이전 게시물 - 3단원 Database
https://rb-cloud.tistory.com/40
[AWS SAA-C03] 3단원 Database
이전 게시물 - 2단원 Storagehttps://rb-cloud.tistory.com/39 [AWS SAA-C03] 2단원 StorageAWS SAA-C03 2단원 StorageStorage1. Storage 유형파일 스토리지데이터를 파일 단위로 저장하고 관리파일 시스템을 통해 접근하고,
rb-cloud.tistory.com
[AWS SAA-C03] 4단원 Networking and Content Delivery
Basic Network Concepts
1. IP
- IP 주소 = 네트워크상 각 장치에 부여된 고유 번호
- IPv4 주소 고갈 문제로 IPv6 등장 (아직 보편화 안 됨)
- IPv4 구조: 0~255 숫자 4개를 점으로 구분
- 총 2³² = 약 43억 개 주소 가능
2. CIDR
- IP 주소와 네트워크 범위를 함께 표기하는 방법
- /16 = 앞 16비트가 네트워크, 나머지 16 비트가 Host(장치)
- 사용 가능한 IP 수: 2¹⁶ - 2 = 65,534개
- -2 하는 이유: Network 주소(Host 전부 0) + Broadcast 주소(Host 전부 1) 제외
3. DNS
- 도메인 이름 → IP 주소로 변환해주는 시스템
- 인터넷의 전화번호부 역할
4. Firewall - 방화벽
- 들어오고 나가는 네트워크 트래픽을 모니터링/제어
- 보안 규칙으로 허가된 요청만 통과
5. Router
- 네트워크 간 데이터 패킷을 전달하는 장치
- 라우팅 테이블을 보고 출발지에서 목적지까지 최적 경로 결정
Home Network → Router → Internet → Site's Server
6. Routing Table
- 라우터 안에 있는 목적지별 경로 목록 테이블
7. Load Balancer
- 여러 서버에 트래픽을 균등하게 분산
- 한 서버에 과부하 걸리는 것 방지
- 앱의 가용성과 안정성 향상
/ Instance 1
사용자 요청 → Load Balancer - Instance 2
\ Instance 3
Basic Network Services
1. Region & Availability Zone
- AWS는 전 세계 33개 리전 운영
- 각 리전은 여러 AZ로 구성
- AZ는 물리적으로 다른 위치에 있어 대규모 장애 시에도 서비스 지속 가능
2. VPC (Virtual Private Cloud)
- 리전 또는 계정 단위로 생성하는 가상 사설 네트워크
- IP 범위는 CIDR 방식으로 지정
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
- 계정당 리전별 최대 5개 VPC 생성 가능
3. Subnet
특정 리전의 AZ 내에서 가용영역 수준에서 생성되는 분할 네트워
- VPC를 AZ 단위로 쪼갠 네트워크 구역
- IP 범위는 VPC CIDR 내에서 지정, 겹치면 안 됨
- 서브넷마다 IP 5개는 예약되어 사용 불가
- 192.168.10.0 = Network 주소
- 192.168.10.1 = 라우터용
- 192.168.10.2 = DNS용
- 192.168.10.3 = 미래 예약
- 192.168.10.255 = Broadcast 주소
- Public subnet = 외부 인터넷 접근 가능
- Private subnet = 외부 인터넷 접근 불가
4. IGW(Internet Gateway)
- VPC가 인터넷과 통신하려면 반드시 IGW를 VPC에 연결해야 함
- Public subnet의 라우팅 테이블에 IGW 경로 추가 필요
- Private subnet은 IGW 경로 없음 → 인터넷 접근 불가
5. NAT Gateway
- Private subnet의 EC2는 기본적으로 인터넷 통신 불가
- 하지만 업데이트 등 외부로 나가는 요청이 필요할 때 NAT Gateway 사용
- NAT Gateway는 Public subnet에 위치
- Private EC2가 인터넷에 나갈 수는 있지만, 인터넷에서 Private EC2로 들어오는 건 불가능
- 인스턴스의 private ip는 비공개 - 보안 유지
Private subnet EC2 → NAT Gateway (Public subnet) → Internet Gateway → 인터넷
Network Security
1. Security Group
- 인스턴스/ENI 단위의 Stateful 방화벽
- Allow 규칙만 존재 → Deny 규칙 없음
- 기본 설정
- Inbound: 모든 트래픽 차단
- Outbount: 모든 트래픽 허용
- Stateful=Inbound 허용하면 Outbound 자동 허용
2. NACL
- 서브넷 단위의 Stateless 방화벽
- Allow+Deny 둘 다 설정 가능
- 규칙 번호 오름차순으로 평가, 첫 번째 매칭 규칙 적용
- Stateless=Inbound 허용해도 Outbound 별도 설정 필요
