테마
AWS 네트워킹 입문
이 문서는 AWS 네트워킹 입문 강의 전사와 요약 내용을 프로젝트의 학습 흐름에 맞춰 정리한 종합 로드맵입니다. 기존 01~10 문서가 개별 개념을 설명한다면, 이 문서는 계정 준비부터 VPC, 보안, 로드밸런싱, DNS까지 하나의 실습 흐름으로 연결해 봅니다.
AWS 리전, 가용 영역, Free Tier 정책, 서비스 요금 같은 수치는 원본 강의 시점인 2026-05-09 기준으로 정리된 내용입니다. 실제 실습 전에는 AWS 공식 문서와 콘솔의 최신 정보를 확인해야 합니다.
전체 방향
AWS 네트워킹을 배울 때는 개별 서비스 이름을 외우기보다 트래픽이 어디에서 시작해 어디를 통과하고, 어느 지점에서 허용되거나 거부되는지 추적하는 것이 중요합니다. 이 강의의 핵심 흐름은 다음과 같습니다.
커리큘럼
| 구간 | 주제 | 핵심 결과 |
|---|---|---|
| 프롤로그 | 강의 소개와 실습 원칙 | 대상, 학습 자료, 실습 비용, 자원 삭제 원칙을 이해합니다. |
| 1장 | AWS 글로벌 인프라 | 클라우드 컴퓨팅, AWS 리전/AZ, EC2, CloudFormation 기본을 확인합니다. |
| 2장 | Amazon VPC | VPC, 서브넷, 라우팅 테이블, IGW, NAT Gateway를 연결합니다. |
| 3장 | VPC 보안 기능 | Security Group, NACL, VPC Flow Logs로 접근 제어와 로그를 검증합니다. |
| 4장 | Amazon ELB | ALB/NLB의 부하 분산, 라우팅, 출발지 IP 보존 차이를 확인합니다. |
| 5장 | Amazon Route 53 | DNS 레코드, Alias, 가중치, 장애조치 라우팅을 실습합니다. |
| 에필로그 | 정리와 다음 단계 | 생성 자원을 삭제하고 상위 네트워킹 주제로 확장합니다. |
클라우드 컴퓨팅 개념, 온프레미스 비교, IaaS/PaaS/SaaS 책임 범위는 클라우드 컴퓨팅과 AWS 개요에 더 자세히 정리되어 있습니다. 이 문서에서는 AWS 네트워킹 실습 흐름에 필요한 만큼만 압축해서 다룹니다.
1장 AWS 글로벌 인프라
첫 장은 AWS 네트워킹 실습에 들어가기 전 필요한 공통 배경을 다룹니다. 클라우드 컴퓨팅은 인터넷을 통해 필요한 IT 자원을 즉시 제공받고 사용량에 따라 비용을 지불하는 방식입니다. 이때 핵심 키워드는 온디맨드와 사용량 기반 과금입니다.
온프레미스 환경은 물리 공간, 서버, 스토리지, 네트워크, 보안 장비를 직접 준비해야 합니다. 통제력은 높지만 확장과 축소가 느리고, 사용하지 않는 장비에도 비용과 감가상각이 발생합니다. 클라우드는 자원을 빠르게 생성하고 제거할 수 있어 민첩성과 탄력성에 유리하지만, 설계가 부실하면 비용이 오히려 커질 수 있습니다.
AWS 관점에서는 다음 개념을 먼저 잡습니다.
| 개념 | 의미 |
|---|---|
| 리전 | AWS 자원이 배치되는 지리적 위치입니다. |
| 가용 영역 | 하나의 리전 안에 분리된 데이터센터 집합입니다. |
| VPC | AWS 안에 만드는 사용자 전용 가상 네트워크입니다. |
| EC2 | VPC 안에 배치하는 가상 서버입니다. |
| CloudFormation | 인프라를 코드로 선언하고 배포하는 IaC 서비스입니다. |
실습 준비 단계에서는 AWS 계정 생성, 콘솔 로그인, 리전 선택, 결제/크레딧 확인, 루트 계정 MFA 등록, SSH 키페어 생성, OS별 SSH 클라이언트 준비를 진행합니다. EC2 실습에서는 Amazon Linux 인스턴스를 생성하고, 보안 그룹에서 SSH와 HTTP를 허용한 뒤, SSH로 접속해 웹 서버를 설치하고 브라우저 또는 curl로 응답을 확인합니다.
