Recommanded Free YOUTUBE Lecture: <% selectedImage[1] %>

Contents

시나리오

joinc(주)는 글로벌한 회사로 성정하고 있다. 이 회사는 서울리전, 도쿄리전, 캘리포니아 리전, 런던리전에 VPC를 전개하고 있다. 이외에 대한민국에 데이터 센터를 가지고 있다. 현재 회사는 VPC와 데이터센터의 네트워크 통합에 어려움을 겪고 있다. 서비스가 더 커지기 전에 이들을 통합하는 작업을 수행해야 한다.

CTO는 DevOps 팀에 이들 네트워크를 통합할 설계를 지시했다. 지시의 요구사항은 아래와 같다.

  1. 데이터 센터와 연결 할 수 있어야 한다.
  2. 네트워크 토폴로지 설계를 포함해야 한다.
  3. 각 리전간 안전한 통신을 보장해야 한다.

네트워크 토폴로지

DevOps팀은 네트워크 토폴로지를 결정하기로 했다. 아래 이미지는 다양한 네트워크 토폴로지를 묘사하고 있다.

 Network 토폴로지

DevOps팀은 Hub-And-Spoke와 Fully Connected mesh중 하나를 선택하기로 했다.

허브 앤 스포크 토폴로지는 서비스 공급자 사이에 중앙 "허브"가 존재하는 모델이다. 이 방식은 각 서비스 공급자는 중앙허브에 대한 단일 연결만 만들면 되기 때문에 구현이 간단하다는 장점이 있다. 또한 중앙 허브를 통과해야 하기 때문에, 보안을 컨트롤하기 쉽다는 장점도 있다. 클라우드 환경에서 네트워크 토폴로지는 보통 허브 앤 스포트를 사용한다.

DevOps 팀은 아래와 같은 좀 더 상세한 토폴로지를 제안했다.

VPC Peering vs Transit Gateway

AWS에서는 VPC Peering와 Transic Gateway를 이용해서 네트워크를 연결 할 수 있다.

VPC 피어링(Peering)은 두 개의 VPC 네트워크를 연결하여 IPv4 혹은 IPv6 통신을 할 수 있게 한다. VPC 피어링은 같은 리전의 VPC 뿐만 아니라 다른 리전의 VPC 연결도 지원한다.

 VPC 피어링

VPC 피어링을 설정하기 위한 게이트웨이나 물리적/가상적 하드웨어가 필요 없다. 따라서 통신 또는 대역폭 병목에 대한 단일 지점 장애가 없으며, 관리도 쉽다.

Transit Gateway는 고객이 자신이 가지고 있는 VPC들 뿐만 아니라 온프레미스 네트워크를 단일 게이트웨이에 연결 할 수 있도록 지원해 주는 서비스다. VPC 피어링이 두개의 네트워크를 단순 브릿지 하는 역할이라면, Transit Gateway는 라우터를 이용해서 전체 네트워크를 연결하는 그런 느낌이다.

VPC 피어링은 간단하게 VPC를 연결하기 위해서 사용하는 좋은 방법이지만 VPC가 늘어나면 관리가 어려워진다. 특히 VPC가 여러 리전에 분산되어 있거나 온프레미스와 연결해야 하는 하이브리드 구성에서 사용하기가 어려워진다.

VPC 피어링 환경에서 온프레미스와 VPC를 연결하려면 AWS VPN을 각 Amazon VPC에 따로 연결해야 한다. 구축하는데 많은 시간이 걸리며, VPC가 늘어날 경우 관리하기가 힘들어 질 수 있다.

Transit Gateway는 라우터와 같은 중앙 허브 역할을 하기 때문에 간단하고 효율적으로 전체 네트워크를 관리 할 수 있다.

아래는 VPC 피어링과 transit Gateway를 비교한 그림이다.

 VPC Peering 와 Transit Gateway

Transit Gateway가 VPC 피어링에 비해서 훨씬 단순함을 알 수 있다. 물론 장점만 있는 건 아니다. Transit Gateway는 VPC Peering 보다 더 비싸다.

Transit Gateway 기능

두 개의 VPC를 단순히 연결하는 VPC 피어링과 달리, Transit Gateway는 라우터처럼 작동하며, 다양한 트래픽 컨트롤 기능을 제공한다.
  1. 라우팅 : Lahyer 3 기반의 동적 / 정적 라우팅을 지원한다.
  2. 엣지 연결 : VPN을 사용하여 AWS Transit Gateway와 온프레미스 게이트웨이 간에 VPN 연결을 생성 할 수 있다.
  3. VPC 기능의 상호 운용성; 다른 VPC에 있는 NAT 게이트웨이, Network Load Balancer, PrivateLink, EFS 등에 액세스 할 수 있다. 이를 이용하면 트래픽이 보안 설정된 VPC를 통해서 외부로 나가도록 설정 할 수 있다.
  4. 멀티캐스트 지원 : Transit Gateway는 모든 IGMP 구성원에게 멤버십 쿼리를 전송하고 이를 추적할 수 있다.
  5. Security Group과의 통합
  6. Transit Gateway간 peering

네트워크 설계

DevOps 팀 Transit Gateway를 이용해서 네트워크 토폴로지를 구성하기로 했다. 아키텍처에 반영 할 내용 들이다.
  • 서울리전을 중심으로 한다.
  • 서울리전은 온프레미스와 연결되며, 핵심 개발자, 관리자는 온프레미스에서 연결 한다.
  • 온프레미스는 서울리전을 비롯한 전체 리전에 연결 할 수 있다.
  • 각 리전에는 지사가 있으며, 지사는 VPN을 이용해서 해당 리전의 VPC에만 접근 할 수 있다.
이 네트워크는 아래와 같이 설계 할 수 있을 것이다.

 Samsung Cloud

Direct Connect Gateway는 AWS VPC와 데이터센터를 직접 연결하기 위해서 사용하는 서비스다. 이 서비스를 이용해서 AWS VPC와 고객사의 데이터 센터 네트워크를 묶을 수 있는데, 하이브리드 클라우드 환경을 구성하기 위해서 주로 사용하고 있다.

인터넷 서비스 기업의 경우에서 Direct Connect Gateway를 구성해야 할 요구사항은 거의 없을 것이다. 보통은 이미 온-프레미스에서 대량의 데이터와 서비스를 가지고 있는 대기업 혹은 금융권에서 클라우드로 IT 자원을 이동하고 이를 통합하기 위해서 주로 사용한다.

Site-To-Site VPN도 네트워크를 연결하기 위한 솔류션이기는 하지만 데이터와 서비스를 통합하기 위한 Direct Connect와는 달리 관리적인 목적으로 주로 사용한다. 예를 들어 회사와 AWS VPC를 VPN으로 서로 연결하여 관리하는 경우다.

이렇게 Direct Connect와 Site-To-Site VPN을 이용해서 온-프레미스데이터 센터, 클라우드 네트워크, Office를 하나로 통합 할 수 있다.

참고