OCI 네트워킹 설명: Virtual Cloud Networks (VCN) 심층 분석
Source: Dev.to
위의 링크에 있는 전체 텍스트를 제공해 주시면, 해당 내용을 한국어로 번역해 드리겠습니다.
(코드 블록, URL 및 마크다운 형식은 그대로 유지됩니다.)
🧠 Part 1 – CIDR Blocks and IP Notation (The Foundation)
CIDR란?
CIDR은 Classless Inter‑Domain Routing의 약자입니다.
형식: A.B.C.D/x (예: 10.0.0.0/16)
/x= 네트워크 부분- 나머지 비트 = 호스트 부분
IPv4 주소는 다음과 같습니다:
- 4개의 옥텟
- 각각 8 비트 → 총 32 비트
크기의 규칙
프리픽스가 작을수록 네트워크가 커집니다.
전체 IP 주소 수를 계산하는 공식:
2^(32 - x)예시
10.0.0.0/16 → 2^(32‑16) = 2^16 = 65,536 IP addresses이진 변환
각 옥텟은 2의 거듭 제곱을 기반으로 합니다:
| 128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 |
|---|
예시
192.168.0.2 → 11000000.10101000.00000000.00000010매일 수동으로 변환할 필요는 없지만, 이를 이해하면 서브넷팅이 훨씬 쉬워집니다.
🏗️ 파트 2 – VCN이란?
Virtual Cloud Network (VCN) 은 OCI에서:
- 소프트웨어 정의
- 프라이빗
- 리전 기반
- 고가용성
하나의 OCI 리전 안에 존재하지만 여러 가용 영역 (AD) 에 걸칠 수 있습니다. Oracle Cloud 안에 여러분만의 프라이빗 데이터센터 네트워크가 있다고 생각하면 됩니다.
CIDR 제한
- 프리픽스는 /16 이상 /30 이하이어야 합니다.
- VCN 하나에 최대 16개의 IPv4 및 IPv6 CIDR 블록을 가질 수 있습니다.
모든 서브넷에 예약된 IP
Oracle은 각 서브넷에 세 개의 IP 주소를 예약합니다:
- 첫 번째 IP – 네트워크 주소
- 두 번째 IP – 기본 게이트웨이
- 마지막 IP – 브로드캐스트 주소
이 주소들은 인스턴스에 할당할 수 없습니다.
🧱 Part 3 – 서브넷
VCN은 서브넷으로 나뉩니다. 각 서브넷:
- 연속적인 IP 범위입니다
- 동일한 VCN 내의 다른 서브넷과 겹칠 수 없습니다
서브넷 범위
| 범위 | 설명 |
|---|---|
| AD‑Specific | 단일 가용성 도메인(Availability Domain) 내에 존재 |
| Regional (권장) | 고가용성을 위해 모든 AD에 걸쳐 확장 |
퍼블릭 vs 프라이빗 서브넷
| 기능 | 퍼블릭 | 프라이빗 |
|---|---|---|
| 퍼블릭 IP | 있음 | 없음 |
| 인터넷 접근 | 직접 | NAT를 통해 |
| 일반적인 사용 사례 | 웹 서버 | 데이터베이스, 백엔드 서비스 |
중요: 서브넷을 생성한 후에는 퍼블릭에서 프라이빗으로 변경할 수 없습니다.
🛣️ 파트 4 – 라우트 테이블
라우트 테이블은 트래픽이 어디로 가는지 제어합니다.
- 모든 서브넷은 정확히 하나의 라우트 테이블과 연결되어야 합니다.
- 라우트‑테이블 규칙은 다음으로 구성됩니다:
- 대상 CIDR
- 대상 (다음 홉)
예시 규칙
| Destination CIDR | Route Target |
|---|---|
0.0.0.0/0 | Internet Gateway (IGW) |
192.168.0.0/16 | Dynamic Routing Gateway (DRG) |
최장 접두사 매치 (LPM)
여러 라우트가 목적지와 일치하는 경우, 가장 구체적인 (가장 긴 접두사) 라우트가 선택됩니다.
