VPC의 서브넷 - Amazon Virtual Private Cloud

VPC의 서브넷

서브넷은 VPC의 IP 주소 범위입니다. 특정 서브넷에서 EC2 인스턴스와 같은 AWS 리소스를 생성할 수 있습니다.

서브넷 기본 사항

각 서브넷은 단일 가용 영역 내에서만 존재해야 하며, 여러 영역으로 스케일 아웃할 수 없습니다. 별도의 가용 영역에서 AWS 리소스를 시작하면 단일 가용 영역의 장애로부터 애플리케이션을 보호할 수 있습니다.

서브넷 IP 주소 범위

서브넷을 만들 때 VPC 구성에 따라 다음과 같이 IP 주소를 지정합니다.

  • IPv4 전용 - 서브넷에 IPv4 CIDR 블록은 있지만 IPv6 CIDR 블록은 없습니다. IPv4 전용 서브넷의 리소스는 IPv4를 통해 통신해야 합니다.

  • 듀얼 스택 - 서브넷에 IPv4 CIDR 블록 및 IPv6 CIDR 블록이 둘 다 있습니다. VPC에는 IPv4 CIDR 블록 및 IPv6 CIDR 블록이 둘 다 있어야 합니다. 듀얼 스택 서브넷의 리소스는 IPv4 및 IPv6를 통해 통신할 수 있습니다.

  • IPv6 전용 - 서브넷에 IPv6 CIDR 블록은 있지만 IPv4 CIDR 블록은 없습니다. VPC에 IPv6 CIDR 블록이 있어야 합니다. IPv6 전용 서브넷의 리소스는 IPv6를 통해 통신해야 합니다.

    참고

    IPv6 전용 서브넷에 있는 리소스에는 CIDR 블록 169.254.0.0/16로부터 IPv4 링크-로컬 주소가 할당됩니다. 이러한 주소를 사용하여 인스턴스 메타데이터 서비스(IMDS)와 같은 VPC 서비스와 통신할 수 있습니다.

자세한 내용은 VPC 및 서브넷의 IP 주소 지정 단원을 참조하십시오.

서브넷 유형

서브넷 유형은 서브넷에 대한 라우팅을 구성하는 방법에 따라 결정됩니다. 예:

  • 퍼블릭 서브넷 - 서브넷에 인터넷 게이트웨이로 직접 연결되는 경로가 있습니다. 퍼블릭 서브넷의 리소스는 퍼블릭 인터넷에 액세스할 수 있습니다.

  • 프라이빗 서브넷 - 서브넷에 인터넷 게이트웨이로 직접 연결되는 경로가 없습니다. 프라이빗 서브넷의 리소스에는 퍼블릭 인터넷에 액세스하기 위해 NAT 디바이스가 필요합니다.

  • VPN 전용 서브넷 - 서브넷에 가상 프라이빗 게이트웨이를 통해 Site-to-Site VPN 연결으로 연결되는 경로가 있습니다. 서브넷에는 인터넷 게이트웨이에 대한 경로가 없습니다.

  • 격리된 서브넷 - 서브넷에 VPC 외부 대상에 대한 경로가 없습니다. 격리된 서브넷의 리소스는 동일한 VPC의 다른 리소스와만 서로 액세스할 수 있습니다.

서브넷 다이어그램

다음 다이어그램에서는 한 리전에 있는 2개의 VPC를 보여줍니다. 각 VPC에는 퍼블릭 및 프라이빗 서브넷과 인터넷 게이트웨이가 있습니다. 다이어그램에 표시된 대로 필요에 따라 로컬 영역에 서브넷을 추가할 수 있습니다. 로컬 영역은 컴퓨팅, 스토리지 및 데이터베이스 서비스를 최종 사용자에게 더 가깝게 배치하는 AWS 인프라 배포입니다. 로컬 영역을 사용하면 최종 사용자가 10밀리초 미만의 지연 시간이 필요한 애플리케이션을 실행할 수 있습니다. 자세한 내용은 AWS 로컬 영역을 참조하세요.

