Category: Virtual Private Cloud


AWS 신규 NAT 게이트웨이 서비스 출시!

Amazon Virtual Private Cloud을 통해 AWS 클라우드 내에서 논리적으로 고립된 사설 네트워크를 구성할 수 있습니다. VPC내에서 원하는 사설 IP 대역대, 서브넷 생성, 라이팅 테이블 설정 등을 할 수 있습니다. 가상 사설 게이트웨이를 통해 VPC에 연결할 수도 있습니다. 또한, 기존 데이터 센터에서 하드웨어 가상 사설 네트워크(VPN)을 이용하여 연결도 가능합니다.

VPC 사설 서브넷에 있는 EC2 인스턴스에서 인터넷을 연결하려고 할 때는 어려운점이 있습니다. 서브넷이 사설망이기 때문에 인스턴스에 할당된 IP 주소는 공개될 수 없기 때문에 네트워크 주소변환(Network Address Translation, NAT)이라는 기법을 사용하게 됩니다. 이를 통해 사설 IP 주소를 공개 주소로 변환함으로서 외부와의 통신이 가능하게 됩니다.

신규 NAT 게이트웨이 관리 서비스 출시
주소 변환을 하는데 확장성은 도전적인 문제입니다. 이를 간단하게 해결하고, 여러분이 좀 더 비지니스에 집중하실 수 있도록 AWS를 위한 신규 NAT 게이트웨이 관리 서비스를 출시합니다!

NAT를 제공하기 위해 자체 EC2 인스턴스 클러스터에 설정, 모니터링 및 확장(고 가용성을 위해 적어도 2대는 있어야 함)을 고려하고 운영 하는 대신, 몇 번의 클릭 만으로 게이트웨이를 설정할 수 있습니다.

게이트웨이는 고가용성을 제공하며, 각 게이트웨이는 10Gbps의 TCP, UDP 및 ICMP 트래픽 역시 제어 가능하며, 아마존에서 관리하게 됩니다. 여러분은 Elastic IP 주소를 할당 받아 공개 IP 주소를 게이트웨이에 설정만 하면 됩니다.

NAT 게이트웨이 설정하기
이제 NAT 게이트웨이를 한번 설정해 보겠습니다. 먼저 VPC 관리 콘솔에서 왼쪽 네비게이선 메뉴에서 NAT Gateways를 선택합니다.

Create NAT Gateway를 클릭하고, 서브넷 하나를 선택합니다.

기존 할당 받은 Elastic IP 주소를 선택하거나 새로 추가합니다.

Create a NAT Gateway를 선택합니다.

확인 사항을 보시다시피, 원하는 트래픽을 인터넷 게이트웨어로 보내기 위해 VPC의 라우팅 테이블을 수정해야 합니다. 게이트웨이의 내부(사설) IP 주소는 자동으로 선택되고, 게이트웨이 서브넷 안에 위치합니다. 아래는 샘플 라이팅 테이블입니다.

설정은 모두 완료되었습니다. 확장을 위한 사이즈 설정이나 게이트웨이 자체 관리는 더 이상 필요 없습니다.
And that’s all you need to do. You don’t need to size, scale, or manage the gateway.

VPC Flow Logs – 네트워크 트래픽 수집 및 활용 기능을 활용하여 게이트웨이 상의 트래픽을 수집하여, 이를 통해 패킷, 바이트 및 프로토콜 등의 CloudWatch 수집 통계를 만들어 로그를 남길 수 있습니다. 아래와 같은 수집 패턴을 필터링할 수 있습니다. (ENI_ID 및 NGW_IP 실제 값)

[version, account_id, interface_id=ENI_ID, src_addr, dst_addr=NGW_IP, src_port, dst_port, protocol, packets, bytes, start, end, action, log_status]

결과 그래프는 아래와 같이 표시할 수 잇습니다.

VPC 생성 마법사를 통해 신규로 VPC를 생성할 경우, NAT 게이트웨이를 만들고 라우팅 테이블도 함께 만들어 주기 때문에 더 손쉽게 만들 수 있습니다.

더 자세한 사항은 VPC 사용자 가이드VPC NAT Gateway 문서를 참고하시기 바랍니다.

서비스 요금 및 제공 범위
오늘 부터 US East (Northern Virginia), US West (Oregon), US West (Northern California), Europe (Ireland), Asia Pacific (Singapore), Asia Pacific (Sydney)Asia Pacific (Tokyo) 리전에서 사용가능합니다.

