클라우드 네트워킹 개요
클라우드 환경에서의 네트워크 설계는 온프레미스와 다른 개념과 구성 요소를 포함합니다. 네트워크관리사 시험에서 클라우드 네트워킹 비중이 증가하고 있습니다.
VPC (Virtual Private Cloud)
클라우드 내에 격리된 가상 네트워크 환경입니다.
VPC 구성 요소
- 서브넷(Subnet): VPC를 더 작은 IP 범위로 분리. 퍼블릭/프라이빗 서브넷
- 인터넷 게이트웨이(IGW): 퍼블릭 서브넷에서 인터넷 연결 허용
- NAT 게이트웨이: 프라이빗 서브넷에서 인터넷 아웃바운드만 허용
- 라우팅 테이블: 서브넷의 트래픽 경로 정의
- 보안 그룹(Security Group): 인스턴스 레벨 스테이트풀 방화벽
- 네트워크 ACL(NACL): 서브넷 레벨 스테이트리스 방화벽
보안 그룹 vs NACL
- 보안 그룹: 인스턴스 레벨, 허용 규칙만, 스테이트풀(반환 트래픽 자동 허용)
- NACL: 서브넷 레벨, 허용+거부 규칙, 스테이트리스(인바운드·아웃바운드 별도 설정)
VPC Peering과 Transit Gateway
- VPC Peering: 두 VPC를 1:1로 연결. 중간 호핑 불가 (A-B, B-C 피어링 있어도 A-C 통신 불가)
- Transit Gateway: 다수 VPC와 온프레미스를 중앙 허브로 연결. 풀메시 대체. 스케일 우수
전용 연결 서비스
AWS Direct Connect
- 기업 데이터센터와 AWS를 전용 물리 회선으로 연결
- 인터넷 우회, 안정적인 대역폭, 낮은 지연, 보안 강화
- 1Gbps, 10Gbps 포트 제공
Azure ExpressRoute
- Azure와의 전용 회선 연결. Direct Connect와 유사
Google Cloud Interconnect
- Dedicated Interconnect: 전용 물리 회선
- Partner Interconnect: 파트너 통해 연결
하이브리드 클라우드 연결
- VPN over Internet: IPSec VPN으로 온프레미스와 클라우드 연결. 비용 저렴, 인터넷 품질 의존
- 전용선 연결: Direct Connect/ExpressRoute로 안정적 고속 연결. 비용 높음
- SD-WAN: 여러 WAN 링크를 소프트웨어로 통합 관리
클라우드 네트워크 보안
- 웹 애플리케이션 방화벽(WAF): L7 HTTP 공격 차단 (XSS, SQLi 등)
- 클라우드 DDoS 방어: AWS Shield, Azure DDoS Protection
- Private Endpoint: 서비스를 프라이빗 IP로 접근하여 인터넷 노출 차단
시험 핵심 포인트
- VPC 퍼블릭 서브넷: IGW 연결 / 프라이빗 서브넷: NAT GW를 통해 아웃바운드만
- 보안 그룹(스테이트풀) vs NACL(스테이트리스)
- VPC Peering: 1:1, 전이적 피어링 불가
- Direct Connect: 전용 물리 회선, 인터넷 미사용
- Transit Gateway: 다수 VPC 허브-스포크 연결
마무리
클라우드 네트워킹은 온프레미스 개념을 클라우드 용어로 매핑하여 이해하면 학습이 빠릅니다. 보안 그룹과 NACL의 차이, VPC 피어링과 Transit Gateway의 사용 케이스를 정리해두세요.