43. 클라우드 가상 네트워크와 서브넷

[개념]

가상 네트워크와 서브넷은 완전히 새로운 개념이거나 갑자기 세상에 똑 떨어진 개념이 아니다.
기존의 Dedication 서버 환경에서 Cloud 서버 환경으로 넘어가며 생긴 분화이며 그 개념은 그대로 이어진다.
네트워크는 서로 연결된 장치가 데이터를 주고받을 수 있도록 하는 구조자체를 일컫는 말이다.

네트워크를 구성하는 요소는 기본적으로 IP 주소, 라우터, 스위치, 방화벽이 있다.
가상 네트워크는 이러한 것들을 소프트웨어적으로 구성하며, 논리적으로 동작하게 된다.
물리장비가 가지는 확장성과 유연성의 한계를 넘어 네트워크를 생성하고 배치할 수 있다는 장점이 있지만, 물리장비만큼의 성능을 원한다면 썩 좋은 선택은 아닐수 있다.

Cloud 환경에서 가상 네트워크는 가장 핵심 기술이라고 볼 수 있다.
논리적으로 존재하는 모든 Cloud 상품들을 물리장비 없이 연결하는 다리이기 때문이다.
가상 네트워크는 Cloud 환경에서 1) IP 주소관리 2) 서브넷 분리 3) 라우팅 4) 보안 5) 연동 을 담당하게 된다.

이러한 기능은 Subnet을 통해 IP영역을 분할하여 구현되는데, 이 때 가상 네트워크는 CIDR 표기를 기반으로 하여 네트워크를 잘게 쪼개게 된다.
가상 네트워크와 서브넷은 아래 그림처럼 분리되며, Cloud 제공자 중 Azure는 vNet으로, AWS는 VPC로 각각 다른 이름으로 가상 네트워크를 제공하지만 그 하위 Subnet개념은 동일하게 제공된다.

 

[간단한 가상네트워크/서브넷 구조]

 

가상 네트워크와 서브넷의 IP 구분을 이해하려면, CIDR 표기법 부터 짚고 넘어가야 한다
CIDR(Classless Inter-Domain Routing) 표기법은 IP주소 뒤에 "/숫자"를 붙여 네트워크 범위를 나타내는 표기법이며, "/숫자" 부분은 네트워크 부분의 비트를 의미한다.
IPv4 주소는 네트워크 부분과 호스트 부분을 합쳐 32비트로 구성이 되고, 네트워크 비트 구성 별 사용가능한 IP는 아래 표와 같이 제한된다.
총 IP개수와 사용가능한 IP개수가 서로 다른 이유는, 네트워크 주소와 브로드 캐스트 주소가 각각 1개씩, 총 2개 제외 되기 때문이다.
네트워크 주소란 호스트 부분이 전부 0인 주소로, 네트워크 전체를 나타내는 표시용 주소이고 특정 장치에 할당되지 않는다.
브로드 캐스트 주소는 호스트 부분이 전부 1인 주소로, 네트워크의 모든 주소와 통신하는 주소이다.

 

/8	8	24	16,777,216	16,777,214	10.0.0.0~10.255.255.255
/16	16	16	65,536	65,534	10.0.0.0~10.0.255.255
/24	24	8	256	254	10.0.0.0~10.0.0.255
/27	27	5	32	30	10.0.0.0~10.0.0.31
/32	32	0	1	1	단일 IP

 

서비스 구성 시 서브넷의 CIDR을 너무 크게 잡게 되면 IP가 낭비되고, 너무 작게 잡으면 추가 확장이 불가한 문제가 발생한다.
서비스 별 필요한 IP 개수를 경제적으로 계산하여 생성하는것이 중요하다.

CIDR이 서비스가 사용할 IP의 크기와 범위를 지정한다면, 가상 네트워크에서 IP 외 추가적으로 알고 있어야 할 내용은 아래와 같다.
아래 표 에서 제공하는 내용 중 주소체계에 관여되는 항목은 CIDR을 포함한 IP 주소대역(Private, Public), 통신 경로에 대한 항목은 게이트웨이와 라우팅, 보안 제어에 관련된 항목은 보안그룹, ACL이다.

 

IP 주소 대역 / 서브넷의 종류	Public / Private 통신에 대한 결정 인터넷에서 접근할 것인지, 내부에서만 사용할 것인지
게이트 웨이 (Gateway)	가상 네트워크와 다른 네트워크(인터넷 또는 온프렘)를 연결할 때 필요
라우팅 (Routing)	목적지 IP 범위와 경로를 정의하는 라우팅 테이블에 대한 내용
보안 그룹 & ACL	서브넷이나 VM에 적용하는 방화벽 규칙(IP/포트/프로토콜 기반 접근제어) 네트워크 자체 경계에서 동작하는 접근제어
DNS	IP 대신 도메인 이름으로 통신하도록 하는 서비스

 

---

 

1) Public / Private IP 대역은 정해져 있는가?
   - Private IP는 국제 표준(RFC 1918)로 명시되어 있고, 해당 구역은 인터넷에 라우팅 하지않고 내부적으로 사용하도록 정의 되어있다. 

