VPC Components Diagram
VPC Peering
다양한 리전과 계정에서 VPC를 생성할 수 있는데, AWS 네트워크를 통해 연결하고 싶을 때 사용
왜 필요한가? VPC가 모두 같은 네트워크에서 작동하도록 만들기 위해
서로 다른 VPC가 통신하려면 VPC 피어링을 활성화해야 함
A-B, B-C가 연결되어 있더라도 A와 C의 VPC 피어링 연결을 활성화해야 그 둘이 통신할 수 있음
VPC Peering - Good to know
다른 계정 간에도 가능 - 계정 A에서 계정 B로 VPC 연결이 가능
리전 간 연결도 가능
Hands-on#05 - VPC Peering
1) edit default VPC name: DefaultVPC
2) launch Instance (DefaultVPCInstance)
- private IPv4 address: 172.31.0.0/16 (PrivateInstance: 10.0.0.0/16, 다른 VPC)
- BastionHost IP(10.x.x.x)로 DefaultVPCInstance ssh에서 curl 명령시 연결되지 않음
3) create Peering connections
- VPC ID (Requester): DemoVPC, 10.0.0.0/16
- VPC ID (Accepter): DefaultVPC, 172.31.0.0/16
+ Actions: Accept request
4) edit default Route tables name: DefaultVPCMainRouteTable
5) public route table - add Routes > peering connection
- DefaultVPC IPv4 CIDR(172.31.0.0/16)
6) default route table - add Routes > peering connection - 10.0.0.0/16
(The destination CIDR block 10.0.0.0/16 is equal to or more specific than one of this VPC's CIDR blocks. This route can target only an interface or an instance.)
VPC Endpoints (AWS PrivateLink)
프라이빗 서브넷의 EC2 인스턴스를 VPC 엔드포인트를 거쳐 직접 Amazon SNS 서비스에 연결할 수 있음, 이 때 네트워크가 AWS 내에서만 이루어짐
VPC 엔드포인트를 사용하면 AWS PrivateLink를 통해 프라이빗으로 액세스하므로 AWS에 있는 모든 서비스에 액세스할 때 퍼블릭 인터넷을 거치지 않고도 프라이빗 네트워크를 사용할 수 있음
Types of Endpoints
1. Interface Endpoints (powered by PrivateLink)
인터페이스 엔드포인트는 ENI를 프로비저닝하는데 ENI는 VPC의 프라이빗 IP 주소이자 AWS의 엔트리 포인트임
ENI가 있으면 반드시 보안 그룹을 연결해야 함, 대부분의 AWS 서비스를 지원함
2. Gateway Endpoints
게이트웨이를 프로비저닝, 게이트웨이는 라우팅 테이블의 대상이 되어야 함
IP 주소를 사용하거나 보안 그룹을 사용하지 않고 라우팅 테이블의 대상이 될 뿐임
게이트웨이 엔드포인트 대상: Amazon S3, DynamoDB
Gateway or Interface Endpoint for S3?
