4. 네트워크 연결 옵션(VPC Peering, VPN, Trasit Gateway, Route53 Resolver)

[ 목차 ]

1. VPC Peering 

서로 다른 두 VPC 간 연결을 구성해 프라이빗 IP 주소를 통해 통신을 할 수 있는 기능 제공, VPC 피어링을 통해 동일 네트워크에 있는 것처럼 통신할 수 있다. 

예) 2개의 가상 사설 클라우드가 있고, 이들은 2개의 다른 계정이나 2개의 다른 지역에 있는 경우

 

- 장점

1) 고속 네트워크, 트래픽 암호화 및 비용 절감 

발생되는 트래픽이 AWS 백본 네트워크를 경유해 고속의 통신응 할 수 있다.

2) 리전 간 VPC 피어링 지원 

중국 리전을 제외하고 리전 간 VPC vldjfld wldnjs 

2) 타 계정간 VPC 피어링 지원

리소스 중복 사용 최소화해 비용 절감 효과를 얻을 수 있다. 

 

- 제약

1) 서로 다른 VPC CIDR(네트워크대역) 필요

2) Trasit Routing 미지원

상대 VPC IP CIDR 대역 외 다른 대역과 통신 불가.

상대 VPC 에 구성된 인터넷 게이트웨이, NAT 게이트웨이, VPN과 Direct Connect 로 연결되는 온프레미스와 통신 불가.

3) VPC 피어링 최대 연결 제한

동일한 VPC 간의 연결은 하나의 연결만 가능

VPC 당 연결 가능한 한도는 기본적으로 50개, AWS 요청 시 최대 125개로 확장 가능.

 

4) 피어링은 전이 되지 않아 각 VPC 마다 정의해야한다.

 A-B 에서 A-C 를 추가해도 B-C 는 연결되지 않는다.

 

피어링 실습 시 

1. VPC1 -> VPC2 에 피어링 연결

2. VPC2 수락

3. VPC1 에서 퍼블릭 라우팅 테이블 설정  : VPC2 서브넷 대역과 프라이빗 통신을 하기 위한 라우팅 정보 추가 

4. VPC2 에서 퍼블릭 라우팅 테이블 설정

5. VPC1 보안 그룹에 인바운드 규칙에  HTTP 추가, VPC2 대역 입력. 프라이빗 IP로 인스턴스 간 접근. 

6. VPC2 보안 그룹에 인바운드 규칙에  HTTP 추가, VPC1 대역 입력. 프라이빗 IP로 인스턴스 간 접근. 

7. VPC1 에서 VPC2 로 ping vpc2-ip -c 1, curl vpc2-ip 테스트 

 

* VPC 피어링 연결 속성에 '요청자&수락자 DNS확인' 이 미허용이면, 서로 다른 VPC 간 인스턴스 간에 VPC DNS (예:인스턴스 퍼블릭 Ipv4 DNS) 와 통신시 퍼블릭 IP로 접근, 허용으로 설정되면 프라이빗 IP로 접근

2. VPN

공공인터넷을 통해 가상의 사설 네트워크를 구성해 프라이빗 통신을 제공

이를 통해 데이터 암호화, 전용 연결 등 여러 보안 요구사항을 충족할 수 있다. 

AWS 에서 제공하는 관리형 VPN 서비스에는 Site-to-Site VPN 과 클라이언트 VPN 이 있다. 

 

Site-to-Site VPN (S2S VPN) :

각 종단 간 고정된 IP 를 통해 VPN 터널을 구성

- 표준 Ipsec VPN 만 지원.
- 고가용성 아키텍처 지원- 두 개의 터널 엔드 포인트가 서로 다른 가용영역에 생성됨. 
두 개의 터널 엔드포인트와 각각 터널을 구성해 이중화하는 것이 권장됨. 
- AWS S2S VPN의 SLA(servce level agreement) 는 99.95%로 한달 5분2초는 계약 상 유지관리를 위해 비활성화도리 수 있다. AWS측 VPN 주요 maintenance 시 각 터널에 대해 순차적으로 사용이 불가능해질 수 있으니, 중요 서비스가 AWS VPN을 통해 구성한다면 반드시 터널 이중화 구성을 권고한다. 

