네트워킹 정보
IBM Cloud® Virtual Private Cloud(VPC)는 고객 계정에 연결된 가상 네트워크입니다. 가상 인프라 및 네트워크 트래픽 세분화를 세부적으로 제어하여 동적으로 확장할 수 있는 기능을 갖춘 클라우드 보안을 제공합니다.
개요
각 VPC는 단일 지역에 배치됩니다. 해당 지역 내에서 VPC는 여러 구역에 걸쳐 있을 수 있습니다.
VPC의 서브넷은 선택적 퍼블릭 게이트웨이를 통해 공용 인터넷에 연결할 수 있습니다. 가상 서버 인스턴스에 유동 IP 주소를 할당하여 서브넷이 퍼블릭 게이트웨이에 연결되었는지 여부에 관계없이 인터넷에 연결할 수 있도록 할 수 있습니다.
VPC 내의 서브넷은 개인 연결을 제공하며, 내포된 라우터를 통해 개인 연결을 통해 서로 통신할 수 있습니다. 경로를 설정할 필요는 없습니다. 그림 1은 서브넷과 각 서브넷이 공용 인터넷에 연결할 수 있는 가상 프라이빗 클라우드를 세분화하는 방법을 보여줍니다.
용어
VPC를 사용하려면 배포에 적용되는 지역 과 구역 의 기본 개념을 검토하십시오.
지역
지역은하나 이상의 구역으로 구성된 독립적인 지리적 영역. VPC가 배치된 지리적 영역을 추상화한 것입니다. 각 지역에는 여러 구역지역 내의 위치로서 독립적인 결함 영역으로 작용하고, 해당 지역의 다른 구역에 대한 지연 시간이 감소한 위치입니다.이 포함되어 있습니다. VPC는 할당된 리전 내에서 여러 영역에 걸쳐 있을 수 있습니다. IBM Cloud는 두 가지 계층의 리전을 제공합니다: 멀티존 리전내결함성을 높이기 위해 여러 영역의 물리적 위치에 분산되어 있는 영역입니다.과 단일 캠퍼스 멀티존 리전하나의 건물 또는 캠퍼스 내에 여러 구역으로 구성된 지역. 전원, 냉각, 네트워크, 물리적 보안과 같은 종속성은 공유될 수 있지만, 고도의 독립성을 제공하도록 설계되어 있습니다. 입니다.
구역
각 구역에는 서브넷을 작성할 수 있는 주소 범위를 지정하는 기본 주소 접두부가 할당됩니다. 기본 주소 구성이 요구사항에 맞지 않으면 자체 공인 IPv4 주소 범위를 가져오는 것처럼 주소 접두부를 사용자 정의할 수 있습니다. 논리적 영역 이름을 물리적 영역에 매핑하는 것은 계정에 상대적이므로 영역의 기본 주소 접두사 범위는 계정마다 다를 수 있습니다. 자세한 내용은 리소스 배포를 위한IBM Cloud 위치를 참조하세요.
VPC의 서브넷 특성
각 서브넷은 지정된 IP 주소 범위(CIDR 블록)로 구성됩니다. 서브넷은 단일 구역에 바인딩되며 여러 구역 또는 지역에 걸쳐 있을 수 없습니다. 동일한 VPC의 서브넷은 서로 연결됩니다.
시스템에서 예약된 주소
IBM 가 VPC를 운영하기 위해 사용하는 특정 IP 주소는 예약되어 있습니다. 다음 주소는 예약된 주소입니다(이 IP 주소는 서브넷의 CIDR 범위가 10.10.10.0/24 인 것으로 가정합니다):
- CIDR 범위의 첫 번째 주소(
10.10.10.0): 네트워크 주소 - CIDR 범위의 두 번째 주소(
10.10.10.1): 게이트웨이 주소 - CIDR 범위의 세 번째 주소(
10.10.10.2): IBM에서 예약 - CIDR 범위의 네 번째 주소(
10.10.10.3): 향후 사용을 위해 IBM에서 예약 - CIDR 범위의 마지막 주소(
10.10.10.255): 네트워크 브로드캐스트 주소
외부 연결
서브넷에 연결된 퍼블릭 게이트웨이 또는 가상 서버 인스턴스에 연결된 유동 IP 주소를 사용하여 외부 연결을 수행할 수 있습니다. 소스 네트워크 주소 변환(SNAT)에는 퍼블릭 게이트웨이를, 대상 네트워크 주소 변환(DNAT)에는 유동 IP를 사용합니다.