10.0.0.0/8	가장 큰 범위, 대규모 네트워크에 사용
172.16.0.0/12	중간 크기 범위
192.168.0.0/16	가정/소규모 네트워크에서 흔히 사용

 

2) 기본 Gateway는 IP의 첫번째 주소를 사용하는가?
  - 표준으로 정해져 있지는 않으나, 네트워크 구성의 관례처럼 첫번째 할당 가능한 주소를 Gateway로 사용하는 편이다.
  - Cloud 사업자에서는 대부분 첫번째 할당 가능한 주소를 Gateway로 사용한다.

 

3) 외부 통신은 무조건 기본 Gateway를 통해 전달 되는가?
  - Subnet 내부에 없는 IP는 어떤 통신이든 기본 게이트웨이를 통해 외부로 나가게 된다.
  - 기본 Gateway는 라우팅 테이블을 가지고 있고, 라우팅 테이블을 통해 외부의 어떤 목적지로 통신해야하는지 전달한다.

 

 

---

 

온프레미스 (On-premise) 네트워크 🏠

온프레미스 환경에서는 물리적 네트워크 장비(스위치, 라우터, 방화벽)를 사용하여 네트워크를 직접 구축하고 관리합니다. 네트워크와 서브넷은 물리적 장비의 설정에 따라 나뉩니다.

• 네트워크: 물리적 스위치와 케이블로 구성된 LAN(Local Area Network) 환경입니다.
• 서브넷: 라우터나 Layer 3 스위치를 사용하여 IP 주소 대역을 논리적으로 분할합니다. 서브넷 마스크를 변경하여 네트워크의 크기를 조절합니다. 예를 들어, 192.168.1.0/24 네트워크를 192.168.1.0/26과 같이 더 작은 서브넷으로 나눌 수 있습니다.

---

클라우드 (Public Cloud) 네트워크 ☁️

클라우드 환경에서는 물리적 장비가 아닌 **소프트웨어 정의 네트워크(SDN)**를 기반으로 가상 네트워크를 구축합니다. 사용자는 웹 콘솔이나 API를 통해 네트워크를 논리적으로 정의합니다.

• 가상 네트워크 (Virtual Network): 온프레미스의 LAN과 유사한 개념입니다. 클라우드 내에서 격리된 사설 네트워크 공간을 생성합니다. AWS에서는 VPC(Virtual Private Cloud), Azure에서는 **VNet(Virtual Network)**이라고 부릅니다.
• 서브넷: 가상 네트워크 내의 IP 주소 대역을 더 작은 범위로 분할한 논리적 그룹입니다. 클라우드에서는 서브넷을 통해 리소스(가상 머신, 데이터베이스 등)를 배치하고, 서브넷 간의 트래픽을 제어합니다.

---

주요 차이점 📝

특징	온프레미스 네트워크	클라우드 가상 네트워크
기반 기술	물리적 장비 (스위치, 라우터)	소프트웨어 정의 네트워크 (SDN)
관리 주체	사용자가 직접 구매하고 관리	클라우드 제공업체가 인프라 관리
구축 방식	장비를 연결하고 물리적 설정	웹 콘솔, API를 통해 논리적 설정
확장성	하드웨어 추가 및 재설치 필요	클릭 몇 번으로 즉시 확장 가능
비용	초기 투자 비용 높음	사용한 만큼만 지불 (종량제)

Sheets로 내보내기

결론적으로, 온프레미스는 물리적 인프라를 직접 관리하는 반면, 클라우드는 가상화된 환경에서 모든 네트워크 설정을 논리적으로 처리한다는 점에서 가장 큰 차이가 있습니다.

 

 

---

 

 

[문제]

 

1) 클라우드 환경으로의 전환과 함께 가상 네트워크와 서브넷 개념이 중요해졌다.
   가상 네트워크는 기존의 물리적 네트워크 장비 역할(IP 주소 관리, 라우팅, 보안 등)을 소프트웨어적으로 구현하며,
   논리적으로 네트워크를 분할하고 관리할 수 있게 한다. 하지만 물리 장비와 비교할 때 성능에서 차이가 발생할 수 있다.
   다음 중 가상 네트워크 및 서브넷이 직접 담당하지 않는 역할을 고르시오.

1. IP 주소 및 서브넷 분리를 논리적으로 제어한다.
2. 라우팅 테이블을 관리해 네트워크 경로를 결정한다.
3. 각 VM의 배포 위치와 운영체제를 직접 결정한다.
4. 방화벽 역할을 수행하며, 보안 그룹 및 ACL 설정을 적용한다.
5. 네트워크 경계를 설정하고 내부/외부 네트워크 통신을 분리한다.

 정답확인

답: 3. 각 VM의 배포 위치와 운영체제를 직접 결정한다.

 

2) CIDR 표기법은 서브넷의 IP 범위를 지정할 때 사용된다.
   예를 들어 10.0.0.0/24는 256개의 IP가 포함된 대역이나, 실제로는 네트워크 주소와 브로드캐스트 주소를 제외한 IP만 할당된다.
   이러한 차이가 발생하는 이유는 무엇인가?

