC를 생성합니다.

(1) 콘솔 > VPC > VPC Management로 이동합니다.

(2) 화면 상단 VPC 생성 버튼을 누른 후, VPC 이름과 IP 주소 범위를 입력합니다.

  • IP 주소 범위는 추후 수정이 불가하므로 신중하게 지정하시기 바랍니다.

2. Subnet을 생성합니다.

(1) 콘솔 > VPC > Subnet Management로 이동합니다.

(2) 화면 상단 Subnet 생성 버튼을 누른 후, 정보를 입력합니다.

  • Subnet 이름 : 목적에 맞는 Subnet명을 입력합니다.

  • VPC : Subnet을 배치시킬 vpc를 선택합니다.

  • IP주소 범위 : VPC의 주소 범위 내에서 Subnet 주소 범위를 일부 할당합니다.

  • 가용Zone : Subnet이 배치될 물리적인 가용 Zone을 선택합니다.

    • 현재는 Single Zone으로 운영중입니다. 추가 Zone도 준비중이오니 양해바랍니다.
  • Network ACL : 기본적으로 Default ACL 룰을 제공합니다. 사전에 네트워크 구성 요건에 맞춰 Network ACL을 구성하시면 보안을 더욱 강화하실 수 있습니다.

  • Internet Gateway 전용 여부 : 사용하고자 하는 Subnet 특성을 고려하여 Public Subnet을 사용할 경우는 Y를, Private Subnet을 사용할 경우는 N을 선택합니다.

    • Public Subnet을 선택하시는 경우 Subnet 내에서 생성한 모든 VM은 공인 IP가 기본적으로 할당되며, 인터넷망으로 직접 통신이 가능합니다.

    • 이 시나리오를 구현하기 위해서는 Public, Private Subnet을 각각 생성해야 합니다.

3. Network ACL을 설정합니다.

(1) 콘솔 > VPC > Network ACL로 이동합니다.

(2) Network ACL 생성 버튼을 누른 후 정보를 입력합니다.

  • Network ACL 이름 : ACL의 목적을 고려하여 이름을 입력합니다.

  • VPC : 생성하고자 하는 Network ACL이 적용될 VPC를 선택합니다.

    (3) Rule 설정을 통해 Network ACL의 Inbound와 Outbound 규칙을 수정할 수 있습니다. 본 시나리오의 보안에서 권장하는 룰을 입력하시면 됩니다.

4. Route Table을 설정합니다.

(1) 콘솔 > VPC > Route Table로 이동합니다.

(2) Route Table 생성 버튼을 누른 후 정보를 입력합니다.

  • Route Table 이름 : 사용하길 원하는 Route Table의 이름을 입력합니다.

  • VPC : Route Table은 Subnet 단위로 적용됩니다. 적용하실 Subnet이 있는 VPC를 입력하시면 됩니다.

  • Subnet 지원 유형 : Internet Gateway가 연결되는 Subnet에 적용되는 Route Table 이라면 공인을 선택하며 그렇지 않은 경우 사설을 선택하시면 됩니다.

(3) 연관 Subnet 설정 을 통해 해당 Route Table이 적용될 Subnet을 선택하실 수 있습니다.

(4) Route 설정을 통해 라우팅 테이블을 설정하실 수 있습니다. 본 시나리오에서 위 설정이 자동으로 반영 됩니다.

5. NAT Gateway를 생성합니다.

(1) 콘솔 > VPC > NAT Gateway로 이동합니다

(2) NAT Gateway 생성 버튼을 누른 후 해당하는 정보를 입력합니다.

  • NAT Gateway 이름 : 목적에 맞는 NAT Gateway 이름을 입력합니다.

  • VPC : 생성하고자 하는 NAT Gateway가 적용될 VPC를 선택합니다.

  • ZONE : Subnet이 배치될 물리적인 가용 Zone을 선택합니다

    • 현재는 single zone으로 운영중입니다. 추가 Zone도 준비중이오니 양해 바랍니다.

6. Route Table을 설정합니다.

(1) 콘솔 > VPC > Route Table로 이동합니다

(2) 앞서 생성한 사설 Subnet과 연관된 Route Table을 선택하고 Route 설정 버튼을 누른 후 해당하는 정보를 입력합니다.

  • Destination : 통신할 대상 네트워크의 주소형태를 CIDR 형태로 입력합니다.

    • 인터넷 전체에 대한 통신이 필요할 경우 “0.0.0.0/0” 이 됩니다.
  • Target Type : 트래픽이 전달될 대상을 선택합니다.

    • 이 시나리오에서는 “NATGW”가 됩니다.
  • Target Name : 생성한 NAT Gateway를 선택합니다.

    (3) 연관 Subnet 설정을 통해 해당 Route Table이 적용될 Subnet을 추가할 수 있습니다.

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...