[AWS] Elastic IP, ENI

1) Elastic IP

- Elastic IP는 리전의 네트워크 자원인 정적 공인 IP이다.

- Elastic IP는 AWS 자원의 네트워크 인터페이스에 할당된 사설 IP와 연결

 

- "VPC - Elastic IPs - 탄력적 IP 주소 할당" 선택

 

- "네트워크 경계 그룹" 및 "퍼블릭 IPv4 주소 풀" 선택 후 할당

* 네트워크 경계 그룹은 원하는 리전을 선택

 

- 공인 IP를 발급받았으며 추후 인스턴스 같은 AWS 자원의 네트워크 인터페이스에 할당 가능

(※ Elastic IP 발급은 비용이 발생할 수 있으므로 주의)

 

2) ENI(Elastic Network Interface)

- ENI는 온프레미스의 NIC(Network Interface Card) 역할 수행

* ENI에 주요 사설 IP 1개와 보조 사설 IP 1개 이상 할당 가능

* (컴퓨팅) ENI에 보안 그룹 설정 가능

* 가용 영역 내에서 특정 EC2에 있는 ENI를 다른 EC2로 붙일 수 있음

 

- 수동으로 생성한 ENI는 연결된 인스턴스가 종료되도 삭제되지 않음

ㄴ 인스턴스를 생성하며 자동 생성된 ENI는 인스턴스 종료 시 자동 삭제됨

 

- ENI는 소스/대상 확인 옵션이 존재

- 해당 옵션은 패킷의 출발지(목적지) IP와 ENI의 출발지(목적지) IP가 같아야 전송하는 옵션
=> 이 옵션이 켜져있을 때, 패킷과 ENI IP의 출발지 OR 목적지가 다르면 패킷은 소멸

 

- ENI 유형은 컴퓨팅 ENI와 라우팅 ENI 등 역할 구분 가능

=> 컴퓨팅 ENI는 EC2 등의 ENI

=> 라우팅 ENI는 NAT G/W 등의 ENI

 

- 라우팅 ENI는 소스/대상 확인 옵션을 켤 수 없다. (해당 옵션의 요청자 관리형 값이 YES)

* 라우팅 ENI는 출발지와 목적지 사이에서 패킷을 라우팅하는 역할을 수행(ENI의 IP != 패킷 내 IP)

  이런 상황에서 소스/대상 확인 옵션이 켜져있다면 라우팅 ENI를 경유하는 패킷이 전부 소멸됨

=> 이런 이유로 사용자가 임의로 설정을 변경할 수 없도록 요청자 관리형(Requester-managed) 속성 존재
=> 요청자 관리형 값이 "YES"인 경우, 사용자의 임의 설정이 제한

 

- 보안성 향상

* 일반 인스턴스를 경유지로 사용하지 않는다면 소스/대상 옵션은 켜두는 것이 보안상 좋다.

* 컴퓨팅 ENI는 보안그룹 / 라우팅 ENI는 ACL 설정으로 보안성 향상

 

책 'AWS 토폴로지로 이해하는 Amazon VPC 네트워킹 원리와 보안'을 참고하여 학습 중