VPC (r1)

가상 네트워크는 VPC의 근본적인 구성 요소로, 클라우드 제공업체의 물리적 네트워크 인프라 위에 논리적으로 분리된 네트워크 공간을 생성한다. 사용자는 이 공간 내에서 IP 주소 범위를 정의하고, 서브넷을 나누며, 라우팅 테이블과 게이트웨이를 구성하여 독립적인 네트워크 환경을 구축한다. 이는 전통적인 데이터 센터에서 운영하던 네트워크를 클라우드 상에 가상으로 재현한 것과 유사하다.

가상 네트워크의 주요 특징은 논리적 격리성과 사용자 주도적 제어에 있다. 각 VPC는 다른 VPC와 완전히 분리되어 있어, 기본적으로 트래픽이 서로 통신하지 않는다. 사용자는 자신의 VPC 내에서 IPv4 또는 IPv6 CIDR 블록을 선택하고, 네트워크 토폴로지를 자유롭게 설계할 수 있다. 이러한 격리는 멀티테넌시 환경에서 다른 고객의 네트워크로부터의 간섭을 방지하는 보안의 기본층을 제공한다.

이러한 가상 네트워크는 SDN 기술을 기반으로 구현된다. 클라우드 제공업체의 관리 콘솔, CLI, 또는 API를 통해 네트워크 구성을 코드로 정의하고 배포할 수 있어, 인프라 관리의 자동화와 민첩성을 크게 향상시킨다. 결과적으로 가상 네트워크는 클라우드에서 애플리케이션과 서비스를 호스팅하기 위한 안전하고 맞춤화 가능한 네트워크 기반을 형성한다.

서브넷은 VPC의 IP 주소 범위를 논리적으로 분할한 더 작은 네트워크 단위이다. 하나의 VPC는 여러 개의 서브넷으로 나뉘며, 각 서브넷은 특정 가용 영역에 배치된다. 이는 리소스를 논리적으로 그룹화하고, 네트워크 트래픽을 격리하며, 보안과 관리 효율성을 높이는 데 핵심적인 역할을 한다.

서브넷은 주로 퍼블릭 서브넷과 프라이빗 서브넷으로 구분된다. 퍼블릭 서브넷은 인터넷 게이트웨이를 통해 외부 인터넷과 직접 통신이 가능한 리소스(예: 웹 서버)를 배치하는 데 사용된다. 반면, 프라이빗 서브넷은 인터넷과의 직접적인 연결이 차단되어 데이터베이스 서버나 애플리케이션 백엔드와 같은 민감한 리소스를 보호하는 데 적합하다. 서브넷을 설계할 때는 각 서브넷이 수용해야 할 리소스의 수와 유형을 고려하여 충분한 IP 주소를 할당해야 한다.

서브넷의 주요 속성과 구성 요소는 다음과 같다.

이러한 분리를 통해, 예를 들어 웹 계층은 퍼블릭 서브넷에, 데이터 계층은 프라이빗 서브넷에 배치하는 다중 계층 아키텍처를 구현할 수 있다. 서브넷 설계는 네트워크의 확장성, 보안, 성능에 직접적인 영향을 미치므로 신중하게 계획해야 한다.

라우팅 테이블은 VPC 내부 또는 외부로 향하는 네트워크 트래픽의 경로를 결정하는 규칙 집합입니다. 각 서브넷은 반드시 하나의 라우팅 테이블과 연결되며, 하나의 라우팅 테이블은 여러 서브넷에 연결될 수 있습니다. 라우팅 테이블의 각 규칙은 목적지 CIDR 블록과 해당 트래픽을 전달할 대상(타겟)을 지정합니다.

라우팅 테이블의 규칙은 우선순위에 따라 평가되며, 가장 구체적인 경로(즉, 프리픽스 길이가 가장 긴 경로)가 항상 먼저 적용됩니다. 모든 라우팅 테이블에는 로컬 VPC 내부 통신을 위한 로컬 경로가 기본적으로 포함되어 있으며, 이 경로는 삭제하거나 수정할 수 없습니다. 관리자는 인터넷 게이트웨이, NAT 게이트웨이, VPC 피어링 연결, 가상 프라이빗 게이트웨이 또는 다른 서브넷의 네트워크 가상 어플라이언스 등을 타겟으로 하는 새로운 경로를 추가하여 트래픽 흐름을 제어합니다.

라우팅 테이블은 퍼블릭 서브넷과 프라이빗 서브넷을 구분하는 핵심 메커니즘입니다. 인터넷 게이트웨이를 가리키는 경로(0.0.0.0/0)가 포함된 라우팅 테이블이 연결된 서브넷은 퍼블릭 서브넷이 됩니다. 반면, 이 경로가 없거나 대신 NAT 게이트웨이를 타겟으로 하는 서브넷은 프라이빗 서브넷으로 작동합니다. 라우팅 테이블의 변경 사항은 거의 실시간으로 적용되어 네트워크 아키텍처의 유연한 조정을 가능하게 합니다.

인터넷 게이트웨이는 VPC 내부의 리소스와 인터넍트 간의 양방향 통신을 가능하게 하는 관리형 구성 요소이다. 이는 수평적으로 확장 가능하고 가용성이 높은 VPC 구성 요소로, VPC의 트래픽이 공용 인터넷으로 나가고 들어오는 관문 역할을 한다. 인터넷 게이트웨이는 단독으로 작동하지 않으며, VPC의 라우팅 테이블과 연동되어 특정 트래픽을 인터넷으로 라우팅하도록 지시받아야 한다.

