[AWS 네트워크 입문] 6장 네트워크 연결 옵션

1. 네트워크 연결 옵션 소개

vpc 피어링

서로 다른 두 VPC 간 연결을 구성하여 프라이빗 IP 주소를 통해 통신을 할 수 있는 기능을 제공합니다. VPC 피어링을 통해 마치 동일한 네트워크 내에 있는 것처럼 서로 통신할 수 있습니다. 

 

VPN

공공 인터넷을 통해 가상의 사설 네트워크를 구성하여 프라이빗 통신을 제공합니다. 이를 통해 데이터 암호화, 전용 연결 등 여러 보안 요구사항을 충족할 수 있습니다. AWS 서비스에는 Site-toSite VPN과 클라이언트 VPN이 있습니다. 

 

전송 게이트웨이

VPC나 온프레미스 등의 네트워크를 단일 지점으로 연결할 수 있는 라우팅 서비스입니다. 연결된 네트워크는 다른 네트워크에 연결할 필요 없이 AWS 전송 게이트웨이만 연결하면 되므로 관리를 간소화하고 운영 비용을 크게 줄여 줍니다. 

 

Route 53 Resolver(해석기)

하이브리드 환경에서 온프레미스와 AWS VPC 간 도메인 질의는 서로 간에 불가능합니다. Route53 해석기와 전달 규칙을 이용하여 서로 간에 도메인 질의가 가능해집니다. 

 

Direct Connect

Direct Connect는 데이터 센터, 본사 사무실 또는 코로케이션 환경과 같은 장소에서 AWS와의 전용 네트워크 연결을 제공하는 전용선 서비스입니다. 

 

 

2. VPC 피어링(VPC Peering)

VPC 피어링 소개 

VPC 피어링은 서로 다른 두 VPC 간 연결을 구성하여 프라이빗 IP 주소를 통해 통신을 할 수 있는 기능을 제공합니다. VPC 피어링을 통해 마치 동일한 네트워크 내에 있는 것처럼 서로 통신할 수 있습니다. 

 

VPC 피어링 기능

1) 고속 네트워크, 트래픽 암호화 및 비용 절감

2) 리전 간 VPC 피어링 지원

3) 타 계정 간 VPC 피어링 지원

 

VPC 피어링 제약 조건

 

1) 서로 다른 VPC CIDR(네트워크 대역) 사용 필요

각 VPC에 할당된 IP CIDR는 동일하거나 겹치지 않아야 합니다. 겹치면 VPC 피어링을 구성할 수 없습니다.

 

2) Transit Routing 미지원

VPC 피어링 연결 구성 시, 상대방 VPC의  IP CIDR 대역 외에 다른 대역과 통신할 수 없습니다. 그리고 상대방 VPC에 구성된 인터넷 게이트웨이, NAT 게이트웨이뿐만 아니라 VPN 과 Direct Connect로 연결되는 온프레미스와 통신 되지 않습니다.

 

3) VPC 피어링 최대 연결 제한

동일한 VPC 간의 연결은 하나의 연결만 가능합니다. VPC 당 연결 가능한 VPC 피어링 연결 한도는 기본적으로 50개의 연결이며, AWS 에 추가 요청하여 최대 125개까지 연결이 가능합니다. 

VPC 피어링의 최대한도를 늘리는 경우, 라우팅 테이블의 최대한도도 높이는 것이 좋습니다. 다수 VPC를 서로 연결하는 경우 복잡성이 높아질 수 있어, 전송 게이트웨이 사용을 권장합니다.

 

VPC 피어링 실습 : 서로 다른 두 VPC간 피어링 연결

1. VPC1-EC2와 VPC2-EC2의 퍼블릭 ip로 접근 불가 확인

2. VPC 피어링 연결 생성

서비스 -> VPC -> 가상 프라이빗 클라우드 -> 피어링 연결 -> 피어링 연결 생성

서로 간의 운영 관리가 다르기 때문에 수락 절차가 필요함

3. 라우팅 대상 추가

프라이빗 통신을 하기 위한 라우팅 정보를 추가

 4.보안 그룹 추가

인스턴스 간에 프라이빗 IP로 웹 서버 접속이 가능하게 하기 위해서 인스턴스의 보안 그룹에 HTTP 허용을 추가해줍니다. 

EC2 -> 네트워크 및 보안 -> 보안 그룹 -> 보안그룹 선택 -> 인바운드 규칙 탭 진입 -> 인바운드 규칙 편집 클릭

연결확인

1.  VOC1-EC2 -> VPC2-EC2 Ping test

2. Http 접속 테스트

 

3. AWS 제공 VPN(Virtual Private Network)

VPN은 공용 인터넷을 통해 가상의 사설 네트워크를 구성하여 프라이빗 통신을 제공합니다. AWS에서 제공하는 관리형 VPN 서비스에는 Site-to-Site VPN과 클라이언트 VPN을 제공합니다. 만약에 이외의 VPN을 사용해야 하는 보안 규정이나, 요구사항이 있는 경우에는 인스턴스 기반의 VPN을 사용자가 직접 구성해야 합니다.