서비스 요금은 NAT 게이트웨이 사용 시간 당 $0.045이며, 데이터 처리 및 전송 비용은 별도입니다. 데이터 처리 비용은 NAT 게이트웨이를 통과하는 양에 따라 달라지며, 데이터 전송 비용은 EC2 인스턴스와 인터넷 망 사이의 요금입니다. 더 자세한 것은 VPC 요금표를 참고하시기 바랍니다.

Jeff;

EC2 VPC VPN 신규 기능 – NAT 탐색, 암호화 옵션 추가 등

Amazon Virtual Private Cloud(VPC)를 사용하면 논리적으로 분리된 네트워크 영역을 AWS 클라우드에 만들 수 있습니다. VPC에서 원하는 IP 주소 범위를 결정하여, 서브넷을 만들고 라우팅 테이블을 설정합니다. 또한, 사내에서 하드웨어 VPN 어플라이언스에 연결하도록 네트워크 게이트웨이를 만들 수 있습니다.

AWS 클라우드에서 동작하는 가상 프라이빗 네트워크(VPN)는 VPN 게이트웨이 또는 VGW로서 고객 데이터 센터 네트워크에 있는 고객 게이트웨이(CGW)와 연결할 수 있습니다. 오늘 이러한 VPN 서비스에 몇 가지 새로운 기능을 추가했습니다.

  • NAT 탐색 지원
  • 암호화 옵션 추가
  • CGW IP 주소 재사용

이 세 가지의 새로운 기능을 활성화하기 위해서는 새로 VGW를 만들고 필요한 매개 변수와 함께 새로운 VPN 터널을 만들어야 합니다.

NAT 탐색 지원
네트워크 주소 변환 (NAT)은 특정 IP 주소 범위를 다른 IP 주소 범위로 변환하는 변환맵(Map)을 가집니다. VPC를 만들고 원하는 IP 대역대를 설정했을 때 여러 서브넷으로 만들어지고, 여러분의 EC2 인스턴스는 VPC내에 서브넷 중 하나에 연결됩니다. 이제 이를 VGW에 연결하려면 NAT 탐색 혹은 NAT-T를 사용 해야합니다. NAT-T는 사내 네트워크를 NAT 장치 뒤에 숨기면서, VPC에 연결할 수 있도록 합니다.

이러한 매핑은 VPN 연결이 만들어 질 때 자동으로 이루어집니다. AWS 관리 콘솔로 설정할 필요가 없으며, NAT 장치 탐색 기능을 사용하고 UDP 포트 4500 번을 사용할 수 있도록 방화벽(Firewall)을 설정하면 됩니다.

암호화 옵션 추가
여러 가지 암호화 옵션을 사용할 수 있습니다. VPC에 있는 하드웨어 VPN은 기존 데이터 센터 네트워크와 VPN에 연결되면, 여러 가지 다른 강도의 암호화 옵션을 제공합니다. 이제는 AES256을 기존의 AES128를 대체하여 사용하도록 권장됩니다. 새로운 암호 옵션을 사용한다면 전달 받는 측의 장치에서 AES128을 받지 않게 설정 해야합니다.

두 엔드포인트 사이에서는 Diffie-Hellman 키 공유 프로토콜에 의해 중요한 정보를 공유합니다. DH 그룹은 키의 해시 강도 결정과 공유에 사용됩니다. 이제는 몇 개의 그룹에서 선택할 수 있습니다.

  • Phase 1에서는 DH 그룹 2, 14-18, 22, 23 및 24.
    <liPhase 2에서는 DH 그룹 1, 2, 5, 14-18, 22, 23 및 24.

VPN에 연결 된 패킷은 해시 알고리즘을 사용하여 검증합니다. 해시가 일치하는 경우, 패킷이 도중에 변경되지 않았음을 나타냅니다. 이제 256 비트 다이제스트(SHA-256)를 사용한 SHA-2를 사용할 수 있습니다. 강도가 약한 알고리즘을 사용하지 않도록 장치를 설정하여 주어야 합니다.

CGW IP 주소 재사용성
이제는 CGW을 만들 때마다 IP 주소가 고유할 필요는 없습니다. 즉, 사용하는 IP 주소를 재사용 할 수 있다는 것입니다. VPC를 사용하고 있는 사용자로부터 많은 요구가 있었던 기능입니다.

자세한 내용은 FAQVPC 네트워크 관리자 가이드를 참조하십시오.