인터넷 게이트웨이의 주요 기능은 퍼블릭 서브넷에 위치한 인스턴스에 공인 IP 주소나 탄력적 IP 주소를 할당하여 인터넷과 직접 통신할 수 있도록 하는 것이다. 이를 통해 웹 서버나 로드 밸런서 같은 퍼블릭 서브넷의 리소스는 외부 사용자의 요청을 수신하고 응답을 보낼 수 있다. 반면, 프라이빗 서브넷의 인스턴스는 기본적으로 인터넷 게이트웨이에 대한 경로가 없어 인터넷과 직접 통신할 수 없다.

인터넷 게이트웨이를 통한 아키텍처 설계는 일반적으로 다음과 같은 단계를 거친다.

1. VPC에 인터넷 게이트웨이를 생성하고 연결한다.

2. 퍼블릭 서브넷의 라우팅 테이블에 인터넷 게이트웨이를 대상으로 하는 경로(예: 0.0.0.0/0)를 추가한다.

3. 해당 서브넷 내의 인스턴스에 공인 IP 주소를 할당하거나 탄력적 IP 주소를 연결한다.

인터넷 게이트웨이는 상태 저장(stateful) 방식으로 동작한다. 즉, 인스턴스에서 시작된 아웃바운드 트래픽에 대한 응답이 자동으로 허용된다. 이는 보안 그룹과 같은 보안 메커니즘과는 별개로, 네트워크 경로 수준에서의 동작이다. 인터넷 게이트웨이 자체는 대역폭에 대한 제한이 없으며, 사용한 시간이나 데이터 전송량에 따라 비용이 발생하는 경우가 일반적이다[3].

보안 그룹은 인스턴스 수준의 가상 방화벽 역할을 한다. 보안 그룹은 상태 저장(stateful) 방식으로 동작하여, 허용된 인바운드(들어오는) 트래픽에 대한 아웃바운드(나가는) 응답 트래픽을 자동으로 허용한다. 규칙은 프로토콜, 포트 범위, 소스 또는 대상 IP 주소(CIDR 블록 또는 다른 보안 그룹 참조)를 기반으로 정의된다. 각 인스턴스는 하나 이상의 보안 그룹에 연결될 수 있으며, 규칙은 기본적으로 거부(Deny) 정책을 가지며, 명시적으로 허용(Allow) 규칙만 추가할 수 있다.

네트워크 ACL은 서브넷 수준의 보안 계층이다. 네트워크 ACL은 상태 비저장(stateless) 방식으로 동작하여, 인바운드 및 아웃바운드 트래픽에 대한 규칙을 별도로 평가해야 한다. 규칙은 번호에 따라 순차적으로 평가되며, 낮은 번호의 규칙이 먼저 적용된다. 기본 네트워크 ACL은 모든 트래픽을 허용하지만, 사용자가 생성한 커스텀 네트워크 ACL은 기본적으로 모든 트래픽을 거부한다. 네트워크 ACL은 특정 IP 주소 범위에서의 트래픽을 차단하는 데 유용하다.

두 보안 메커니즘은 계층적으로 함께 작동한다. 트래픽이 인스턴스에 도달하려면 먼저 서브넷의 네트워크 ACL 규칙을 통과한 후, 인스턴스에 연결된 보안 그룹 규칙을 통과해야 한다. 이는 심층 방어 전략을 구현한다. 일반적으로 보안 그룹은 애플리케이션 인스턴스에 대한 세밀한 접근 제어에 사용되고, 네트워크 ACL은 서브넷 전체에 대한 광범위한 허용/차단 정책을 구현하는 데 사용된다.

퍼블릭 서브넷은 인터넷 게이트웨이로의 라우트를 포함하는 라우팅 테이블과 연결된 서브넷이다. 이 서브넷 내에 배치된 인스턴스는 공인 IP 주소를 할당받아 인터넷과 직접적인 양방향 통신이 가능하다. 주로 웹 서버나 로드 밸런서처럼 외부 사용자나 클라이언트의 요청을 직접 처리해야 하는 리소스를 배치하는 데 사용된다.

반면, 프라이빗 서브넷은 인터넷 게이트웨이로의 라우트를 포함하지 않는 서브넷이다. 이 서브넷에 위치한 인스턴스는 기본적으로 인터넷과의 직접적인 통신이 불가능하다. 데이터베이스 서버, 애플리케이션 서버, 백엔드 시스템처럼 외부에 직접 노출될 필요가 없고 보안상 격리되어야 하는 리소스를 배치하는 데 적합하다.

프라이빗 서브넷의 리소스가 인터넷에서 업데이트를 받거나 외부 API를 호출해야 할 필요가 있다면, NAT 게이트웨이나 프록시 서버를 퍼블릭 서브넷에 배치하여 아웃바운드 트래픽을 중개하도록 설계한다. 이는 프라이빗 서브넷의 인스턴스가 인터넷으로부터의 직접적인 인바운드 연결은 허용하지 않으면서도 필요한 아웃바운드 연결만을 가능하게 하는 보안 아키텍처의 핵심이다.

NAT 게이트웨이는 프라이빗 서브넷에 위치한 인스턴스가 인터넷에 대한 아웃바운드 연결(예: 소프트웨어 업데이트, 외부 API 호출)을 가능하게 하면서, 인터넷으로부터의 직접적인 인바운드 연결은 차단하는 관리형 네트워크 서비스이다. 이는 퍼블릭 서브넷에 위치한 인터넷 게이트웨이와 대비되는 개념으로, 주로 보안 강화를 목적으로 사용된다. NAT 게이트웨이는 프라이빗 서브넷의 인스턴스들이 공용 인터넷과 통신할 수 있는 일방향 통로를 제공한다.

