이름: 네트워크 인터페이스의 이름을 입력합니다.
VPC: 네트워크 인터페이스를 생성할 VPC를 선택합니다.
서브넷: 네트워크 인터페이스를 생성할 서브넷(subnet)을 선택합니다.
가상 IP: 이중화를 위한 가상 IP용으로 네트워크 인터페이스를 생성합니다.
가상 IP로 사용할 IP를 다른 인스턴스, 로드 밸런서 등의 리소스에 할당하지 못하도록 선점할 수 있습니다.
가상 IP로 생성된 네트워크 인터페이스는 VIRTUAL_IP 장치명을 가지며, 라우팅 테이블의 라우트 설정에서 라우트의 게이트웨이로 지정할 수 있습니다.
가상 IP로 생성한 네트워크 인터페이스는 인스턴스 생성 시 직접 연결하여 사용할 수 없습니다.
보안: 스푸핑을 방지하고 네트워크 인터페이스에 보안 그룹을 설정할 수 있는 기능입니다.
보안 기능을 사용하면 네트워크 인터페이스의 IP/MAC 주소를 출발지로 갖지 않는 패킷이 해당 네트워크 인터페이스를 통해 발신되는 것을 차단하여 스푸핑을 방지하고, 보안 그룹을 이용해 트래픽을 제어할 수 있습니다.
보안 기능을 사용하지 않으면 이러한 스푸핑 방지 기능 및 보안 그룹 설정이 모두 해제됩니다. 이로 인해 모든 패킷이 허용되므로 자체적인 보안 기능(방화벽 등)을 갖추지 않은 경우 반드시 사용할 것을 권고합니다.
보안 그룹 선택: 네트워크 인터페이스에서 사용할 보안 그룹을 선택합니다. 여러 개 선택할 수 있습니다.
스푸핑 방지: 보안 기능 중 스푸핑 방지 기능을 사용 또는 해제할 수 있는 기능입니다.
스푸핑 방지를 사용하지 않으면 네트워크 인터페이스에 할당되지 않은 IP 주소를 출발지로 설정한 패킷도 발신이 허용됩니다.
게이트웨이 등 패킷을 전달하는 기능을 갖는 인스턴스에 연결하여 사용할 수 있습니다. 특히, NAT 인스턴스는 출발지 주소를 그대로 전달해야 하므로 스푸핑 방지 기능을 반드시 해제해야 합니다.
추가 허용 주소: 스푸핑 방지 기능이 활성화된 상태에서 할당된 기본 IP 외에 특정 IP를 출발지로 하는 패킷을 송신해야 할 경우 사용합니다. 등록한 IP는 스푸핑 차단에서 예외 처리되어 정상적으로 통신할 수 있습니다.
정해진 가상 IP를 이용한 이중화 구성이 필요할 때 사용할 수 있습니다.
확인을 클릭하면 네트워크 인터페이스가 생성됩니다.
알아두기
인스턴스 생성 시 네트워크 인터페이스를 생성하는 경우와 기존 네트워크 인터페이스를 지정하는 경우 차이점
네트워크 인터페이스의 속성 중 이름, IP, 보안, 스푸핑 방지, 추가 허용 주소와 보안 그룹을 변경할 수 있습니다. 플로팅 IP 연결이 없어야 변경할 수 있습니다. IP 변경이 반영되려면 인스턴스를 재부팅하고 DHCP가 갱신될 때까지 시간이 필요합니다.
선택한 네트워크 인터페이스를 삭제할 수 있습니다. 삭제하려면 네트워크 인터페이스가 장치에 연결되어 있지 않아야 합니다.
가상 IP용으로 생성한 네트워크 인터페이스는 고가용성(HA) 구성이나 이중화 시나리오에서 특정 IP 주소를 선점하고 라우팅 테이블에서 라우트 게이트웨이로 지정하기 위한 용도입니다. 가상 IP로 생성된 네트워크 인터페이스는 VIRTUAL_IP 장치명을 가지며, 특정 인스턴스와 직접 연결되지 않습니다.
