VPC
카카오 i 클라우드(Kakao i Cloud)의 VPC(Virtual Private Cloud)는 사용자 정의 사설 네트워크 서비스입니다.
VPC를 사용하여 사용자는 여러 네트워크 구성 요소(Network Component)를 조합해 사용자 환경에 적합한 네트워크를 빠르고 편하게 구축할 수 있습니다. 또한 논리적으로 격리된 VPC를 생성하고, 디렉트 커넥터 및 VPN 커넥터 등의 컴포넌트를 이용해 다른 외부의 VPC와 연결하여 사용할 수 있습니다.
주요 개념
VPC
논리적으로 격리된 VPC를 생성할 수 있습니다. 디렉트 커넥터, VPN 커넥터 등의 컴포넌트(Component)를 이용해 VPC를 다른 외부의 VPC와 연결하여 사용할 수 있습니다. 또한, VPC를 용도와 목적에 따라 여러 개의 서브넷으로 분리하여 사용할 수 있습니다.
격리된 VPC
VPC는 별도의 명시적인 외부 네트워크와의 연결이 없다면, 외부와의 통신이 단절된 격리된 VPC로 제공됩니다.
외부 네트워크 연결
사용자 VPC를 디렉트 커넥터, VPN 커넥터 등의 컴포넌트를 사용해 온프레미스(On-premises) 환경 및 타 CSP(Cloud Solution Provider)의 네트워크와 연결할 수 있습니다.
서브넷
서브넷(Subnet)이란 IP 주소에서 네트워크 영역을 부분적으로 나눈 부분 네트워크입니다. 용도와 목적에 따라 VPC를 여러 개의 서브넷으로 분리하여 사용합니다.
IP 주소 범위
서브넷의 IP 주소 범위는 CIDR(Classless Inter-Domain Routing) 표기법으로 지정할 수 있습니다.
안내
동일한 VPC 내에서는 서브넷 간 IP 주소 범위가 겹칠 수 없습니다.
인스턴스 생성과 IP
인스턴스가 서브넷에 배포될 때, IP 주소 범위 중 하나의 IP를 무작위로 할당받습니다.
예약된 IP
다음의 IP는 시스템 내부에서 다른 목적으로 사용이 예약된 IP로, 인스턴스에 할당되지 않습니다.
표 예약된 IP
| 예약된 IP | 상세 IP |
|---|---|
| 서브넷의 IP 주소 범위의 첫 번째 IP ~ 열한 번째 IP | 10.0.0.0/24 기준, 10.0.0.0~10 |
| 서브넷의 IP 주소 범위의 마지막에서 첫 번째 IP ~ 다섯 번째 IP | 10.0.0.0/24 기준, 10.0.0.251~255 |
라우팅 설정
라우팅을 설정하여 서브넷 내 패킷의 라우팅 경로를 지정할 수 있습니다.
표 라우팅 설정
| 라우팅 설정 | 설명 |
|---|---|
| VPC 내 자원 간의 통신 | 동일한 VPC에 생성된 인스턴스는 별도의 라우팅 설정 없이 통신 가능 |
| VPC 외부로의 통신 | 서브넷에 적용된 라우팅 설정에 의해 패킷의 라우팅 경로가 지정됨 |
외부 공개
사용자 네트워크에 배포된 자원에 공인 IP를 연결해 사용자의 서비스를 인터넷(외부)에 공개할 수 있습니다.
공인 IP
공인 IP는 인터넷에서 접근 가능한 고정된 주소입니다. 사용자 네트워크에 배포된 자원을 공인 IP에 연결하여 사용자의 서비스를 인터넷에 공개할 수 있으며, 해당 자원은 인터넷을 통해 접근할 수 있습니다.
표 공인 IP
| 항목 | 설명 |
|---|---|
| IP 주소 | 사용자가 IP 주소를 선택할 수 없음 - 사용자가 공인 IP를 생성하면, 카카오 i 클라우드에서 보유한 공인 IP 대역 중 하나의 IP가 사용자의 프로젝트로 할당됨 |
| 연결 자원 | 사용자 네트워크에 배포된 자원을 공인 IP에 연결해 사용 가능 - 연결 가능한 자원: Virtual Machine 인스턴스, Bare Metal Server 인스턴스의 특정 인터페이스, Load Balancer |
공인 IP 연결 및 해제
공인 IP 연결 및 해제는 카카오 i 클라우드 콘솔을 통해 제어할 수 있습니다. 자세한 설명은 공인 IP 생성 및 관리하기 문서에서 확인하시기 바랍니다.
