2. 본 세션의 주요 주제
• VPC의 구축 및 디자인 기본 사항 - IP 주소, 서브넷, 라우팅, 보안,
NAT 등
• VPN 또는 AWS Direct Connect를 사용하여 VPC를 물리적
데이터 센터에 연결하기 위한 다양한 접근 방법
• VPC Endpoint 및 VPC Flow logs 분석 등 최신 업데이트
12. Routing in your VPC
• Route table 은 패킷이 이동하는 규칙을 포함
• VPC 에 기본 route table이 존재
• 서브넷은 기본 route table에 자동 할당
• 하지만 서브넷에 다른 route table 을 할당할 수 있음
• Routes는 destination CIDR 및 target
• Target 은 ENI, Gateway, Instance
28. VPC peering 사용 예: 공유 서비스 VPC
• 공통/핵심 서비스
• 인증/디렉토리
• 모니터링
• 로깅
• 원격 관리
• 스캐닝
29. Security groups across peered VPCs
VPC Peering
172.31.0.0/16 10.55.0.0/16
Orange Security Group Blue Security Group
ALLOW
30. Establish a VPC peering: 요청 시작
172.31.0.0/16 10.55.0.0/16
Step 1
피어링 요청 시작
31. Establish a VPC peering: 요청 수락
172.31.0.0/16 10.55.0.0/16
Step 1
피어링 요청 시작
Step 2
피어링 요청 수락
32. Establish a VPC peering: 경로 생성
172.31.0.0/16 10.55.0.0/16Step 1
피어링 요청 시작
Step 2
피어링 요청 수락
Step 3
경로 생성
해석: 피어링 된 VPC로 향하는 트래픽은
피어링 연결로…
33. 체크 포인트: VPC Peering
• 중첩되는 IPv4 또는 IPv6 CIDR 블록이 있는 VPC 간에는
VCP 피어링 연결을 생성할 수 없음
• 서로 다른 지역에 있는 VPC 간에는 VCP 피어링 연결을
만들 수 없음
• transitive peering 지원하지 않음
46. VPC Endpoints for Amazon DynamoDB
• 2017년 4월 19일 (공개 프리뷰)
• 지역
• Asia Pacific (Seoul)
• Asia Pacific (Singapore)
• Asia Pacific (Sydney)
• Asia Pacific (Tokyo)
• EU (Frankfurt)
• South America (Sao Paulo)
• US East (Ohio)
• US West (N. California)
47. VPC Endpoint활용 DynamoDB 사설 네트워크 구성
Blog - https://aws.amazon.com/ko/blogs/database/how-to-configure-a-private-network-environment-for-amazon-dynamodb-using-vpc-endpoints/
49. VPC Flow Logs
§ Security Groups 규칙의
영향에 대한 가시성
§ 네트워크 연결 문제 해결
§ 트래픽 분석 가능
50. VPC Flow Logs: 구성
VPC traffic metadata captured
in CloudWatch Logs
51. VPC Flow Logs: 구성
• 대상 : VPC, 서브넷 또는 네트워크 인터페이스. VPC 또는 서브넷
선택 시 VPC 또는 서브넷에 속하는 모든 인터페이스 모니터링
• 조건 : 허용된(accepted) 트래픽, 거부된(rejected) 트래픽 또는
모든(all) 트래픽
• 로그 레코드 : version, account-id, interface-id, srcaddr,
dstaddr, srcport, dstport, protocol, packets, bytes, start,
end, action, log-status
52. VPC Flow Logs data in CloudWatch Logs
Who’s this?
# dig +short -x 109.236.86.32
internetpolice.co.
REJECT
UDP Port 53 = DNS
53. VPC Flow Logs 분석 서버리스 아키텍처
Blog - https://aws.amazon.com/blogs/big-data/analyzing-vpc-flow-logs-with-amazon-kinesis-firehose-amazon-athena-
and-amazon-quicksight/
54. Athena 에서 외부 테이블 생성
CREATE EXTERNAL TABLE IF NOT EXISTS vpc_flow_logs (
Version INT,
Account STRING,
InterfaceId STRING,
SourceAddress STRING,
DestinationAddress STRING,
SourcePort INT,
DestinationPort INT,
Protocol INT,
Packets INT,
Bytes INT,
StartTime INT,
EndTime INT,
Action STRING,
LogStatus STRING )
ROW FORMAT SERDE 'org.apache.hadoop.hive.serde2.RegexSerDe'
WITH SERDEPROPERTIES (
"input.regex" = "^([^ ]+)s+([0-
9]+)s+([^ ]+)s+([^ ]+)s+([^ ]+)s+([^ ]+)s+([^ ]+)s+([^ ]+)s+([^ ]+)s+([^ ]+)s+([0-
9]+)s+([0-9]+)s+([^ ]+)s+([^ ]+)$")
LOCATION 's3://<bucket_and_prefix>/';
55. Athena 에서 데이터 쿼리
SELECT sourceaddress, count(*) cnt
FROM vpc_flow_logs
WHERE action = 'REJECT'
GROUP BY sourceaddress
ORDER BY cnt desc
LIMIT 25;
56. 질문에 대한 답변 드립니다.
발표자료/녹화영상 제공합니다.
http://bit.ly/awskr-webinar
더 나은 세미나를 위해
여러분의 의견을 남겨 주세요!