Search
๐ŸŒ

[SAP] Networking & VPC Architecture

Date
2026/03/07
Category
Infra
Tag
AWS
SAP
Network

Amazon VPC

VPC ์„ค๊ณ„ ํ•„์ˆ˜ ๊ณ ๋ ค ๋Œ€์ƒ

โ€ข
CIDR ๊ณ„ํš โ€” ์˜จํ”„๋ ˆ๋ฏธ์Šค์™€ ๊ฒน์น˜์ง€ ์•Š๊ฒŒ ์„ค๊ณ„ํ•œ๋‹ค. ๋‚˜์ค‘์— ํ”ผ์–ด๋ง/ํ•˜์ด๋ธŒ๋ฆฌ๋“œ ์—ฐ๊ฒฐ ์‹œ CIDR ์ถฉ๋Œ์€ ํ•ด๊ฒฐํ•  ์ˆ˜ ์—†๋‹ค
โ€ข
์„œ๋ธŒ๋„ท ์ „๋žต โ€” Public(IGW Route ์กด์žฌ) / Private(์—†์Œ) / Isolated(์—”๋“œํฌ์ธํŠธ๋งŒ)
โ€ข
Security Group(Stateful) vs NACL(Stateless)
ํ•ญ๋ชฉ
Security Group
NACL
์šด์˜ ๋ ˆ๋ฒจ
Instance level
Subnet level
๋ฒ”์œ„
์—ฐ๊ฒฐ๋œ ๋ชจ๋“  ์ธ์Šคํ„ด์Šค์— ์ ์šฉ
์—ฐ๊ฒฐ๋œ ์„œ๋ธŒ๋„ท์˜ ๋ชจ๋“  ์ธ์Šคํ„ด์Šค์— ์ ์šฉ
๊ทœ์น™ ์œ ํ˜•
Allow rule ๋งŒ ์กด์žฌ
Allow & Deny rule
๊ทœ์น™ ํ‰๊ฐ€(์ ์šฉ)
๋ชจ๋“  ๊ทœ์น™ ํ‰๊ฐ€ ํ›„ ํŠธ๋ž˜ํ”ฝ ์ฒ˜๋ฆฌ
ํŠธ๋ž˜ํ”ฝ๊ณผ ์ผ์น˜ํ•˜๋Š” ๊ทœ์น™๊นŒ์ง€ ์˜ค๋ฆ„์ฐจ์ˆœ
๋ฐ˜ํ™˜ ํŠธ๋ž˜ํ”ฝ
์ž๋™ ํ—ˆ์šฉ (Stateful)
๋ช…์‹œ์  ํ—ˆ์šฉ ํ•„์ˆ˜ (Stateless)

VPC Peering vs Transit Gateway

VPC Peering

โ€ข
๋‘ VPC ๊ฐ„ 1:1 point-to-point ์—ฐ๊ฒฐ
โ€ข
Transitive routing ๋ถˆ๊ฐ€ โ€” VPC AB, AC ์—ฐ๊ฒฐํ•ด๋„ Bโ†’C๋Š” ํ†ต์‹  ๋ถˆ๊ฐ€
โ—ฆ
๋ชจ๋“  VPC ๊ฐ„ Peering์„ ์œ„ํ•ด์„  n(n-1)/2๊ฐœ ํ•„์š”
โ€ข
VPC ๋‹น ์ตœ๋Œ€ 125๊ฐœ ํ™œ์„ฑ peering ์—ฐ๊ฒฐ ๊ฐ€๋Šฅ
โ€ข
๋น„์šฉ: ๋ฐ์ดํ„ฐ ์ „์†ก ์š”๊ธˆ๋งŒ ๊ณผ๊ธˆ (์—ฐ๊ฒฐ ์ž์ฒด ๋ฌด๋ฃŒ)
โ€ข
๋Œ€์—ญํญ ์ œํ•œ ์—†์Œ, ๋ ˆ์ดํ„ด์‹œ ์ตœ์ € โ†’ ์„ฑ๋Šฅ Good