1. 네트워크와 브로드캐스트 주소가 각각 1개씩 예약되어 실제로 할당 불가하다.
2. 클라우드 서비스 제공자가 전체 IP 중 임의로 반을 제한한다.
3. 서브넷의 IP 일부가 항상 외부 공개 전용으로 할당된다.
4. 게이트웨이 주소가 모든 IP를 차단해서 분리한다.
5. IPv4 주소에서 가장 마지막 주소만 사용할 수 있도록 설계되어 있다.

 정답확인

답: 1. 네트워크와 브로드캐스트 주소가 각각 1개씩 예약되어 실제로 할당 불가하다.

 

3) 기업이 클라우드 환경으로 IT 인프라를 옮길 때, 네트워크의 논리적 분리와 관리를 위해 가상 네트워크(Virtual Network)를 활용한다.
    이는 실제 물리적인 라우터와 스위치를 물리적으로 설치하는 대신, 클라우드 플랫폼이 제공하는 소프트웨어 기반의 네트워크 기능을 활용해 네트워크를 구축하는 방식이다.
    가상 네트워크는 내부적으로 네트워크 장비들이 생성되거나 연결되는 듯 보이지만 실제로는 모두 소프트웨어적으로 제어·구성된다.
    이렇게 구축된 가상 네트워크 내에서 서버, 데이터베이스, 스토리지 등 다양한 리소스들이 안전하게 통신할 수 있도록 이메일, 웹 서버, 내부 관리 시스템 등 다양한 서비스가 격리되어 운영된다.
    이런 가상 네트워크의 장점으로 가장 옳은 것은 무엇인가?

1. 네트워크 구성 변경 시 별도의 물리 장비 구매가 필요하다.
2. 트래픽 증가에도 불구하고 성능 확장이 불가능하다.
3. 필요에 따라 즉각적으로 네트워크 구조를 설계하고 확장할 수 있다.
4. 모든 네트워크가 외부 인터넷과 자동으로 연결된다.
5. 클라우드에서 가상 네트워크는 물리적 제한 때문에 사용할 수 없다.

 정답확인

답: 3. 필요에 따라 즉각적으로 네트워크 구조를 설계하고 확장할 수 있다.

 

4) 가상 네트워크 내에서 다른 네트워크(서브넷 또는 외부 인터넷)와 통신할 때, 트래픽이 목적지에 따라 분기된다.
   서브넷의 각 구간에서는 게이트웨이(Gateway) 역할을 하는 IP 주소가 있어 네트워크 패킷이 다른 영역으로 전달될 때 반드시 거치는 경로가 된다.
   클라우드에서는 게이트웨이의 IP를 일반적으로 서브넷의 첫 번째 할당 가능한 주소로 사용하는 경우가 많다.
   관리자는 라우팅 테이블을 통해 네트워크 경로를 정의하여 트래픽을 효율적으로 처리한다. 서브넷에서 게이트웨이의 주요 역할로 가장 적합한 것은?

1. 서브넷의 모든 IP 주소를 블록화한다.
2. 서브넷 내에서 네트워크 트래픽의 방향을 제어하고 외부 네트워크로 트래픽을 전달한다.
3. 네트워크에 연결된 모든 장치의 메모리 사용량을 측정한다.
4. 서버별 운영체제를 변경한다.
5. IP 주소 할당을 임의로 취소한다.

 정답확인

답: 2. 서브넷 내에서 네트워크 트래픽의 방향을 제어하고 외부 네트워크로 트래픽을 전달한다.

 

5) 클라우드 네트워크 담당자는 Azure 환경에서 여러 개의 서브넷을 활용해 웹 서버와 DB 서버를 물리적으로(논리적으로) 분리하려고 합니다.
    보안 요구사항에 따라 DB 서버는 외부 접속을 제한하고, 웹 서버는 사용자 요청을 받아 내부 DB에 접근해야 합니다.
    이때 서브넷 설계 시 반드시 고려해야 할 점은 무엇입니까?

1. DB 서버와 웹 서버는 동일한 서브넷에서 운영해야만 서로 통신할 수 있다.
2. 서비스별(웹/DB)로 서브넷을 분리하면서, 서브넷마다 다른 네트워크 ACL 및 라우팅 테이블을 적용할 수 있다.
3. 서브넷 분리는 보안에 영향을 미치지 않으므로 동일 접근 정책을 적용하면 된다.
4. 모든 서버가 자동으로 퍼블릭 IP를 받아 외부에서 언제든 접속 가능해야 한다.
5. DB 서버에 대한 외부 접근은 막을 수 없으며, 모든 서브넷은 인터넷 게이트웨이에 연결되어야 한다.

 정답확인

정답: 2
해설: 실무에서 DB 서버는 외부 접근을 제한하고, 서브넷별로 개별 네트워크 ACL과 라우팅 테이블을 적용해 보안 정책을 세분화해야 합니다.