SAA #9, VPC

Network ACL

• 서브넷의 트래픽 정책을 제어하는 설정
• 우선순위를 적용할 수 있으며 값 100 단위로 정책을 넣는 것을 권고
• Stateless이므로 Inbound 정책과 Outbound 정책이 모두 열려야 트래픽이 허용됨
• Custom ACL은 기본 Deny 되어있음(Default ACL은 기본 Allow)
• Ephemral Port를 위해 별도로 열어주는 것이 좋음(NAT Gateway의 경우, 1024 ~ 65535 포트를 사용함)
• 같은 포트에 대하여 다른 값의 규칙을 걸면 우선순위가 높은 규칙이 먼저 적용
• 하나의 ACL 정책을 여러 서브넷에 적용 가능하지만, 서브넷은 하나의 ACL만 적용 가능

Direct Connect

• 온프레미스와 AWS를 연결해주는 네트워크 전용선 서비스
• Direct Connect Location(DX)을 통해 연결함
• AWS Region --- Direct Connect Location --- Customer

VPC Endpoint

• NAT Gateway, Internet Gateway, VPN Connection 등의 서비스 없이 다른 AWS 서비스와의 연결을 가능케하는 서비스
• Interface Endpoints : 가상의 Network Interface(Private IP)를 생성하여 트래픽이 지나갈 End Point를 제공
• Gateway Endpoints : VPC Gateway를 이용하여 다른 AWS 서비스로 연결(오직 S3와 Dynamo DB만이 사용 가능)

VPC Flow Logs

• VPC 내 Network Interface에 지나다니는 IP Traffic에 대한 정보를 캡처하는 서비스(Wireshark 같은)
• 다른 계정의 VPC에 Peering된 VPC는 Flow Logs 활성화 불가능함
• Flow Logs에 태그 불가능함
• 다음 트래픽은 기록되지 않음
  • 인스턴스가 생성될 때 DNS와 연결되면서 생성되는 트래픽
  • Window License 인증을 위해 생성된 트래픽
  • 인스턴스 메타데이터를 위한 169.254.169.254로의 트래픽
  • DHCP 트래픽

Bastion Host

• 내부 인스턴스에 접속하기 위한 외부 인터넷이 연결된 서브넷의 인스턴스