목차
VPC FlowLog
개요
•
VPC에 속한 네트워크 인터페이스에서 송수신되는 트래픽에 대한 정보를 수집할 수 있는 기능
•
네트워크 연결 문제 해결, 보안 문제 확인, 네트워크 접근 제어 정책이 정상적으로 동작하는지 확인 가능
•
특정 유형의 트래픽을 감지하여 알람을 만들거나 트래픽의 변화와 패턴을 파악하기 위한 통계 지표 생성 가능
[참고]
•
VPC 플로우 로그는 네트워크 인터페이스에 대한 로그 정보를 실시간으로 게시하지 않음
•
플로우 로그 레코드를 게시하는데 1분 또는 10분의 집계 기간에 따라 대기 시간이 소요될 수 있음
플로우 로그 도식화 예시
•
서브넷A의 인스턴스A-1 대상만 플로우 로그-AAA 그룹으로 생성하고 발생한 플로우 레코드를 S3 버킷에 쌓음
•
서브넷 B의 인스턴스 B1과 B2를 플로우 로그-BBB 그룹으로 생성하고 발생한 플로우 로그 레코드를 CloudWatch Logs를 통해 게시
VPC 플로우 로그 레코드 구조
•
VPC 플로우 로그 레코드의 버전을 3이나 4로 지정하면 추가적인 필드를 사용 가능
VPC 플로우 로그 사용 권한
•
VPC 플로우 로그를 통해 VPC 로그 정보를 수집하려면 IAM 정책과 역할을 생성해야 함
[실습] VPC 플로우 로그를 통해 보안그룹과 네트워크 ACL 차이 알아보기
1. CloudFormation 적용
2. VPC 플로우 로그 생성 및 확인
VPC 트래픽 미러링
개요
•
네트워크 환경에서 발생하는 트래픽을 복제하여 특정 장치로 전달하여 해당 정보를 모니터링할 수 있는 기능
•
해당 패킷은 Whireshark로 불러와서 확인 가능
VPC 플로우 로그와의 차이
VPC 플로우 로그 | VPC 트래픽 미러링 | |
개요 | VPC 상 네트워크 플로우를 로그 형태로 표현 | VPC 상 트래픽의 실제 네트워크 패킷 정보 수집 |
타깃 | S3 버킷이나 CloudWatch Logs로 전달 | 다른 ENI나 NLB로 전달 |
구조 | 레코드 형태로 제한된 필드 정보 제공 | 실제 네트워크 패킷 |
VPC 트래픽 미러링 구성
미러 소스
•
AWS 네트워크 리소스의 ENI
미러 타깃
•
소스와 다른 ENI 또는 NLB
미러 필터
•
트래픽 대상 정의
•
출발지/목적지에 대한 IP 대역이나 프로토콜, 포트 번호 등 지정
•
미러 필터 내용이 존재하지 않는다면 대상이 없는 의미로 트래픽 미러링을 수행하지 않음
미러 세션
•
트래픽 미러링 필터를 사용하는 미러 소스와 미러 타깃 간의 연결
•
미러 세션을 통해 소스와 타깃을 지정하고 필터를 연결하여 트래픽 미러링 연결 구성을 생성
VPC 트래픽 미러링 동작
VPC 트래픽 미러링 제약 사항
EC2 인스턴스 유형 제약
•
Nitro 유형만 지원
미러 소스와 미러 타깃의 위치
•
동일한 VPC에 속해있거나 VPC 피어링이나 전송 게이트웨이를 통해 연결되어 있어야 함
미러 세션 수
•
계정 당 1000개의 세션 제약
•
네트워크 인터페이스 당 3개의 세션 제약
트래픽의 프로토콜 제약
•
ARP, DHCP, NTP, EC2 메타데이터 등에 대해서 트래픽 미러링을 할 수 없음