본문 바로가기
Amazon Web Serivce 자격증 쉽게 공부하기/[C00]AWS Advanced Networking Specialty

AWS Hybrid Network Architecture(On-premise와 Cloud)

by 네트워크 엔지니어 환영 2020. 9. 23.
반응형

Hybrid Cloud Architecture

AWS Hybrid Network를 정의하는 가장 중요한 문서 : docs.aws.amazon.com/ko_kr/whitepapers/latest/aws-vpc-connectivity-options/introduction.html

  • VPN
    • 인터넷을 통해 VPC의 VGW와 On-premise의 CGW를 연결하여 IPSEC Tunnel을 구성하는 방식
    • On-premise의 CGW를 2개 구성하여 IPSEC VPN을 중복으로 구성할 수 있음

<AWS Managed VPN(출처 : AWS 설명서)>

  • Direct Connect
    • Private VIF를 사용하여 VPC의 VGW와 On-premise의 CGW를 연결하여 전용선을 구성하는 방식
    • 두 개의 Direct Connect Location을 사용하여 중복으로 구성할 수 있음
    • Direct Connect Gateway를 사용하면 다수의 Region 내 VPC를 연결할 수 있음

<Direct Connect(출처 : AWS 설명서)>

  • Direct Connect & VPN
    • VPC를 Private VIF가 아닌 Public VIF를 사용하여 연결을 생성하면 VPN 설정이 가능해짐(공인 IP를 입력하므로)
    • 전용선 서비스에 더해 트래픽 암호화가 가능해짐

<Direct Connect와 VPN의 조합(출처 : AWS 설명서)>

  • Software VPN
    • AWS VPC의 Site-to-Site VPN이 아닌 VPC 내 EC2에 Software VPN을 설치한 후 이를 CGW와 연결하는 방식

<EC2를 이용한 Software VPN(출처 : AWS 설명서)>

  • Transit VPC
    • On-premise와 다수의 VPC 사이에서 중앙 통로 역할을 하는 'Transit VPC'를 생성
    • Transit VPC에 VPN 솔루션이 설치된 EC2, Cisco 등의 VPN 연결을 생성하여 다수의 VPC와 On-premise를 연결함
    • AWS의 Site-to-Site VPN 연결 최대 갯수는 50개이므로 50개 이상의 연결이 필요할 때 대안이 될 수 있음

<Transit VPC의 VPN(출처 : AWS 설명서)>

AWS Managed Static Hardware VPN Configuration(Site to Site VPN)

  • Customer Gateway(CGW) : 고객측(On-premise) VPN Gateway로 IP와 라우팅 등을 정의해야 함
  • Virtual Private Gateway(VGW) : VPC측 VPN Gateway, VPC와 연결해야 함
  • 필요한 설정
    • CGW, VGW, Site-to-Site VPN Name
    • Subnet 내 Route Propagation 'Yes' 설정(라우팅 전파)
    • Routing Option 'BGP' 혹은 'Static' 설정(Site-to-Site VPN)
    • IKE Pre-shared Key 공유(Site-to-Site VPN)
    • 터널 IP 설정(AWS에서 지정한 IP를 사용해야 함)(Site-to-Site VPN)

(AWS Managed VPN 구성(출처 : AWS 설명서)>

Using Transit VPC to connect many VPCs

  • VPN과 VPC Peering, Direct connect는 일대일 연결이므로 다수의 VPC를 연결하려면 수많은 연결이 필요함
  • 다수의 VPC와 On-premise를 연결하기 위한 Gateway로 다수의 VPC를 하나의 Gateway로 On-premise와 연결할 수 있도록 지원
  • Transit Gateway에 다수의 VPC를 연결하고 이 Transit Gateway를 VPN, Direct connect, Peering(다른 Region의 VPC)에 연결할 수 있음
  • Transit Gateway를 통하여 다른 VPC와 통신 가능(라우팅 필요)

<Transit VPC(출처 : AWS 설명서)>

Security Group For VPC Peering 

  • VPC Peering이 활성화된 상태에서 다른 리전에 있는 Peer VPC의 보안그룹을 참조할 수 없으므로 Peer VPC의 CIDR Block을 사용해야 함

댓글