Region

AWS 서비스가 위치한 장소 or 서비스 지역

예: 한국(ap-northeast-2), 런던(eu-west-2), 홍콩(ap-east-1)

AZ(Availability Zone)

region 내에서 물리적으로 분리된 AZ가 구성 됨. IDC라고 생각하면 됨.

일반적으로 하나의 region에 3개의 AZ가 존재 함.

예: 한국 남부 IDC, 한국 중부 IDC와 같은 형태라고 생각하면 됨.

VPC(Virtual Private Cloud)

사용자가 구성한 독립된 가상 네트워크

하나의 region에 속하며 모든 AZ에 걸쳐서 구성된다.

VPC의 IP주소 범위를 CIDR로 지정해야 한다. 여러 IP주소 범위를 지정 가능.

IP주소 범위를 지정할 때 공인IP 대역을 지정하는 경우 인터넷 연결을 할 때 해당 공인IP는 VPC 내부로 라우팅 되어 버리니 사설IP 대역 사용을 권장한다.

VPC에서 한번 지정한 IP대역 수정은 불가능하고 새로운 IP대역 추가는 가능하다.

[VPC 생성시 옵션]

* DNS Resolution : DNS 호스트네임을 IP로 해석할 때 AWS에서 제공하는 DNS 서버를 사용. (기본 : Enabled)

* DNS Hostname : VPC 내부에서 생성되는 인스턴스에 퍼블릭 DNS 호스트네임을 할당해주는 기능. (기본 : Disabled)

Subnet

VPC의 IP주소 범위 내에서 Subnet을 생성하고 특정 1개 AZ를 지정하여 구성

서브넷 트래픽이 인터넷 게이트웨이로 라우팅 되는 경우 퍼블릭 서브넷, 아닌 경우 프라이빗 서브넷이라고 한다.

퍼블릭 서브넷의 인스턴스가 인터넷과 통신할 수 있게 하려면 퍼블릭IP or EIP를 가져야 한다.

VPC가 논리적이라면 서브넷은 물리적인 구성으로 EC2를 생성한다고 했을 때 특정 서브넷이 지정된다.

멀티 AZ로 구성하는 경우 AZ별로 서브넷을 생성한 후 각각 할당한다

네트워크 ACL / SG(Security Group)

NACL : 서브넷 인바운드/아웃바운드 트래픽 제어. stateless

SG : (EC2) 인스턴스 인바운드/아웃바운드 트래픽 제어. stateful

네트워크 ACL을 통과해도 SG에서 통신이 막힐 수 있다.

ACL 규칙의 번호는 우선순위를 나타내며, *는 어떤 규칙에도 해당하지 않는 경우 사용된다.

ACL 기본 규칙은 모든 통신 허용, SG 기본 규칙은 VPC 내부 리소스간 통신 모두 허용

Route Table

VPC의 IP주소 범위는 기본으로 라우트 테이블에 기록된다.

Internet Gateway

VPC는 기본적으로 격리된 네트워크 환경이다.

라우트 테이블에 VPC의 특정 서브넷이 인터넷 게이트웨이를 향하도록 규칙을 추가하면 해당 서브넷이 인터넷과 통신할 수 있다. 

이때 인터넷을 사용하려는 리소스는 공인IP를 가져야 한다.

== 참고

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/what-is-amazon-vpc.html

https://www.44bits.io/ko/post/understanding_aws_vpc