NAT 게이트웨이의 동작 방식은 다음과 같다. 프라이빗 서브넷 내의 인스턴스가 외부 목적지로 패킷을 보내면, 해당 패킷은 먼저 서브넷의 라우팅 테이블에 의해 NAT 게이트웨이로 향한다. NAT 게이트웨이는 패킷의 출발지 IP 주소(사설 IP)를 자신의 공인 IP 주소로 변환(네트워크 주소 변환)한 후, 인터넷 게이트웨이를 통해 인터넷으로 전송한다. 응답 패킷이 돌아오면 NAT 게이트웨이는 변환 테이블을 참조하여 목적지 공인 IP를 원래의 사설 IP로 다시 변환하여 해당 인스턴스에게 전달한다. 이 과정에서 외부에서 발신된, NAT 게이트웨이를 대상으로 하는 새로운 연결 시도는 기본적으로 허용되지 않는다.

주요 클라우드 제공사는 다음과 같은 관리형 NAT 서비스를 제공한다.

NAT 게이트웨이를 사용할 때는 비용과 아키텨처를 고려해야 한다. NAT 게이트웨이는 실행 시간과 처리한 데이터 양에 따라 비용이 발생한다[5]. 또한 고가용성을 위해 가용 영역마다 별도의 NAT 게이트웨이를 배치하거나, 중앙 집중식으로 하나의 NAT 게이트웨이를 여러 프라이빗 서브넷이 공유하는 방식으로 설계할 수 있다.

VPC 피어링은 동일한 클라우드 제공사 내의 두 개 이상의 VPC를 비공개로 연결하는 네트워킹 구성이다. 이 연결을 통해 서로 다른 VPC에 위치한 인스턴스나 서비스가 마치 동일한 네트워크에 있는 것처럼 프라이빗 IP 주소를 사용하여 통신할 수 있다. 트래픽은 공용 인터넷을 경유하지 않고 제공사의 백본 네트워크 인프라를 통해 전달되므로, 보안성이 높고 지연 시간이 짧으며 데이터 전송 비용이 발생하지 않거나 매우 낮은 것이 특징이다.

VPC 피어링 연결은 전이적(transitive)이지 않다. 즉, VPC A가 VPC B와 피어링되고, VPC B가 VPC C와 피어링되어 있다고 해서 VPC A와 VPC C가 자동으로 통신할 수 있는 것은 아니다. A와 C 간의 통신을 위해서는 별도의 직접적인 피어링 연결을 설정해야 한다. 이는 네트워크 트래픽 경로를 단순화하고 예측 가능하게 만들어 보안 관리와 트래픽 제어를 용이하게 한다.

VPC 피어링을 설계할 때는 CIDR 블록이 서로 중복되지 않도록 주의해야 한다. 피어링하려는 각 VPC의 IP 주소 범위는 고유해야 하며, 겹치는 경우 연결을 설정할 수 없다. 또한, 피어링 연결은 양방향으로 구성된다. 한쪽 VPC에서 연결 요청을 생성하면, 상대방 VPC의 소유자가 그 요청을 수락해야만 실제 연결이 활성화된다.

주요 사용 사례는 다음과 같다.

피어링 연결이 설정된 후에는 각 VPC의 라우팅 테이블을 수정하여 상대방 VPC의 CIDR 블록을 가리키는 경로를 추가해야 실제 트래픽이 흐를 수 있다. 추가적으로 보안 그룹이나 네트워크 ACL 규칙을 통해 허용할 트래픽을 세부적으로 제어할 수 있다.

퍼블릭 서브넷에 위치한 웹 서버는 인터넷 게이트웨이를 통해 외부 사용자의 요청을 직접 수신한다. 이 서버는 보안 그룹 규칙에 따라 허용된 포트(예: HTTP 80, HTTPS 443)로만 트래픽을 받는다. 웹 서버가 애플리케이션 서버나 데이터베이스에 접근해야 할 경우, 해당 요청은 라우팅 테이블을 참조하여 프라이빗 서브넷으로 전달된다.

프라이빗 서브넷 내부의 트래픽 흐름은 NAT 게이트웨이를 중심으로 설계된다. 애플리케이션 서버는 외부 인터넷으로부터 직접적인 접근이 차단되어 있지만, 소프트웨어 업데이트나 외부 API 호출을 위해 아웃바운드 인터넷 연결이 필요할 수 있다. 이때, 프라이빗 서브넷의 라우팅 테이블은 인터넷 바운드 트래픽(0.0.0.0/0)을 NAT 게이트웨이로 보내도록 설정한다. NAT 게이트웨이는 퍼블릭 서브넷에 위치하며, 프라이빗 인스턴스의 트래픽을 자신의 퍼블릭 IP 주소로 변환하여 외부로 전송하고, 응답을 다시 해당 인스턴스로 돌려보낸다. 이를 통해 프라이빗 인스턴스는 외부에 노출되지 않으면서도 필요한 아웃바운드 연결을 유지할 수 있다.

VPC 피어링이나 트랜짓 게이트웨이를 사용하여 다중 VPC를 연결한 환경에서는 트래픽 흐름이 더 복잡해진다. 트래픽이 다른 VPC나 온프레미스 네트워크로 라우팅될 때는 각 VPC의 라우팅 테이블이 정확하게 구성되어야 한다. 예를 들어, 개발 VPC의 애플리케이션이 프로덕션 VPC의 데이터베이스에 접근해야 한다면, 개발 VPC의 라우팅 테이블에 프로덕션 VPC의 CIDR 블록에 대한 경로를 피어링 연결이나 트랜짓 게이트웨이로 지정해야 한다. 모든 트래픽 경로는 네트워크 ACL과 보안 그룹 규칙을 통과하며, 이는 허용 정책에 따라 필터링된다.

