CLF-C02(AWS Certified Cloud Practitioner) 자격증 준비 #4

AWS Cloud Practitioner Essentials (Korea) (Na) (한국어 강의)

출처 : https://explore.skillbuilder.aws/learn/course/13522/AWS%2520Cloud%2520Practitioner%2520Essentials%2520%28Korean%29%2520%28Na%29%2520%28%25ED%2595%259C%25EA%25B5%25AD%25EC%2596%25B4%2520%25EA%25B0%2595%25EC%259D%2598%29

 

[과정 개요]

  - AWS 클라우드 개념, AWS 서비스, 보안, 아키텍처, 요금 및 지원에 대한 AWS 클라우드 지식 구축

 

[모듈 4 : 네트워킹]

▶ 학습 목표

  - 네트워킹의 기본 개념을 설명할 수 있습니다.

  - 퍼블릭 네트워킹 리소스와 프라이빗 네트워킹 리소스의 차이점을 설명할 수 있습니다.

  - 실제 시나리오를 사용하여 가상 프라이빗 게이트웨이를 설명할 수 있습니다.

  - 실제 시나리오를 사용하여 Virtual Private Network(VPN)를 설명할 수 있습니다.

  - AWS Direct Connect의 이점을 설명할 수 있습니다.

  - 하이브리드 배포의 이점을 설명할 수 있습니다.

  - IT 전략에서 사용되는 보안 계층을 설명할 수 있습니다.

  - 고객이 AWS 글로벌 네트워크와 상호 작용하기 위해 사용되는 서비스를 설명할 수 있습니다.

 

▶ Amazon Virtual Private Cloud ( Amazon VPC ) 

  - AWS 리소스에 경계를 설정하는 데 사용할 수 있는 네트워킹 서비스

  - AWS 클라우드의 격리된 세션을 프로비저닝 할 수 있으며, 사용자가 정의한 가상 네트워크에서 리소스 시작 가능

  - 한 VPC 내에서 여러 서브넷으로 리소스를 구성할 수 있으며, 서브넷은 리소스를 포함할 수 있는 VPC 섹션입니다.

 

▶ 인터넷 게이트웨이 ( IG )

  - 퍼블릭 트래픽이 VPC에 액세스 하도록 허용할 때 VPC와 연결하여 사용되는 리소스

  - VPC와 인터넷 간의 연결로 인터넷 게이트웨이가 없으면 VPC 내의 리소스에 액세스 할 수 없습니다.

기본적인 인터넷 게이트웨이 아키텍처

 

▶ 가상 프라이빗 게이트웨이 ( VGW )

  - VPC 내의 프라이빗 리소스에 액세스 하려면 필요한 리소스

  - 보호된 인터넷 트래픽이 VPC로 들어오도록 허용하는 구성 요소

  - VPC와 프라이빗 네트워크(온프레미스 IDC 또는 회사) 간에 가상 프라이빗 네트워크 연결을 설정할 수 있습니다.

  - 승인된 네트워크에서 나오는 트래픽만 VPC로 들어가도록 허용합니다.

기본적인 가상 프라이빗 게이트웨이 아키텍처

 

▶ AWS Direct Connect

  - 데이터 센터와 VPC 간에 비공개 전용 연결을 설정하는 서비스

  - 회사 IDC는 네트워크 트래픽을 Direct Connect 로케이션으로 라우팅 하고, VGW를 통해 VPC로 라우팅 됩니다.

    ※ 회사 IDC와 VPC 사이의 모든 네트워크 트래픽은 이 비공개 전용 연결을 통해 전송

  - Direct Connect 제공하는 프라이빗 연결은 네트워크 비용 절감 및 대역폭을 늘리는데 도움이 됩니다.

기본적인 AWS Direct Connect 아키텍처

 

▶ 서브넷

  - 보안 또는 운영 요구 사항에 따라 리소스를 그룹화할 수 있는 VPC 내의 한 섹션입니다. (퍼블릭 or 프라이빗)

    ① 퍼블릭 서브넷 : 온라인 상점의 웹 사이트와 같이 누구나 액세스가 필요한 리소스가 포함

    ② 프라이빗 서브넷 : 고객 정보가 포함된 DB 등 프라이빗 네트워크를 통해서만 액세스 할 수 있는 리소스 포함

      → VPC 내에서 서브넷은 서로 통신할 수 있습니다.