Jeff;

이 글은 EC2 VPC VPN Update – NAT Traversal, Additional Encryption Options, and More의 한국어 번역입니다.

VPC Flow Logs – 네트워크 트래픽 수집 및 활용 기능

많은 기업에서 네트워크 연결 중 문제 해결 및 보안 문제 및 네트웍 상 접근 규칙이 예상대로 작동하는지 확인하기 위해 네트워크 플로우 로그의 수집, 저장 및 분석을 하고 있습니다.

지금까지 AWS 고객은 주로 Amazon Elastic Compute Cloud (EC2)에 직접 에이전트를 설치하여 데이터를 수집하고 있었고, 각 인스턴스에 오버 헤드의 부하를 줄 뿐만 아니라 매번 인스턴스마다 제한적으로만 보기(View)가 가능했습니다.

VPC Flow Logs 소개

네트워크 모니터링에서 로그 수집 기능을 향상을 위해 Amazon Virtual Private Cloud의 Flow Logs를 공개합니다. 특정 VPC에서 Flow Logs를 사용하여 VPC 서브넷과 엘라스틱 네트워크 인터페이스(ENI)의 네트워크 트래픽이 CloudWatch Logs를 통해 저장된 후, 자신의 응용 프로그램이나 타사 프로그램에서 분석 할 수 있습니다.

특정 유형의 트래픽을 감지하여 알람을 만들거나 트래픽의 변화와 패턴을 파악하기위한 통계를 만들 수도 있습니다.

로그 정보는 보안 그룹 및 네트워크 접근(ACL) 규칙에 의해 허용 및 차단 트래픽 정보가 포함되어 있습니다. 또한, 소스 / 목적지 IP 주소, 포트, 프로토콜 번호 패킷 바이트 모니터링 간격 시간, 그리고 이에 따른 액션(ACCEPT 또는 REJECT) 정보도 포함됩니다.

VPC Flow Logs 시작하기

AWS 관리 콘솔, AWS 명령 줄 인터페이스 (CLI)EC2 API 호출을 통해 VPCFlow Logs를 활성화 할 수 있습니다. 아래는 VPC에서 Fow Logs를 사용하는 화면 스크린 샷입니다.

Flow Logs 구성 화면입니다.

VPC 대시 보드에 Flow Logs 탭이 표시됩니다.

Flow Logs는 CloudWatch Logs 로그 그룹에 저장됩니다. Flow Logs를 작성한 후 약 15분 후에 새로운 로그 그룹이 생성됩니다. CloudWatch Logs의 대시 보드에서 접근 가능합니다.

각 그룹은 엘라스틱 네트워크 인터페이스 (ENI)당 스트림으로 구성됩니다.

각 스트림은 다음과 같은 항목이 포함됩니다.

Flow Logs 유의 사항

VPC Flow Logs 사용 시 알아 주시면 좋을 몇 가지를 알려드립니다.

각 Flowsms 약 10 분 간격으로 캡처되어 윈도우에서 수집, 처리, 저장합니다. 로그 그룹을 만들고 첫 번째 레코드가 콘솔에서 확인 될 때​​까지 Flow Logs가 생성 된 후 약 10분 후에 가능합니다.

하나의 리소스에 대해 2개의 Flow Logs를 만들 수 있습니다.

Flow Logs에는 다음과 같은 트래픽 정보는 포함되어 있지 않습니다.

  1. Amazon DNS 서버 트래픽(개인 호스트 영역 쿼리 포함)
  2. Amazon에서 제공하는 Windows 라이센스 활성화 트래픽
  3. 인스턴스 메타 데이터 요청
  4. DHCP 요청과 응답

지금 사용하기

이 기능은 도쿄 지역 (아시아 태평양)를 비롯해 북부 캘리포니아 (미국 서부), 오레곤 (미국 서부), 북 버지니아 (미국 동부), 시드니 (아시아 태평양), 싱가포르 (아시아 태평양), 아일랜드 (유럽) 프랑크푸르트 (유럽)에서 이용이 가능합니다. 이용시 추가 비용이 필요하지 않습니다. CloudWatch Logs 스토리지 요금 만 청구됩니다. (자세한 내용은 CloudWatch 가격표을 참고하세요.)

Jeff;

PS – 일부 AWS 파트너는 VPC Flow Logs 처리, 분석, 시각화 등의 도구 제공을 위해 노력하고 있습니다. 그 부분에 대해서도 알려드리겠습니다.

본 글은 VPC Flow Logs – Log and View Network Traffic Flows의 한국어 번역입니다.