기본 개념
ISP(Internet Service Provider)에서 할당한 것이 Public IP이다.
AWS에서는 AWS IPv4 pool에서 가지고 있는 IP를 할당하는데 여기서 할당한 IP는 동적 IP로 움직인다.
그런데 정적 IP를 할당받고 싶다면 EIP(Elastic IP)를 할당하면 된다. 이는 AWS 계정에 AWS IPv4 pool에서 가지고 있는 IP를 직접 할당해 주는 방식으로 동작한다.
AWS에서는 ENI라는 가상 인터페이스를 통해서 IP를 할당해 트래픽을 주고 받을 수 있도록 하고 있다.
Elastic IP 서비스는 AWS 계정 내의 리전에 공인IP를 할당하는 것으로 해당 서비스를 이용하면 정적 공인 IP를 소유할 수 있다.
ENI (Elastic Network Interface)
온프레미스의 NIC(Network Interface Card)와 같은 가상 장치로 ENI는 해당 서브넷에 설정할 수 있다. 서브넷 자원이기 때문에 해당 VPC CIDR의 사설 IP도 같이 할당 받게 된다.
VPC 네트워킹은 반드시 ENI를 기반으로 한다. AWS의 모든 서비스가 ENI를 할당하는 것은 아니기 때문에 이 경우는 별도로 통신하게 된다.
- 대표적으로 S3 같은 것은 AWS에서 통합 관리하는 전용 인터페이스를 사용한다. 그래서 자체 보안기능과 정책 권한으로 통제하게 된다.
ENI의 2가지 유형
1. 데이터 처리가 주 역할인 서비스 (컴퓨팅 ENI)
대표적으로 RDS, Lambda, EFS 등이 있다. 이들은 컴퓨팅이나 스토리지 등의 데이터를 가공하거나 저장하는 역할을 주로 담당해 ENI는 트래픽을 전송하는 수단에 불과하다.
- 기본값은 소스/대상 확인옵션이 켜져있다.
- 보안그룹을 강제로 적용한다. (그래서 연결목록에 보안그룹이 있다면 컴퓨팅 ENI 일 것이다)
2. 트래픽 전송이 주 역할인 서비스 (라우팅 ENI)
NAT 게이트웨이, 전송 게이트웨이 등 네트워크 디바이스로 트래픽 전송이 주 목적인 서비스의 경우 트래픽에 포함된 데이터 내용을 변경이나 가공하는 것 없이 바로 전달하게 된다.
- 기본값은 소스/대상 확인옵션이 꺼져있고, 별도로 설정할 수 없다.
- 보안그룹이 적용되지 않는다. (단 트래픽을 통제하기 위해 NACL, 라우팅 테이블을 활용할 수 있다.)
- 단 한가지 예외는 GWLB의 경우 보안그룹 설정이 된다.
ENI 속성
- source IP, target IP를 체크옵션
패킷을 전송하고 수신할 때 출발지와 목적지 IP를 검사하는 옵션이다.
ENI에서는 출발지와 목적지 IP를 확인하는 옵션을 켜거나 끌 수 있는데, 만약 켜게 되면 패킷의 출발지와 ENI IP가 꼭 같아야만 전송이 가능하다. 해당 기능을 켤 경우만 체크하고 나머지 경우는 체크하지 않고 그냥 트래픽을 보낸다.
요청자 관리형(Requester-managed)
대표적으로 NAT Gateway와 같이 라우팅 ENI들에서 나타나는데 AWS에서만 조작이 가능하고 사용자가 조작할 수 없는 항목을 말한다.
보안
퍼블릭 인스턴스를 보안 그룹, 네트워크 ACL, 라우팅 테이블을 잘 설정하는 것이 최대한의 보안 방법이다. 즉 VPC보안은 ENI를 안전하게 보호하는 것이다.
인스턴스의 다중 ENI의 할당 위치
인스턴스는 서로 다른 AZ의 ENI를 가질 수 없다.
인스턴스는 서로 다른 VPC의 ENI를 가질 수 없다.