AWS Transit Gateway

Transit Gateway๋Š” ๋ฆฌ์ „ ๋‚ด VPC ๋ผ์šฐํŒ… ๊ตฌ์„ฑ์„ hub-and-spoke ์•„ํ‚คํ…์ฒ˜๋กœ ํ†ตํ•ฉํ•˜๋Š” ๊ณ ๊ฐ€์šฉ์„ฑ ๊ด€๋ฆฌํ˜• ์„œ๋น„์Šค๋‹ค. ๊ฐ Spoke VPC๋Š” Transit Gateway์—๋งŒ ์—ฐ๊ฒฐํ•˜๋ฉด ๋‚˜๋จธ์ง€ ๋ชจ๋“  VPC์— ์ ‘๊ทผํ•  ์ˆ˜ ์žˆ๋‹ค.
โ€ข
Transitive routing ์ง€์›
โ€ข
๋ฆฌ์ „ ๋‹น ์ตœ๋Œ€ 5,000๊ฐœ attachment ๊ฐ€๋Šฅ
โ€ข
attatchment ๋‹น ์ตœ๋Œ€ 50 Gbps(burst)
โ€ข
๋น„์šฉ: ๋ฐ์ดํ„ฐ ์ „์†ก + ๋ฐ์ดํ„ฐ ์ฒ˜๋ฆฌ + ์‹œ๊ฐ„๋‹น attachment ์š”๊ธˆ ๋ฐœ์ƒ
โ€ข
๋ฉ€ํ‹ฐ ๊ณ„์ •: AWS RAM์œผ๋กœ TGW ๊ณต์œ  ๊ฐ€๋Šฅ
โ€ข
๋ฉ€ํ‹ฐ ๋ฆฌ์ „: TGW ํ”ผ์–ด๋ง์œผ๋กœ ๋ฆฌ์ „ ๊ฐ„ ์—ฐ๊ฒฐ (์ •์  ๋ผ์šฐํŠธ๋งŒ ์ง€์›)
ํ•ญ๋ชฉ
VPC Peering
Transit Gateway
์•„ํ‚คํ…์ฒ˜
Full Mesh (1:1)
Hub & Spoke
Transitive routing
ํ•˜์ด๋ธŒ๋ฆฌ๋“œ ์—ฐ๊ฒฐ
ย VPN/DX ํ†ตํ•ฉ
์Šค์ผ€์ผ
125 peers per VPC
5,000 attachments
Latency
์ตœ์ €
์•ฝ๊ฐ„ ๋†’์Œ (์ถ”๊ฐ€ hop)
๋น„์šฉ
๋ฐ์ดํ„ฐ ์ „์†ก
์ „์†ก+์ฒ˜๋ฆฌ+์‹œ๊ฐ„๋‹น
์ ํ•ฉํ•œ ์‹œ๋‚˜๋ฆฌ์˜ค
VPC ์ˆ˜ ์ ์„ ๋•Œ
VPC ์ˆ˜ ๋งŽ๊ฑฐ๋‚˜ ์˜จํ”„๋ ˆ๋ฏธ์Šค ํ†ตํ•ฉ

AWS Direct Connect (DX)

์˜จํ”„๋ ˆ๋ฏธ์Šค์™€ AWS ๊ฐ„ ์ „์šฉ ๋ฌผ๋ฆฌ ํšŒ์„  ์—ฐ๊ฒฐ. ์ธํ„ฐ๋„ท์„ ๊ฑฐ์น˜์ง€ ์•Š์•„ ์ผ๊ด€๋œ ๋Œ€์—ญํญ๊ณผ ๋‚ฎ์€ ๋ ˆ์ดํ„ด์‹œ ๋ณด์žฅ

Direct Connect ์—ฐ๊ฒฐ ์œ ํ˜•

โ€ข
Dedicated Connection โ€” 1/10/100 Gbps, ๊ณ ๊ฐ์ด ์ง์ ‘ AWS์™€ ๊ณ„์•ฝ
โ€ข
Hosted Connection โ€” 50 Mbps ~ 10 Gbps, ํŒŒํŠธ๋„ˆ์‚ฌ ๊ฒฝ์šฐ

Virtual Interface (VIF)

๋ฐ˜๋“œ์‹œ ๋‹ค์Œ ์ค‘ ํ•˜๋‚˜์˜ VIF๋ฅผ ์ƒ์„ฑํ•ด์•ผ ํ•œ๋‹ค
โ€ข
Private VIF: Private IP๋กœ Amazon VPC์— ์ ‘๊ทผํ•  ๋•Œ ์‚ฌ์šฉ
โ€ข
Public VIF: Public IP๋กœ ๋ชจ๋“  AWS ํผ๋ธ”๋ฆญ ์„œ๋น„์Šค์— ์ ‘๊ทผํ•  ๋•Œ ์‚ฌ์šฉ
โ€ข
Transit VIF: Direct Connect Gateway์™€ ์—ฐ๊ฒฐ๋œ ํ•˜๋‚˜ ์ด์ƒ์˜ Amazon VPC Transit Gateway์— ์ ‘๊ทผํ•  ๋•Œ ์‚ฌ์šฉ
์˜จํ”„๋ ˆ๋ฏธ์Šค ๋ผ์šฐํ„ฐ โ”‚ โ–ผ DX Connection (๋ฌผ๋ฆฌ ํšŒ์„ ) โ”‚ โ”œโ”€ Private VIF โ†’ VGW โ†’ ๋‹จ์ผ VPC โ”œโ”€ Private VIF โ†’ DX Gateway โ†’ ์—ฌ๋Ÿฌ ๋ฆฌ์ „์˜ VPC๋“ค โ”œโ”€ Transit VIF โ†’ DX Gateway โ†’ Transit Gateway โ†’ ์—ฌ๋Ÿฌ VPC๋“ค โ””โ”€ Public VIF โ†’ AWS ํผ๋ธ”๋ฆญ ์„œ๋น„์Šค (S3, EC2 ํผ๋ธ”๋ฆญ IP ๋“ฑ)
Plain Text
๋ณต์‚ฌ