효율적인 트래픽 흐름 설계를 위해 다음 표와 같은 구성 요소와 목적을 고려할 수 있다.

트래픽 흐름을 설계할 때는 최소 권한 원칙을 적용하여, 각 구성 요소가 자신의 역할을 수행하는 데 꼭 필요한 경로와 포트만 열려 있도록 해야 한다. 또한, VPC 흐름 로그를 활성화하여 실제 네트워크 트래픽 패턴을 모니터링하고 설계를 검증하는 것이 좋다.

AWS VPC는 아마존 웹 서비스의 핵심 네트워킹 서비스로, 사용자가 정의한 가상 네트워크에서 AWS 리소스를 프로비저닝하고 격리할 수 있게 해준다. 각 VPC는 AWS 클라우드 내에서 논리적으로 분리된 섹션을 생성하며, 사용자는 IP 주소 범위, 서브넷 생성, 라우팅 테이블 및 게이트웨이 구성을 완전히 제어할 수 있다.

기본적으로 AWS 계정을 생성하면 각 리전마다 기본 VPC가 자동으로 제공된다. 이 기본 VPC는 인터넷 연결이 이미 구성되어 있어 신속하게 EC2 인스턴스를 시작할 수 있다. 그러나 대부분의 프로덕션 환경과 복잡한 아키텍처에서는 사용자 지정 VPC를 생성하여 네트워크 토폴로지를 세밀하게 설계하는 것이 일반적이다. AWS VPC는 단일 리전에 종속되지만, 여러 가용 영역에 걸쳐 서브넷을 생성하여 고가용성을 확보할 수 있다.

주요 구성 요소와 특징은 다음과 같다.

AWS VPC는 트랜짓 게이트웨이, VPC 엔드포인트(S3, DynamoDB 등 AWS 서비스에 비공개로 연결), Site-to-Site VPN, AWS Direct Connect와 같은 고급 서비스와 통합되어 하이브리드 및 확장된 네트워크 아키텍처를 구축하는 데 필수적인 기반을 제공한다.

Azure Virtual Network는 마이크로소프트 애저 클라우드 플랫폼의 핵심 네트워킹 서비스로, 가상 네트워크를 생성하고 관리할 수 있게 해준다. 이 서비스를 통해 사용자는 애저 리소스를 서로 안전하게 연결하거나, 온프레미스 데이터 센터와 연결하여 하이브리드 클라우드 환경을 구축할 수 있다. Azure Virtual Network는 논리적으로 격리된 네트워크 공간을 제공하며, 사용자가 IP 주소 범위, 서브넷, 라우팅 정책, 방화벽 설정 등을 완전히 제어할 수 있도록 한다.

주요 구성 요소로는 서브넷, 가상 네트워크 게이트웨이, 네트워크 보안 그룹, 로드 밸런서, 프라이빗 엔드포인트 등이 있다. 네트워크 보안 그룹은 서브넷 또는 개별 가상 머신 수준에서 인바운드 및 아웃바운드 트래픽을 필터링하는 역할을 한다. 가상 네트워크 게이트웨이는 사이트 투 사이트 VPN 또는 Azure ExpressRoute를 통해 온프레미스 네트워크와의 안전한 연결을 구축하는 데 사용된다.

Azure Virtual Network는 다른 애저 서비스와의 긴밀한 통합이 특징이다. 예를 들어, Azure Virtual Machines, Azure App Service, Azure Kubernetes Service 등의 PaaS 및 IaaS 리소스는 반드시 가상 네트워크 내에 배포되거나 연결되어야 안전하게 통신할 수 있다. 또한 VNet 피어링 기능을 통해 동일한 지역 또는 다른 지역에 있는 가상 네트워크들을 서로 연결하여 저지연 통신을 가능하게 한다.

서비스 티어와 기능은 지속적으로 발전하고 있으며, 향상된 보안과 관리를 위한 Azure Firewall, DDoS Protection 표준, Network Watcher 같은 관리형 서비스들과 통합된다. 사용량에 따른 종량제 모델로 운영되며, 데이터 전송 비용과 사용한 게이트웨이 및 기타 네트워크 리소스에 따라 비용이 청구된다.

Google Cloud VPC(공식 명칭: Google Cloud Virtual Private Cloud)는 Google Cloud Platform 상에서 논리적으로 격리된 가상 네트워크를 생성하고 관리할 수 있게 해주는 서비스이다. 사용자는 자체 IP 주소 범위를 정의하고, 서브넷을 생성하며, 방화벽 규칙을 구성하여 클라우드 리소스의 네트워크 환경을 제어할 수 있다. 이 네트워크는 전역 리소스로, 단일 VPC 네트워크가 여러 리전에 걸쳐 존재할 수 있다는 점이 특징이다.

Google Cloud VPC의 주요 구성 요소로는 서브넷, 방화벽 규칙, 라우팅, VPC 피어링 등이 있다. 방화벽 규칙은 태그 또는 서비스 계정을 기반으로 인스턴스 수준에서 트래픽을 제어하는 상태 저장형 방화벽으로 작동한다. 라우팅은 자동으로 생성되며, 각 서브넷마다 별도의 라우팅 테이블이 존재하지 않고 VPC 네트워크 전체에 적용되는 단일 라우팅 테이블을 사용한다. 네트워크 성능과 비용 최적화를 위해 프리미엄 네트워크 계층과 표준 네트워크 계층 중 선택할 수 있다.

다른 주요 클라우드 제공사와의 차이점을 비교하면 다음과 같다.