이 표는 옵션들 간의 차이점을 요약한 것입니다:
| 공용 게이트웨이 | 부동 IP |
|---|---|
| 인스턴스에서 인터넷에 대한 연결을 시작할 수 있지만 인터넷으로부터의 연결을 수신할 수는 없음 | 인스턴스에서 인터넷 연결을 시작하거나 수신할 수 있음 |
| 전체 서브넷에 대한 연결을 제공함 | 단일 인스턴스에 대한 연결을 제공함 |
보안 외부 연결의 경우 VPN 서비스를 사용하여 VPC를 다른 네트워크에 연결하십시오. VPN에 대한 자세한 정보는 VPC에서 VPN 사용을 참조하십시오.
서브넷의 외부 연결에 퍼블릭 게이트웨이 사용
A 퍼블릭 게이트웨이를 사용하면 서브넷 및 연결된 모든 가상 서버 인스턴스를 인터넷에 연결할 수 있습니다. 기본적으로 서브넷은 사설입니다. 서브넷이 공용 게이트웨이에 연결되면 해당 서브넷의 모든 인스턴스가 인터넷에 연결될 수 있습니다. 각 구역에는 퍼블릭 게이트웨이가 하나만 있지만 퍼블릭 게이트웨이를 여러 서브넷에 연결할 수 있습니다.
공용 게이트웨이에서는 _다대일 NAT_를 사용합니다. 즉, 개인용 주소를 사용하는 수많은 인스턴스가 하나의 공용 IP 주소를 사용하여 공용 인터넷과 통신합니다.
다음 그림은 현재 게이트웨이 서비스 범위를 요약합니다.
| SNAT | DNAT | ACL | VPN |
|---|---|---|---|
| 인스턴스는 인터넷에 대한 아웃바운드 전용 액세스를 가질 수 있습니다. | 인터넷에서 개인 IP로의 인바운드 연결을 허용합니다. | 인터넷에서 인스턴스 또는 서브넷으로의 인바운드 액세스를 제한합니다. | 사이트 간 VPN은 규모와 관계없이, 단일 또는 다중 위치의 고객을 처리합니다. |
| 전체 서브넷이 아웃바운드 공용 엔드포인트를 공유합니다. | 단일 개인 서버에 대한 제한된 액세스를 제공합니다. | 서비스, 프로토콜 또는 포트를 기준으로 인터넷에서 들어오는 액세스를 제한합니다. | 높은 처리량(최대 10Gbps)은 고객에게 대용량 데이터 파일을 안전하고 신속하게 전송할 수 있는 능력을 제공합니다. |
| 인스턴스를 보호합니다. 공용 엔드포인트를 통해 인스턴스에 액세스할 수 없습니다. | DNAT 서비스는 요구 사항에 따라 확장 또는 축소할 수 있습니다. | 상태가 없는 ACL은 트래픽을 세밀하게 제어할 수 있도록 해줍니다. | 업계 표준 암호화를 통해 안전한 연결을 만드십시오. |
구역당 하나의 공개 게이트웨이만 만들 수 있습니다. 그러나 해당 공용 게이트웨이는 영역의 여러 서브넷에 연결할 수 있습니다.
가상 서버 인스턴스의 외부 연결에 유동 IP 주소 사용
유동 IP 주소는 시스템에서 제공하고 공용 인터넷에서 연결할 수 있는 IP 주소입니다.
IBM에서 제공하는 사용 가능한 주소 풀에서 유동 IP 주소를 예약하고 동일한 구역에 있는 모든 인스턴스의 네트워크 인터페이스와 연결할 수 있습니다. 이 인터페이스에는 개인 IP 주소도 있습니다. 각 유동 IP 주소는 하나의 인터페이스에만 연결할 수 있습니다.
참고
- 인스턴스와 유동 IP 주소를 연결하면 퍼블릭 게이트웨이의 다대일 NAT에서 인스턴스가 제거됩니다.
- 현재 유동 IP는 IPv4 주소만 지원합니다.