AWS 네트워크 #04 - Security Group

이전 이야기

#01. VPC : 2021.07.20 - [IT/AWS] - AWS 네트워크 #01 - VPC

#02.SUBNET : 2021.07.21 - [IT/AWS] - AWS 네트워크 #02 - Subnet

#03.ROUTE TABLE, NAT GATEWAY : 2021.07.21 - [전체글] - AWS 네트워크 #03 - ROUTE TABLE, NAT GATEWAY

 

Security Group(보안그룹) 이란?

보안그룹이란 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 하는 장치 이다.
보안그룹은 인스턴스 수준에서 작동하며 VPC에 있는 서브넷의 각 인스턴스를 서로 다른 보안그룹으로 지정할 수 있다.

현재까지 VPC내의 3개분류(public, private, rds),  6개의 서브넷이 존재한다.  각각의 분류는 HA및 로드밸런싱을 위해 2개씩 제작을 한것이므로 각 분류별로의 보안그룹을 별도로 구성한다.

 

보안그룹 생성

• public-sg : public subnet이 이용하게 될 security group
• private-sg : private subnet이 이용하게 될 security group
• rds-private-sg : rds subnet이 이용하게 될 security group

01. 보안그룹 껍데기 생성

일단 위의 3개의 보안그룹 껍데기를 생성한다.

1. 보안그룹 이름 정하기
2. vpc 설정(test vpc로 설정하기)
3. 인바운드 규칙은 설정하지 않기
4. 태그 이름 작성하기

 

02. public-sg 구성

 

 

public-sg를 선택 후 edit-inbound rules 버튼을 클릭한다.

 

public subnet은 외부인터넷의 연결이 되어있는 서브넷이다. 해당 서브넷 내에 인스턴스를 생성 할 것이고 인스턴스 접근을 위해서는 SSH 접속이 가능해야한다. 따라서 22번 포트를 인바운드 규칙에 추가 하여야 한다. 인바운드 IP는 내 IP로 설정 한다.

그리고 모든 TCP 통신에 대해서 private-sg와 rds-private-sg도 허용해야한다. 즉 VPC내의 3가지의 보안그룹끼리는 모두 통신이 되어야 한다.

 

03. private-sg 구성

private-sg의 경우 public과 rds에서 오는 트래픽에 대해서만 인바운드 규칙에 추가해주면 된다.

 

04. rds-sg 구성

rds-sg는 db포트에 대해서 인바운드 규칙을 추가해주면 된다.

 

이렇게 인바운드 규칙에 다른 security group을 추가하게 되면 인바운드 규칙에 포함된 security group의 서비스들은 모두 여기 sg를 통과할수있게 된다. 이경우의 이점은 auto-scailing시 scale-out이 되면서 인스턴스가 추가될 경우 별도로 보안그룹에 해당 인스턴스의 IP를 인바운드 규칙으로 등록할 필요가 없다는 것이다.

 

끝

이로써 보안그룹 3개에 대한 설정은 모두 끝이 났다. 이제 이 보안그룹을 토대로 ec2와 rds를 생성 해 볼 것이다.