Google Cloud VPC는 Shared VPC를 통해 조직 내 여러 프로젝트가 하나의 공통 VPC 네트워크를 안전하게 공유할 수 있는 기능을 제공한다. 또한, VPC 피어링을 통해 동일한 조직 내의 서로 다른 VPC 네트워크를 비공개로 연결하거나, VPC 네트워크 피어링을 통해 다른 조직의 VPC와도 연결할 수 있다. Cloud VPN이나 Cloud Interconnect를 이용하면 온프레미스 데이터센터나 다른 클라우드 환경과의 하이브리드 클라우드 연결도 구성 가능하다.

가상 프라이빗 게이트웨이는 VPC와 외부 네트워크, 특히 온프레미스 데이터 센터를 안전하게 연결하기 위한 관리형 게이트웨이 구성 요소이다. 주로 IPsec 터널을 통해 VPN 연결을 설정하는 데 사용되며, 하이브리드 클라우드 환경을 구축하는 핵심 인프라가 된다. 이 게이트웨이는 VPC 측에 생성되며, 사용자의 온프레미스 네트워크에 설치된 고객 게이트웨이 디바이스와 짝을 이룬다.

주요 기능은 VPC의 라우팅 가능한 IP 주소 공간(예: 10.0.0.0/16)과 온프레미스 네트워크의 주소 공간 사이에 암호화된 통신 터널을 제공하는 것이다. 이를 통해 클라우드 리소스와 사내 시스템이 마치 하나의 확장된 네트워크에 있는 것처럼 안전하게 통신할 수 있다. 일반적으로 두 개의 터널(주 터널과 백업 터널)이 구성되어 고가용성을 보장한다[6].

가상 프라이빗 게이트웨이를 구성한 후에는 VPC의 라우팅 테이블을 수정해야 한다. 온프레미스 네트워크 대역(예: 192.168.0.0/24)으로 향하는 트래픽의 대상(target)을 가상 프라이빗 게이트웨이로 지정함으로써, 해당 트래픽이 VPN 터널을 통해 전송되도록 라우팅한다. 이 방식은 인터넷 게이트웨이를 통한 공용 인터넷 경로와는 완전히 분리된 전용(private) 통신 경로를 제공한다.

VPN 연결은 VPC와 온프레미스 데이터 센터 또는 다른 네트워크를 안전하게 연결하는 데 사용되는 가상 사설망 기술입니다. 이 연결은 공용 인터넷을 통해 암호화된 터널을 생성하여, 마치 전용 회선처럼 안전한 통신을 가능하게 합니다. 클라우드 환경에서는 주로 가상 프라이빗 게이트웨이와 고객 측의 VPN 장비 사이에 IPsec 터널을 구축하는 방식으로 구성됩니다.

주요 구성 요소와 연결 유형은 다음과 같습니다.

VPN 연결은 전용선에 비해 초기 설정이 빠르고 비용이 낮다는 장점이 있습니다. 그러나 대역폭과 지연 시간이 공용 인터넷의 영향을 받을 수 있어, 매우 높은 처리량이나 극도로 짧은 지연 시간이 필요한 경우에는 Direct Connect나 ExpressRoute 같은 전용 연결 서비스를 고려합니다. VPN 연결은 하이브리드 클라우드 아키텍처의 기초를 형성하며, 단계적인 클라우드 마이그레이션이나 재해 복구 구성에 필수적입니다.

VPC 엔드포인트는 AWS VPC 내의 리소스가 인터넷 게이트웨이, NAT 게이트웨이, VPN 연결 또는 AWS Direct Connect를 거치지 않고도 AWS 서비스나 VPC 엔드포인트 서비스에 비공개로 안전하게 연결할 수 있게 해주는 가상 장치이다. 이를 통해 퍼블릭 인터넷을 통한 트래픽 노출을 제거함으로써 보안을 강화하고, 데이터 전송 비용을 절감하며, 연결 대기 시간을 줄일 수 있다.

VPC 엔드포인트는 크게 두 가지 유형으로 구분된다. 인터페이스 엔드포인트는 AWS PrivateLink 기술을 기반으로 하며, 지정된 서비스에 대한 진입점으로 ENI(탄력적 네트워크 인터페이스)를 VPC에 배포한다. 이는 Amazon S3를 제외한 대부분의 AWS 서비스(예: Amazon SQS, Amazon KMS, AWS Systems Manager 등) 및 타사 또는 사용자 정의 서비스에 연결하는 데 사용된다. 게이트웨이 엔드포인트는 라우팅 테이블에 추가되는 특별한 유형의 라우팅 대상으로, Amazon S3 및 DynamoDB 서비스에 대한 비공개 액세스를 제공하는 데 사용된다.

VPC 엔드포인트를 구성할 때는 서비스의 가용성과 내결함성을 고려해야 한다. 인터페이스 엔드포인트는 여러 가용 영역에 배포하여 단일 장애 지점을 제거할 수 있다. 또한, 보안 그룹을 통해 엔드포인트에 대한 인바운드 및 아웃바운드 트래픽을 세밀하게 제어할 수 있으며, VPC 엔드포인트 정책을 통해 엔드포인트를 통해 허용되는 작업을 제한하는 최소 권한 원칙을 적용할 수 있다.

이러한 엔드포인트를 활용하면 민감한 데이터를 퍼블릭 네트워크에 노출시키지 않고도 AWS 서비스와 통신할 수 있어, 규정 준수 요구사항이 엄격한 환경에서 특히 유용하다.

트랜짓 게이트웨이는 복수의 VPC와 온프레미스 네트워크를 단일 중앙 허브에 연결하여 전체 네트워크 토폴로지를 단순화하는 관리형 서비스이다. 주로 AWS의 Transit Gateway나 Azure Virtual WAN의 허브와 같은 형태로 제공된다. 이는 기존의 복잡한 메시 형태의 VPC 피어링 연결을 '허브-스포크(Hub-and-Spoke)' 모델로 전환하여 관리 부담과 연결 비용을 줄이는 데 목적이 있다.

