강 동 환 / AWS 솔루션즈 아키텍트
AWS 네트워크
신규 기능 업데이트

• AWS Global Infrastructures and Backbone
• 여러분의 VPC를 연결하는 방법들
• re:Invent 2017 New Features Announcement
• Demo (Inter-Region Peering)
• 기타 신규 기능들
목차

AWS Global
Infrastructures

AWS CLOUD
1. AWS Global Infrastructures
us-east-1
(N. Virginia)
us-west-1
(N. California)
ap-aoutheast-1
(Singapore)
eu-west-1
(Ireland)
A W S
R E G I O N A L
E X P A N S I O N
First 5 years: 4 regions

AWS CLOUD
1. AWS Global Infrastructures
sa-east-1
(Sao Paulo)
ap-southeast-1
(Sydney)
ap-northeast-1
(Tokyo)
eu-central-1
(Frankfurt)
China
(Beijing)
GovCloud
(us-west)
us-west-2
(Oregon)
A W S
R E G I O N A L
E X P A N S I O N
First 5 years: 4 regions
Next 5 years: 7 regions

AWS CLOUD
1. AWS Global Infrastructures
ap-northeast-2
(Seoul)us-east-2
(Ohio)
China
(Ningxia)
ca-central-1
(Canada)
ap-south-1
(Mumbai)
eu-west2
(London)
eu-west3
(Paris)
18개의 Regions, 49개의 Availability Zones (2018년 1월 현재)
A W S
R E G I O N A L
E X P A N S I O N
First 5 years: 4 regions
Next 5 years: 7 regions
2016~2017: 7 regions

AWS CLOUD
1. AWS Global Infrastructures
A W S
R E G I O N A L
E X P A N S I O N
Hong Kong SARBahrain
GovCloud
(east)
Sweden
First 5 years: 4 regions
Next 5 years: 7 regions
2016~2017: 7 regions
2018~2019년 초: 4 regions (예정)

AWS CLOUD
2. AWS Global Backbone (2018년 1월 현재)
• 이중화된 100GbE 네트워크
• 장애 대응이 가능한 리전간
전용의 회선 용량
• 모든 AWS 리전간 트래픽은
Amazon Global Backbone을
사용하도록 설계
Amazon Global Network
• 고객사 On-Premise와 AWS VPC를
연결하기 위한 전용회선 접속
지점
• 전세계 80개의 Direct Connect
Location
• APN 파트너를 통한 연결 Options
Direct Connect Location
• 전세계 24개국 55개의 도시에
분포
• 107개의 PoP (96개의 엣지
로케이션, 11개의 리전 엣지
캐시)
• CloudFront, Route53, Shield, WAF
Edge Locations

AWS CLOUD
리전과 가용 영역
가용 영역-1 (AZ) 가용 영역-2 (AZ) 가용 영역-3 (AZ) 가용 영역-4 (AZ) 가용 영역-5 (AZ)
AWS Region

AWS 자원 레벨
IAM Route53 Shield CloudFrontWAF
EC2 EBS
ELB IGW
VPC
Peering
VGW
End
Point
VPN
Storage
(S3…)
Development
(Code*…)
Subnet-1 (AZ-1)
ENI
NAT
GW
EC2 EBS
Subnet-2 (AZ-2)
ENI
NAT
GW
AWS Global
Resources
Regional
Resources
(18개의 지리적인 리전)
Availability-Zone
Level Resources
(49개의 가용영역)
DirectConnect
Gateway
사용자 VPC 외부의
AWS Public Services
Database
(DynamoDB…)
Analytics
(Kinesis…)
• • • •

여러분의 VPC에 연결하는 다양한 방법들
EC2
On-Premise
Data Center
Site-to-Site IPSec VPN
10001011101000101010010101011
DirectConnect
EC2
SSH/RDP
Bastion Host
(Linux/Windows)
EC2
SSL VPN
SSL VPN Server
(OpenVPN…)
100010111010001010100101010101100011100110
Peering
PrivateLink
EC2 ELB Kinesis
End Points
S3 DynamoDB

re:Invent announcement
및 최신 Update

Region 간 VPC 연결 Option (IPSec VPN)
US Region Seoul Region
1000101110100011001111010010
Site-to-Site IPSec VPN
VPN VPN
리전대 리전간 연결
Pros :
AWS Global Backbone을 활용
Site-to-Site IPSec VPN을 통한 안
전한 통신
Cons :
연결 리전 증가에 따른 관리 부담
및 복잡성 증가
VPN Instance 비용 및 이중화 구성
필요

