발표영상 다시보기: https://youtu.be/yMgwrkqfcbg
AWS Cloud와 On-Premise를 하나로 연결하는 다양한 Network 연결 방식을 실제 Demo를 통해 심도 있게 알아 봅니다. VPN, Direct Connect, Direct Connect Gateway, Public VIF, Transit Gateway등을 직접 구성하는 Demo를 통해 여러분께 적용 가능한 다양한 시나리오를 직접 확인 할 수 있습니다.
2. Agenda
1. AWS Networking Connectivity Overview
2. 전용 장비를 이용한 VPN 구성
3. Direct Connect 구성
4. Transit Gateway + Direct Connect
5. Public VIF를 활용하는 시나리오
6. 전용 장비(라우터, 방화벽)를 통한 VPN 구성
• 이미 네트워크 인프라를 보유한 On-Premise 또는 IDC와 AWS VPC를
Site-to-Site VPN을 통해 직접 연결
• Private Subnet에 위치한 Amazon RDS(Database)에 MySQL
Workbench등과 같은 Database Client Tool로 직접 접근이 가능
• 이중화된 IPSec Tunnel로 AWS VPN Endpoint에 대한 이중화 및
Failover
• Static Routing 또는 BGP Routing 사용
전용 네트워킹 장비를 보유한 On-Premise 또는 IDC와 AWS를 VPN으로 연결
7. 시나리오 1 아키텍처
CIDR : 10.1.0.0/16 CIDR : 172.16.1.0/24
172.16.1.10
Subnet
10.1.1.0/24
Subnet
10.1.2.0/24
10.1.1.10
VPC Route Table
EC2
RDS(Master) RDS(Standby/Read)
Virtual Private Gateway (VGW)
IPSec Tunnel
Customer Gateway
(CGW)
eth0Gi2
172.16.1.1
BGP ASN :64512 BGP ASN : 65001
BGP Peering
인터넷 Gi1
Route Table Propagation
VPC CIDR : 10.1.0.0/16
On-Prem CIDR :172.16.1.0/24
VPC내의 EC2, RDS등에 대한 접근을 위해, Public IP(EIP)를 가지는 EC2 또는 Bastion Host에 접속 후, 사용 (기존)
RDS(Database)에 대한 세밀한 구성 및 관리를 위해 Amazon RDS에 Public Access를 구성하여 사용 (기존)
Site-to-Site VPN 연결을 통해, 내부 네트워크와 AWS VPC 사설 네트워크를 제약 없이 연결
IPSec Tunnel 구간은, Pre-Shared Key, 인증(SHA-1 ~ 512 등) 및 암호화(AES128~256 등)로 보호
8.
9. 전용 장비(라우터, 방화벽)를 통한 VPN 구성
• AWS 측의 VPN Endpoint는 2개의 Tunnel로 이중화 되어 있지만, 고객측
Router(Customer Gateway)에 대한 이중화 고려
• 이중화된 Tunnel은 Active/Standby로 동작
• 하나의 VPN Connection은 최대 1.25Gbps의 대역폭을 제공, 다중의 VPN
Connection을 구성해도 오직 하나의 Tunnel만이 Active로 동작
• 데이터 전송 요금(Transfer Out)과 더불어 AWS VPN Endpoint가
Provision되어 가용한 시간에 대한 시간당 비용이 추가됩니다. (서울
리전의 경우, 시간당 $0.05)
• Transit Gateway가 제공하는 VPN ECMP(Equal Cost Multi-Pathing)
기능을 사용하면 VPN 대역폭의 확장이 가능 (1.25Gbps * n)
고려 사항들
11. Direct Connect 구성
• 고객 On-Premise, IDC와 전용회선을 통해 연결
• KINX(가산), LG U+(평촌)을 통해 회선 접속 (DX Location)
• 단일 Direct Connect 회선(Connection)을 통해 최대 51개의 가상
인터페이스(Virtual Interface, VIF)를 지원(50개의 Private, Public VIF,
1개의 Transit VIF)
전용회선을 통한 AWS VPC와 안정적인 연결 구성
Direct Connect에 대한 자세한 설명은 아래의 Summit Seoul 2019 발표 자료를 참고해 주시기
바랍니다.