트랜짓 게이트웨이의 주요 기능은 다음과 같다.

이 아키텍처를 도입하면 네트워크 관리가 간소화되고, 새로운 VPC나 네트워크를 추가할 때 기존 모든 연결과의 피어링을 재구성할 필요 없이 트랜짓 게이트웨이에만 연결하면 된다. 또한, 트래픽이 중앙 허브를 경유하므로 라우팅 테이블 규칙의 수가 크게 감소하고, 네트워크 흐름에 대한 가시성과 통제력이 향상된다. 다만, 모든 트래픽이 중앙 게이트웨이를 통과해야 하므로 해당 구성 요소의 성능과 가용성 설계가 중요하며, 데이터 전송 비용 구조를 신중히 고려해야 한다[7].

네트워크 분리 전략은 VPC 내에서 리소스를 논리적 또는 물리적으로 격리하여 보안을 강화하고, 장애 전파를 제한하며, 규정 준수 요구사항을 충족시키는 접근법이다. 이는 단일 VPC 내에서도 서브넷을 목적에 따라 분리하는 것부터 시작하여, 여러 VPC를 생성하여 완전히 독립된 환경을 구성하는 수준까지 적용된다.

기본적인 전략은 애플리케이션 계층에 따라 서브넷을 분리하는 것이다. 일반적으로 웹 서버가 위치하는 퍼블릭 서브넷, 애플리케이션 서버나 데이터베이스가 위치하는 프라이빗 서브넷, 그리고 관리 도구나 백엔드 시스템을 위한 관리용 서브넷으로 구분한다. 각 서브넷은 고유한 라우팅 테이블과 네트워크 ACL을 부여받아, 계층 간 허용되지 않은 트래픽을 차단한다. 더 세분화된 접근으로는 단일 애플리케이션 내의 각 마이크로서비스나 각 환경(개발, 테스트, 스테이징, 프로덕션)을 별도의 서브넷에 배치하는 방법도 있다.

보다 강력한 분리를 위해서는 다중 VPC 전략을 채택한다. 이는 서로 다른 비즈니스 유닛, 고객사(멀티테넌시 환경), 또는 보안 등급이 엄격하게 구분되어야 하는 워크로드를 완전히 별개의 VPC에 배치하는 방식이다. 각 VPC는 고유한 CIDR 블록을 가지며, 기본적으로 서로 통신이 불가능하다. 필요한 경우에만 VPC 피어링이나 트랜짓 게이트웨이를 통해 제한된 경로로 연결을 구성한다. 이 전략은 보안 경계를 명확히 하고, 한 VPC에서의 보안 사고나 구성 오류가 다른 환경으로 확산되는 것을 방지한다.

효과적인 분리 전략을 수립할 때는 최소 권한 원칙을 네트워크 경로와 보안 규칙에 적용하는 것이 핵심이다. 불필요한 통신 경로는 사전에 차단하고, 필요한 최소한의 포트와 프로토콜만을 허용하는 세분화된 보안 그룹과 네트워크 ACL 규칙을 정의해야 한다. 또한, 모든 분리 구조와 트래픽 흐름은 명확한 문서화와 지속적인 모니터링과 로깅을 통해 관리되어야 한다.

최소 권한 원칙은 VPC 내부의 모든 네트워크 리소스와 보안 정책을 구성할 때 적용해야 할 핵심 보안 원칙이다. 이 원칙은 사용자, 애플리케이션, 또는 시스템이 자신의 임무를 수행하는 데 필요한 최소한의 권한과 접근만을 부여하는 것을 의미한다. VPC 환경에서는 이 원칙을 보안 그룹과 네트워크 ACL 규칙, 그리고 IAM 정책을 통해 구현한다.

보안 그룹과 네트워크 ACL 규칙을 설정할 때는 특정 포트와 프로토콜에 대한 접근을 가능한 한 좁히는 것이 중요하다. 예를 들어, 웹 서버 인스턴스에는 일반적으로 HTTP(80)와 HTTPS(443) 포트만 인바운드로 개방하고, 관리 목적으로는 특정 관리자 IP 주소 범위에서만 SSH(22) 또는 RDP(3389) 접근을 허용한다. "0.0.0.0/0"과 같은 모든 트래픽을 허용하는 규칙은 피해야 하며, 필요한 CIDR 블록을 명시적으로 지정한다.

또한, VPC 엔드포인트를 활용하여 퍼블릭 인터넷을 경유하지 않고도 AWS S3나 DynamoDB 같은 서비스에 비공개로 접근할 수 있도록 구성하면, 불필요한 외부 노출을 줄일 수 있다. 모든 규칙과 정책은 정기적으로 검토하여 현재의 운영 요구사항에 맞는지 확인하고, 사용되지 않는 규칙은 제거해야 한다. 이렇게 함으로써 공격 표면을 최소화하고 잠재적인 보안 위협으로부터 VPC 환경을 보호할 수 있다.

VPC 내부의 네트워크 트래픽과 구성 변경 사항을 지속적으로 관찰하고 기록하는 것은 보안 사고 대응, 성능 문제 진단, 규정 준수 증명에 필수적이다. 효과적인 모니터링은 네트워크 흐름 로그, 보안 그룹 로그, DNS 쿼리 로그 등 다양한 로그 소스를 통합적으로 수집하고 분석하는 것을 포함한다. 주요 클라우드 제공사들은 VPC 흐름 로그, 트래픽 미러링, AWS CloudWatch 로그, Azure Monitor, Google Cloud Operations Suite 같은 관리형 서비스를 제공하여 네트워크 활동의 가시성을 높인다.