공인 IP 접근 관리
공인 IP는 프로젝트 단위로 생성 및 관리되며, 프로젝트 관리자만 공인 IP 접근 및 제어할 수 있습니다. 자세한 설명은 접근 권한(IAM 역할)에서 확인하시기 바랍니다.
공인 IP 사용량 쿼터
공인 IP는 프로젝트 당 최대 10개까지 생성할 수 있습니다
보안 설정
시큐리티 그룹을 사용해 네트워크에 배포된 인스턴스의 보안을 강화할 수 있습니다. 시큐리티 그룹은 IP 주소와 포트 번호를 기반으로 인스턴스로 전송된 패킷을 필터링합니다.
시큐리티 그룹
시큐리티 그룹은 인바운드 정책과 아웃바운드 정책을 토대로 연결된 인스턴스의 트래픽을 필터링합니다. 시큐리티 그룹의 작동 방식은 다음과 같습니다.
표 시큐리티 그룹 작동 방식
| 작동 방식 | 설명 |
|---|---|
| 화이트리스트 기반 | 시큐리티 그룹은 입력된 정책에 대해서만 트래픽을 허용하는 화이트리스트(Whitelist) 방식으로 작동 |
| 상태 관리 | 시큐리티 그룹은 상태 관리 기능(Stateful)이 제공됨 - 인바운드 정책에 의해 허용된 요청에 대해서는 아웃바운드 정책과 관계없이 응답이 허용됨 - 아웃바운드 정책에 의해 허용된 요청에 대해서는 인바운드 정책과 관계없이 응답이 허용됨 |
| 다중 인스턴스 연결 지원 | 한 개의 시큐리티 그룹을 다수의 인스턴스에 적용 가능 |
| 다중 시큐리티 그룹 연결 지원 | 다수의 시큐리티 그룹을 한 개의 인스턴스에 적용 가능 - 다수의 시큐리티 그룹이 연결된 시큐리티 그룹은 연결된 모든 시큐리티 그룹의 정책을 허용 |
| 다중 시큐리티 그룹 복사 기능 지원 | 동일한 인바운드/아웃바운드 정책을 가진 시큐리티 그룹을 복사해 생성 가능 - 자세한 설명은 시큐리티 그룹 복사하기 참고 |
시큐리티 그룹 정책
시큐리티 그룹 정책은 트래픽 방향에 따라 인바운드 정책과 아웃바운드 정책으로 분류합니다. 각 정책은 트래픽 방향, 프로토콜, 패킷 목적지 및 출발지, 포트 번호로 구성됩니다.
표 시큐리티 그룹 정책
| 정책 구성 | 설명 |
|---|---|
| 트래픽 방향 | 인스턴스 외부에서 내부로 들어오는 트래픽은 인바운드 정책으로 관리하고, 인스턴스 내부에서 외부로 나가는 트래픽은 아웃바운드 정책으로 관리 |
| 프로토콜 | 프로토콜은 네트워크/전송 단의 프로토콜 사용 가능한 프로토콜: TCP / UDP / ICMP / ALL - ALL을 입력할 경우, 모든 프로토콜에 대해 트래픽을 허용 |
| 패킷 목적지(Destination), 패킷 출발지(Source) | 정책의 트래픽 방향이 인바운드인 경우에는 패킷의 출발지를 기준으로 트래픽 필터링하고, 트래픽 방향이 아웃바운드인 경우에는 패킷의 목적지를 기준으로 트래픽을 필터링함 패킷 목적지와 출발지 입력 방식 - 방식 1: 허용하고자 하는 IP 주소 범위를 CIDR Notation으로 입력 ㄴ 0.0.0.0/0을 입력할 경우, 모든 IP 주소 범위에 대해 트래픽을 허용 ㄴ 예시 : 10.0.0.0/24, 123.123.123.123/32 - 방식 2: 시큐리티 그룹 이름 앞에 @를 포함하여, 해당 시큐리티 그룹과 연결된 모든 인스턴스를 허용 ㄴ @를 이용해 참조할 수 있는 시큐리티 그룹은 사용자가 속한 프로젝트에 접근 권한이 부여된 시큐리티 그룹으로 제한됨 ㄴ 예시 : @default-security-group, @security-group-name |
| 포트 번호 | 서비스가 공개된 포트로, 1~65,543 범위의 정수 중 선택 가능 - 하나의 포트를 선택하는 경우, 80과 같이 정수를 입력 - 여러 개의 연속된 포트를 선택하는 경우, 30,000-40,000과 같이 붙임표( -)를 이용해 시작 포트와 종료 포트를 입력 |
기본 시큐리티 그룹
모든 프로젝트에는 시큐리티 그룹의 이름이 default인 기본 시큐리티 그룹이 자동으로 생성되며, 다음의 인바운드 정책과 아웃바운드 정책이 설정됩니다.
