온프레미스 네트워크 <-> 클라우드 네트워크 개념

온프레미스 네트워크와 클라우드 네트워크의 연결

온프레미스 네트워크를 이해하면 AWS 같은 클라우드 네트워크도 쉽게 이해할 수 있다.
클라우드에서도 결국 중요한 것은 네트워크 대역을 나누고, 외부에 노출할 영역과 내부에 둘 영역을 구분하며, 필요한 통신만 허용하는 것이다.

온프레미스에서 스위치, 라우터, 방화벽, DMZ, 내부망을 구성하듯이 AWS에서는 VPC, Subnet, Route Table, Internet Gateway, Security Group 등을 사용해 네트워크를 구성한다.

---

온프레미스와 AWS 개념 비교

온프레미스 개념	AWS에서 대응되는 개념	설명
네트워크 대역	VPC CIDR	AWS에서 사용할 전체 IP 주소 범위
서브넷	Public Subnet, Private Subnet	VPC 안에서 역할별로 나눈 작은 네트워크
라우터	Route Table	트래픽을 어디로 보낼지 결정하는 라우팅 규칙
인터넷 연결	Internet Gateway	VPC가 인터넷과 통신하기 위한 출입구
NAT	NAT Gateway	Private Subnet의 서버가 인터넷으로 나갈 때 사용
방화벽	Security Group, NACL	인스턴스나 서브넷 단위의 접근 제어
DMZ	Public Subnet	외부에서 접근해야 하는 리소스를 두는 영역
내부 서버망	Private Subnet	외부에서 직접 접근하면 안 되는 서버를 두는 영역
VPN	Site-to-Site VPN, Client VPN	외부 네트워크나 사용자가 AWS 내부망에 안전하게 접속
로드밸런서	ALB, NLB	여러 서버로 트래픽을 분산
WAF	AWS WAF	웹 공격 요청을 탐지하고 차단
네트워크 로그	VPC Flow Logs	VPC 안의 네트워크 통신 기록

---

AWS 네트워크 구조 예시

AWS에서는 보통 다음과 같이 네트워크를 구성한다.

Internet
  ↓
Internet Gateway
  ↓
Public Subnet
  - ALB
  - Bastion Host
  - NAT Gateway
  ↓
Private Subnet
  - Application Server
  ↓
Private Subnet
  - Database

 

여기서 Public Subnet은 인터넷과 직접 연결될 수 있는 영역이고, Private Subnet은 외부에서 직접 접근할 수 없도록 보호하는 내부 영역이다.

예를 들어 웹 서비스라면 외부 사용자는 Public Subnet에 있는 ALB까지 접근하고, 실제 애플리케이션 서버와 데이터베이스는 Private Subnet에 배치한다.

사용자
  ↓
Internet Gateway
  ↓
ALB - Public Subnet
  ↓
App Server - Private Subnet
  ↓
DB - Private Subnet

 

이렇게 구성하면 외부 사용자는 서비스에 접근할 수 있지만, 내부 서버와 DB는 인터넷에 직접 노출되지 않는다.

---

핵심 개념별 설명

1. VPC CIDR

VPC CIDR은 AWS에서 사용할 전체 네트워크 대역이다.
온프레미스에서 회사 내부망 IP 대역을 정하는 것과 비슷하다.

예를 들어 다음과 같이 설정할 수 있다.

VPC CIDR: 10.0.0.0/16

 

이 VPC 안에서 Public Subnet과 Private Subnet을 나누어 사용한다.

---

2. Public Subnet

Public Subnet은 인터넷과 직접 통신할 수 있는 서브넷이다.
보통 외부에서 접근해야 하는 리소스를 배치한다.

ALB
Bastion Host
NAT Gateway
Public Web Server

 

온프레미스의 DMZ와 비슷한 역할을 한다고 볼 수 있다.

---

3. Private Subnet

Private Subnet은 외부 인터넷에서 직접 접근할 수 없는 서브넷이다.
중요한 서버나 데이터베이스는 보통 Private Subnet에 둔다.

Application Server
Database
Internal Service

 

외부 사용자가 DB에 직접 접근하지 못하게 하고, 애플리케이션 서버를 통해서만 접근하도록 구성한다.

---

4. Route Table

Route Table은 트래픽을 어디로 보낼지 결정하는 라우팅 규칙이다.
온프레미스의 라우팅 테이블과 같은 개념이다.

예를 들어 Public Subnet의 Route Table에는 인터넷으로 나가는 경로가 있다.

0.0.0.0/0 → Internet Gateway

 

Private Subnet은 보통 인터넷으로 직접 나가지 않고 NAT Gateway를 통해 나간다.

0.0.0.0/0 → NAT Gateway

 

---

5. Internet Gateway

Internet Gateway는 VPC가 인터넷과 통신하기 위한 출입구이다.
Public Subnet이 인터넷과 연결되려면 Route Table에 Internet Gateway로 향하는 경로가 있어야 한다.

Public Subnet → Internet Gateway → Internet

 

---

6. NAT Gateway

NAT Gateway는 Private Subnet의 서버가 인터넷으로 나갈 때 사용한다.
예를 들어 Private Subnet의 서버가 패키지 업데이트를 위해 외부 인터넷에 접속해야 할 수 있다.

Private Server → NAT Gateway  → Internet

 

중요한 점은 NAT Gateway를 사용하면 Private Subnet의 서버가 인터넷으로 나갈 수는 있지만, 외부 인터넷에서 해당 서버로 직접 들어올 수는 없다는 것이다.

---

7. Security Group과 NACL

AWS에서 방화벽 역할을 하는 대표적인 기능은 Security Group (보안 그룹)과 NACL (Network ACL: 네트워크 접근 제어)이다.

Security Group은 인스턴스 단위로 적용되는 방화벽이고, NACL은 서브넷 단위로 적용되는 방화벽이다.

구분	Security Group	NACL
적용 단위	EC2, RDS 등 리소스	Subnet
특징	허용 규칙 중심	허용/차단 규칙 모두 가능
상태 저장	Stateful	Stateless
사용 목적	리소스별 접근 제어	서브넷 경계 제어

예를 들어 ALB에는 인터넷에서 HTTPS 접근만 허용하고, App Server는 ALB에서 오는 트래픽만 허용할 수 있다.

Internet → ALB TCP 443 허용
ALB → App Server TCP 8080 허용
App Server → DB TCP 3306 허용
Internet → DB 직접 접근 차단

 

정리

 

클라우드 네트워크도 온프레미스 네트워크와 기본 원리는 같다.

차이는 물리 장비를 직접 구성하는 대신, AWS의 관리형 네트워크 서비스를 사용한다는 점이다.

중요한 것은 각 리소스의 역할에 맞게 네트워크를 구성하는 것이다. 예를 들어 데이터베이스는 외부에서 직접 접근하지 못하도록 Private Subnet에 배치하고, 외부 요청은 Load Balancer를 통해 여러 서버로 분산하며, Security Group과 Routing을 이용해 필요한 통신만 허용해야 한다.

즉, 클라우드 네트워크는 단순히 서비스를 배치하는 것이 아니라, 외부에 노출할 영역과 보호해야 할 영역을 구분하고, 가용성과 보안을 고려해 필요한 구성요소를 조합하는 과정이다.