Direct Connect 를 통한 하이브리드 클라우드 아키텍처 설계 - 김용우 솔루션즈 아키텍트(AWS)
https://www.youtube.com/watch?v=aK7f3rL8wnM
12. 시나리오 2 아키텍처
CIDR : 10.2.0.0/16 CIDR : 172.16.2.0/24
172.16.2.10
Subnet
10.2.1.0/24
Subnet
10.2.2.0/24
10.2.1.10
VPC Route Table
EC2
RDS(Master) RDS(Standby/Read)
Virtual Private
Gateway (VGW)
Customer Gateway
(CGW)
Gi2
172.16.2.1
BGP ASN :64512 BGP ASN : 65002
Route Table
Propagation
Direct Connect의 Private Virtual Interface를 통해 단일 VPC와 On-Premise를 직접 연결
Direct Connect 는 BGP Routing 만을 지원
BGP Peering
DX Location
AWS DX Routers
AWS Cage
Gi1.102dxvif-nnnnnn VLAN 102
VPC CIDR : 10.2.0.0/16
On-Prem CIDR :172.16.2.0/24
eth0
19. Direct Connect 와 Transit Gateway 연동 구성
• Virtual Regional Router
• 확장성 높은 연결 (최대 5,000개의 VPC/VPN 연결)
• 원격 리전의 Transit Gateway와 Inter-Region Peering
• VPN 연결에 대한 ECMP 지원으로 VPN 대역폭 확장이 가능
Direct Connect와 Transit Gateway를 통해 높은 확장성과 유연한 제어
Transit Gateway(TGW)에 대한 자세한 설명은 아래의 Summit Seoul 2019 발표 자료를 참고해
주시기 바랍니다.
AWS Transit Gateway를 통한 Multi-VPC 아키텍처 패턴 - 강동환 솔루션즈 아키텍트(AWS)
https://www.youtube.com/watch?v=vEFh0BQ3iOk
20. 시나리오 3 아키텍처
AWS Region
(Local Region)
AWS Locations
CIDR:172.16.10.0/24
VPCs Prefixes
On-Premise Prefixes
eth0
BGP ASN : 65200
Gi2Gi1.200dxvif-nnnn
ASN : 65100AWS
Transit
Gateway
(TGW)CIDR : 10.13.0.0/16
Subnet
10.13.1.0/24
10.13.1.10
EC2
CIDR : 10.12.0.0/16
Subnet
10.12.1.0/24
10.12.1.10
EC2
CIDR : 10.11.0.0/16
Subnet
10.11.1.0/24
10.11.1.10
EC2
Transit VIF
DX Gateway
Direct Connect Gateway와 Transit Gateway를 통해 리전내 모든 VPC, VPN, On-Premise를 하나의 Network으로
운영 (VPC Peering 불필요)
인터넷VPN
(ECMP)
23. Public VIF를 구성하는 사례
DX Location
AWS DX Routers
AWS Cage
CIDR:172.16.2.0/24
eth0
172.16.2.100
BGP ASN : 65000
Gi2
172.16.2.1
Gi3.100dxvif-fhabrn02
69.210.64.206/3169.210.64.207/31
VLAN 100
BGP Peering
AWS Public Prefixes
Public IP(NAT)
Public Peering IP
(/30, /31)
AWS Public ASN :
7224 16509 14618 8987
Outbound NAT
Direct Connect Public VIF를 통해 인터넷을 거치지 않고 AWS의 모든 Global Public IP와 통신 (규정 및 보안 요구)
인터넷 연결 없이, Amazon S3, AWS Management Console 및 모든 AWS Region의 Public IP/Elastic IP에 접근
24. VPN Over Direct Connect (Public VIF)
DX Location
AWS DX
Routers
AWS Cage
CIDR:172.16.51.0/24
eth0
172.16.51.100
BGP ASN : 65200
Gi2
172.16.51.1
Gi3.100dxvif-fhabrn02
69.210.64.207/3169.210.64.206/31
VLAN 101
BGP Peering
10.51.0.0/16
VGW
Subnet
10.51.1.0/24
10.51.1.100
BGP ASN : 64512
EC2 Tunnel1
Tunnel2
Tunnel1
Tunnel2
IPSec Encryption
Direct Connect Public VIF를 구성 후, IPSec VPN을 구성하는 방식
규제 및 규정 준수 요건이 전송구간 종단간 암호화가 요구 되는 경우 활용 (Direct Connect 자체는 암호화를
제공하지 않음)
25. Networking 참고 세션 (Summit Seoul 2019)
AWS Transit Gateway를 통한 Multi-VPC 아키텍처 패턴 - 강동환
솔루션즈 아키텍트(AWS)
https://www.youtube.com/watch?v=vEFh0BQ3iOk
AWS Direct Connect 를 통한 하이브리드 클라우드 아키텍처 설
계 - 김용우 솔루션즈 아키텍트(AWS)
https://www.youtube.com/watch?v=aK7f3rL8wnM
KINX와 함께 하는 AWS Direct Connect 도입 - 남시우 매니저
(KINX)
https://www.youtube.com/watch?v=8X1g2w-0fvM