실습 1-3 — 서브넷: 라우팅과 보안이 만나는 지점

이전 편들에서 라우팅 테이블과 NACL을 만들었습니다. 이번엔 그 둘이 실제로 붙는 대상인 서브넷을 만듭니다. 서브넷은 VPC 구성의 중심점입니다.

📌 이번 편 한눈에

1. 서브넷이란 (간단히)

VPC의 IP 범위를 잘게 나눈 구역이며, 하나의 AZ에 고정됩니다. 리소스(EC2·NAT GW 등)가 실제로 "사는" 곳이고, 보안·라우팅을 이 단위로 적용합니다.

서브넷은 여러 구성요소가 만나는 중심점입니다.

VPC ⊃ 서브넷 (소속): 서브넷 CIDR은 반드시 VPC CIDR의 부분집합. 10.9.1.0/24 ⊂ 10.9.0.0/16. VPC가 "땅 전체"면 서브넷은 "구획".
서브넷 ↔ 라우팅 테이블 (1:1 연결): 서브넷은 RT 하나에 연결됩니다. 이 RT의 경로가 퍼블릭/프라이빗을 결정 — 0.0.0.0/0 → IGW면 퍼블릭, → NAT면 프라이빗. 서브넷 자체엔 공/사 속성이 없고, RT가 정합니다.
서브넷 ↔ NACL (1:1 연결): 서브넷 경계의 Stateless 방화벽. 트래픽을 서브넷 단위로 1차 검문.
서브넷 ⊃ 인스턴스 → SG: 서브넷 안 EC2(ENI)에 SG(인스턴스 방화벽)가 붙습니다. 즉 NACL=서브넷 경계 / SG=인스턴스 경계 로 2중 방어.
서브넷 ↔ AZ (고정): 한 서브넷 = 한 AZ. 고가용성은 AZ별 서브넷으로 확보.

정리: VPC(주소공간) → 서브넷(구역) → [RT로 길 결정 + NACL로 경계 방어] → 안에 인스턴스(SG로 보호). 서브넷이 라우팅·보안·배치가 결합되는 지점입니다.

전형적인 퍼블릭/프라이빗 분리가 서브넷 단위로 구현됩니다.

💡 "어떤 서브넷에 두느냐 + 어떤 RT/NACL을 붙이느냐"로 노출/격리 구조 전체가 결정됩니다.

VPC를 고르고, 이름·AZ·CIDR을 입력합니다.

각 필드 설명

⚠️ 이름은 라벨일 뿐 — Public-Subnet이라 지어도, 퍼블릭 RT(0.0.0.0/0 → IGW)를 연결하기 전까지는 퍼블릭이 아닙니다. 다음 단계(라우팅 테이블 연결)가 진짜 퍼블릭을 완성합니다.

서브넷은 라우팅(길)·NACL(경계 방어)·인스턴스 배치가 한데 모이는 지점입니다. 기억할 한 줄:

"서브넷은 그릇, 그 성격(공/사)은 연결한 라우팅 테이블이 정한다."