DX HA Patterns

โ€ข
DX ๋‹จ๋…: ๋ฌผ๋ฆฌ ํšŒ์„  ์žฅ์•  ์‹œ ๋‹ค์šด (๋น„๊ถŒ์žฅ)
โ€ข
DX + Site-to-Site VPN ์ด์ค‘ํ™”: DX ์žฅ์•  ์‹œ VPN์œผ๋กœ ์ž๋™ Failover
โ€ข
DX + DX(์ด์ค‘ํ™”): ์„œ๋กœ ๋‹ค๋ฅธ DX Location 2๊ฐœ ์‚ฌ์šฉ
DX ๊ตฌ์ถ•์—๋Š” ์ˆ˜์ฃผ~์ˆ˜๊ฐœ์›”์ด ์†Œ์š” โ†’ ๊ธด๊ธ‰ ์—ฐ๊ฒฐ์€ VPN ๋จผ์ €, ์žฅ๊ธฐ์ ์œผ๋กœ DX ๋„์ž… DX + VPN ์ด์ค‘ํ™” ์‹œ BGP AS_PATH๋กœ ์šฐ์„ ์ˆœ์œ„ ์กฐ์ •

AWS Site-to-Site VPN

โ€ข
IPsec VPN ํ„ฐ๋„ 2๊ฐœ(์ด์ค‘ํ™”) ์ž๋™ ์ƒ์„ฑ
โ€ข
BGP ๋™์  ๋ผ์šฐํŒ… ๋˜๋Š” ์ •์  ๋ผ์šฐํŒ… ์ง€์›
โ€ข
๊ฐ€์† VPN: Global Accelerator๋ฅผ ํ†ตํ•ด AWS ๋ฐฑ๋ณธ ๊ฒฝ์œ , ์„ฑ๋Šฅ ๊ฐœ์„ 
โ€ข
VGW(Virtual Private Gateway) ๋˜๋Š” Transit Gateway์— ์—ฐ๊ฒฐ
DX vs VPN ์„ ํƒ ๊ธฐ์ค€
โ€ข
์ผ๊ด€๋œ ๋Œ€์—ญํญ/๋‚ฎ์€ ๋ ˆ์ดํ„ด์‹œ ํ•„์š” โ†’ DX
โ€ข
๋น ๋ฅธ ๊ตฌ์ถ•/๋น„์šฉ ์ ˆ๊ฐ ์šฐ์„  โ†’ VPN
โ€ข
๋‘๊ฐ€์ง€ ๋ชจ๋‘ ํ•„์š”ํ•œ ์—”ํ„ฐํ”„๋ผ์ด์ฆˆ โ†’ DX + VPN ์ด์ค‘ํ™”

AWS PrivateLink & VPC Endpoint

Gateway Endpoint

Gateway VPC Endpoint๋Š” IGW๋‚˜ NAT ์žฅ์น˜ ์—†์ด Amazon S3์™€ DynamoDB์— ์•ˆ์ •์ ์œผ๋กœ ์—ฐ๊ฒฐํ•œ๋‹ค. Gateway Endpoint๋Š” AWS PrivateLink๋ฅผ ์‚ฌ์šฉํ•˜์ง€ ์•Š์œผ๋ฉฐ, ์ถ”๊ฐ€ ์š”๊ธˆ์ด ์—†๋‹ค.
โ€ข
๋™์ž‘ ๋ฐฉ์‹: ๋ผ์šฐํŠธ ํ…Œ์ด๋ธ”์— prefix list ๋ผ์šฐํŠธ ์ž๋™ ์ถ”๊ฐ€
โ€ข
๋ฌด๋ฃŒ
โ€ข
๋‹จ์ : VPC ์™ธ๋ถ€(์˜จํ”„๋ ˆ๋ฏธ์Šค, ํ”ผ์–ด๋ง๋œ ๋‹ค๋ฅธ ๋ฆฌ์ „ VPC)์—์„œ๋Š” ์‚ฌ์šฉ ๋ถˆ๊ฐ€

