◇ 공부 기록용으로 작성하였으니 틀린점, 피드백 주시면 감사하겠습니다 ◇
결론(TL;DR): VPC Peering 와 Transit Gateway
- [공통점]: VPC와 VPC를 연결시킨다.
- [차이점]: VPC Peering은 1대 1 연결, Transit Gateway는 여러 개의 VPC를 동시에 연결
VPC Peering은 Full Mesh 형태이다.
Transit Gateway는 Hub and Spoke 형태이다.
즉, 소수의 VPC를 연결할 때는 VPC Peering이 효과적이다. 다수의 VPC를 연결할 경우 Transit Gateway가 효과적이다.
| Full Mesh (VPC Peering) |
Hub and Spoke (Transit Gateway) |
 |
 |
VPC Peering
VPC 와 VPC를 연결하기 위한 서비스.
- VPC와 VPC를 연결한다. (프라이빗 IPv4 or IPv6 주소를 사용하여)
- 연결하려는 VPC가 다른 Region에 있어도 연결 가능하다.
- 연결하려는 VPC가 다른 계정의 VPC여도 연결 가능하다.
- 1대1 연결만 지원한다.
https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html
👩🏫 VPC Peering 연결시 주의점
- 연결된 VPC의 CIDR이 겹치면 안된다. (생각해보면 당연하다. 나의 VPC는 10.0.0.1를 사용하는데, 다른 VPC도 10.0.0.1를 사용하고 있으면....😫 겹치자나..)
- 예시) 겹치지 않는 CIDR
- VPC A: 10.0.0.0/16
- VPC B: 192.168.0.0/16
- Peering 설정 후, 양쪽 VPC에서 Route Table을 구성해야 트래픽이 라우팅된다.
- VPC A의 Route Table: 대상(destination): 192.168.0.0/16 (VPC B의 CIDR 범위)
- VPC B의 Route Table: 대상(destination): 10.0.0.0/16 (VPC A의 CIDR 범위)
- 마지막으로 양쪽 Security Group을 구성하여 안전하게 네트워크 트래픽 관리
다른 Region의 VPC와 연결 할 경우, Security Group의 설정에서, 다른 Region의 Security Group을 인바운드 규칙으로 지정할 수 없다. 대신 VPC의 CIDR Block(private IP)을 지정해야 한다.
VPC Peering 만들기
1. (연결 요청) VPC Peering 생성하기
VPC → Peering Connections → Create peering connection
- Name : VPC peering의 이름 입력
- Requester (Local) : 나의 VPC ID 입력
- Accepter : 연결하고자 하는 VPC ID 입력
👨🏫 생성되면 수락 대기 중인 상태가 된다.
2. (연결 수락) VPC Peering 생성
연결하려는 상대방 측에서 연결을 수락하면 연결이 활성화 된다.
👩🏫 그 후에 Route Table과 Security Group을 설정하면 연결이 가능해진다.
Transit Gateway (TGW)
중앙 허브를 통해 여러 VPC를 연결하기 위한 서비스.
- 연결 가능한 대상:
- VPC와 VPC를 연결한다.
- VPC와 On-Premise를 연결한다. (AWS Direct Connect)
- VPC와 VPN을 연결한다. (AWS Site to Site VPN)
- 다른 Transit Gateway와의 연결
- VPC와 연결하려는 네트워크의 중간에서 중앙 집중식 허브 역할을 한다. (일종의 라우터 역할)
Transit Gateway 특징
- 수천의 VPC, VPN, Direct Connect의 연결 가능 (최대 5000개 연결 가능)
- AWS 계정당 최대 5개의 AWS Transit Gateway를 가질 수 있다.
- 기본적으로는 단일 Transit Gateway로는 동일한 Region의 VPC에 연결한다.
- 단일 Transit Gateway으로는 다른 Region의 VPC에 연결할 수 없다.
- Transit Gateway을 다른 Region의 Transit Gateway을 연결시켜 다른 Region의 VPC 네트워크에 연결 가능하다.
- Transit Gateway는 Security Group이나 NACL과 통합되어 있다. → 특정 트래픽 제어 가능.
- Transit Gateway는 VPC 간에 방화벽을 설치하여 보안을 향상시킬 수 있다. 또한, VPC에서 직접 인터넷에 접근하지 못하도록 설정할 수도 있다
- Transit Gateway는 온프레미스 데이터 센터와 AWS 간에 VPN 연결을 생성하여 AWS Direct Connect의 대안으로 사용할 수 있다.
- VPC Flow Logs를 통해 네트워크의 로그도 확인가능.
Equal Cost Multi Path (ECMP, 동일 비용 다중 경로)
네트워크에서 여러 경로가 존재 할 때 모두 동일한 트래픽을 균등하게 분산시키는 라우팅 기술이다.
ECMP는 Transit Gateway를 사용하여 여러 Site-to-Site VPN 터널을 통해 트래픽을 분산시킴으로써 적용된다.
쉽게 말해, ECMP는 네트워크가 여러 경로에 동시에 트래픽을 분산시켜 사용해 더 빠르고 효율적으로 데이터를 전송하도록 하는 기술이다.
예를 들어, Transit Gateway에 연결된 VPN에 ECMP을 사용하여, 여러 경로를 통해 VPN 연결을 분산함으로써, 단일 경로에 집중되는 부하를 줄이고, 이를 통해 오히려 대역폭을 증가시켜 더 많은 데이터를 전송할 수 있다.
🤔 문제
한 회사가 VPC A와 VPC B라는 두 개의 VPC 네트워크를 보유하고 있습니다.
- VPC A의 CIDR 블록: 10.0.0.0/16
- VPC B의 CIDR 블록: 172.31.0.0/16
회사는 두 VPC 간에 pcx-12345라는 VPC Peering 연결을 설정하려고 합니다. 이후 VPC A의 라우팅 테이블(Route Table)에 추가되어야 할 규칙을 선택해야 합니다. 어떤 규칙이 라우팅 테이블에 나타나야 할까요? (두 개 선택)
- Destination: 10.0.0.0/16, Target: Local
- Destination: 172.31.0.0/16, Target: Local
- Destination: 10.0.0.0/16, Target: pcx-12345
- Destination: 172.31.0.0/16, Target: pcx-12345
- Destination: 10.0.0.0/16, Target: 172.31.0.0/16
정답
1번, 4번
'클라우드(AWS)' 카테고리의 다른 글
| [AWS] VPN이란? 쉽게 개념 정리 (Client VPN, Site To Site VPN) (0) | 2024.05.17 |
|---|---|
| [AWS] Direct Connect (DX)란? 쉽게 개념 및 특징 정리 (VPN과 차이점) (0) | 2024.05.10 |
| [AWS] Directory Service란? 쉽게 개념 및 특징 정리 (AWS Managed Microsoft AD, Simple AD, AD Connector) (0) | 2024.04.17 |
| [AWS] Security Hub란? 쉽게 개념 및 특징 정리 (AWS 계정의 보안 수준을 점수로 나타낸다) (0) | 2024.04.15 |
| [IT 용어] CAPEX, OPEX란? 쉽게 정리 (0) | 2024.04.12 |
