II-8-2. VPC 내 Subnet 생성

 

 

＠ AWS VPC 내 퍼블릭 서브넷과 프라이빗 서브넷을 구축하는 이유

AWS VPC 내에 퍼블릭 서브넷과 프라이빗 서브넷을 분리하여 구축하는 것은 보안과 관리 효율성을 높이기 위한 핵심적인 설계 방식입니다. 각 서브넷의 역할과 구축 이유는 다음과 같습니다.

 

▶ 퍼블릭 서브넷 (Public Subnet) 구축 이유:

• 인터넷 접근 허용: 퍼블릭 서브넷에 위치한 리소스는 **인터넷 게이트웨이(Internet Gateway)**를 통해 직접 인터넷과 통신할 수 있습니다.
• 외부 접근이 필요한 서비스 호스팅: 웹 서버, 로드 밸런서, NAT 게이트웨이 등 외부 사용자나 시스템의 접근이 필요한 서비스를 호스팅하는 데 적합합니다.
• 관리 편의성: 외부에서 직접 접근하여 초기 설정, 패치 관리, 모니터링 등을 수행해야 하는 경우 유용할 수 있습니다 (하지만 보안상 최소한의 접근만 허용해야 합니다).

▶ 프라이빗 서브넷 (Private Subnet) 구축 이유:

• 보안 강화: 프라이빗 서브넷에 위치한 리소스는 인터넷 게이트웨이를 통해 직접 인터넷과 통신할 수 없습니다. 이는 외부의 악의적인 접근으로부터 내부 리소스를 보호하는 중요한 보안 계층을 제공합니다.
• 민감한 데이터 보호: 데이터베이스 서버, 애플리케이션 서버 등 민감한 데이터를 저장하거나 처리하는 리소스를 프라이빗 서브넷에 배치하여 데이터 유출 위험을 줄입니다.
• 내부 통신 집중: 애플리케이션 계층, 데이터베이스 계층 등 서로 간의 통신만 필요한 리소스를 프라이빗 서브넷에 배치하여 네트워크 트래픽을 내부로 제한하고 관리합니다.
• 아웃바운드 통제: 프라이빗 서브넷의 리소스가 인터넷으로 아웃바운드 연결이 필요한 경우, NAT(Network Address Translation) 게이트웨이를 퍼블릭 서브넷에 배치하여 안전하게 통신할 수 있도록 합니다. 이를 통해 내부 IP 주소를 숨기고 필요한 트래픽만 허용합니다.

요약하자면, 퍼블릭 서브넷은 외부와 통신해야 하는 경계 역할을 하고, 프라이빗 서브넷은 내부의 중요한 리소스를 보호하는 역할을 수행합니다. 이러한 분리를 통해 네트워크 보안을 강화하고, 각 리소스의 특성에 맞는 네트워크 환경을 제공할 수 있습니다.

＠ 퍼블릭 서브넷과 프라이빗 서브넷 생성 실무 스텝 

다음은 AWS Management Console을 사용하여 기존 VPC 내에 퍼블릭 서브넷과 프라이빗 서브넷을 생성하는 단계입니다.

 

사전 준비:

• 이미 생성된 VPC가 있어야 합니다. (이전 단계에서 VPC 생성을 완료했다고 가정합니다.)
• 생성할 서브넷의 IP 주소 범위(CIDR 블록)를 결정해야 합니다. VPC의 CIDR 블록 내에서 중복되지 않도록 설계해야 합니다. 일반적으로 각 서브넷은 VPC CIDR 블록의 일부를 할당받습니다.
• 각 서브넷을 생성할 가용 영역(Availability Zone, AZ)을 결정합니다. 고가용성을 위해 여러 AZ에 서브넷을 분산하는 것이 좋습니다.

실습 단계:

1. AWS Management Console 접속: AWS 계정에 로그인하고 AWS Management Console로 이동합니다.
2. VPC 서비스 접속: 서비스 목록에서 "VPC"를 검색하여 VPC 대시보드로 이동합니다.
3. 서브넷 생성 시작: VPC 대시보드의 왼쪽 메뉴에서 **"서브넷(Subnets)"**을 클릭한 후, "서브넷 생성(Create subnet)" 버튼을 클릭합니다.
4. 퍼블릭 서브넷 설정:
   • 이름 태그: 퍼블릭 서브넷을 식별하기 위한 이름을 입력합니다 (예: public-subnet-ap-northeast-2a).
   • VPC ID: 드롭다운 메뉴에서 서브넷을 생성할 VPC를 선택합니다.
   • 가용 영역: 드롭다운 메뉴에서 퍼블릭 서브넷을 생성할 가용 영역을 선택합니다 (예: ap-northeast-2a).
   • IPv4 CIDR 블록: 퍼블릭 서브넷에 할당할 IPv4 주소 범위를 CIDR 표기법으로 입력합니다. VPC CIDR 블록 내에서 사용하지 않는 범위를 지정해야 합니다 (예: VPC CIDR이 10.0.0.0/16인 경우 10.0.1.0/24와 같이 지정할 수 있습니다).
   • IPv6 CIDR 블록 (선택 사항): VPC에 IPv6 CIDR 블록이 연결되어 있다면, 서브넷에 IPv6 CIDR 블록을 할당할 수 있습니다.
5. 퍼블릭 서브넷 생성: 설정을 확인하고 페이지 하단의 "서브넷 생성(Create subnet)" 버튼을 클릭합니다.
6. 프라이빗 서브넷 설정: 다시 "서브넷 생성(Create subnet)" 버튼을 클릭하여 프라이빗 서브넷을 생성합니다.
   • 이름 태그: 프라이빗 서브넷을 식별하기 위한 이름을 입력합니다 (예: private-subnet-ap-northeast-2a).
   • VPC ID: 드롭다운 메뉴에서 서브넷을 생성할 동일한 VPC를 선택합니다.
   • 가용 영역: 퍼블릭 서브넷과 동일하거나 다른 가용 영역을 선택합니다 (고가용성을 위해 다른 AZ를 선택하는 것을 고려합니다. 예: ap-northeast-2a).
   • IPv4 CIDR 블록: 프라이빗 서브넷에 할당할 IPv4 주소 범위를 CIDR 표기법으로 입력합니다. VPC CIDR 블록 내에서 퍼블릭 서브넷과 중복되지 않는 다른 범위를 지정해야 합니다 (예: VPC CIDR이 10.0.0.0/16이고 퍼블릭 서브넷이 10.0.1.0/24인 경우 10.0.2.0/24와 같이 지정할 수 있습니다).
   • IPv6 CIDR 블록 (선택 사항): VPC에 IPv6 CIDR 블록이 연결되어 있다면, 서브넷에 IPv6 CIDR 블록을 할당할 수 있습니다.
7. 프라이빗 서브넷 생성: 설정을 확인하고 페이지 하단의 "서브넷 생성(Create subnet)" 버튼을 클릭합니다.

위 단계를 완료하면 지정한 VPC 내에 퍼블릭 서브넷과 프라이빗 서브넷이 생성됩니다. 다음 단계에서는 각 서브넷의 특성에 맞게 라우팅 테이블을 구성하고, 퍼블릭 서브넷에는 인터넷 게이트웨이를 연결하며, 프라이빗 서브넷에서 인터넷 접근이 필요한 경우 NAT 게이트웨이를 구성하는 등의 작업을 진행하게 됩니다.