예시: 192.168.20.19 로 향하는 패킷의 경우, 192.168.20.16/28 라우트가 192.168.0.0/16보다 선택됩니다. 이는 /28이 더 길기 때문입니다.
🌍 게이트웨이 설명
| 게이트웨이 | 목적 | 주요 특성 |
|---|---|---|
| Internet Gateway (IGW) | 양방향 인터넷 액세스 제공 | • 퍼블릭 서브넷 및 퍼블릭 IP 필요 • 보안 규칙이 트래픽을 허용해야 함 • VCN당 하나의 IGW |
| NAT Gateway | 퍼블릭 IP 없이 프라이빗 서브넷 인스턴스가 인터넷에 접근하도록 허용 | • 송신 전용 • 인터넷으로부터의 인바운드 시작 불가 • TCP, UDP, ICMP 지원 • 최대 20 000 동시 연결 |
| Service Gateway | OCI 내부 백본을 통한 Oracle 서비스에 대한 프라이빗 액세스 | • 서비스 CIDR 라벨 사용 (예: “All region services”, “Object Storage”) • IP 범위를 수동으로 관리할 필요 없음 |
| Dynamic Routing Gateway (DRG) | 온프레미스 데이터 센터, 다른 VCN, 혹은 크로스‑리전 네트워크와 연결 | • 하이브리드 클라우드 연결을 위한 핵심 구성 요소 |
🔐 Part 5 – 보안 계층
OCI 네트워킹은 계층형 보안을 사용합니다.
보안 목록 (SL)
- 서브넷 수준에 적용됩니다
- 서브넷 내 모든 인스턴스에 영향을 줍니다
네트워크 보안 그룹 (NSG)
- VNIC(인스턴스) 수준에 적용됩니다
- 세분화된, 리소스‑특정 제어를 제공합니다
- 다른 NSG를 참조할 수 있습니다
상태 저장 vs. 무상태 규칙
| 유형 | 동작 |
|---|---|
| Stateful (default) | 연결을 추적합니다; 응답 트래픽이 자동으로 허용됩니다 |
| Stateless | 연결 추적이 없으며, 반환 트래픽을 명시적으로 허용해야 합니다 (대용량 트래픽에 유용) |
결합 규칙
보안 목록과 NSG가 모두 적용될 때, 서브넷의 보안 목록 또는 연결된 NSG 중 어느 하나라도 허용하는 규칙이 있으면 트래픽이 허용됩니다. 이는 AND가 아니라 OR 논리입니다.
🏘️ 간단한 비유
VCN을 개인 전용 커뮤니티에 비유해 보세요:
- region은(는) 도시입니다.
- Availability Domains은(는) 도시 내 블록입니다.
- Subnets은(는) 개별 거리입니다.
- Gateways은(는) 진입/출구 지점(고속도로로 가는 도로, 서비스 터널 등)입니다.
- Route tables은(는) 교통을 안내하는 도로 표지판입니다.
- Security Lists와 NSGs는 누가 어디를 걸을 수 있는지 결정하는 이웃 감시 규칙입니다.
네트워킹을 즐기세요!
→ 전체 주택 단지
- Subnet → 단지 안의 블록
- Route Table → 트래픽을 안내하는 GPS
- Internet Gateway → 출구 게이트
- Security List → 블록 입구의 경비원
- NSG → 특정 주택의 경비원
🧠 최종 생각
IAM이 정체성에 관한 것이라면, VCN은 연결성에 관한 것이다.
CIDR, 라우트 테이블, 게이트웨이(IGW, NAT, Service Gateway, DRG) 및 계층형 보안을 이해하는 것이 클라우드 사용자와 클라우드 엔지니어를 구분하는 요소이다.
🔔 다음에 올 내용
OCI 시리즈의 다음 파트에서는 OCI에서의 IP 관리를 자세히 살펴볼 것이다:
- Private vs. Public IP
- Ephemeral vs. Reserved
- BYOIP
- Public IP Pools
네트워킹은 연결성에 머물지 않고, 스마트한 IP 설계로 이어진다. 그리고 바로 그곳에서 진정한 아키텍처가 시작된다.
계속 지켜봐 주세요.