• 주요 용어 
  - VPN 연결 : 온프레미스 장비와 AWS VPC 간 보안연결
  - VPN Tunnel : AWS VPC 네트워크와 온프레미스 네트워크 간 주고받을 수 있는 암호화된 링크
  - VGW(Virtual Private Gateway) : AWS의 관리형 Site-to-Site VPN 의 게이트웨이 
  - CGW(Customer Gateway) : 온프레미스 장비 정보 지정. AWS 가상 프아리빗 게이트웨이(VGW)와 VPN 연결 설정을 위해 필요한 IPsec 정보 지정
  - Customer Gateway Device: 온프레미스 장비 혹은 소프트웨어 애플리케이션 
• 특징
  1) VPN 연결 협상 시, Responder로 동작
  가상 프라이빗 게이트웨이(VGW)는 통신 요청자가 아니기 때문에 VPN 협상은 항상 고객 게이트웨이 디바이스에서 연결을 시도해야 합니다. 
  2020년 8월에 기능 추가된 사항으로 IKE(internet key exchange)버전 2를 사용하면 AWS 가상 프라이빗 게이트웨이가 통신 요청자가 될 수 있도록 설정 가능
  
  2) VPN 터널의 Idle Timeout
  VPN 터널 연결 후, 터널에 트래픽이 10초 이상 흐르지 않는 경우, 해당 터널은 Down 된다. 터널 유지를 위해 온프레미스에서 DPD(Dead Peer Detect) 를 설정하거나 Ping을 일정 간격으로 발생시켜 터널을 유지하는 것을 권장. 
  2020년8월 추가사항으로 DPD 시간 초과 발생시, AWS가 IKE세션을 다시 시작하도록 지정하더나 AWS가 작업을 수행하지 않도록 지정 가능
  
  3) 표준 IPsec 지원
  데이터 암호화와 인증에 관여하는 다양한 알고리즘 지원 
  
  4) NAT-T(NAT Traversal)지원
  고객 게이트웨이 디바이스가 NAT 내부에 배치된 경우에도 NAT Traversal 을 지원해 VPN 연결이 가능하다.
  
  5) VPN 성능 
  VGW의 1개 터널은 최대 1.25Gbps 성능을 가지며, 전송 게이트웨이의 ECMP(Equal Cost Multi-Path)를 사용 시 성능 향상을 할 수 있다. 
  *ECMP 는 2개 이상의 연결을 1개의 논리적인 연결로 구성하는 기법이다. 이를 통해 대역폭을 확장할 수 있다. 
• 라우팅 옵션
  1) Static Routing : 사용자가 직접 원격 네트워크의 경로에 대해 설정
  2) Dynamic Routing : BGP 라우팅 프로토콜을 사용해 상대방으로부터 전달되는 네트워크 경로를 자동으로 인지해 통신을 할 수 있다. 즉, 네트워크 정보를 필요할 때마다 수동으로 설정할 필요 없이 동적으로 네트워크 정보를 관리할 수 있다. 
  *VPC 라우팅 테이블의 경로 전파 옵션을 활성화하면, 라우팅 테이블을 수정하지 않고 VGW에 의해 전파되는 경로가 라우팅 테이블에 동적으로 업데이트 할 수 있다. 동적으로 업데이트되는 경로는 Static Routing과 Dynamic Routing 모두 지원. 

 

클라이언트 VPN :

사용자 측의 IP 가 항상 유동적, 고정된 장소에서 VPN 터널을 연결하는 것이 아닌 사용자 위치와 관계없이 VPN 터널 연결한다는 것이 S2S VPN 과의 차이이다. 

• 사용자의 종류 
  - Administrator: 클라이언트 VPN 엔드포인트를 구성하고 대상 네트워크, 권한 규칙, 라우팅 설정 등을 구성한 후 클라이언트 VPN 엔드포인트 구성 파일을 최종 사용자에게 전달
  - 최종 사용자: 전달받은 구성파일을 통해 컴퓨터나 모바일 기기를 통해 클라이언트 VPN 엔드포인트에 연결할 수 있다. 
  - 사용자가 Administrator 로부터 전달받은 VPN 구성파일을 사용해 VPN에 접근하면 인가된 사용자의 유무를 확인하는 인증 단계를 진행해 인증된 사용자에게 권한을 부여해 리소스 사용 가능. 권한 부여는 보안그룹과 네트 워크 기반 권한을 부여할 수 있는 권한 규칙으로 제거  
• 주요용어
  1) 클라이언트 VPN 엔드포인트 :  클라이언트 VPN 의 TLS 연결을 활성화라고 관리하기 위해 AWS에 생성되는 리솟,.
  해당 엔드포인트를 통해 암호화된 사용자 트래픽이 복호화돼 AWS 내의 리소스와 통신을 할 수 있다. 
  2) 대상 네트워크 : 사용자가 클라이언트 VPN을 통해 접근할 수 있는 네트워크로서 클라이언트 VPN 엔드포인트와 연결.
  3) 라우팅 테이블: 클라이언트 VPN 엔드포인트에 사용 가능한 대상 네트워크를 설정하는 라우팅 테이블. 특정 리소스나 네트워크에 대한 경로를 설정
  4) 권한 규칙: 지정된 네트워크에 대해 접근을 허용하는 AD(active directory) 그룹을 구성해, 해당 그룹에 속한 사용자에 대해서만 접근할 수 있도록 구성할 수 있다. 기본적으로 권한 규칙이 없으면 통신이 불가능해 리소스 및 네트워크에 접근을 허용하는 접근 규칙을 구성해야함. 
  5) VPN 클라이언트: 최종 사용자. OpenVPN 클라이언트를 사용해 AWS 클라이언트 VPN에 연결할 수 있다. 
• 특징
  1) 접근 편리성: OpenVPN클라이언트를 사용해 어떠한 위치에서도 안전한 TLS 연결
  2) 고가용성 및 유연성
  3) 보안 및 인증
  4) 접근 제어
  5) 호환성 : AWS Directory 서비스뿐만 아니라 기존의 AWS 서비스와의 통합되어 다양한 서비스와의 연동 제공 

