AWS VPN 환경

VPC와 다른 네트워크 사이에서 프라이빗 연결(VPC)를 연결하고 설정할 수 있다. 보통 라우터 장비만 가지고도 VPN환경이나 VPN장비를 통해서 만들 수 있다. 하지만 AWS에서는 VPN장비가 지원되지 않으며, 이때 가상 프라이빗 게이트웨이(VGW)를 사용해야한다. 아래의 그림과 같이 외부에서 접근할때 VGW를 통해서 접근할 수 있다. 이런 VGW는 여러개가 아닌 1개만 설치해도 여러대의 라우터와 연결이 가능하다.

VPN은 사설망이긴 하지만 실제로 물리적인 사설망은 아니다. 그렇기에 사설망과 동일한 보안을 제공하기 위해서 암호화, 터널링 등의 기술을 도입한다. 문제점이 있다면, 실제 사설망과 달리 인터넷망을 공유하기 때문에 보안적인 측면에서 문제가 있으며, 속도 또한 인터넷속도에 영향을 많이 받는다. 또한 유지시간이 있기에, 연결이 중간중간 끊어지는 경우가 발생하게 되기도 한다. 이런 환경은 원격으로 잠시 사용하겠다 라고 할때는 무관하지만, 하이브리드 환경을 구성할때는 조금 곤란한 면이 있다.

 

이럴때는 VPN대신 AWS DX(Direct Connect)를 사용하면된다. 

AWS DX(Direct Connect)는 전용 프라이빗 네트워크가 연결된다. 외부에서 광케이블을 가져와서 장비와 직접적으로 연결 즉 실제 물리적인 사설망이 구축이 된다. VPN보다 데이터 전송비용이 적게 들고, VPN보다 더 높은 성능과 안정성을 제공해준다. 하지만, 계약기간 등의 현실세계의 이슈가 있다는 단점이 있다.

이런 DX의 사용사례로는 보안 및 규정 준수가 있는(신뢰성이 있는), 네트워크 성능 예측이 가능한(안정적인), 지속적인 큰 데이터를 주고 받을 수 있는 환경인 하이브리드 클라우드 아키텍쳐에서 주로 사용된다. 

 

하지만 DX도 100% 믿을 수는 없다. 현실 세계에서 정전이 발생한다거나, DX케이블의 단선 등의 이슈가 발생한다면 사용할 수 없기 때문이다. 그렇기에 VPN연결을 통해 이중화로 Backup할 수 있다.

 

VPC간은 기본적으로 격리가 되어있고 서로 차단이 되어있다. 하지만 VPC간 통신을 해야할 때가 많다. 

 

EX) 인터넷에서 사용자가 각각의 서비스에 요청을 한다. 이때 직접적으로 각각의 서비스로 요청을 가도록 지정할 수 도 있지만 서비스가 많기 때문에, 각각의 보안 장비를 설치하는것은 많은 부담이 된다. 이때 특정 VPC에 보안장비를 설치한 후, 이 VPC를 통해서만 접근이 되도록 설계한다. 

 

AWS Transit Gateway

서로 다른 VPC간에 통신을 할 수있도록 연결해주는 가상의 라우터 장비이다. VPN연결을 하나로 규합하기 위해서도 사용할 수 있다.

 

이런 예시뿐만 아니라 DB를 한곳에 모아둔다거나, Log를 한곳에 모아두는 Syslog 등의 경우에도 마찬가지로 사용할 수 있는데, VPC 피어링을 할 수 있다. 

IGW나 가상 GW로 하는것이 아닌 좀 더 가까운 위치에 직접적으로 통신이 되기에 더 빠른 통신이 가능하며, 서로 다른 리전간에 연결을 할 경우 항상 백본에서 유지되기에 보안성을 더 챙길 수 있다. 또한 병목현상도 없으며, 고가용성 연결이 가능하며 단일 장애 지점이 없다.

VPC 피어링으로 서로 통신을 하기 위해서는 최소한의 전제조건이 있다.

 

1. 프라이빗 IP 주소 사용

2. 내부 및 리전 간 지원됨.

3. IP의 중복 방지

4. 두 VPC간 1개의 피어링 리소스만 해당

5. 전이적 피어링 관계는 지원되지 않는다.(베스쳔 호스트 개념이 성립되지 않음.)

6. 서로 다른 AWS 계정 간에 설정 가능

 

또한 고려해야할 설계 원칙이 있다.

1. 중복되는 CIDR 블록이 없어야함.

2. 필수 VPC에만 연결해야함.

3. 솔루션을 확장할 수 있어야 함.

 

VPC 피어링을 만들게 되면, 가상의 장비가 만들어지고 등록이 된다. 이때 목적지가 VPC A 라고 한다면 기기에 이렇게 등록하면된다. 

 

또한 IGW를 이용하지 않고 서비스들과 통신하도록 하는 방법이 있는데, VPC endpoint라고 한다. AWS 내부에서 EC2인스턴스를 VPC 외부 서비스와 프라이빗하게 연결할 수 있도록 해 주며 가용성이 뛰어나며, 중복적이며, 수평적으로 확장된다. IGW,NAT,방화벽 프록시를 사용할 필요가 없다. 단 동일리전에 있어야한다.