AWS CCP 요점 정리 - 3장. 네트워킹

AWS Certified Cloud Practitioner 자격증 시험 핵심 요약 노트

 

※ 본 게시글은 "AWS Cloud Practitioner Essentials (Korean) (Na) (한국어 강의)"를 참고하여 작성하였음.
https://explore.skillbuilder.aws/learn/courses/13522/aws-cloud-practitioner-essentials-hangug-eo

Self-paced digital training on AWS - AWS Skill Builder

 

가. AWS와의 연결

1. Amazon Virtual Private Cloud (Amazon VPC)

- AWS 클라우드 내에서 격리된 네트워크 환경을 제공하는 서비스이다.

- 사용자는 자신만의 가상 네트워크를 정의하고, 네트워크 트래픽을 제어할 수 있다.

- 한 VPC 내에서 여러 서브넷으로 리소스를 구성할 수도 있다.

 

2. 인터넷 게이트웨이 (Internet Gateway)

- 인터넷의 퍼블릭 트래픽이 VPC에 액세스 하도록 허용하려면 인터넷 게이트웨이를 VPC에 연결해야 한다.
- 인터넷 게이트웨이가 없으면 아무도 VPC 내의 리소스에 액세스 할 수 없다.

 

3. 가상 프라이빗 게이트웨이 (Virtual Private Gateway)

- VPC와 프라이빗 네트워크 간에 가상 프라이빗 네트워크(VPN) 연결을 설정할 수 있다.
- 승인된 네트워크에서 나오는 트래픽만 VPC로 들어가도록 허용한다.

 

4. AWS Direct Connect

- 데이터 센터와 VPC 간에 비공개 전용 연결을 설정하는 서비스이다.

- 네트워크 비용을 절감하고 네트워크를 통과할 수 있는 대역폭을 늘리는데 도움이 된다.

 

나. 서브넷 및 네트워크 액세스 제어 목록

1. 서브넷 (Subnet)

- 보안 또는 운영 요구 사항에 따라 리소스를 그룹화할 수 있는 VPC 내의 한 섹션으로, 퍼블릭이거나 프라이빗일 수 있다.

- VPC 내에서 서브넷은 서로 통신할 수 있으므로, 퍼블릭 서브넷과 프라이빗 서브넷끼리 통신할 수 있다.

*예시 : 퍼블릭 서브넷에 있는 Amazon EC2 인스턴스가 프라이빗 서브넷에 있는 데이터베이스와 통신할 수 있다.

 

2. 네트워크 ACL (Network Access Control List)

- 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽이다.

- 패킷이 서브넷으로 들어가거나 나갈 때 ACL을 이용해 접근 권한을 확인하고 제어할 수 있다.

- VPC 구성 시 *계정의 기본 네트워크 ACL을 사용하거나, *사용자 지정 네트워크 ACL을 생성할 수 있다.

*계정의 기본 네트워크 ACL : 기본적으로 모든 인바운드 및 아웃바운드 트래픽을 허용하지만, 사용자가 직접 규칙을 추가하여 수정할 수 있다.
*사용자 지정 네트워크 ACL : 기본적으로 모든 트래픽을 거부하며, 허용할 트래픽을 지정하는 규칙을 추가해야 한다.
*모든 네트워크 ACL에는 명시적 거부 규칙이 포함되어 있어, ACL의 어떤 규칙과도 일치하지 않는 패킷은 자동으로 거부된다.

 

3. 스테이트리스 패킷 필터링 (Stateless Packet Filtering)

- 네트워크 ACL은 스테이트리스 패킷 필터링을 수행한다.
- 각 패킷을 개별적으로 검사하여 허용 또는 거부하는 방식으로 동작하며, 패킷의 이전 상태(연결 정보)를 기억하지 않는다.

- 특정 요청이 허용되었더라도, 그에 대한 응답 패킷은 따로 검사를 받아야 한다.

 

4. 보안 그룹

- Amazon EC2 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽이다.
- 기본적으로 보안 그룹은 모든 인바운드 트래픽을 거부하고 모든 아웃바운드 트래픽을 허용한다.

 

5. 스테이트풀 패킷 필터링 (Stateful Packet Filtering)

- 보안 그룹은 스테이트풀 패킷 필터링을 수행한다.

- 패킷의 연결 상태를 추적하여 허용 또는 차단하는 방식으로, 패킷의 이전 상태(연결 정보)를 기억한다.