 

AWS Site-to-Site VPN

기본적으로 고가용성 아키텍처를 제공합니다. 두 개의 터널 엔드 포인트와 각각 터널을 구성하여 터널 이중화하는 것을 권장합니다. (정기적인 메인터넌스 시, 각 터널에 대해 순차적으로 사용이 불가능할 수 있습니다.)

 

주요 용어 

VPN Connection, VPN Tunnel, Virtual Private Gateway(VGW), Customer Gateway(CGW), Customer Gateway Device

 

VPN 특징

1) VPN 연결 협상 시, Responder로 동작

2) VPN 터널의 Idle Timeout

3) 표준 IPsec 지원

4) NAT-T(NAT Traversal) 지원

5) VPN 성능

VGW의 1개 Tunnel은 최대 1.25Gbps 성능을 가지며, 전송 게이트웨이의 ECMP를 사용 시 성능 향상을 할 수 있습니다. 

 

VPN 라우팅 옵션

1) Static Routing

2) Dynamic Routing

 

VPN 라우팅 모니터링

AWS CloudWatch를 통해 모니터링을 할 수 있습니다. 다만, 제공되는 메트릭은 다른 리소스와 다르게 일부 제한적이며 별도의 로그를 제공하지 않습니다. 

1) TunnelDataIn      2) TunnelDataOut      3) TunnelState

 

VPN 구성 시나리오

(p320) 4가지

 

CGW 디바이스가 1대인 경우 - 고객 온프레미스 환경에 장애 발생 시 대응 방안 없음

CGW 디바이스가 2대이고 해당 디바이스 2대가 클러스터링 지원 - CGW 디바이스 장비 클러스터링 기능 미지원 시 해당 구성 불가능

CGW 디바이스가 2대이고 클러스터링 미지원 시 Static Routing 사용 - DPD 등으로 터널 상태 감지 X, 불능/ 네트워크 대역 추가나 삭제 시 수동 설정

CGW 디바이스가 2대이고 클러스터링 미지원 시 Dynamic routing(BGP) 사용 - CGW 디바이스가 BGP를 미지원 시 해당 구성 X

 

AWS 클라이언트 VPN 

사용자 측의 IP가 항상 유동적입니다. 즉, 고정된 장소에서의 VPN 터널을 연결하는 것이 아닌 사용자 위치와 관계없이 VPN 터널을 연결할 수 있습니다.

 

AWS 클라이언트 VPN 구성 소개

- Administrator : 엔드포인트 구성 파일을 최종 사용자에게 전달합니다. 

-최종 사용자 : 전달받은 구성 파일을 통해 연결 

 

클라이언트 VPN 주요 용어

-클라이언트 VPN 엔드포인트

-대상 네트워크

-라우팅 테이블

-권한 규칙 

-VPN 클라이언트

 

클라이언트 VPN 특징

사용자 수에 따라 자동으로 확장 및 축소되기 때문에 유연한 서비스를 제공할 수 있습니다. 

1) 접근 편리성 2) 고가용성 및 유연성 3) 보안 및 인증 4) 접근 제어 5) 호환성

 

AWS와 온프레미스간 VPN 통신

 

 

 

 

 

4. 전송 게이트웨이 

 

AWS 전송 게이트웨이는 VPC나 온프레미스 등의 네트워크를 단일 지점으로 연결할 수 있는 라우팅 서비스로 연결된 네트워크는 다른 네트워크에 연결할 필요 없이 AWS 전송 게이트웨이만 연결하면 되므로 관리를 간소화하고 운영 비용을 줄여 줍니다.

 

전송 게이트웨이 주요 기능 

-라우팅(동적/ 정적),

-VPC 기능 상호 운용성

-모니터링

-리전 간 VPC 피어링

-멀티캐스트

-보안

-지표

 

전송 게이트웨이를 사용하면 중앙 집중형 연결 환경을 만들 수 있습니다. 

 

관련 용어

전송 게이트웨이(Transit Gateway = TGW)

허브 앤 스포크 환경에서 허브 역할 

 

전송 게이트웨이 연결

1) VPC 연결

2) VPN 연결

3) 전송 게이트웨이 피어링

 

전송 게이트웨이 라우팅 테이블

 

전송 게이트웨이 공유

 

전송 게이트웨이 멀티캐스트

 

전송 게이트웨이 네트워크 매니저