3. EIP / ENI
1️⃣EIP (Elastic IP)
2️⃣ENI (Elastic Network Interface)
4. AWS WAF
- HTTP(S) 요청 모니터링 + 방화벽 기능
- SQL Injection, XSS 공격 방어
- Web ACL 규칙으로 웹 요청 허용/차단
- 웹 애플리케이션 전용 방화벽
5. AWS Shield
- 네트워크 흐름 지속 모니터링
- 트래픽 시그니처+이상탐지 알고리즘으로 분석
- DDoS 공격 방어 전용 서비스
- 2가지 티어
- AWS Shield = 기본(무료)
- AWS Shield Advanced = 고급(유료, 더 강력한 보호)
Load Balancer
1. ELB
여러 EC2 인스턴스에 트래픽을 균등 분산 + 헬스체크 + TLS 종료
1️⃣ALB (Application Load Balancer)
- HTTP/HTTPS 지원
- Layer7(URL 경로 기반 분산)
2️⃣NLB (Network Load Balancer)
- TCP/UDP/SSL/TLS 지원
- Layer 4 (IP/포트 기반 분산)
2. VPC Peering
- VPC 간 1:1 연결 → CIDR 겹치면 안 됨
- 다른 리전/계정 간 Peering 가능하지만 VPC 많으면 비추천
- 비전이적(Non-transitive) - A↔B, B↔C 연결돼도 A↔C는 직접 연결 필요
3. AWS Direct Connect
- 온프레미스 ↔ AWS 전용 물리 회선 연결
- 통신사 또는 AWS 파트너 서비스를 통해 전용선 설치
- DX Location = AWS가 제공하는 전용선 거점
- VIF(Vitual Interface) 3종류:
- Public VIF = S3, DynamoDB 등 퍼블릭 서비스 연결
- Private VIF = VPC 연결
- Transit VIF = Transit Gateway 연결
4. AWS Transit Gateway
- 온프레미스 + VPC들을 중앙에서 한 번에 연결하는 허브
- 최대 5000개 VPC 동시 연결 가능
- VPC+VPN+Direct Connect 동시 연결 지원
- VPC Peering의 복잡한 1:1 연결 문제 해결
5. VPC Endpoint
EC2에서 AWS 네트워크를 벗어나지 않고 외부 AWS 서비스에 접근
1️⃣Gateway Endpoint (무료)
- S3, DynamoDB 전용
- 라우팅 테이블에 Gateway 추가
2️⃣Interface Endpoint (유료)
- S3, CloudWatch, SNS, Kinesis, KMS, ELB 등
- ENI + Private IP로 접근
6. VPN
- 온프레미스 ↔ AWS 간 가상 사설 회선
- Site-to-Site VPN = 거점 (사무실) 간 연결
- Client VPN = 특정 디바이스 임시 연결
- 인터넷 회선 사용 → 속도가 회선 상태에 따라 변동
- Direct Connect보다 저렴
- Direct Connect 장애 시 백업(이중화) 용도로 활용
DNS
1. Amazon Route53
- AWS의 DNS 서비스 + 리전 수준 장애 허용 + 헬스체크
1️⃣Simple Routing
- DNS 레코드 기반으로 단일 IP로 트래픽 라우팅
2️⃣Weighted Routing
- 지정한 가중치 비율로 트래픽 분산
3️⃣Geolocation Routing
- 사용자의 위치(국가/지역) 기반으로 라우팅
4️⃣Latency Based Routing
- 응답 속도가 가장 빠른 리전으로 라우팅
5️⃣Failover Routing
- Active-Passive 장애 복구 방식
6️⃣Multi-Value Answer Routing
- 여러 IP를 랜덤으로 반환해서 부하 분산
- 헬스체크 실패한 서버는 자동 제외
- ELB처럼 동작하지만 DNS 레벨에서 분산
Content Delivery
1. Amazon CloudFront
- AWS의 CDN 서비스 - 전 세계 400개 이상의 엣지 로케이션에서 캐싱
- 정적 리소스 제공에 최적화
- 보안: AWS Shield(DDoS) + WAF(인젝션 공격) 내장
- 지역 제한 가능 (특정 국가 접근 차단)
- 캐시 무효화 방법: TTL 만료, 헤더, 객체 이름 변경, 명시적 무효화
2. AWS Global Accelerator
- AWS 전용 고속 네트워크를 활용해 지연시간 감소
- 고정 IP 제공 → 글로벌 트래픽 관리 쉬움
'자격증 따기 > AWS-SAA C03' 카테고리의 다른 글
| [AWS SAA-C03] 3단원 Database (0) | 2026.03.26 |
|---|---|
| [AWS SAA-C03] 2단원 Storage (0) | 2026.03.25 |
| [AWS SAA-C03] 단원별 예제 풀이 (0) | 2026.03.24 |
| [AWS SAA-C03] 1단원 Compute & Container & Serverless (0) | 2026.03.24 |
| [AWS-SAA03 공부법] 알아야 할 서비스 (0) | 2026.03.24 |