- 특정 요청이 허용되면, 그에 대한 응답 패킷도 자동으로 허용된다.

 

6. VPC의 네트워크 트래픽 제어

- 네트워크 ACL과 보안 그룹을 모두 사용하면 VPC에서 트래픽에 대한 사용자 지정 규칙을 구성할 수 있다.

 

다. 글로벌 네트워킹

1. Amazon Route 53

- AWS에서 제공하는 확장 가능하고, 고가용성 및 관리형 DNS(Domain Name System) 웹 서비스이다.
- 도메인 등록, DNS 이름 해석, 트래픽 라우팅 및 상태 검사 기능을 제공한다.

 

라. 연습 문제

1. 다음 중 AWS 계정의 기본 네트워크 액세스 제어 목록을 가장 잘 설명한 것은 무엇입니까?

1) 기본 네트워크 액세스 제어 목록은 스테이트리스이며 모든 인바운드 및 아웃바운드 트래픽을 거부합니다.
2) 기본 네트워크 액세스 제어 목록은 스테이트풀이며 모든 인바운드 및 아웃바운드 트래픽을 허용합니다.
3) 기본 네트워크 액세스 제어 목록은 스테이트리스이며 모든 인바운드 및 아웃바운드 트래픽을 허용합니다.
4) 기본 네트워크 액세스 제어 목록은 스테이트풀이며 모든 인바운드 및 아웃바운드 트래픽을 거부합니다.

 

정답 : 3

 

2. 다음 중 DNS 확인을 가장 잘 설명한 것은 무엇입니까?

1) 사용자가 정의한 가상 네트워크에서 리소스를 시작
2) 전 세계 엣지 로케이션에 콘텐츠의 로컬 복사본을 저장
3) VPC를 인터넷에 연결
4) 도메인 이름을 IP 주소로 변환

 

정답 : 4

 

3. 회사에 Amazon EC2 인스턴스를 사용하여 고객 대상 웹 사이트를 실행하고 Amazon RDS 데이터베이스 인스턴스를 사용하여 고객의 개인 정보를 저장하는 애플리케이션이 있습니다. 모범 사례에 따르면 개발자는 VPC를 어떻게 구성해야 합니까?

1) Amazon EC2 인스턴스를 프라이빗 서브넷에 배치하고 Amazon RDS 데이터베이스 인스턴스를 퍼블릭 서브넷에 배치합니다.
2) Amazon EC2 인스턴스를 퍼블릭 서브넷에 배치하고 Amazon RDS 데이터베이스 인스턴스를 프라이빗 서브넷에 배치합니다.
3) Amazon EC2 인스턴스와 Amazon RDS 데이터베이스 인스턴스를 퍼블릭 서브넷에 배치합니다.
4) Amazon EC2 인스턴스와 Amazon RDS 데이터베이스 인스턴스를 프라이빗 서브넷에 배치한다.

 

정답 : 2

 

4. 다음 중 회사의 데이터 센터와 AWS 간에 비공개 전용 연결을 설정하는 데 사용할 수 있는 구성 요소는 무엇입니까?

1) 프라이빗 서브넷
2) DNS
3) AWS Direct Connect
4) 가상 프라이빗 게이트웨이

 

정답 : 3

 

5. 다음 중 보안 그룹을 가장 잘 설명한 것은 무엇입니까?

1) 보안 그룹은 스테이트풀이며 기본적으로 모든 인바운드 트래픽을 거부합니다.
2) 보안 그룹은 스테이트풀이며 기본적으로 모든 인바운드 트래픽을 허용합니다.
3) 보안 그룹은 스테이트리스이며 기본적으로 모든 인바운드 트래픽을 거부합니다.
4) 보안 그룹은 스테이트리스이며 기본적으로 모든 인바운드 트래픽을 허용합니다.

 

정답 : 1

 

6. 다음 중 VPC를 인터넷에 연결하는 데 사용되는 구성 요소는 무엇입니까?

1) 퍼블릭 서브넷
2) 엣지 로케이션
3) 보안 그룹
4) 인터넷 게이트웨이

 

정답 : 4

 

7. 다음 중 도메인 이름의 DNS 레코드를 관리하는 데 사용되는 서비스는 무엇입니까?

1) Amazon Virtual Private Cloud
2) AWS Direct Connect
3) Amazon CloudFront
4) Amazon Route 53

 

정답 : 4