 

▶ VPC의 네트워크 트래픽

  - 고객이 AWS 클라우드에 호스팅 되는 어플리케이션에 데이터 요청 시 이 요청은 패킷으로 전송됩니다.

    ※ 패킷 : 인터넷이나 네트워크를 통해 전송되는 데이터의 단위

  - 패킷은 IG를 통해 VPC로 들어가며, 서브넷으로 들어가거나 나오려면 권한을 확인해야 합니다.

  - 이러한 사용 권한은 패킷을 보낸 사람과 패킷이 서브넷의 리소스와 통신하려면 방법을 나타냅니다.

 

▶ 네트워크 ACL

  - 서브넷 수준에서 인/아웃바운트 트래픽을 제어하는 가상 방화벽

  - 각 AWS 계정에는 기본 네트워크 ACL이 포함되며, VPC 구성 시 기본 ACL 또는 사용자 지정 ACL을 생성할 수 있습니다.

  - 기본 네트워크 ACL은 기본적으로 모든 인/아웃바운드 트래픽을 허용하고, 사용자가 자체 규칙을 추가 수정할 수 있습니다.

  - 사용자 지정 네트워크 ACL은 기본적으로 모든 인/아웃바운트 트래픽을 거부하고, 사용자가 허용 규칙을 추가해야 합니다.

    → 모든 네트워크 ACL에는 명시적 거부 규칙이 있고, 패킷이 목록의 다른 모든 규칙과 일치하지 않으면 패킷이 거부됩니다.

 

▶ 스테이트리스 패킷 필터링

  - 네트워크 ACL은 패킷을 캐시 하지 않고, 인/아웃바운드로 서브넷 경계를 통과하는 패킷을 확인합니다.

  - 패킷 응답이 서브넷으로 반환될 때 ACL은 이전 요청을 캐시하지 않고, 규칙 목록에 따라 허용/거부 여부를 결정합니다.

  - 패킷이 서브넷에 들어간 후 서브넷 내의 리소스에 대한 권한이 평가되어야 합니다. ( 보안 그룹 )

 

▶ 보안 그룹

  - Amazon EC2 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽

  - 기본적으로 모든 인바운드 트래픽을 거부하고 모든 아웃바운드 트래픽을 허용합니다. ( 사용자 지정 규칙 추가 가능 )

  - 동일한 VPC 내 여러 Amazon EC2 인스턴스의 경우 동일 또는 각각의 보안 그룹을 사용할 수 있습니다.

 

▶ 스테이트풀 패킷 필터링

  - 보안 그룹은 들어오는 패킷에 대한 이전 결정을 기억합니다.

  - (아웃바운드 보안 그룹 규칙 허용 상태) 인터넷 요청 전송 후 반환 시 인바운드 보안 그룹 규칙과 관계없이 허용됩니다.

  - 네트워크 ACL과 보안 그룹을 모두 사용하면 VPC에서 트래픽에 대한 사용자 지정 규칙을 구성할 수 있습니다.

 

▶ VPC 구성 요소 정리

  - 프라이빗 서브넷 : 고객의 개인 정보가 포함된 데이터베이스를 격리 ( 데이터베이스 외 EC2 등 다양한 리소스 포함 )

  - 퍼블릭 서브넷  : 고객 대상 웹 사이트를 지원

  - 가상 프라이빗 게이트웨이  : VPC와 사내 네트워크 간 VPC 연결 생성

  - AWS Direct Connect  : 온프레미스 데이터 센터와 VPC 간에 전용 연결 설명

 

▶ 네트워크 액세스 제어 목록 관련 지식 확인

  - 다음 중 AWS 계정의 기본 네트워크 액세스 제어 목록을 가장 잘 설명한 것은 무엇입니까?

    1. 기본 네트워크 액세스 제어 목록은 스테이트리스이며 모든 인바운드 및 아웃바운드 트래픽을 거부합니다.

    2. 기본 네트워크 액세스 제어 목록은 스테이트풀이며 모든 인바운드 및 아웃바운드 트래픽을 허용합니다.

