* NAT 게이트웨이 실습
= 정황상 VPC와 서브넷을 먼저 만들어야 할거같다.
= VPC 먼저 만들어보자
= 다음은 서브넷을 만들어보자
= was는 web-01과 다른 가용 영역에 만들어준다.
= 인터넷 게이트웨이도 하나 뚫어준다
= 그리고 만든 게이트웨이를 VPC에 연결해준다.
= 라우팅 테이블에 들어가서 기본 라우팅 테이블의 이름을 pub-rt로 수정해준다
.
= 만들어진 라우팅테이블을 라우팅 편집에 들어가서 모든곳의 인터넷 게이트웨이를 연결해준다.
= 서브넷 연결 편집에 들어가서 아까만든 서브넷 web-01을 넣어준다.
= 프라이빗 라우팅 테이블도 만들어주고 was-01을 넣어준다.
= 이제 인스턴스로가서 와스를 만들어준다.
= 보안그룹은 일단 모든트랙픽 위치무관으로 다 열어뒀다... ( 원래 이럼 안된다.. )
= 웹도 만들어준다.
= 네트워크 설정
= 만들어질동안 puttygen으로 pem파일을 ppk로 변환하자.
= 변환된 ppk파일과 putty를 bastion에 옮겨준다.
= 만든 was-01의 프라이빗 아이피 입력
= 그리고 숫자대로 눌러서 ppk키를 넣어주고 오픈을 누른다.
= 첨에 로그인이 ubuntu로 해야되는줄알고 쳐봤다가 거부당했다.
= 친절한 신영씨
= 접속성공
= 이제 yum을 update 해보자.
= sudo yum update
= 사실 이럴줄 알고 있었다.
= nat 게이트웨이를 안열어줬기때문에 거부당한것이다.
= yum은 80을 쓴다고한다
= 이제 열어주러 가보자.
= NAT 게이트웨이 설정
= 프라이빗 라우팅 테이블에 방금 만든 NAT 게이트웨이를 연결해준다.
= 이제 다시 bastion으로 가서 sudo yum update를 다시 해보자
이제 된다!, Complete!
-----------------------------------------------------------------------------------------------------------------------------
* 강사님의 새로운 미션
= 방금은 window2016으로 만들었는데 우분투로 bastion을 새로 만들어서 접속해봐라!
= 사실 나머지 과정은 다 비슷할거같고 scp로 pem파일만 넣어주면될거같다.
= 접속은 ssh로 하면 될듯!
= 대충 우분투로 하나 만들어줬다.
= 그리고 윈도우에서 키파일을 우분투로 넣어준다!
= 키가 들어온걸 확인하고 권한주고 접속해본다.
= 접속성공!
----------------------------------------------------------------------------------------------------------------------------------------------
* 강사님이 그려준 무언가
* 진짜 실습용 아키텍쳐
* Network Firewall 설정에서
= EC2가 있는 서브넷의 라우팅은 0.0.0.0/0을 Firewall의 Endpoint로 설정해야함
= Firewall이 속한 서브넷의 라우팅 테이블은 0.0.0.0/0을 internet Gateway에 연결함.
= 강사님이 새로운 그림을 그려주셨는데, 아마 로드밸런싱을 빼고 한쪽만 간편하게 만들어보라고 하신거같다.
= 일단 서브넷을 만들자!
= 일단 방화벽을 만들자! ( pdf에 있는대로 했다.)
= 방화벽 정책 생성
= 만들고있었는데 1단계에서 Firewall 생성 시 nfA-Policy1을 생성했으면 안해도 된다써있어서 다시 캔슬했다.
= 네트워크 방화벽 규칙 그룹 (Network Firewall rule groups) 에서 stateless rule gourp 생성
= pdf대로 설정해보자
= 규칙추가
= 2순위 규칙 추가
= 밑에 규칙2개가 추가된걸 확인했으면 무상태 규칙 그룹 생성
= stateful rule group 생성
= 상태저장 규칙 그룹도 생성
= 중간껀 pdf대로 다 기본값으로 두었고 아래 사진 부분만 추가하는중이다.
= 다음껀 구글만 접속 못하게 막는 잼있는 규칙을 추가해본다.
= 도메인 리스트 선택
= 도메인 목록 지정 ( HTTPS만 막아보자, HTTP는 가능 )
= 5단계
= 아까 만들어둔 방화벽 정책으로 들어가서 규칙을 추가해준다.
= 6단계
= 잘 안되는거같아서 뭔가 다시해보는중이다.
= 일단 강사님이 새로 그려주신 아키텍쳐를 보자 ( 아까꺼는 라우팅 테이블이 한개 부족했다. )
= igw-rt ( 참고로 서브넷은 연결하지 않음! )
= fw-rt ( fw서브넷은 fw-rt 로 연결해줬다 )
= web1-rt ( 서브넷은 퍼블릭 서브넷 )
= 방화벽 규칙 편집
= 상태저장 뭐시기로 하면된다.
= 그리고 구글접속을 차단하는 규칙도 아까 만들었던거까지 2개를 방화벽 정책에 추가해준다.
= 네이버는 접속이되고 구글은 막힌모습
= 테스트를 위해 네이버도 막아보았다.
= 네이버도 차단당한 모습