이 단계의 핵심은 콘솔에서 자원을 만드는 경험 자체보다, EC2가 항상 VPC와 서브넷, 보안 그룹, 키페어, 스토리지 설정의 조합으로 생성된다는 점을 보는 것입니다.
CloudFormation 실습 관점
강의는 반복 실습을 위해 CloudFormation 템플릿을 사용합니다. CloudFormation은 JSON 또는 YAML 템플릿으로 VPC, EC2, 보안 그룹, 로드밸런서, IAM 역할 같은 리소스를 선언하고 스택 단위로 생성하거나 삭제합니다.
CloudFormation을 실습에 쓰는 이유는 세 가지입니다.
- 같은 인프라를 반복해서 만들 때 수동 클릭 실수를 줄일 수 있습니다.
- 실습의 관심사를 기본 인프라 생성이 아니라 목표 서비스의 동작 검증에 둘 수 있습니다.
- 삭제할 때도 스택 단위로 추적할 수 있어 비용 정리에 유리합니다.
다만 템플릿이 만든 리소스를 항상 완전히 삭제해 주는 것은 아닙니다. Elastic IP, Route 53 호스팅 영역, 상태 검사, CloudWatch 로그 그룹처럼 별도 요금이 붙거나 스택 밖에서 만들어진 자원은 직접 확인해야 합니다.
2장 Amazon VPC
VPC 장은 AWS 네트워킹의 기본 골격을 만듭니다. 먼저 네트워킹 기초로 OSI 7계층과 TCP/IP 계층, IPv4 주소, 공인/사설 IP, 서브넷 마스크, CIDR, 포트와 프로토콜을 정리합니다. 이 내용은 네트워크 기초 개념, L3 IP 주소와 서브넷, L4 TCP와 UDP와 함께 보면 좋습니다.
VPC 구성 요소는 다음 흐름으로 이해합니다.
퍼블릭 서브넷은 라우팅 테이블에 0.0.0.0/0 -> Internet Gateway 경로가 있고, 퍼블릭 IP를 가진 인스턴스가 외부와 양방향 통신할 수 있습니다. 프라이빗 서브넷은 외부에서 직접 들어오는 경로를 막고, 필요한 경우 NAT Gateway를 통해 아웃바운드 인터넷 통신만 허용합니다.
VPC를 설계할 때는 다음 질문을 먼저 던집니다.
- 이 자원은 인터넷에서 직접 접근되어야 하는가?
- 외부로 나가는 통신만 필요한가?
- 운영자가 SSH로 접근해야 한다면 직접 접근이 필요한가, 베스천을 거칠 수 있는가?
- 서브넷별 라우팅 테이블을 분리해야 하는가?
- NAT Gateway 비용을 감수할 만큼 프라이빗 아웃바운드 통신이 필요한가?
VPC와 NAT 설계의 개별 개념은 NAT와 주소 변환, AWS VPC 아키텍처에 더 자세히 정리되어 있습니다.
3장 VPC 보안 기능
VPC 보안 장은 트래픽 접근 제어와 관찰 가능성을 다룹니다. 여기서 핵심은 Security Group과 NACL이 모두 방화벽처럼 보이지만 동작 위치와 상태 처리 방식이 다르다는 점입니다.
