Network topologies can become complicated
- 일반적인 AWS 네트워크 토폴로지는 VPC 여러 개를 피어링으로 전부 연결하고
VPC 연결과 Direct Connect를 구축해서 Direct Connect Gateway로 여러 VPC를 한 번에 연결하는 방식이므로 복잡 - 이를 해결하기 위해 Transit Gateway를 생성
Transit Gateway
- 전이적 피어링 연결이
VPC 수천 개와 온프레미스 데이터 센터, Site-to-Site VPN, Direct Connect, 허브와 스포크 간 스타형 연결 사이에 생성되며
Transit Gateway를 통해 VPC 여러 개를 연결할 수 있음 - VPC를 모두 피어링할 필요가 없으며 Transit Gateway를 통해 전이적으로 연결됨
- Direct Connect Gateway를 Transit Gateway에 연결하면 Direct Connect 연결이 각기 다른 VPC에 직접 연결되므로
모든 VPC가 서로 통신할 수 있음 - 만약 Site-to-Site VPN과 VPC 연결을 선호한다면 고객 게이트웨이와 VPN 연결을 Transit Gateway에 연결할 수 있음
즉, Transit Gateway 일부로 모든 VPC에 액세스 - 리전 리소스이며 리전 간에 작동하므로 리전 간 Transit Gateway를 피어링할 수 있음
- Transit Gateway를 계정 간에 공유하려면 Resource Access Manager를 사용
- Transit Gateway에 라우팅 테이블을 생성해서 어느 VPC가 누구와 통신할지, 어떤 연결이 액세스할 지 제한할 수 있음
즉, Transit Gateway 내 모든 트래픽 경로를 제어해서 네트워크 보안을 제공 - Direct Connect Gateway 및 VPN 연결과 함께 작동하고 AWS에서 유일하게 IP 멀티캐스트를 지원하는 서비스
Transit Gateway: Site-to-Site VPN ECMP
- Site-to-Site VPN 연결 대역폭을 ECMP를 사용해 늘리는 경우에도 Transit Gateway를 사용
- 등가 다중 경로 라우팅을 뜻하면 ECMP는 여러 최적 경로를 통해 패킷을 전달하는 라우팅 전략이므로
Site-to-Site VPN 연결을 많이 생성해서 AWS로의 연결 대역폭을 늘릴 때 사용함 - 예) Transti Gateway에 VPC 네 개가 연결되어 있을 때
기업 데이터 센터는 Site-to-Site VPN으로 Transit Gateway에 연결됨
Site-to-Site VPN 연결을 구축할 때 각기 앞쪽과 뒤쪽을 향하는 터널 두 개가 있는데
Site-to-Site VPN을 VPC에 직접 연결하면 두 터널 모두 연결 하나로 사용되지만
Transit Gateway를 사용할 때는 두 터널이 동시에 사용되므로 밑의 도표에 선이 두 개가 있게 됨
Transit Gatway로 여러 Site-to-Site VPN을 만드는데 두 번째 Site-to-Site VPN을 생성해서
Transit Gateway로 연결할 수 있기 때문에 총 터널 네 개가 생기게 됨
Site-to-Site VPN에 터널 네 개가 있어 연결 처리량이 증가하며 이는 기업 데이터 센터를 직접 연결한 경우에는 사용할 수 없음
Transit Gateway: throughput with ECMP
- 가상 프라이빗 게이트웨이에 VPN을 연결하면 VPC마다 터널(연결)이 하나씩 생기고 연결 하나당 1.25Gbps를 제공하며
최대 처리량으로 제한됨 - VPN 연결을 터널 두 개로 구성됨
- VPN을 Transit Gateway로 연결하면 동일한 Transit Gateway에 모두 전이적으로 연결되므로
Site-to-Site VPN 하나가 여러 VPC에 생성됨
Site-to-Site VPN 연결 하나는 ECMP 덕분에 두 터널이 사용되므로 최대 처리량이 2.5Gbps이며
Transit Gateway에 Site-to-Site VPN 연결을 더 추가할 수 있으므로 두 세개만 더 하더라고 처리량이 두세 배 증가
대신 이 경우 데이터가 Transit Gateway를 통과할 때 성능 최적화 비용이 추가되므로 1GB마다 요금이 청구됨
Transit Gateway – Share Direct Connect between multiple accounts
- Direct Connect 연결을 여러 계정에서 공유할 때도 Transit Gateway를 사용
- 기업 데이터 센터와 Direct Connect 로케이션 간에 Direct Connect 연결을 생성한 후
Transit Gateway를 서로 다른 계정의 VPC 두 개 모두에 생성하고
Direct Connect 로케이션에 연결한 Direct Connect Gateway를 Transit Gateway에 연결하면
여러 계정과 VPC 사이에 Direct Connect 연결을 공유할 수 있음
'Cloud > AWS' 카테고리의 다른 글
| [SAA] VPC용 IPv6 (0) | 2022.04.30 |
|---|---|
| [SAA] VPC 트래픽 미러링 (0) | 2022.04.30 |
| [SAA] AWS 클래식링크 (0) | 2022.04.30 |
| [SAA] AWS Private Link - VPC Endpoint 서비스 (0) | 2022.04.30 |
| [SAA] Direct Connect & Direct Connect Gateway (0) | 2022.04.30 |