Region 간 VPC 연결 Option (Transit VPC)
US Region Seoul RegionEU Region
Transit VPC
VPN VPN
다수의 리전간 연결
Pros :
AWS Global Backbone을 활용
Site-to-Site IPSec VPN을 통한 안
전한 통신
Transit VPC를 통한 구성 관리 일
원화및 자동화
Cons :
VPN Instance 비용 및 이중화 구성
필요

Inter-Region VPC Peering
Inter-region Peering
AWS Backbone을 기반으로 서로 다른 AWS
Region의 VPC내의 인스턴스간 안전한 통신을 제공
Inter-region
Peering
US-EAST-1, US-EAST-2, US-WEST-2, and EU-WEST-1
리전에서 사용가능
나머지 리전도 곧 지원 예정!
NEW!

Inter-Region VPC Peering
US Region
10.1.0.0/16
Seoul Region
10.3.0.0/16
모든 트래픽은 암호화 되고,
AWS Global Network내에서 전송
100011101000101010010101010110100111101001011

Inter-Region VPC Peering
Inter-region
Peering
서로 다른 AWS 리전의 VPC간의
전용 연결을 제공
모든 리전간 트랙픽은
AWS 백본을 사용
모든 트래픽은 암호화 되어 전송
(AEAD-style encryption)
단일지점장애(SPOF)가 없는
고가용성 제공

Direct Connect Gateway
Direct Connect Gateway
Direct Connect Location(접속지점)에서 모든 AWS
리전으로 AWS Global Backbone을 이용하여 손쉽게 연결이
가능
On-Premise에서 가장 가까운 접속지점을 선택
Direct Connect
Gateway
NEW!

Direct Connect?
CORP
AWS Direct
Connect Routers
고객 Router
Colocation
DX Location (KNIX, LG U+)
Customer Network
ISP Network
AWS Backbone
Network
Cross
Connect
고객
Router
Access
Circuit
Customers
Network Backbone
Access
Circuit
AWS Cage 고객/파트너 Cage
경계지점
전용 회선
Ethernet Private Line
Pseudo-Wire
Point-to-Point Circuit
LAN Extension
MPLS/VPLS/IP-VPN/L3 VPN

Direct Connect Gateway
CORP
US Region
10.1.0.0/16
EU Region
10.6.0.0/16
Direct Connect
Location (Seoul)
Direct Connect
Gateway
AWS Global Backbone
“중국 리전을 제외한 모든 AWS Public
Region에서 사용 가능”
•••••

Direct Connect Gateway

Demo

Demo 시나리오
EU Region
(Ireland)
EC2
172.16.200.10
vpc-a7bc5cc1
US Region
(N. Virginia)
EC2
172.16.100.10
vpc-cdcf95b5
172.16.200.0/24 172.16.100.0/24
1. Request Peering
2. Accept Peering Request52.48.216.18 35.168.247.254
3. Update Route Table
1
2
4. ping, mtr, traceroute

VPC 외부의 자원을 안전하게 사용하기 위한 방안
Amazon
S3
Public Subnet-1 (AZ-1)
NAT
GW
Public Subnet-2 (AZ-2)
NAT
GW
Amazon
DynamoDB
Private Subnet-1 (AZ-1) Private Subnet-2 (AZ-2)
EC2EC2
EC2 EC2
VPC End Point
Public Subnet의 인스턴스는 Internet
Gateway를 통하여 S3 및 DynamoDB에
Access
Private Subnet의 인스턴스는 NAT
Gateway 를 통하여 S3 및 DynamoDB에
Access
기존 방식
사용자 VPC와 AWS Public Services(S3 및
DynamoDB)간의 안전한 전용의 네트워크
경로 (인터넷 게이트웨이 및 NAT GW를 경
유하지 않음)
NAT GW대비 저렴한 비용, 동적인 성능확
장 및 장애 대비 구조 제공
End Point를 생성하고, VPC Route Table
에 해당 경로를 추가
VPC End Point
VPC Subnet Route Table

PrivateLink 개요
PrivateLink for AWS Services
여러분의 VPC 또는 On-Premise 데이터센터에서 다양한
AWS 서비스들에 독립적이고 안전하게 접근할 수 있습니다.
Amazon EC2 Elastic Load
Balancing
Amazon Kinesis AWS Service
Catalog
EC2 Systems
Manager
PrivateLink가 지원되는 서비스들
NEW!

