핵심 인사이트 (3줄 요약)
- 본질: VPC(Virtual Private Cloud)는 퍼블릭 클라우드에서 사용자가 정의하는 논리적 격리 네트워크 공간이다. IP 범위, 서브넷, 라우팅, 접근 제어를 직접 구성하여 온프레미스 네트워크와 동일한 수준의 격리와 제어를 클라우드에서 실현한다.
- 가치: 퍼블릭 클라우드의 공유 인프라에서 완전한 네트워크 격리를 제공하며, VPN·Direct Connect로 기업 내부망과 안전하게 연결한다. 멀티 AZ(가용 영역) 서브넷 설계로 고가용성을, 보안 그룹·NACL로 세밀한 접근 제어를 구현한다.
- 판단 포인트: VPC 설계의 핵심 결정은 CIDR 블록 크기와 서브넷 전략이다. 초기 작은 CIDR로 시작하면 나중에 확장이 불가능하므로 충분한 IP 범위(최소 /16)를 설계해야 한다. VPC Peering vs Transit Gateway — 수십 개 이상 VPC 연결은 Transit Gateway가 O(n) → O(1) 관리 복잡도 감소를 제공한다.
Ⅰ. 개요 및 필요성
┌──────────────────────────────────────────────────────────┐
│ VPC 아키텍처 기본 구조 │
├──────────────────────────────────────────────────────────┤
│ VPC (10.0.0.0/16) │
│ ┌────────────────────────────────────────────────────┐ │
│ │ 퍼블릭 서브넷 (10.0.1.0/24 — AZ-a) │ │
│ │ [웹 서버, NAT Gateway, ALB] │ │
│ │ 퍼블릭 서브넷 (10.0.2.0/24 — AZ-b) 고가용성 │ │
│ ├────────────────────────────────────────────────────┤ │
│ │ 프라이빗 서브넷 (10.0.10.0/24 — AZ-a) │ │
│ │ [앱 서버, 마이크로서비스] │ │
│ ├────────────────────────────────────────────────────┤ │
│ │ DB 서브넷 (10.0.20.0/24 — AZ-a) │ │
│ │ [RDS, ElastiCache] — 인터넷 완전 차단 │ │
│ └────────────────────────────────────────────────────┘ │
│ │ VPN / Direct Connect │
│ [온프레미스 데이터센터] │
└──────────────────────────────────────────────────────────┘
- 📢 섹션 요약 비유: VPC는 아파트 단지 내 전용 도로 네트워크다. 외부(인터넷)와 연결된 정문(퍼블릭 서브넷), 주민 전용 내부 도로(프라이빗 서브넷), 경비실(보안 그룹), 단지 내 주차장(DB 서브넷) 구조로 구성된다.
Ⅱ. 아키텍처 및 핵심 원리
VPC 구성 요소
| 구성 요소 | 역할 |
|---|
| CIDR 블록 | VPC IP 주소 범위 정의 (예: 10.0.0.0/16) |
| 서브넷 | 퍼블릭·프라이빗·DB 서브넷 분리 |
| 인터넷 게이트웨이 | 퍼블릭 서브넷의 인터넷 연결 |
| NAT 게이트웨이 | 프라이빗 서브넷의 아웃바운드 인터넷 허용 |
| 보안 그룹 | 인스턴스 레벨 상태 저장 방화벽 |
| NACL | 서브넷 레벨 상태 비저장 방화벽 |
| VPC Peering | 두 VPC 간 직접 연결 |
| Transit Gateway | 다수 VPC·온프레미스 허브 연결 |
VPC 네트워크 계층 보안
레이어 구성 요소 특성
──────────────────────────────────
VPC NACL 서브넷 레벨, 상태 비저장 (Stateless)
인스턴스 보안 그룹 인스턴스 레벨, 상태 저장 (Stateful)
보안 그룹: 허용 규칙만 설정 (기본 Deny)
NACL: 허용+거부 규칙 순서대로 평가
- 📢 섹션 요약 비유: 보안 그룹 vs NACL은 개인 경비원 vs 단지 출입 통제소다. 경비원(보안 그룹)은 특정 방문객만 통과시키고, 출입 통제소(NACL)는 단지 전체 차량을 통제한다.
