Cloud Network Model

VPC, 보안 그룹, Docker, Kubernetes 네트워크 경계

클라우드와 컨테이너 네트워크는 IP 하나가 아니라 VPC 서브넷, 라우팅 테이블, 보안 그룹, 오버레이 네트워크, 서비스 디스커버리가 겹친 구조입니다.

01

VPC 진입

인터넷 게이트웨이 또는 로드밸런서를 통해 공개 서브넷으로 트래픽이 들어옵니다.

VPC edge
02

라우팅 판단

서브넷 route table이 다음 홉을 인터넷, NAT, 피어링, 내부 대상으로 정합니다.

route
03

보안 필터

보안 그룹과 NACL이 인스턴스와 서브넷 수준에서 허용 트래픽을 제한합니다.

filter
04

컨테이너 전달

Docker bridge나 Kubernetes CNI가 pod/container 주소로 패킷을 전달합니다.

CNI
05

서비스 발견

Kubernetes Service와 DNS가 동적으로 바뀌는 pod endpoint를 안정된 이름으로 노출합니다.

service
Subnet
네트워크 분리 단위 공개/비공개 서브넷을 분리해 외부 노출 범위를 줄입니다.
라우팅 테이블
Security Group
상태 기반 인스턴스 방화벽 허용 규칙 중심이며 응답 트래픽을 상태 기반으로 처리합니다.
최소 허용
K8s Service
pod 집합의 안정 진입점 pod IP는 바뀌므로 Service와 DNS로 호출 경로를 고정합니다.
ClusterIP/NodePort/LB

운영 확인 기준

동서 트래픽 서비스 간 내부 호출도 네트워크 정책과 인증 경계를 가져야 합니다.
NAT 의존성 비공개 서브넷의 외부 API 호출은 NAT 장애와 비용을 고려합니다.
DNS 캐시 컨테이너 환경에서는 endpoint 변화와 DNS TTL이 장애 추적에 영향을 줍니다.