PrivateLink 개요
Network
Load Balancer 기반
고객 VPC내에 존재하는
안전한 Endpoint
AWS Marketplace에
통합

PrivateLink 구성
Instances
PrivateLink 지원 서비스
Services VPC
서비스 제공자 VPC
Service ProviderConsumerOn-Premise
EC2
EC2
EC2
EC2
Subnet-1 (AZ-1)
Subnet-2 (AZ-2)
서비스 제공자 VPC
Network
Load Balancer
NLB ENI
사용자/고객 VPC
10.0.0.0/16
Direct Connect
“고객의 On-Premise Data
Center에서도 PrivateLink를 통
하여 Provider의 서비스 사용이
가능”
EndPoint
ENI
vpce-09b55ba1097df95d2-u4s4jmd2.ec2
.ap-northeast-2.vpce.amazonaws.com

참고 : 기능 비교
End Point
Type
동작 방식 지원 서비스
Gateway
• 기존의 VPC End Point
• 고객 VPC Route Table을 통한 전용의 경로가 제공
• VPC Peering, Direct Connect Private VIF를 통한 On-
Premise 에서는 접근이 불가능 (Direct Connect Public
VIF를 통해 접근 가능)
• Amazon S3
• Amazon DynamoDB
Interface
• PrivateLink 기반
• 고객 VPC내에 ENI가 생성되고, 해당 서비스에 대한
DNS End Point가 제공
• Direct Connect를 통한 On-Premise에서 사용 가능
• Amazon Kinesis Data Streams
• Elastic Load Balancing API
• Amazon EC2 API
• Amazon EC2 System Manager
• AWS Service Catalog
• 다른 Account의 VPC가 제공하는 서비스
• AWS Market Place 파트너가 제공하는 서비스

기타 updates

Amazon Lightsail
Lightsail Load Balancer
인증서 관리 기능이 표함된 사용하기 쉬운
로드밸런서로, 낮은 비용으로 안전하고 가용성
높은 웹 애플리케이션을 만들 수 있도록 합니다.
NEW!

Amazon Time Sync Service
EC2
Public Subnet
EC2
Private Subnet
Satelite
Atomic
Clock
169.254.169.123
https://docs.aws.amazon.com/ko_kr/AWSEC2
/latest/UserGuide/set-time.html
인터넷 연결이 불필요한 위성 및 원자
시계 기반의 정밀한 NTP 서비스
Security Group 또는 NACL에 NTP관
련 규칙 불필요 (UDP/123)
Private Subnet의 인스턴스들도 NAT
GW없이 NTP 동기화가 가능
Amazon Linux에서는 기본 적용
NEW!

체크사항 및 결론
AWS Global Infrastructure 및 Global Backbone은 빠르고
지속적으로 확장 되고 있습니다.
AWS Global Infrastructure를 활용하여 여러분의 Global Business를
효과적으로 확장 할 수 있습니다. (Direct Connect Gateway, Inter-
Region VPC Peering)
PrivateLink를 통하여 보다 안전하고 효과적으로 AWS Services 및
파트너 솔루션에 접근 할 수 있습니다.
체크 포인트

Call to Action
본 강연이 끝난 후…
AWS Global Infrastructure에 대한 상세한 정보를 re:Invent 2017
Keynote에서 확인 할 수 있습니다.
Tuesday Night Live : https://www.youtube.com/watch?v=dfEcd3zqPO
A
NET205 AWS Networking State of the Union :
https://www.youtube.com/watch?v=9x8hz1oRWbE
네트워크 보안에 관련된 새로운 소식은 이어지는 세션에서 확인 할 수 있
습니다. (GuardDuty/WAF)

감사합니다.