로그 구성 시에는 감사 목적에 맞는 적절한 로그 유형을 선택하고, 불필요한 데이터 수집으로 인한 비용 증가와 저장소 부하를 방지해야 한다. 예를 들어, 거부된 트래픽만 기록하거나 특정 서브넷에 대해서만 흐름 로그를 활성화하는 식으로 설정할 수 있다. 수집된 로그는 중앙 집중식 SIEM 솔루션이나 클라우드 네이티브 분석 도구로 전송되어 실시간 알림 생성, 이상 징후 탐지, 포렌식 분석에 활용된다.

모니터링 정책은 명확한 목표를 바탕으로 설계되어야 한다. 일반적으로 허용된 트래픽보다 거부된 트래픽에 대한 로깅을 우선시하며, 중요한 애플리케이션이 위치한 프라이빗 서브넷의 트래픽은 더 세밀하게 모니터링한다. 로그 데이터의 장기 보관 요구사항과 데이터 프라이버시 규정(예: GDPR)을 고려한 보존 주기 및 암호화 정책도 함께 수립해야 한다. 지속적인 모니터링과 로그 분석을 통해 VPC 아키텍처의 보안 상태를 사전에 평가하고, 잠재적 위협에 대해 사전 대응할 수 있다.

클라우드 환경에서 VPC 내부의 트래픽은 일반적으로 무료이나, VPC를 벗어나는 데이터 전송에는 비용이 발생합니다. 특히 인터넷 게이트웨이를 통한 아웃바운드 트래픽, 가용 영역 간 데이터 전송, 그리고 다른 리전 또는 온프레미스 환경과의 통신은 주요 비용 요소입니다.

비용 관리를 위해 먼저 트래픽 흐름을 분석해야 합니다. 자주 통신하는 인스턴스나 마이크로서비스는 동일한 가용 영역에 배치하여 교차 가용 영역 데이터 전송 비용을 줄일 수 있습니다. 대량의 데이터를 외부로 전송해야 하는 서비스는 VPC 엔드포인트를 활용하는 것이 효과적입니다. VPC 엔드포인트를 사용하면 S3나 DynamoDB 같은 퍼블릭 AWS 서비스와의 통신도 인터넷을 경유하지 않고 AWS 백본 네트워크 내에서 이루어지므로 데이터 전송 비용이 발생하지 않거나 크게 절감됩니다[9].

또한, NAT 게이트웨이를 통한 아웃바운드 트래픽은 인터넷 전송 비용과 NAT 게이트웨이 처리 비용이 모두 청구됩니다. 따라서 퍼블릭 서브넷에 위치한 프록시 서버를 통해 트래픽을 집중시키거나, 프라이빗 서브넷의 인스턴스가 꼭 필요한 경우에만 인터넷 접근을 허용하도록 설계해야 합니다. 클라우드 제공사의 비용 계산기와 상세한 데이터 전송 요금표를 정기적으로 확인하여 예상치 못한 비용 증가를 방지하는 것이 중요합니다.

서브넷은 논리적 단위로 구분되며, 각 서브넷 내에 인스턴스나 컨테이너와 같은 컴퓨트 리소스를 배치할 때는 네트워크 트래픽 패턴과 비용 구조를 고려해야 한다. 동일한 가용 영역 내의 서브넷 간 데이터 전송은 일반적으로 무료이지만, 서로 다른 가용 영역 간의 데이터 전송에는 비용이 발생한다[10]. 따라서 빈번하게 통신해야 하는 리소스 그룹(예: 웹 서버와 애플리케이션 서버)은 가능한 한 동일한 가용 영역의 서브넷에 배치하여 데이터 전송 비용을 절감할 수 있다.

리소스의 수명 주기와 사용 패턴에 따라 적절한 서브넷 유형을 선택하는 것도 중요하다. 장기적으로 실행되는 핵심 서비스는 프라이빗 서브넷에 배치하고, 탄력적으로 생성과 삭제가 반복되거나 외부 접근이 필요한 리소스는 퍼블릭 서브넷에 배치하는 전략이 일반적이다. 또한, NAT 게이트웨이와 같은 관리형 서비스는 여러 가용 영역에서 공유하여 사용할 수 있도록 중앙 집중식으로 설계하면 불필요한 인스턴스 수를 줄이고 비용을 최적화할 수 있다.

마지막으로, 사용하지 않는 탄력적 IP 주소는 과금 대상이므로 반드시 해제하고, 작은 규모의 서비스나 개발 환경에서는 필요 이상으로 큰 서브넷 CIDR 블록을 할당하기보다는 실제 필요 규모에 맞게 설계한다. 이러한 리소스 배치 최적화는 초기 VPC 설계 단계부터 고려할 때 가장 효과적이다.

SDN은 네트워크의 제어 평면(Control Plane)과 데이터 평면(Data Plane)을 분리하여 네트워크를 프로그래밍 가능하고 중앙에서 관리할 수 있게 하는 네트워킹 아키텍처입니다. 전통적인 네트워크에서는 라우터나 스위치 같은 각 장비가 독립적으로 트래픽 경로를 결정하고 제어하는 반면, SDN은 이러한 제어 기능을 중앙의 SDN 컨트롤러로 집중시킵니다. 컨트롤러는 네트워크의 전역적인 뷰를 가지고 있으며, OpenFlow와 같은 표준화된 인터페이스를 통해 하위의 네트워크 장비(데이터 평면)에게 패킷 전달 방식을 지시합니다.