Security Group과 NACL 검증
| 항목 | Security Group | NACL |
|---|---|---|
| 적용 위치 | ENI 또는 인스턴스 앞단 | 서브넷 경계 |
| 상태 처리 | Stateful | Stateless |
| 규칙 방향 | 인바운드와 아웃바운드를 따로 정의하지만 응답 트래픽은 자동 허용 | 인바운드와 아웃바운드 모두 명시적으로 허용 필요 |
| 규칙 성격 | 허용 규칙 중심 | 허용과 거부 규칙, 우선순위 평가 |
Security Group 실습에서는 SSH 인바운드를 허용하고 아웃바운드를 제한했을 때 응답 트래픽이 어떻게 처리되는지 확인합니다. Stateful이기 때문에 허용된 요청에 대한 응답은 별도 아웃바운드 규칙 없이도 돌아갈 수 있습니다.
NACL 실습에서는 같은 SSH 통신이라도 인바운드 22번뿐 아니라 응답용 임시 포트 범위가 아웃바운드에 필요하다는 점을 확인합니다. Stateless이기 때문에 들어오는 방향과 나가는 방향을 각각 설계해야 합니다.
보안 그룹과 NACL의 기초는 방화벽과 보안 인프라, AWS 배포 관점의 권한/보안 흐름은 AWS 네트워킹과 보안와 함께 보면 좋습니다.
VPC Flow Logs 검증
VPC Flow Logs는 VPC 안의 네트워크 인터페이스로 들어오고 나가는 트래픽 메타데이터를 수집합니다. 로그는 S3 또는 CloudWatch Logs로 보낼 수 있고, 실습에서는 CloudWatch 로그 그룹으로 게시해 허용/거부 흐름을 빠르게 확인합니다.
Flow Logs를 볼 때는 다음 필드를 중심으로 봅니다.
- 출발지와 목적지 IP
- 출발지와 목적지 포트
- 프로토콜
- 패킷 수와 바이트 수
ACCEPT또는REJECT- 집계 시작/종료 시간
이 실습의 목표는 "보안 규칙을 바꿨다"에서 끝내는 것이 아니라, 실제 트래픽 로그가 허용 또는 거부로 기록되는지 확인하는 데 있습니다.
4장 Amazon ELB
ELB 장은 여러 대상에게 트래픽을 나누어 보내는 부하 분산을 다룹니다. 기본 구성 요소는 리스너, 대상 그룹, 헬스 체크입니다. 리스너는 어떤 포트와 프로토콜로 받을지 정의하고, 대상 그룹은 트래픽을 전달할 인스턴스 또는 IP를 묶습니다.
로드밸런싱 기초와 ALB/NLB 비교는 로드 밸런싱과 CDN, AWS 서비스별 ELB 개요는 AWS ELB에 더 자세히 정리되어 있습니다.
ALB 경로/헤더 라우팅 검증
ALB는 7계층 로드밸런서입니다. HTTP 요청의 경로, 호스트, 헤더 같은 정보를 보고 대상 그룹을 나눌 수 있습니다.
강의 실습에서는 서버별로 다른 경로를 가진 상황을 만듭니다. 단순 부하 분산만 사용하면 /dev 또는 /mgt 요청이 해당 페이지가 없는 서버로 전달되어 성공과 실패가 섞일 수 있습니다. 이를 해결하기 위해 경로 기반 라우팅을 사용합니다.
| 요청 조건 | 대상 그룹 |
|---|---|
/dev/* | DevTG |
/mgt/* | MGTG |
| 기본 경로 | 기본 대상 그룹 |
헤더 기반 라우팅에서는 User-Agent에 iPhone 또는 Android가 포함된 요청을 차단하고, ALB가 고정 응답 503을 반환하도록 구성합니다. 이 실습은 ALB가 단순히 트래픽을 나누는 장치가 아니라 HTTP 조건을 해석하는 정책 지점이 될 수 있음을 보여줍니다.
