IGW(Internet GateWay)
VPC 리소스가 인터넷에 연결되도록 하는 가상 라우터 수평적으로 확장되며 가용성이 높고 중복됨 하나의 VPC는 하나의 IGW에만 연결됨
NACL (Network ACL)
VPC에서 무료로 NACL 기능을 제공하고 있으며 사용자가 직접 정책을 설정하여 유입되는 트래픽을 제어한다.
NACL의 특징은 다음과 같다
- 서브넷 단위로 적용
- NACL이 설정된 서브넷 안의 모든 인스턴스에 적용
- 1개의 VPC에 NACL 최대 200개 까지 생성 가능
- 1개의 NACL에 인바운드 20개, 아웃바운드 20개 등록 가능
- NACL은 여러개의 서브넷에 적용 가능
- 서브넷은 하나의 NACL만 적용 가능
- 규칙 번호가 낮은것부터 우선 적용
- Stateless 성질 (요청 정보를 따로 저장하지 않기 때문에 응답하는 트래픽에 대한 필터링을 설정해야함)
Subnet
VPC 하나에 기본적으로 AZ 4개 각각 서브넷 1개(16bit)씩 설정이 되어있음 AZ 다른 서브넷은
Security Group (보안그룹)
인스턴스에 대한 인바운드/아웃바운드 트래픽을 제어하는 방화벽 역할을 한다.
NACL과 가장 큰 차이점을 본다면 NACL은 네트워크 방화벽이고, Security Group은 인스턴스 방화벽이다.
Security Group의 특징은 다음과같다.
- 인스턴스 단위로 적용
- 특정 그룹을 지정시에만 인스턴스에 적용
- 1개의 VPC에 SG 최대 2500개 까지 생성 가능
- 1개의 SG에 인바운드 60개, 아웃바운드 60개 등록 가능
- Stateful 성질 (요청 정보를 저장하여 응답하는 트래픽 제어를 하지 않음)
같은 서브넷끼리 통신할 때 : Security Group 정책을 거치면서 통신
다른 서브넷끼리 통신할 때 : NACL의 정책을 먼저 거친 후 , Security Group의 정책을 거치면서 통신
1차적 보안은 Security Group이고 더 나아가 2차 보안까지 하고자 한다면 NACL 까지 설정해주자