3. 전송 게이트웨이 Trasit Gateway

VPC나 온프레미스 등의 네트워크를 단일 지점으로 연결할 수 있는 라우팅 서비스.

연결된 네트워크는 다른 네트워크에 연결할 필요없이 AWS 전송 게이트웨이만 연결하면 되므로 관리를 간소화하고 운영 비용을 크게 줄여 준다.

• 주요 기능 
  1) 라우팅 : 정적, 동적 라우팅 지원
  2) 엣지 연결 : VPN을 사용하여 AWS 전송 게이트웨이와 온프레미스 장비 간에 VPN 연결을 생성할 수 있다.
  3) VPC 기능 상호 운용성: VPC 에 있는 인스턴스가 AWS 전송 게이트웨이에 연결된 다른 AWS VPC에 있는
  NAT 게이트웨이, NLB, AWS 엔드포인트 서비스 및 Amazon EFS(Elatic File System) 등에 액세스할 수 있다. 
  4) 모니터링: AWS 전송 게이트웨이 AWS CloudWatch 및 AWS VPC 플로우 로그와 같은 서비스에서 사용하는 통계와 로그를 제공
  5) 리전 간 VPC 피어링: AWS 전송 게이트웨이 리전 간 VPC 피어링은 AWS 글로벌 네트워크를 사용하여 AWS 리전을 통해 트래픽을 라우팅할 수 있도록 지원
  6) 멀티캐스트 : 고객이 클라우드에서 멀티캐스트 애플리케이션을 쉽게 구축하고 모니터링, 관리 및 확장할 수 있도록 지원
  7) 보안 : AWS 전송 게이트웨이는 IAM 와 통합되므로, AWS 전송 게이트웨이에 대한 액세스를 안전하게 관리할 수 있다. 
  8) 지표 : 성능과 송수신된 바이트, 패킷, 폐기된 패킷을 비롯한 트래픽 지표를 통해 글로벌 네트워크를 모니터링  
• 전송 게이트웨이 미사용 vs 사용 비교 
  복잡한 AWS 네트워크 아키텍처를 간소화해 관리 및 운용 효율이 보장되며, 향상된 보안과 멀티캐스트를 활용하여 유용한 통신이 가능

• 관련 용어
  1) 전송 게이트웨이(Transit Gateway=TGW) :
  연결의 접점이 되는 중앙 집중형 단일 게이트웨이로 허브&스포크 환경에서 허브 역할을 한다.
  2) 전송 게이트웨이 연결((Transit Gateway Attachment) : 전송 게이트웨이에 연결되는 방식
  - VPC 연결 : 전송 게이트웨이와 동일한 리전의 VPC 를 직접적으로 연결
  - VPN 연결 : 전송게이트웨이와 S2S VPN 연결
  - 전송 게이트웨이 피어링: 전송 게이트웨이와 다른 리전의 전송 게이트웨이를 연결
  3) 전송 게이트웨이 라우팅 테이블 
  4) 전송 게이트웨이 공유 : 다른 AWS 계정에 전달해 연결 가능 
  5) 전송 게이트웨이 멀티캐스트: 멀티캐스트 트래픽 전달 
  6) 전송 게이트웨이 네트워크 매니저 : 논리적 다이어그램 또는 지리적 맵과 중앙 대시 보드에서 글로벌 네트워크를 시각화

4. Route 53  DNS 해석기 (DNS Resolver)

하이브리드 환경(VPN, Direct Connect)에서 온프레미스와 AWS VPC 간 도메인 질의는 서로 불가능하다. 