NLB 교차 영역과 출발지 IP 검증
NLB는 4계층 로드밸런서입니다. TCP 또는 UDP 트래픽을 낮은 지연으로 전달하고, 인스턴스 대상 그룹에서는 출발지 IP 보존 특성을 확인할 수 있습니다.
강의 실습에서는 UDP 161 트래픽을 대상으로 NLB를 만들고, 헬스 체크는 HTTP 80으로 재정의합니다. 이후 NLB 도메인과 각 노드 IP를 대상으로 여러 번 요청해 교차 영역 로드밸런싱 비활성/활성 상태의 분산 차이를 비교합니다.
| 상태 | 관찰 포인트 |
|---|---|
| 교차 영역 비활성 | 각 AZ 노드는 자기 AZ의 대상에게만 주로 분산합니다. |
| 교차 영역 활성 | AZ별 대상 수 불균형과 관계없이 전체 대상에게 고르게 분산됩니다. |
| ALB 출발지 확인 | 서버에서는 ALB 노드 IP를 보고, 원 클라이언트는 X-Forwarded-For로 확인합니다. |
| NLB 출발지 확인 | 서버에서 원 클라이언트 IP가 보존되는지 패킷 캡처로 확인합니다. |
5장 Amazon Route 53
Route 53 장은 DNS와 라우팅 정책을 다룹니다. DNS는 사람이 읽는 도메인 이름을 IP 주소나 AWS 리소스 대상으로 연결합니다. 도메인은 루트, TLD, SLD, 서브도메인 계층으로 구성되고, 각 계층의 네임 서버가 위임 구조를 이룹니다.
DNS 레코드와 CDN 연결 맥락은 DNS 레코드와 CDN 연결에 더 자세히 정리되어 있습니다. 이 문서에서는 Route 53 실습 정책 흐름에 집중합니다.
Route 53 정책 검증
| 정책 | 실습 의미 |
|---|---|
| 단순 라우팅 | 하나의 레코드 이름에 여러 IP를 넣고 TTL 캐싱과 랜덤 응답을 확인합니다. |
| Alias 레코드 | ALB 같은 AWS 리소스를 A 레코드 대상으로 연결합니다. |
| 가중치 기반 라우팅 | 8:2 같은 비율로 응답 대상을 나누고 TTL 이후 분산 비율을 관찰합니다. |
| 장애조치 라우팅 | Primary/Secondary 레코드와 상태 검사를 연결해 장애 전환을 검증합니다. |
단순 라우팅과 가중치 라우팅을 검증할 때는 TTL 캐싱을 반드시 고려해야 합니다. 같은 클라이언트에서 반복 요청하면 설정 비율과 다르게 같은 IP만 계속 보일 수 있습니다. TTL이 만료된 뒤 다시 질의해야 새로운 응답 선택을 관찰할 수 있습니다.
장애조치 라우팅에서는 상태 검사가 핵심입니다. 기본 대상 서버의 HTTP 80 응답을 상태 검사로 확인하고, 비정상이 되면 보조 대상 레코드가 응답됩니다. 기본 대상이 복구되어도 DNS 캐싱 때문에 즉시 돌아오지 않을 수 있으므로 TTL 지연을 함께 봐야 합니다.
실습 전 체크리스트
- AWS 계정, 결제 수단, MFA 등록 상태를 확인합니다.
- 실습 리전이 서울 리전인지 확인합니다.
- SSH 키페어를 생성하고 개인 키 파일을 안전하게 보관합니다.
- macOS 터미널, Windows SSH 클라이언트 같은 접속 도구를 준비합니다.
- 실습 중 발생 가능한 비용을 확인하고, 종료 후 삭제 시간을 확보합니다.
- CloudFormation 템플릿과 핸즈온 페이지의 단계별 명령어를 미리 확인합니다.
실습 중 검증 습관
각 실습은 "생성했다"가 아니라 "통신이 의도대로 흐른다"까지 확인해야 합니다.