Amazon S3에 액세스하는 방법 중 게이트웨이를 선택하는 편이 대부분 유리함 - 라우팅 테이블만 수정하면 되기 때문
인터페이스 엔드포인트가 권장되는 경우: 온프레미스에서 액세스해야 할 필요가 있을 때, 다른 VPC에 연결할 때
Hands-on#05 - VPC Endpoints
7) PrivateInstance > Security - Modify IAM role > role 생성 후 추가
- create role: AWS service, EC2, policies-AmazonS3ReadOnlyAccess
8) BastionHost > PrivateInstance ssh connect + 명령 입력
aws s3 ls
curl google.com9) Private Route Table의 NAT Gateway로 인터넷에 연결하는 라우트 0.0.0.0/0 삭제
- 이 인스턴스가 인터넷에 접속하지 못하게 하도록
- 8번 동일 명령 실행되지 않음
-> VPC 엔드포인트를 통해 Amazon S3에 프라이빗 접속이 가능해짐
10) VPC Endpoints create (DemoVPC) - 아래 둘 중 Gateway endpoints로 생성
Interface
- service name: 맨 상단(aws.sagemaker.ap-northeast-2.notebook)
- subnets: Private subnet A, B 지정
Gateway
- service name: com.amazonaws.ap-northeast-2.s3
- Route tables: PrivateRouteTable
-> PrivateRouteTable routes edit 시 NAT Gateway 생성되어 있음
11) 이후 PrivateInstance ssh connect 후 명령 실행
- CLI 리전은 기본적으로 us-east-1으로 설정됨
# 해당하는 리전으로 입력
aws s3 ls --region ap-northeast-2
VPC Flow Logs
인터페이스로 들어오는 IP 트래픽에서 정보를 포착할 수 있음
Hands-on#06 - VPC Flow Logs
1) DemoVPC create flow log (DemoS3FlowLog)
- send to an Amazon S3 bucket
- 2)의 buckets properties ARN(Amazon Resource Name) 붙여넣기
2) create S3 (demo-(alias) vpc-flow-logs-v2)
3) DemoVPC create flow log 2nd (DemoFlowLogCWLogs)
- send to CloudWatch Logs
- 4)에서 생성한 flowlogsRole
4) create IAM role
- type: custom trust policy
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
- CloudWatchLogsFullAccess
- role name: flowlogsRole
5) CloudWatch create Log groups (VPCFlowLogs)
6) S3 Buckets / CloudWatch Log groups 확인
- BastionHost network interface ID에 해당하는 CloudWatch log streams: EC2 인스턴스에서 일어나고 있는 트래픽
7) Amazon Athena를 사용해서 S3 버킷에 들어가는 데이터 쿼리 연습
(1) query editor - settings - S3에서 생성한 bucket 추가
- S3에서 create bucket (demo-athena-(alias)-v2)
search > aws vpc logs athena query 붙여넣기
CREATE EXTERNAL TABLE IF NOT EXISTS `vpc_flow_logs` (
version int,
account_id string,
interface_id string,
srcaddr string,
dstaddr string,
srcport int,
dstport int,
protocol bigint,
packets bigint,
bytes bigint,
start bigint,
`end` bigint,
action string,
log_status string,
vpc_id string,
subnet_id string,
instance_id string,
tcp_flags int,
type string,
pkt_srcaddr string,
pkt_dstaddr string,
region string,
az_id string,
sublocation_type string,
sublocation_id string,
pkt_src_aws_service string,
pkt_dst_aws_service string,
flow_direction string,
traffic_path int
)
PARTITIONED BY (`date` date)
ROW FORMAT DELIMITED
FIELDS TERMINATED BY ' '
LOCATION 's3://DOC-EXAMPLE-BUCKET/prefix/AWSLogs/{account_id}/vpcflowlogs/{region_code}/'
TBLPROPERTIES ("skip.header.line.count"="1");- query LOCATION에 - S3 region url 대체 (demo-(alias) vpc-flow-logs-v2)
(2) query 변경
ALTER TABLE vpc_flow_logs
ADD PARTITION (`date`='YYYY-MM-dd')
LOCATION 's3://DOC-EXAMPLE-BUCKET/prefix/AWSLogs/{account_id}/vpcflowlogs/{region_code}/YYYY/MM/dd';- S3 일자까지 클릭 후 properties S3 URL 붙여넣기
- query results: 테이블에 파티션 하나 추가
(3) 데이터 쿼리
SELECT day_of_week(date) AS
day,
date,
interface_id,
srcaddr,
action,
protocol
FROM vpc_flow_logs
WHERE action = 'REJECT' AND protocol = 6
LIMIT 100;
References
Udemy, Ultimate AWS Certified Solutions Architect Associate SAA-C03, Section 27
'Networking > AWS' 카테고리의 다른 글
| AWS products (0) | 2024.07.10 |
|---|---|
| [AWS] SAA-C03#10: VPC lab(3) (1) | 2024.07.02 |
| [AWS] SAA-C03#08: VPC lab(1) (0) | 2024.06.28 |
| [AWS] SAA-C03#07: ELB & ASG (0) | 2024.06.25 |
| [AWS] SAA-C03#06: EC2 instance storage (0) | 2024.06.21 |