Route53 해석기와 전달 규칙을 이용해 서로 간 도메인 질의가 가능해진다.

VPC DNS

• 프라이빗 호스트 영역 (Private Host Zones)
  프라이빗 호스트 영역은 AWS VPC 서비스로 생성한 도메인과 그 하위 도메인에 대해 AWS Route 53의 DNS 쿼리 응답 정보(DNS정보가 담긴 일종의 zone 파일)가 담긴 일종의 컨테이너 
• VPC DNS 옵션
  - DNS resolution(DNS확인): AWS 제공 DNS 해석기 사용. 비활성화 시 AWS 제공 DNS 해석기를 사용할 수 없다.
  - DNS hostnames(DNS이름): AWS 제공 Public 과 Private Hostname 을 사용한다. 비활성화 시 AWS 제공 hostname 을 사용할 수 없다. 

• VPC DHCP 옵션 세트(Option Sets)
  도메인 네임과 도메인 네임 서버의 정보를 제공. 사용자가 원하는 도메인 네임과 도메인 네임 서버의 정보를 지정한 DHCP 옵션 세트를 생성해 VPC 에 적용 가능.
• 프라이빗 호스팅 영역 DNS 쿼리 
• 다수 VPC 가 1개의 프라이빗 호스팅 영역에 연결 
• VPC DNS 고려 사항 
  1) 퍼블릭 호스팅 영역 DNS쿼리보다 프라이빗 호스팅 영역 DNS 쿼리를 우선한다.
  2) EC2 인스턴스는 Route53 해석기에 1초당 최대 1,024개 요청을 보낼 수 있다.

Route 53 해석기

하이브리드 환경에서 온프레미스와 VPC 간 DNS 쿼리가 서로 불가능하다. 이 때 Route 53 해석기와 전달 규칙을 이용해 서로 DNS 쿼리가 가능해진다. Route53 해석기를 사용하기 위해 VPC DNS 옵션인 DNS Hostname, DNS Resolution 을 활성화해야한다. 

• 관련 용어 
  1) Route53 Resolver(Inbound/Outbound): Route53 해석기
  2) Forwarding Rule: 전달 규칙, 다른 네트워크 환경에 도메인 쿼리를 하기 위한 정보
  3) Inbound Endpoint : AWS VPC 에 DNS 쿼리를 받은 수 있는 네트워크 인터페이스
  4) Outbound Endpoint: 전달 규칙을 다른 네트워크로 쿼리할 수 있는 네트워크 인터페이스 
• 하이브리드 환경에서 Route53 해석기 동작
  1) 온프레미스에서 AWS 로 DNS 쿼리를 할 경우 
  인바운드 엔드포인트 생성해 해당 엔드포인트로 DNS 쿼리 가능
  2) AWS에서 온프레미스로 DNS 쿼리를 할 경우 
  아웃바운드 엔드포인트 생성해 해당 엔드포인트로 DNS 쿼리가 가능하다. 아웃바운드의 경우에는 반드시 전달규칙을 생성해 VPC 를 연결해야 한다. 만약 다른 계정의 VPC 경우에는 AWS RAM(Resource Access Manager)을 이용해 연결이 가능하다.
• Route 53 해석기 규칙 유형 
  1) 전달 규칙(Conditional Forwading rules) 
  특정 도메인에 대한 쿼리를 지정한 IP로 전달한다. 
  2) 시스템 규칙
  시스템 규칙의 종류는 프라이빗 호스팅 영역, Auto defined VPC DNS, Amazon 제공 외부 DNS 서버가 있으며, 시스템 규칙은 전달 규칙보다 우선한다. 

Route 53 해석기 - Query Logs 

기존에는 퍼블릭 영역에 대한 DNS 쿼리에 대해서만 로깅이 가능했으나, Route 53 Resolver Query Logs 기능으로 VPC 내 모든 자원에서 DNS 쿼리를 보내는 경우에도 로깅이 가능하다. Query Logs 는 CloudWatch Logs, S3, Kinesis Data Firehose 에 보낼 수 있다. 

 

5. Direct Connect 

데이터 센터, 본사 사무실 또는 코로케이션 환경과 같은 장소에서 AWS와의 전용 네트워크 연결을 제공하는 전용선 서비스.

VPN 같은 경우 인터넷을 통해 VPN 터널을 구성하기 때문에 인터넷 환경에 따라 연결 품질이 좌우되는 반면, AWS Direct Connect 는 실제 전용선으로 AWS 와 연결하기 때문에 더욱 일관성있는 서비스 품질을 보장받을 수 있다. 

 

---

출처: 따라하며 배우는 AWS 네트워크 입문