Ⅲ. 비교 및 연결
| 비교 | VPC Peering | Transit Gateway |
|---|
| 연결 방식 | 1:1 직접 연결 | 허브 스포크 |
| 확장성 | O(n²) 관계 | O(n) 관계 |
| 라우팅 | 개별 관리 | 중앙 관리 |
| 비용 | 무료 | 유료 |
- 📢 섹션 요약 비유: VPC Peering vs Transit Gateway는 도시 간 직통 버스 vs 고속버스 터미널이다. 2개 도시면 직통(Peering)이 빠르지만, 10개 도시가 서로 연결하려면 중앙 터미널(Transit Gateway)이 훨씬 효율적이다.
Ⅳ. 실무 적용 및 기술사 판단
3-Tier 아키텍처 VPC 설계
인터넷 → ALB (퍼블릭 서브넷) → 앱 서버 (프라이빗) → RDS (DB 서브넷)
↑ ↑
보안 그룹: 443 허용 보안 그룹: ALB만 허용
멀티 AZ:
퍼블릭: AZ-a(10.0.1.0/24), AZ-b(10.0.2.0/24)
프라이빗: AZ-a(10.0.10.0/24), AZ-b(10.0.11.0/24)
DB: AZ-a(10.0.20.0/24), AZ-b(10.0.21.0/24)
- 📢 섹션 요약 비유: 3-Tier VPC는 식당 구조다. 손님 홀(퍼블릭 - ALB), 주방(프라이빗 - 앱 서버), 식재료 창고(DB 서브넷) — 손님은 주방과 창고에 직접 접근 불가, 웨이터만 오갈 수 있다.
Ⅴ. 기대효과 및 결론
| 기대효과 | 내용 |
|---|
| 네트워크 격리 | 퍼블릭 클라우드에서 완전한 논리적 분리 |
| 세밀한 접근 제어 | 보안 그룹·NACL 다계층 방어 |
| 하이브리드 연결 | VPN·Direct Connect로 온프레미스 통합 |
AWS PrivateLink와 VPC 엔드포인트의 발전으로 인터넷을 거치지 않고 AWS 서비스(S3, DynamoDB)에 직접 프라이빗 연결이 가능해졌다. Zero Trust 네트워크 원칙과 결합하여 VPC 내부에서도 서비스 간 mTLS 인증이 표준화되고 있다.
- 📢 섹션 요약 비유: VPC 엔드포인트는 비밀 전용 통로다. S3에 데이터를 저장할 때 외부 인터넷을 통하지 않고, 건물 내 전용 통로로 직접 접근하는 것처럼 보안과 속도를 동시에 확보한다.
📌 관련 개념 맵
| 개념 | 연결 포인트 |
|---|
| 서브넷 | VPC 내 IP 구간 분리 |
| 보안 그룹 | 인스턴스 레벨 방화벽 |
| Transit Gateway | 다수 VPC 허브 연결 |
| VPC 엔드포인트 | 프라이빗 AWS 서비스 접근 |
| Zero Trust | VPC 내부도 인증·암호화 |
📈 관련 키워드 및 발전 흐름도
[전통 물리 네트워크 — VLAN, 방화벽, DMZ]
│
▼
[VPC — 클라우드 논리적 격리 네트워크]
│
▼
[Transit Gateway — 다수 VPC 허브 연결]
│
▼
[VPC 엔드포인트 — 프라이빗 클라우드 서비스 접근]
│
▼
[Zero Trust VPC — 서비스 메시 + mTLS 내부 암호화]
👶 어린이를 위한 3줄 비유 설명
- VPC는 클라우드 안에 만드는 나만의 전용 아파트 단지예요! 외부와 분리되고 내가 원하는 대로 구성할 수 있어요.
- 퍼블릭 서브넷은 손님이 들어오는 입구, 프라이빗 서브넷은 내부 공간, DB 서브넷은 창고처럼 나눠요!
- 보안 그룹과 NACL이라는 두 겹의 경비원이 모든 출입을 꼼꼼히 검사한답니다!