Print
카테고리: [ Amazon Web Services ]
조회수: 334

AWS Trainsit Gateway이란?

AWS의 네트웍은 Transit Gateway의 등장 이전과 이후에 다른 아키텍처 패턴을 가질 수 있게 되었다. 

 

Amazon VPC 요약

AWS 고객 간 격리 되어있는 네트웍

VPC CIDR + Expand(최대 추가 4개) + IPv6의 IP대역을 할당할 수 있다.

On-Premise의 Public/Private/DMZ 네트웍과 유사하다.


라우팅

서브넷 당 1개 이상의 라우팅이 들어간다. 퍼블릭과 프라이빗 서브넷의 용도에 따라 라우팅이 달라지게 된다.

퍼블릭 서브넷

프라이빗 서브넷

Private Link

Global Accelerator

Bring Your Own IP

Private Link 서비스 확장

 

VPC Sharing(Multi-Account VPC)

VPC Sharing 이전의 VPC 자체의 자원은 오직 해당 VPC 자체의 자원이었다. Resource Manager를 통해 자원을 다른 VPC와 공유할 수 있게 되었다.

VPC Peering

VPC Sharing

Resource Access Manager

 

Transit Gateway

Transit VPC/Global Transit VPC

Transit Gateway는 VPC Peering의 한계를 넘어 연결된 모든 VPC/On-premise간의 연결을 가능하게 한다.

기존의 VPC Peering을 통한 연결 형태는 다중VPC간의 연결이 필요한 상황에서 Full Mesh를 유지하기 위해 VPC의 수가 증가함에 따라 필요한 피어링이 계속해서 증가하여 복잡도가 늘어나는 구조였지만, Transit Gateway의 등장을 통해 모든 피어링이 TGW 하나로 가능하게 되었다.

Trainsit Gateway 개요

수 많은 VPC와 On-Premise 네트워크를 쉽고 자유롭게 연결할 수 있도록 하는 AWS Hyperplane 기반의 Regional Virtual Router

Hyperplane: AWS가 완전 관리하고 완전 제공하는 Layer3 기반의 라우팅 서비스 → TGW/ELB/NGW/EFS가 해당되며, SLA와 가용성에 대해 신뢰할 수 있는 서비스이다.

Region: 리전 단위로 라우팅이 이뤄지며, Region-to-Region 라우팅이 2019년 12월부로 가능하게 되었다.

핵심 기능

기존의 연결 형태

Transit Gateway

VPC간의 Peering 연결이 더 이상 불필요하며, VPN마다 터널을 생성 할 필요가 없어졌다.

모든 라우팅을 Consolidation(통합) 또는 Isolation(격리) 할 수 있다.

Transit Gateway 구성 요소

TGW 생성

TGW Attachment

TGW Route Table

TGW 라우팅 통합(Consolidation)

TGW의 라우팅 테이블과 VPC의 라우팅 테이블은 별개의 테이블로 관리 되며, VPC는 라우팅 테이블에 제한이 있다. TGW는 더 많은 테이블과 연결되어 있다.

VPN 연결 구성

On-Premise 환경으로의 네트웍 구성은 VPN으로 연결해야 하며, 2019년 10월부로 서울 리전에서 Direct Connect를 통한 네트웍 구성이 가능해지게 되었다.

CGW(Customer Gateway Definition): VPN으로 연결 시 On-Premise의 Firewall/Router/VPN 장비의 IP Definition를 Customer Gateway의 형태로 AWS 내부에서 관리한다. 생성 시에 BGP/Static의 라우팅 방법을 결정한다.

TGW에 의해 Site-to-Site Connection이 자동으로 생성되며, Configuration을 다운로드 받아 On-Premise에 적용하면 IPSec Tunnel이 UP 상태가 되게 된다.

라우팅 격리(Isolation)

라우팅 테이블을 2개를 만든다(VPC용 Route Table/VPN이 사용할 Route Table)

RT1: VPC Attach

RT2: On-Premise Attach

목적

NAT Gateway - Transit Gateway 통합

특정 VPC를 통해 밖으로 나가고 싶을 때 과거에는 SharedVPC를 활용했다. TGW를 NAT와 함께 활용하면 아웃바운드 트래픽을 효과적으로 제어할 수 있다. 인터넷 통신용 VPC를 다른 VPC와 Transit Gateway를 통해 연결하게 되면 각각의 VPC는 NAT/IGW가 존재하지 않으며, 하나의 VPC를 통해서만 아웃바운드가 나가게 된다.

VPC-A: local 라우팅과 0.0.0.0/0 → NAT의 라우팅만 존재

VPC-B/C: local 라우팅과 VPC-A로의 라우팅

Transit Gateway Limits

Reference Architecture