Interface Endpoint (PrivateLink)

AWS PrivateLink๋ฅผ ์ด์šฉํ•ด VPC ํ”„๋ผ์ด๋น— ์„œ๋ธŒ๋„ท์˜ ๋ฆฌ์†Œ์Šค์™€ VPC ์™ธ๋ถ€์˜ ์—”๋“œํฌ์ธํŠธ ์„œ๋น„์Šค๋ฅผ ์—ฐ๊ฒฐํ•œ๋‹ค. ENI(Elastic Network Interface)๊ฐ€ ์—”๋“œํฌ์ธํŠธ ์„œ๋น„์Šค๋กœ ํ–ฅํ•˜๋Š” ํŠธ๋ž˜ํ”ฝ์˜ ์ง„์ž…์  ์—ญํ• ์„ ํ•œ๋‹ค.
โ€ข
๋™์ž‘ ๋ฐฉ์‹: ์„œ๋ธŒ๋„ท์— ENI ์ƒ์„ฑ, Private IP ํ• ๋‹น
โ€ข
์ง€์› ์„œ๋น„์Šค: S3, DynamoDB๋ฅผ ํฌํ•จํ•œ ๋Œ€๋ถ€๋ถ„์˜ AWS ์„œ๋น„์Šค + ํƒ€์‚ฌ ์„œ๋น„์Šค
โ€ข
์‹œ๊ฐ„๋‹น + ๋ฐ์ดํ„ฐ ์ฒ˜๋ฆฌ ๋น„์šฉ ๋ฐœ์ƒ
โ€ข
์žฅ์ : ์˜จํ”„๋ ˆ๋ฏธ์Šค(DX/VPN ๊ฒฝ์œ ), ํ”ผ์–ด๋ง VPC, ํƒ€ ๊ณ„์ •์—์„œ๋„ ์ ‘๊ทผ ๊ฐ€๋Šฅ
ํ•ญ๋ชฉ
Gateway Endpoint
Interface Endpoint
์ง€์› ์„œ๋น„์Šค
S3, DynamoDB
๋Œ€๋ถ€๋ถ„ AWS ์„œ๋น„์Šค
๊ตฌํ˜„ ๋ฐฉ์‹
๋ผ์šฐํŠธ ํ…Œ์ด๋ธ” ์ˆ˜์ •
ENI (PrivateIP)
๋น„์šฉ
๋ฌด๋ฃŒ
์‹œ๊ฐ„๋‹น + ๋ฐ์ดํ„ฐ ์ฒ˜๋ฆฌ
์˜จํ”„๋ ˆ๋ฏธ์Šค ์ ‘๊ทผ
ย (DX/VPN ๊ฒฝ์œ )
ํฌ๋กœ์Šค ๋ฆฌ์ „
Security Group
์ง€์› ์•ˆ ํ•จ
์ง€์›
์˜จํ”„๋ ˆ๋ฏธ์Šค์—์„œ ํ”„๋ผ์ด๋น— ์ ‘๊ทผ โ†’ Interface Endpoint VPC ๋‚ด EC2์—์„œ S3 ํ”„๋ผ์ด๋น— ์ ‘๊ทผ, ๋น„์šฉ ์ตœ์†Œํ™” โ†’ Gateway Endpoint

Route53 Resolver โ€” Hybrid DNS

์˜จํ”„๋ ˆ๋ฏธ์Šค AWS VPC ๊ฐ„ DNS ์ฟผ๋ฆฌ๋ฅผ ํ•ด๊ฒฐํ•˜๋Š” ํ•ต์‹ฌ ์„œ๋น„์Šค
์˜จํ”„๋ ˆ๋ฏธ์Šค DNS ์„œ๋ฒ„ โ”‚ ์ฟผ๋ฆฌ: aws-internal.example.com โ–ผ Route 53 Inbound Endpoint (ENI, AWS์— ๋ฐฐ์น˜) โ”‚ โ†’ AWS ๋‚ด๋ถ€ Route 53์œผ๋กœ ์ „๋‹ฌ โ–ผ Private Hosted Zone โ†’ ์‘๋‹ต ๋ฐ˜ํ™˜
Plain Text
๋ณต์‚ฌ
VPC ๋‚ด EC2 โ”‚ ์ฟผ๋ฆฌ: on-prem.company.com โ–ผ Route 53 Outbound Endpoint (ENI, AWS์— ๋ฐฐ์น˜) โ”‚ โ†’ Forwarding Rule ์ ์šฉ โ–ผ ์˜จํ”„๋ ˆ๋ฏธ์Šค DNS ์„œ๋ฒ„ โ†’ ์‘๋‹ต ๋ฐ˜ํ™˜
Plain Text
๋ณต์‚ฌ
โ€ข
Inbound Endpoint: ์˜จํ”„๋ ˆ๋ฏธ์Šค โ†’ AWS ์ฟผ๋ฆฌ ์ˆ˜์‹ 
โ€ข
Outbound Endpoint + Forwarding Rule: AWS โ†’ ์˜จํ”„๋ ˆ๋ฏธ์Šค ์ฟผ๋ฆฌ ์ „๋‹ฌ
โ€ข
DNS Firewall: ์•…์„ฑ ๋„๋ฉ”์ธ ์ฟผ๋ฆฌ ์ฐจ๋‹จ ๊ฐ€๋Šฅ