- EC2는 퍼블릭 IP와 보안 그룹 규칙으로 SSH/HTTP 접근을 확인합니다.
- 퍼블릭 서브넷은 인터넷에서 들어오는 HTTP 요청과 외부로 나가는 요청을 모두 확인합니다.
- 프라이빗 서브넷은 외부 직접 접근 실패, NAT 경유 아웃바운드 성공, 베스천 경유 접근을 나눠 확인합니다.
- Security Group과 NACL은 같은 통신에서 어느 규칙 때문에 성공/실패가 갈리는지 분리해 확인합니다.
- Flow Logs는 콘솔 설정과 실제 CloudWatch 로그의
ACCEPT/REJECT기록을 함께 봅니다. - ALB/NLB는 대상 그룹 헬스 체크와 실제 반복 요청 결과를 함께 봅니다.
- Route 53은
dig, TTL, 상태 검사, 장애 발생 이벤트를 같이 관찰합니다.
삭제와 비용 관리
AWS 네트워킹 실습은 네트워크 리소스가 많이 만들어집니다. 실습 종료 후에는 생성 역순으로 지우는 습관이 중요합니다.
권장 삭제 순서는 다음과 같습니다.
- Route 53 상태 검사와 실습 레코드를 삭제합니다.
- 필요 없는 호스팅 영역을 삭제합니다.
- 로드밸런서와 대상 그룹을 삭제합니다.
- VPC Flow Logs, CloudWatch 로그 그룹, IAM 역할/정책을 정리합니다.
- CloudFormation 스택을 삭제합니다.
- EC2 인스턴스, Elastic IP, NAT Gateway, VPC가 남아 있는지 확인합니다.
- 결제 대시보드와 크레딧 사용량을 확인합니다.
NAT Gateway, Elastic IP, Route 53 호스팅 영역, 상태 검사, 로그 저장소는 작은 실습에서도 비용이 남기 쉬운 항목입니다. 콘솔에서 "스택 삭제 완료"만 보고 끝내지 말고 서비스별 잔여 리소스를 확인해야 합니다.
기존 문서와 연결
이 로드맵을 읽은 뒤에는 아래 순서로 세부 문서를 보면 흐름이 자연스럽습니다.
| 더 볼 문서 | 연결되는 강의 구간 |
|---|---|
| 네트워크 기초 개념 | 2장 기본 네트워킹 |
| L3 IP 주소와 서브넷 | VPC CIDR, 서브넷 설계 |
| NAT와 주소 변환 | 프라이빗 서브넷의 아웃바운드 통신 |
| 방화벽과 보안 인프라 | Security Group, NACL |
| 로드 밸런싱과 CDN | ALB/NLB 개념 |
| AWS VPC 아키텍처 | 퍼블릭/프라이빗 VPC 조합 |
| DNS 레코드와 CDN 연결 | Route 53, DNS 레코드, TTL |
핵심 정리
- AWS 네트워킹 입문은 VPC 하나를 만드는 일이 아니라 계정, 보안, 라우팅, 접근 제어, 로깅, 부하 분산, DNS, 비용 정리를 한 흐름으로 연결하는 학습입니다.
- 퍼블릭과 프라이빗 서브넷의 차이는 "IP가 있느냐"보다 라우팅 테이블과 게이트웨이 연결에서 결정됩니다.
- Security Group은 상태를 기억하고, NACL은 방향별 규칙을 독립적으로 평가합니다.
- Flow Logs는 네트워크 규칙이 실제 트래픽에 어떤 결과를 냈는지 확인하는 증거입니다.
- ALB는 HTTP 조건 기반 라우팅에 강하고, NLB는 4계층 고성능 전달과 출발지 IP 보존 관찰에 중요합니다.
- Route 53 정책 검증에서는 TTL 캐싱과 상태 검사를 함께 봐야 합니다.
- 실습의 마지막 단계는 항상 자원 삭제와 비용 확인입니다.