    3. 기본 네트워크 액세스 제어 목록은 스테이트리스이며 모든 인바운드 및 아웃바운드 트래픽을 허용합니다.

    4. 기본 네트워크 액세스 제어 목록은 스테이트풀이며 모든 인바운드 및 아웃바운드 트래픽을 거부합니다.

 

▶ 도메인 이름 시스템 (DNS)

  - 특정 웹 사이트에 대해 고객이 도메인을 호출할 때 액세스 가능하도록 확인해 주는 서비스(시스템)

DNS를 통한 도메인 확인 프로세스

 

▶ Amazon Route 53

  - DNS 웹 서비스, 개발자/기업이 사용자를 AWS에서 호스팅 되는 인터넷 어플리케이션으로 라우팅 할 수 있는 신뢰 방법 제공

  - 사용자 요청을 AWS에서 실행되는 인프라(EC2, LB)에 연결하고, 사용자를 AWS 외부의 인프라로 라우팅 할 수 있습니다.

  - 도메인 이름의 DNS 레코드를 관리하는 기능도 있으며, 직접 새 도메인 이름을 등록할 수 있습니다.

  - 타 도메인 등록 대행자가 관리하는 기존 도메인명의 DNS 레코드 전송이 가능하여 단일 위치에서 모든 도메인명 관리 가능

 

▶ 글로벌 네트워킹 관련 지식 확인  

  - 다음 중 DNS 확인을 가장 잘 설명한 것은 무엇입니까?

    1. 사용자가 정의한 가상 네트워크에서 리소스를 시작

    2. 전 세계 엣지 로케이션에 콘텐츠의 로컬 복사본을 저장

    3. VPC를 인터넷에 연결

    4. 도메인 이름을 IP 주소로 변환

 

▶ 모듈 정리 문제

  - 회사에 Amazon EC2 인스턴스를 사용하여 고객 대상 웹 사이트를 실행하고 Amazon RDS 데이터베이스 인스턴스를

    사용하여 고객의 개인 정보를 저장하는 어플리케이션이 있습니다.

    모범 사례에 따르면 개발자는 VPC를 어떻게 구성해야 합니까?

    1. Amazon EC2 인스턴스는 프라이빗 서브넷에 배치, Amazon RDS 데이터베이스 인스턴스를 퍼블릭 서브넷에 배치

    2. Amazon EC2 인스턴스는 퍼블릭 서브넷에 배치, Amazon RDS 데이터베이스 인스턴스를 프라이빗 서브넷에 배치

    3. Amazon EC2 인스턴스와 Amazon RDS 데이터베이스 인스턴스를 퍼블릭 서브넷에 배치합니다.

    4. Amazon EC2 인스턴스와 Amazon RDS 데이터베이스 인스턴스를 프라이빗 서브넷에 배치합니다.

 

  - 다음 중 회사의 데이터 센터와 AWS 간의 비공개 전용 연결을 설정하는 데 사용할 수 있는 구성 요소는 무엇입니까?

    1. 프라이빗 서브넷    2. DNS    3. AWS Direct Connect    4. 가상 프라이빗 게이트웨이

 

  - 다음 중 보안 그룹을 가장 잘 설명한 것은 무엇입니까?

    1. 보안 그룹은 스테이트풀이며 기본적으로 모든 인바운드 트래픽을 거부합니다.

    2. 보안 그룹은 스테이트풀이며 기본적으로 모든 인바운드 트래픽을 허용합니다.

    3. 보안 그룹은 스테이트리스이며 기본적으로 모든 인바운드 트래픽을 거부합니다.

    4. 보안 그룹은 스테이트리스이며 기본적으로 모든 인바운드 트래픽을 허용합니다.

 

  - 다음 중 VPC를 인터넷에 연결하는 데 사용되는 구성 요소는 무엇입니까?

    1. 퍼블릭 서브넷    2. 엣지 로케이션    3. 보안 그룹    4. 인터넷 게이트웨이

 

  - 다음 중 도메인 이름의 DNS 레코드를 관리하는 데 사용되는 서비스는 무엇입니까?

    1. Amazon Virtual Private Cloud

    2. AWS Direct Connect

    3. Amazon CloudFront

    4. Amazon Route 53