가용 영역 및 로컬 영역에 서브넷이 있는 VPC.

서브넷 라우팅

각 서브넷은 서브넷 외부로 나가는 아웃바운드 트래픽에 대해 허용된 경로를 지정하는 라우팅 테이블이 연결되어 있어야 합니다. 생성된 각 서브넷은 자동으로 VPC의 기본 라우팅 테이블에 연결됩니다. 테이블 연결 및 기본 라우팅 테이블의 내용을 변경할 수 있습니다. 자세한 내용은 라우팅 테이블 구성 단원을 참조하십시오.

서브넷 설정

모든 서브넷은 해당 서브넷에서 생성된 네트워크 인터페이스에 퍼블릭 IPv4 주소(해당되는 경우, IPv6 주소)가 할당될 것인지 결정하는 수정 가능한 속성을 갖습니다. 여기에는 해당 서브넷에서 인스턴스를 시작할 때 인스턴스에 대해 생성된 주 네트워크 인터페이스(eth0)가 포함됩니다. 서브넷 속성에 상관없이 특정 인스턴스를 시작하는 중에 해당 인스턴스에 대한 이 설정을 재정의할 수 있습니다.

서브넷을 생성한 후 서브넷에 대한 다음 설정을 수정할 수 있습니다.

  • IP 설정 자동 할당: 이 서브넷의 새 네트워크 인터페이스에 대한 퍼블릭 IPv4 또는 IPv6 주소를 자동으로 요청하도록 자동 할당 IP 설정을 구성할 수 있습니다.

  • 리소스 기반 이름(RBN) 설정: 이 서브넷에서 EC2 인스턴스에 대한 호스트 이름 유형을 지정하고 DNS A 및 AAAA 레코드 쿼리가 처리되는 방법을 구성할 수 있습니다. 자세한 내용은 Amazon EC2 Linux 인스턴스용 사용 설명서Amazon EC2 인스턴스 호스트 이름 유형을 참조하세요.

서브넷 보안

AWS 리소스를 보호하려면 프라이빗 서브넷을 사용하는 것이 좋습니다. Bastion Host 또는 NAT 디바이스를 사용하여 프라이빗 서브넷에 있는 EC2 인스턴스와 같은 리소스에 대한 인터넷 액세스를 제공합니다.

AWS은(는) VPC에서 리소스에 대한 보안을 강화하기 위해 사용할 수 있는 기능을 제공합니다. 보안 그룹은 EC2 인스턴스와 같은 관련 리소스에 대한 인바운드 및 아웃바운드 트래픽을 허용합니다. 네트워크 ACL은 사용하여 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 허용하거나 제어합니다. 대부분의 경우 보안 그룹은 사용자의 요구 사항을 충족할 수 있습니다. 단, 추가 보안 계층을 원하는 경우 네트워크 ACL을 사용할 수 있습니다. 자세한 내용은 보안 그룹 및 네트워크 ACL 비교 단원을 참조하십시오.

각 서브넷에는 네트워크 ACL이 연결되어야 합니다. 생성하는 모든 서브넷은 VPC의 기본 네트워크 ACL과 자동으로 연결됩니다. 기본 네트워크 ACL은 인바운드와 아웃바운드 트래픽을 모두 허용합니다. 기본 네트워크 ACL을 업데이트하거나, 사용자 지정 네트워크 ACL을 생성하여 서브넷에 연결할 수 있습니다. 자세한 내용은 네트워크 ACL을 사용하여 서브넷에 대한 트래픽 제어 단원을 참조하십시오.

VPC 또는 서브넷에 흐름 로그를 만들어 VPC 또는 서브넷의 네트워크 인터페이스로 들어오고 나가는 모든 트래픽을 캡처할 수 있습니다. 또한 개별 네트워크 인터페이스에 흐름 로그를 만들 수도 있습니다. 자세한 내용은 VPC 흐름 로그를 사용하여 IP 트래픽 로깅 단원을 참조하십시오.