이러한 분리 아키텍처는 VPC와 같은 클라우드 네트워킹의 기반이 되는 핵심 개념입니다. 클라우드 제공자는 SDN 원리를 활용하여 물리적 네트워크 인프라 위에 다수의 논리적이고 격리된 가상 네트워크를 동적으로 생성하고 관리할 수 있습니다. 사용자가 AWS VPC나 Azure Virtual Network를 생성하고 서브넷, 라우팅 테이블, 보안 그룹을 구성하는 모든 작업은 사실상 SDN 컨트롤러에 의해 소프트웨어적으로 제어되고 구현됩니다.

SDN의 주요 이점과 VPC와의 연관성은 다음 표와 같습니다.

결국, VPC는 SDN 기술의 대표적인 상용 구현체라고 볼 수 있습니다. SDN이 제공하는 소프트웨어 기반의 제어, 자동화, 가상화 능력 덕분에 클라우드 사용자는 복잡한 물리적 네트워크 장비 구성 없이도 몇 번의 클릭만으로 글로벌 규모의 맞춤형 네트워크 환경을 손쉽게 구축하고 운영할 수 있게 되었습니다.

하이브리드 클라우드는 퍼블릭 클라우드와 프라이빗 클라우드를 결합한 컴퓨팅 환경을 의미한다. 이 환경은 온프레미스 데이터 센터나 기업 전용 프라이빗 클라우드와 AWS, Microsoft Azure, Google Cloud와 같은 퍼블릭 클라우드 서비스를 연결하여 단일의 통합된 인프라처럼 운영한다. 핵심 목표는 워크로드의 유연한 배치를 통해 비용 효율성, 확장성, 보안 및 규정 준수 요구사항을 동시에 충족하는 것이다.

VPC는 하이브리드 클라우드 아키텍처의 핵심 구성 요소로 작동한다. 퍼블릭 클라우드 측에서는 VPC를 통해 논리적으로 격리된 네트워크 공간을 생성하고, 이를 VPN 터널이나 전용선 연결을 통해 기업의 내부 네트워크와 안전하게 통합한다. 이 연결은 가상 프라이빗 게이트웨이나 클라우드 라우터 같은 서비스를 통해 이루어진다. 결과적으로 개발팀은 퍼블릭 클라우드의 탄력적인 리소스를 활용하면서도, 데이터베이스나 핵심 애플리케이션과 같은 민감한 워크로드는 프라이빗 환경에 유지할 수 있다.

하이브리드 클라우드에서 VPC를 설계할 때는 네트워크 주소 체계의 중복 방지, 효율적인 라우팅 정책 수립, 그리고 일관된 보안 그룹 및 네트워크 ACL 정책 적용이 중요하다. 또한, 트래픽 흐름을 명확히 정의하여 어떤 트래픽이 퍼블릭 클라우드를 경유하고, 어떤 트래픽이 직접 내부망으로 이동해야 하는지를 관리해야 한다. 이를 통해 애플리케이션의 성능을 최적화하고 데이터 전송 비용을 통제할 수 있다.

이러한 아키텍처는 기업이 디지털 변환을 진행하면서 기존 투자를 보호하고, 새로운 클라우드 네이티브 애플리케이션을 점진적으로 도입하는 데 유리한 환경을 제공한다.

컨테이너 네트워킹은 컨테이너 기반 애플리케이션의 구성 요소들이 서로 통신하고 외부 네트워크와 연결되는 방식을 관리하는 기술 분야이다. VPC와 같은 클라우드 네트워크 인프라 위에서 컨테이너화된 워크로드를 실행할 때, 효율적이고 안전한 네트워크 연결을 제공하는 것이 핵심 목표이다. 전통적인 가상 머신 기반 네트워킹과 달리, 컨테이너는 더 가볍고 일시적이며 수명 주기가 짧은 특징을 가지므로, 이에 적합한 동적 네트워킹 모델이 필요하다.

주요 컨테이너 네트워킹 모델로는 컨테이너마다 가상 네트워크 인터페이스를 할당하는 브리지 네트워킹, 호스트의 네트워크 스택을 직접 공유하는 호스트 네트워킹, 그리고 각 포드에 고유한 IP를 부여하여 플랫넷을 구성하는 CNI 기반 모델 등이 있다. 특히 쿠버네티스와 같은 컨테이너 오케스트레이션 플랫폼에서는 CNI 표준을 통해 다양한 네트워크 플러그인(Calico, Flannel, Cilium 등)을 사용하여 네트워크 정책, 서비스 디스커버리, 로드 밸런싱 기능을 구현한다.

VPC 환경에서의 컨테이너 네트워킹은 일반적으로 두 가지 계층으로 구분되어 설계된다. 첫 번째는 VPC의 서브넷, 라우팅 테이블, 보안 그룹을 활용하여 클러스터 노드(가상 머신) 수준의 네트워크 격리와 트래픽 제어를 담당한다. 두 번째는 컨테이너 런타임 내부에서 동작하는 CNI 플러그인이 담당하며, 이는 포드와 서비스에 IP를 할당하고, 포드 간의 통신을 위한 오버레이 또는 언더레이 네트워크를 구성하며, 네트워크 정책을 통해 포드 수준의 세분화된 트래픽 제어를 가능하게 한다.

이러한 아키텍처는 마이크로서비스 간의 통신 보안을 강화하고, 멀티테넌트 환경을 지원하며, VPC의 기존 네트워크 서비스(예: VPC 피어링, 프라이빗 링크)와의 통합을 용이하게 한다. 결과적으로, 개발자는 애플리케이션 로직에 집중하는 반면, 플랫폼 엔지니어는 VPC와 컨테이너 네트워크 계층을 통합 관리하여 확장성과 보안성을 확보할 수 있다.