[CSP 기본 사용 가이드라인] 네트워크 설정과 인스턴스 생성
알아야 하는 용어
Internet gateway(ig), VPC, Subnet, Security Groups, public IP, Availability zone(AZ)
해야 할 일
1) VPC 제작(CIDR, RFC1918 개념 필요)
2) 인스턴스 생성(인스턴스 타입은 배포해 보며 적절한 리소스 스펙을 결정할 수 있음)
3) VPC는 외부망 접속 불가이기 때문에, 라우팅 테이블에 매핑 인터넷게이트웨이
4) 보안 그룹 생성(22port 수신 열어주기)
예시
ssh -i temp.pem ubuntu@111.111.111.111
인스턴스 접근순서
1) SSH 22번 포트를 이용하여 Floating IP로 아이디와. pem 들고 접근
2) VPC에 연결된 인터넷 게이트웨이타고
3) 라우팅 테이블 1:1(인터넷게이트웨이: VPC) 매핑된 플로팅 IP와 연결
4) 보안그룹(SG: FW역할)타고 인스턴스에 접근성
*NHN Cloud는 공인IP == Floating IP
VPC
Region과 Availability zone (AZ: 가용성 영역)
리전은 지리적으로 떨어진 독립적인 위치를 의미(판교 IDC, 평촌 IDC)의 구분을 의미한다.
Availability zone은 인스턴스가 만들어지는 물리적인 위치을 의미한다.
이런 식으로 구성되며, AZ를 구분한 목적은 물리 하드웨어 장애 대비(전력공급불가, 화재발생)이다.
한 가용성 영역 내에 장애를 다른 가용성 영역을 주지 않으므로 서비스 전체의 가용성이 높아집니다.
Q1: RFC1918이란?
A2: private IP(사설망의 내부 IP)의 국제 규격.
사설망의 내부 IP 대역을 할당할 때, 특정 대역 IP를 미리 사용하기로 약속한다.
규약 준수 이유: privateIP, publicIP가 중첩되면 통신이 불가능하다.(내부에서 빙빙 돈다.), 따라서 규약 준수 필요
ex)
사설망A에서 사설망 B로 통신하는 상황 가정
사설망 A(사설망 서브넷 52.1/16) ---> ☁️ ---> 사설망 B(공인 IP 52.1.1.5)
사설망A가 규격을 준수하지 않고 공인 IP(52.1 대역)을 사용했다치고, B로 송신할 경우, 올바른 요청임에도 내부 IP로 판단하여
패킷이 내부 네트워크 무한 루프
Q2: VPC를 만들어만 놔도 비용이 따로 발생하나요?
A2: CSP마다 다르지만, 일반적으로 발생
Q3: VPC가 RFC1918의 3개의 할당 가능한 호스트 수에 따라 비용이 다른가요?
A3:
Q4: 보안그룹에 (수신, 송신)이 나눠져 있는 이유는? 저번에 말한 네트워크카드? 거기에 수신port, 송신 port가 따로 구성되기 때문인가요?
A4:
Q5: 인터넷 통신을 위해서는 반드시 공인 IP를 할당해야 한다.
공인IP를 연결하기 위해서는 사설 IP에 인터넷게이트웨이를 할당해야 한다.
SSH 열면 22번으로 들어오는 트래픽은 허용하고, 나머지는 다 차단한다는 정책으로 서버 앞을 지킴(방화벽처럼)
하지만, 아직 사설 IP만 할당되어 있음
인터넷 통신을 위해서는 반드시 공인 IP를 할당해야 함(이유: 사설 IP는 같은 VPC끼리만 통신이 가능함)
--> 여기서 질문 nhnenter_wlan_6G를 사용하고 있는데, 같은 폐쇄망에서만 접속하게 하고 인터넷 게이트웨이 접근을 막으려면, VPC 어떻게 설정함?, 그리고 공인 IP(FIP)는 연결 안 하는 게 맞죠?(인터넷 통신이 될 필요가 없으니까)
(Uptime Kuma)도 외부에서 접속 안 되는 걸로 앎.
저는 보안절차를 2개로 가져가고 싶음
1) 폐쇄망(NHN VPC내의 IP만 접근가능: NHN에서만 접근가능)
2) ID, PW(NHN내에서도 인증된 사용자(MSP팀)만 접근 가능
A5:
참고1: https://www.youtube.com/watch?v=SVYiHoGA4iA&list=PL42XJKPNDepZT626V00gWBs00oHwk9PmY&index=7
참고2: https://docs.nhncloud.com/ko/quickstarts/ko/network-setup/