가상 IP로 지정한 IP를 인스턴스에서 사용하기 위해서는 다음과 같은 절차가 필요합니다.
보안 설정 변경 네트워크 인터페이스의 보안 기능은 스푸핑 방지를 위해 해당 인터페이스에 할당된 IP 주소만 출발지로 사용할 수 있도록 제한합니다. 가상 IP를 사용하려면 이러한 스푸핑 방지 기능을 우회하도록 보안 설정을 변경해야 합니다. 보안 설정을 변경하는 방법은 3가지가 있으며, 보안 수준과 사용 환경에 따라 적절한 방법을 선택할 수 있습니다.
보안 기능 해제
네트워크 인터페이스의 보안 기능을 사용하지 않으면 스푸핑 방지 기능이 해제되어 가상 IP를 포함한 모든 IP 주소를 제한 없이 사용할 수 있습니다. 하지만 이 경우 보안 그룹도 적용되지 않아 모든 트래픽이 허용되므로, 자체적인 보안 기능(방화벽 등)을 갖춘 환경에서만 사용하는 것이 좋습니다.
스푸핑 방지 기능만 해제
보안 그룹 등 다른 보안 기능은 유지하면서 스푸핑 방지 기능만 해제하는 방법입니다. 이는 NAT 인스턴스나 게이트웨이 역할을 하는 인스턴스에서 주로 사용됩니다. 보안과 유연성의 균형을 맞출 수 있는 방법입니다.
추가 허용 주소 등록 (권장)
보안 그룹과 스푸핑 방지 등 모든 보안 기능을 유지하면서 특정 IP만 추가 허용 주소로 등록하여 선택적으로 허용하는 방법입니다. 사용할 가상 IP가 미리 결정되어 있는 경우 해당 가상 IP를 추가 허용 주소에 등록하여 사용할 수 있으며, 보안성이 가장 높은 방법입니다.
인스턴스 운영체제 구성
보안 설정 변경이 완료되면 인스턴스에서 가상 IP를 사용할 수 있도록 운영체제를 구성해야 합니다. 클라우드 시스템에서는 이에 대한 기능을 별도로 제공하지 않으며, 인스턴스 내에서 직접 구성해야 합니다.
가상 IP 구성 방법은 사용 환경과 요구사항에 따라 다음 중 하나를 선택할 수 있습니다. Linux의 경우 ip addr add 명령어나 네트워크 설정 파일을 수정하여 가상 IP를 보조 IP로 추가할 수 있으며, Windows의 경우 네트워크 어댑터 속성에서 고급 TCP/IP 설정을 통해 추가할 수 있습니다. 또한 Keepalived, Pacemaker 등의 고가용성 솔루션을 활용하거나, 장애 조치(failover) 시나리오에 따른 자동 IP 할당/해제 스크립트를 구성하여 자동화할 수도 있습니다.
알아두기
가상 IP 사용 시 다음 사항에 주의하세요. * 가상 IP와 이를 사용할 인스턴스들의 네트워크 인터페이스는 같은 서브넷 내에 위치해야 합니다. * 가상 IP를 사용하여 통신할 때, 이를 사용하는 인스턴스는 기존 보안 그룹이 그대로 적용됩니다. 즉, 가상 IP에는 별도로 적용되는 보안 그룹 규칙이 없습니다. * 가상 IP를 출발지 주소로 갖는 패킷을 수신해야 하는 인스턴스는 보안 그룹에 가상 IP를 원격으로 수신할 수 있는 규칙을 확인해야 합니다. 가상 IP는 어느 보안 그룹에도 속하지 않으므로, 수신 규칙에 원격으로 '보안 그룹'을 지정해 둔 경우 가상 IP가 해당 보안 그룹에 포함되지 않아 통신이 되지 않을 수 있습니다. * 가상 IP를 사용하는 인스턴스는 네트워크 구성에 따라 인스턴스 내부 라우팅 규칙을 직접 조정해야 할 수 있습니다.