표 시큐리티 그룹 정책
| 정책 | 프로토콜 | 패킷 출발지/목적지 | 포트 번호 |
|---|---|---|---|
| 인바운드 정책 | TCP | 패킷 출발지(Source): @default | ALL |
| 아웃바운드 정책 | ALL | 패킷 목적지(Destination): 0.0.0.0/0 | ALL |
접근 권한(IAM 역할)
프로젝트에 등록된 멤버(프로젝트 관리자/멤버)는 프로젝트 내 생성된 모든 네트워크 및 컴포넌트에 대한 접근 권한을 갖습니다. VPC의 역할 관리는 IAM 역할 기반 액세스 제어(RBAC)를 따릅니다.
- 네트워크 및 컴포넌트는 프로젝트 단위로 생성되며 관리됩니다.
- 일부 자원은 다른 프로젝트에서 공유된 형태로 관리될 수 있습니다.
- 조직 내 사용자를 특정 프로젝트의 프로젝트 관리자와 프로젝트 멤버 역할로 등록할 수 있습니다. 역할에 따라 권한은 다르게 설정됩니다.
- VPC, 서브넷, 라우팅 테이블에 대한 생성 및 관리는 조직 소유자 및 조직 관리자 권한이 필요합니다.
자원별 역할 권한
VPC
프로젝트 관리자, 멤버는 VPC를 직접 제어할 수 없습니다. VPC에 대한 생성 및 제어를 원하는 경우, 조직 레벨 권한자에게 요청하시기 바랍니다.
표 VPC
| 구분 | 프로젝트 관리자 | 프로젝트 멤버 |
|---|---|---|
| VPC 만들기 | ||
| VPC 조회 | ✓ | ✓ |
| VPC 설정 | ||
| VPC 삭제 |
서브넷
프로젝트 관리자, 멤버는 서브넷을 직접 제어할 수 없습니다. 서브넷에 대한 생성 및 제어를 원하는 경우, 조직 레벨 권한자에게 요청하시기 바랍니다.
표 서브넷
| 서브넷 | 프로젝트 관리자 | 프로젝트 멤버 |
|---|---|---|
| 서브넷 만들기 | ||
| 서브넷 조회 | ✓ | ✓ |
| 서브넷 설정 | ||
| 서브넷 삭제 |
라우팅 테이블
프로젝트 관리자, 멤버는 라우팅 테이블을 직접 제어할 수 없습니다. 라우팅 테이블에 대한 생성 및 제어를 원하는 경우, 조직 레벨 권한자에게 요청하시기 바랍니다.
표 라우팅 테이블
| 라우팅 테이블 | 프로젝트 관리자 | 프로젝트 멤버 |
|---|---|---|
| 라우팅 테이블 만들기 | ||
| 라우팅 테이블 조회 | ✓ | ✓ |
| 라우팅 테이블 설정 | ||
| 라우팅 테이블 삭제 |
시큐리티 그룹
표 시큐리티 그룹
| 시큐리티 그룹 | 프로젝트 관리자 | 프로젝트 멤버 |
|---|---|---|
| 시큐리티 그룹 만들기 | ✓ | ✓ |
| 시큐리티 그룹 조회 | ✓ | ✓ |
| 시큐리티 그룹 정책 변경 | ✓ | ✓ |
| 시큐리티 그룹 복사 | ✓ | ✓ |
| 시큐리티 그룹 삭제 | ✓ | ✓ |
공인 IP
프로젝트 멤버가 공인 IP가 연결된 자원에 접근 권한이 있는 경우, 해당 자원의 상세 페이지에서 연결된 공인 IP를 확인할 수 있습니다. 단, 프로젝트 내 생성된 공인 IP 목록은 프로젝트 관리자만 조회할 수 있습니다.
