https://212clab.pages.dev/qna/Recent content in QnA on blog.212clabHugoko-krSat, 02 May 2026 00:00:00 +0000https://212clab.pages.dev/qna/2026-05-02-iptables-vs-sg/Sat, 02 May 2026 00:00:00 +0000https://212clab.pages.dev/qna/2026-05-02-iptables-vs-sg/<h2 id="한-줄-답변">한 줄 답변</h2> <p>iptables는 <strong>OS 커널 레벨</strong> 방화벽이고, Security Group은 <strong>AWS VPC 레벨</strong> 가상 방화벽이다. iptables는 호스트 안에서, SG는 호스트 밖(하이퍼바이저)에서 동작한다.</p> <hr> <h2 id="동작-위치">동작 위치</h2> <pre tabindex="0"><code>[인터넷] ↓ [AWS VPC] ↓ [Security Group] ← 하이퍼바이저(ENI) 레벨, EC2 밖에서 필터링 ↓ [EC2 인스턴스] ↓ [iptables] ← OS 커널(netfilter) 레벨, EC2 안에서 필터링 ↓ [애플리케이션] </code></pre><p>SG는 트래픽이 EC2에 도달하기 <strong>전에</strong> 필터링한다. iptables는 EC2 안에서 커널이 필터링한다.</p> <hr> <h2 id="iptables는-linux-전용이다">iptables는 Linux 전용이다</h2> <p>iptables는 Linux 커널의 <strong>netfilter</strong> 프레임워크 위에서 동작한다. 다른 OS에는 각자의 방화벽이 있다:</p>https://212clab.pages.dev/qna/2026-05-02-ecs-private-db-sg/Sat, 02 May 2026 00:00:00 +0000https://212clab.pages.dev/qna/2026-05-02-ecs-private-db-sg/<h2 id="한-줄-답변">한 줄 답변</h2> <p>ECS 태스크의 Security Group을 RDS Security Group의 인바운드에 <strong>소스로 등록</strong>하면 된다. IP가 아니라 SG 참조 방식.</p> <hr> <h2 id="왜-ip로-못-하나">왜 IP로 못 하나</h2> <p>ECS Fargate는 태스크가 뜰 때마다 <strong>IP가 바뀐다</strong>:</p> <pre tabindex="0"><code>태스크 A: 10.0.1.23 → 종료 태스크 B: 10.0.2.87 → 새로 생성 (다른 IP) 태스크 C: 10.0.1.45 → 스케일 아웃 (또 다른 IP) </code></pre><p>오토스케일링으로 태스크 수도 변하기 때문에, IP를 SG에 등록하는 건 불가능하다.</p> <hr> <h2 id="security-group-참조-방식">Security Group 참조 방식</h2> <p>IP 대신 <strong>SG 자체를 소스로 지정</strong>한다:</p>https://212clab.pages.dev/qna/2026-03-22-nlb-vs-alb/Sun, 22 Mar 2026 00:00:00 +0000https://212clab.pages.dev/qna/2026-03-22-nlb-vs-alb/<h2 id="한-줄-답변">한 줄 답변</h2> <p>NLB는 <strong>L4(TCP/UDP)</strong>, ALB는 <strong>L7(HTTP/HTTPS)</strong> 로드밸런서입니다. NLB는 패킷을 그대로 전달하고, ALB는 HTTP 요청을 해석해서 라우팅합니다.</p> <hr> <h2 id="동작-계층">동작 계층</h2> <pre tabindex="0"><code>NLB (L4): 클라이언트 → [NLB: TCP 패킷 전달] → 서버 - 패킷 내용을 보지 않음 - IP + Port로만 분기 ALB (L7): 클라이언트 → [ALB: HTTP 요청 해석] → 서버 - Host 헤더, URL 경로, HTTP 메서드 확인 - 요청 내용 기반으로 라우팅 결정 </code></pre><hr> <h2 id="핵심-차이">핵심 차이</h2> <table> <thead> <tr> <th>항목</th> <th>NLB</th> <th>ALB</th> </tr> </thead> <tbody> <tr> <td>OSI 계층</td> <td>L4 (TCP/UDP)</td> <td>L7 (HTTP/HTTPS)</td> </tr> <tr> <td>라우팅 기준</td> <td>IP + Port</td> <td>Host, Path, Header, Method</td> </tr> <tr> <td>지연</td> <td>~100us (극저지연)</td> <td>~1ms</td> </tr> <tr> <td>고정 IP</td> <td>제공 (AZ당 1개)</td> <td>미제공 (DNS 기반)</td> </tr> <tr> <td>처리량</td> <td>초당 수백만 요청</td> <td>초당 수만 요청</td> </tr> <tr> <td>프로토콜</td> <td>TCP, UDP, TLS</td> <td>HTTP, HTTPS, gRPC, WebSocket</td> </tr> </tbody> </table> <hr> <h2 id="라우팅-기능">라우팅 기능</h2> <pre tabindex="0"><code>NLB: - 포트 기반 분기만 가능 - :443 → 타겟 그룹 A - :8080 → 타겟 그룹 B ALB: - api.example.com/users → User 서비스 - api.example.com/orders → Order 서비스 - admin.example.com/* → Admin 서비스 - Header X-Version: v2 → V2 서비스 </code></pre><p>ALB는 하나의 로드밸런서로 여러 서비스를 Host/Path 기반으로 분기할 수 있다. NLB는 포트를 나누거나 별도 NLB를 만들어야 한다.</p>