๋„คํŠธ์›Œํฌ ๋ณด์•ˆ ๊ณ„์ธต ๋ฐฉ์–ด

์ธํ„ฐ๋„ท โ”‚ โ–ผ [AWS WAF + AWS Shield] โ€” L7 ๊ณต๊ฒฉ ์ฐจ๋‹จ โ”‚ โ–ผ [Internet Gateway] โ”‚ โ–ผ [NACL] โ€” Stateless, ์„œ๋ธŒ๋„ท ๋ ˆ๋ฒจ โ”‚ โ–ผ [Security Group] โ€” Stateful, ์ธ์Šคํ„ด์Šค ๋ ˆ๋ฒจ โ”‚ โ–ผ EC2 / ์„œ๋น„์Šค
Plain Text
๋ณต์‚ฌ
โ€ข
NACL: Stateless(์š”์ฒญ + ์‘๋‹ต ๊ฐ๊ฐ ๊ทœ์น™ ํ•„์š”), ์„œ๋ธŒ๋„ท ๊ฒฝ๊ณ„, ๋ฒˆํ˜ธ ์ˆœ์„œ ์ ์šฉ, Deny ๊ทœ์น™ ๋ช…์‹œ ๊ฐ€๋Šฅ
โ€ข
Security Group: Stateful(์‘๋‹ต ์ž๋™ ํ—ˆ์šฉ), ์ธ์Šคํ„ด์Šค ๋‹จ์œ„, Allow๋งŒ ๊ฐ€๋Šฅ
โ€ข
AWS Network Firewall: VPC ๋ ˆ๋ฒจ L3/L4/L7 ํ•„ํ„ฐ๋ง, IDS/IPS ๊ธฐ๋Šฅ
NACL์€ ํŠน์ • IP ์ฐจ๋‹จ(Deny) ํ•„์š” ์‹œ ์‚ฌ์šฉ Security Group์€ ์ฐธ์กฐ(๋‹ค๋ฅธ SG ID๋ฅผ ์†Œ์Šค๋กœ ์ง€์ •) ๊ฐ€๋Šฅ

Summary

๊ฐœ๋…
ํ•œ ์ค„ ์š”์•ฝ
VPC Peering
1:1, Transitive ๋ถˆ๊ฐ€, ๋ฌด๋ฃŒ(๋ฐ์ดํ„ฐ ์ œ์™ธ)
Transit Gateway
Hub-Spoke, Transitive ๊ฐ€๋Šฅ, 5000 attachment
DX Private VIF
VPC ์ ‘๊ทผ (ํ”„๋ผ์ด๋น— IP)
DX Public VIF
AWS ํผ๋ธ”๋ฆญ ์„œ๋น„์Šค ์ ‘๊ทผ
DX Transit VIF
TGW ๊ฒฝ์œ  ๋‹ค์ˆ˜ VPC ์ ‘๊ทผ
Gateway Endpoint
S3/DynamoDB ์ „์šฉ, ๋ฌด๋ฃŒ, ๋ผ์šฐํŠธ ํ…Œ์ด๋ธ” ๊ธฐ๋ฐ˜
Interface Endpoint
๋ชจ๋“  ์„œ๋น„์Šค, ์œ ๋ฃŒ, ENI ๊ธฐ๋ฐ˜, ์˜จํ”„๋ ˆ๋ฏธ์Šค ์ง€์›
Route 53 Inbound
์˜จํ”„๋ ˆ๋ฏธ์Šค โ†’ AWS DNS
Route 53 Outbound
AWS โ†’ ์˜จํ”„๋ ˆ๋ฏธ์Šค DNS