표 공인 IP
| 공인 IP | 프로젝트 관리자 | 프로젝트 멤버 |
|---|---|---|
| 공인 IP 만들기 | ✓ | |
| 공인 IP 조회 | ✓ | |
| 공인 IP 연결 | ✓ | |
| 공인 IP 연결 해제 | ✓ | |
| 공인 IP 삭제 | ✓ |
프로젝트 멤버 관리
프로젝트에 프로젝트 멤버 또는 관리자를 추가 및 제외하여 프로젝트 내 네트워크 및 컴포넌트에 대한 접근 권한을 관리할 수 있습니다. 프로젝트 멤버 관리에 대한 자세한 설명은 프로젝트 레벨 역할 관리하기를 참고하시기 바랍니다.
라우팅 테이블
라우팅 테이블을 생성하여 용도와 목적에 따라 각 서브넷 내 패킷을 라우팅 경로로 설정하거나, 라우팅을 적용할 서브넷을 연결할 수 있습니다. VPC 당 1개의 라우팅 테이블이 반드시 생성되며, VPC와 함께 생성된 라우팅 테이블은 기본 라우팅 테이블로 지정됩니다.
기본 라우팅 테이블은 카카오 i 클라우드 콘솔 > VPC > Routing Table 탭에서 기본: 예로 표시됩니다. 기본 라우팅 테이블은 삭제가 불가능하며, 라우팅 테이블이 속한 VPC 삭제 시 함께 삭제됩니다.
라우트
트래픽이 도착할 목적지 IP 주소와 경유할 게이트웨이(Target 타입)를 설정할 수 있습니다.
Target 타입이 Local인 라우트의 목적지 IP는 VPC CIDR Block으로만 설정할 수 있습니다. Target 타입이 Internet Gateway인 라우트의 목적지 IP는 VPC CIDR Block IP 외 IP Pool만 설정할 수 있습니다.
안내
기본 라우팅 테이블의 Target 타입이 Local인 라우트 정책은 수정 또는 삭제할 수 없습니다.
표 Target 타입별 설정 가능 목적지 IP
| Target 타입 | Target 이름 | 설정 가능한 목적지 IP |
|---|---|---|
| Local | Local | VPC CIDR Block |
| Internet GateWay | IGW-uuid | VPC CIDR Block 외 IP |
연결된 서브넷
라우팅 테이블에 서브넷을 연결할 수 있습니다. 연결된 서브넷은 라우팅 테이블이 가지고 있는 라우팅 경로에 따라 트래픽을 전송할 수 있습니다. 단, 서브넷은 하나의 라우팅 테이블에만 연결될 수 있습니다.
주의
라우팅 생성/변경/삭제 시, 해당 라우팅 테이블에 연결된 서브넷 통신 경로가 변경됩니다. 연결된 서브넷의 현황을 확인 후 라우팅 테이블 관리를 수행하시기 바랍니다.
사용 가이드
안내
카카오 i 클라우드의 VPC 서비스에 대한 자세한 사용 가이드는 다음 문서를 참고하시기 바랍니다.
표 VPC 사용 가이드
| 구분 | 문서 | 설명 |
|---|---|---|
| 조직 관리자 및 소유자 | VPC 생성 및 관리하기 | VPC 생성 및 관리 방법을 설명합니다. |
| 서브넷 생성 및 관리하기 | 서브넷 생성 및 관리 방법을 설명합니다. | |
| 라우팅 테이블 생성 및 관리하기 | 라우팅 테이블 생성 및 관리 방법을 설명합니다. | |
| 프로젝트 관리자 및 멤버 | VPC 조회하기 | VPC를 조회하는 방법을 설명합니다. |
| 서브넷 조회하기 | 서브넷을 조회하는 방법을 설명합니다. | |
| 라우팅 테이블 조회하기 | 라우팅 테이블을 조회하는 방법을 설명합니다. | |
| 시큐리티 그룹 생성 및 관리하기 | 시큐리티 그룹 생성 및 관리 방법을 설명합니다. | |
| 공인 IP 생성 및 관리하기 | 프로젝트 관리자 권한을 가진 사용자가 공인 IP 생성 및 관리하는 방법을 설명합니다. | |
| NAT 디바이스 가이드 | NAT Instance 사용하기 | NAT Instance를 사용하기 위한 설정 방법을 설명합니다. |