Egress-only Internet Gateway
- 송신 전용 인터넷 게이트웨이는 IPv6 트래픽에만 사용되며 NAT Gatway와 비슷하지만 IPv6 전용으로
VPC 인스턴스에서 IPv6상 아웃바운드에 연결을 허용하고 동시에 인터넷이 인스턴스로 IPv6 연결을 시작하지 못하도록 막음 - 이를 위해 라우팅 테이블을 업데이트
- 예) 인터넷이 있고 VPC에 공용 및 사설 서브넷이 있다면
인터넷 게이트웨이에 연결된 상태이고 공용 서브넷이므로 인터넷은 IPv6를 사용해 인스턴스로 연결을 시작할 수 있음
하지만 이에 대해 아웃바운드 연결만 가능하도록 하기 위해서는
사설 서브넷에 있는 EC2 인스턴스가 인터넷 게이트웨이가 없어 비공개 상태이므로 송신 전용 인터넷 게이트웨이를 생성해
사설 서브넷의 EC2 인스턴스가 송신 전용 인터넷 게이트웨이를 통해 IPv6로 인터넷에 액세스 가능
반면 인터넷에서 EC2 인스턴스까지의 연결을 불가능
IPv6 Routing
- IPv6 라우팅 작동 방식
- IPv6가 있는 VPC에 공용 및 사설 서브넷이 있으며 둘 다 IPv4와 IPv6를 가질 때
공용 서브넷의 경우)
인터넷에 액세스하는 웹 서버는 인터넷 게이트웨이를 통해 IPv4와 IPv6로 액세스
공용 서브넷의 라우팅 테이블의 첫 번째와 두 번째 줄은 로컬이므로 로컬 IPv4와 로컬 IPv6 트래픽을 뜻하며
서브넷 또는 VPC의 CIDR 내부에 존재
그 외에 0.0.0.0/은 모든 IPv4를 뜻하고 ::/0은 모든 IPv6를 의미하며
전부 인터넷 게이트웨이를 통해 웹 서버가 인터넷에 액세스하도록 허용하며
이는 공용 서브넷의 IPv4와 IPv6를 양방향으로 활성화하는 방법
사설 서브넷의 경우)
서버에 사설 IPv4와 사설 IPv6가 있으며 서버가 인터넷에 액세스하되 액세스를 받지는 못하게 하기 위해서는
IPv4의 경우 NAT Gateway를 사용해 서버에 연결하고 NAT Gateway는 인터넷 게이트웨이에 연결되어 IPv4로 인터넷 액세스
하지만 IPv6는 송신 전용 인터넷 게이트웨이를 사용하여 IPv6로 인터넷에 액세스
사설 서브넷의 라우팅 테이블의 첫 번째와 두 번째 줄은 공용 서브넷과 같지만
세 번째 줄의 nat-gateway-id는 0.0.0.0/0의 대상이므로 모든 IP의 IPv4를 뜻하며
네 번째 줄은 eigw-id는 ::/0의 대상이므로 송신 전용 인터넷 게이트웨이 대상인 IPv6를 뜻함
<이그레스 전용 인터넷 Gateway 실습>
- Egress Only Internet Gateways 생성
이름은 DemoELGW로 하며 DemoVPC에 연결하여 송신 전용 인터넷 게이트웨이를 생성
실제로 작동하려면 라우팅 테이블을 편집해야 하므로 사설 서브넷인 PrivateRouteTable을 선택하고
모든 IPv6가 송신 전용 인터넷 게이트웨이로 향하도록 수정
그러면 사설 서브넷의 EC2 인스턴스가 IPv6로 인터넷에는 액세스하지만 도달하지 못하는 것을 볼 수 있음
'Cloud > AWS' 카테고리의 다른 글
| [SAA] AWS의 네트워킹 비용 (0) | 2022.05.01 |
|---|---|
| [SAA] VPC 섹션 (0) | 2022.05.01 |
| [SAA] VPC용 IPv6 (0) | 2022.04.30 |
| [SAA] VPC 트래픽 미러링 (0) | 2022.04.30 |
| [SAA] 환승 Gateway (0) | 2022.04.30 |
