IT이야기/AWS인프라 구축과 DevOps 운영

NACL vs SG 와 Bastion - 패스트캠퍼스 챌린지 AWS 인프라 구축과 DevOps 운영 8일차

인생무엇 2021. 11. 8. 23:22

 

< 강의 커리큘럼 >

01. DevOps의기본 개념 
02. AWS기반 소규모&중규모 아키텍트설계
03. AWS기반 대규모아키텍트 설계
04. 코드를통한 인프라관리(IaC)
05. 도커와 쿠버네티스를 이용한서비스 운영
06. CI/CD(지속적 통합/지속적 제공) 구현하기
07. 모니터링서비스 구축및운영
08. AWS기반보안
부록. Kuberneteson AWS EKS

 

NACL vs SG

NACL 과 SG에 대해서는 앞선 7일차 포스팅에서도 써놨었습니다. 

이번 강의에서는 조금 더 자세히 설명을 해주었습니다. 

NACL은 Stateless 방식이면서 VPC의 방화벽 역할을 합니다. 
우선순위를 정해서 인바운드, 아웃바운드를 설정할 수 있습니다. 
(일반적으로 우선순위 정할 때 100단위로 한다고 어디선가.. 들었습니다.
왜나면 그래야 나중에 중간에 다른 규칙이 필요할때 쉽게 넣을 수 있어서.. 라고 합니다.)

SG는 Stateful 방식이면서 인스턴스의 방화벽 역할을 합니다.
EC2와 같이 SG를 설정할 수 있는 인스턴스들이 있습니다. 말단의 인스턴스들의 방화벽 역할을 한다고 생각하면 편합니다. 이 SG는 우선순위를 정하는 건 없이 인바운드, 아웃바운드 규칙을 설정 할 수 있습니다. 

 

Stateless 방식과 Stateful 방식을 설명해주었습니다. 

 

아웃바운드가 ALL Deny라고 가정하면, 

NACL 의 경우 Stateless 방식으로 외부에서 request가 와도 response를 해 주지 않습니다.

SG의 경우 Stateful 방식으로 외부에서 request가 오면 그 상태를 기억하고 있기 때문에 ALL Deny 정책을 가지고 있어도 response를 해줍니다.

 

그리고 NACL은 앞서 이야기한데로 우선순위가 있습니다.

 

100 HTTP 80port Allow 설정을 해두고, 

101 HTTP 80port Deny 설정을 했을 경우에는

>>>> 100 HTTP 80 Allow가 우선순위가 높기 때문에 101 HTTP 80 Deny가 있어도 Allow 됩니다. 

 

 

자동할당 IP설정

강의도중에 자동할당 IP설정하는 부분이 있습니다. 

public subnet의 경우에는 퍼블릭 IP자동할당이 되어있을경우 인스턴스 생성시 기본설정으로 되어 있어서 편리하다? 라는 장점이 있지만.. 

보안상으로는 추천하지는 않습니다. 퍼블릭 공개되는 인스턴스가 있을 경우에는 물론 따로 관리가 필요하며, 외부침입의 표적이 될 수 있습니다. 

 

 

그리고.

httpd 설치를 통해 SG, NACL설정에 대해서 실습을 해주셨지만.. 사용자 데이터부분에 bash 명령어 사용하는부분이 어려운게 아닌데.. 그냥 따라하라고 하는 부분이 뭔가 아쉽네요.. 

사용자 기본이 ec2-user인데.. 에러난거에 대한 설명을 안해주는것도 좀 아쉽네요.

 

 

Bastion에 대해서

강의에서는 앞서서 Bastion에 대해서 설명했기 때문에 그냥 단순히 설정하는 것을 보여줬습니다. 

Priavate Subnet의 SG를 설정할 때 Public Subnet의 SG를 설정할 수 있습니다. (IP를 꼭 안넣고, SG를 넣어도 됩니다.)

SG를 설정할 때 CIDR, IP 또는 보안그룹을 입력해서 설정할 수 있습니다.

 

그런데 이 강의에서.. 조금 아쉬운점이 있다면. 

아키텍처를 그려놓고 설명을 해주면 좋았겠다... 라는 생각 

 

강의에서 설명은 위 사진에서 빨간색 화살표 (-->) 처럼 접근이 된다고 설명을 했지만 .. 

제가 생각하기에는 녹색 화살표(-->) 처럼 흐르는게 맞는게 아닌가... 

 

그런데 강의자료에서도 해당 아키텍쳐가 그려져있지 않네요. 위 아키텍처가 맞다면 그냥 SG만 설정해줄게 아니고 NACL도 설정해주는게 맞는거 같은데.. 갑자기 햇갈립니다. 

 

내일 한번 테스트를 진행 해 볼 예정입니다. 포스팅 시간이 늦었기 때문에.. 

 

NACL을 따로 설정안해줘도 되는건가..? 해줘야되는거같은데..

 

내일은 NAT GW와 VPC Endpoint에 대해서도 다 이해할 수 있을지 모르겠지만 한번 해보도록 하겠습니다. 

 

 

 

본 포스팅은 패스트캠퍼스 환급 챌린지 참여를 위해 작성되었습니다.

 

https://bit.ly/3FVdhDa

 

수강료 100% 환급 챌린지 | 패스트캠퍼스

딱 5일간 진행되는 환급챌린지로 수강료 100% 환급받으세요! 더 늦기전에 자기계발 막차 탑승!

fastcampus.co.kr

 

반응형
저작자표시