목표 : 프라이빗 서브넷에 DB서비스인 RDS 인스턴스 배치하기!

프라이빗 서브넷에서는 퍼블릭 서브넷과 달리 인터넷 게이트웨이를 셋팅하면 안 된다.

왜? → 인터넷 게이트웨이는 VPC와 외부 인터넷 간에 통신할 수 있게 해주는 장치이다. 때문에 프라이빗 서브넷은 보안을 위해 외부에서 접근을 불가능하게 만들어야 한다!

따라서 프라이빗 서브넷은 NAT 게이트웨이를 셋팅해야 한다.

NAT 게이트웨이란?

외부 인터넷에서 서브넷으로 접근할 수는 없지만 서브넷에서 외부 인터넷으로 접근할 수 있게 해주는 장치다.

인터넷 게이트웨는 양방향이고, NAT 게이트웨이는 단방향이네(서브넷→외부 인터넷)!!

즉 내부에서 외부로만 나갈 수 있는 출입구 이다! 아래는 좋은 그림.

image.png

내부에서 외부로만 접근할 수 있으므로 해커가 외부에서 접근 못함!

image.png

그럼 NAT 게이트웨이를 프라이빗 서브넷에 두어야 할까? → 아니다!! → NAT 게이트웨이는 퍼블릭 서브넷에 연결을 한다. →

아래의 그림을 보면 NAT 게이트웨이는 퍼블릭 서브넷에 두고 라우팅 테이블로 프라이빗 서브넷의 트래픽을 인터넷 게이트웨이로 보내고 있음을 알 수 있다!

이는 프라이빗 서브넷을 외부 인터넷에 직접적으로 노출시키지 않으면서도, 인터넷에 접근을 할 수 있게 만들어야 해서 나온 전략 구조이다!