AWS Direct Connect 서울 리전에 연결하기
지난 1월 7일 Asia-Pacific (Seoul) 리전이 국내에 개설 된 이후, 가장 많은 주목을 받은 AWS 서비스 중 하나가 바로 AWS Direct Connect 서비스입니다.
AWS Direct Connect는 여러분의 회사 내부 네트워크 혹은 기존 데이터 센터 환경의 온프레미스 IT 자원과 AWS 클라우드 자원을 전용 회선으로 연결하여, 하이브리드 환경을 구축할 수 있는 서비스 입니다. 전용 회선의 장점인 높은 보안성 및 일관된 네트워크 성능을 제공하고, AWS 서비스의 트래픽 비용 (Data transfer Out)을 절감시킬 수 있는 장점이 있습니다.
이 글에서는 Direct Connect를 구성하였을 때, 구체적인 모습과 서비스 설정 방법에 대해 상세히 설명 드리고자 합니다.
Direct Connect Location이란?
AWS 클라우드의 각 리전(Region)은 독립된 건물과 네트워크를 가진 복수개의 가용 영역(Availability Zone, AZ)으로 이루어져 있습니다. 여러분의 클라우드 자원을 멀티 AZ로 구성할 수 있고, 각 AZ에 나눠진 자원들은 하나의 가상 네트워크(Virtual Private Cloud)로 구성되어 있어 손쉽게 높은 가용성을 얻을 수 있습니다.
따라서, AWS에서는 각 리전 마다 한 개 이상의 AWS Direct Connect Location(이하, DX Location)을 지정하여 각 AZ에 있는 자원들을 빠른 네트워크 환경에서 연결할 수 있습니다. DX Location은 망 중립성을 제공하는 로컬 데이터 센터 사업자 중 AWS에서 지정하는 데이터 센터 상면 공급 사업자입니다. 해당 사업자의 상면에 AWS에서 네트워크 장비들을 설치하고, 백엔드로 AWS 모든 가용 영역(AZ)과 고속 전용 회선을 통해 연결해 놓은 곳을 의미합니다.
좀 더 쉽게 말씀 드리면, AWS 리전 내 만들어진 모든 클라우드 자원과 단일 회선 연동을 통해 연결될수 있도록 해 주는 브로커 역할을 수행합니다. 전 세계에 리전별로 다수의 AWS DX Location이 운영되고 있으며, 한국에서는 KINX가 파트너로 서비스를 제공합니다. 향후 고객의 피드백에 따라 DX Location은 계속 추가될 수 있습니다.
AWS Direct Connect 서비스를 구성하기 위해서는 몇 가지 단계를 거쳐야 합니다. 첫 번째 단계는 전용 회선을 여러분의 데이터 센터에서 DX Location까지 연결 하는 것이고, 그 다음에는 AWS 관리 콘솔에서 연결 설정을 수행하는 것입니다.
구성 방법: 1단계- 전용 회선 연결
전용 회선은 엄밀히 말하면 인터넷과 완전히 분리된 일대일 임대 회선(Leased Line)을 의미하고, 기업용 전용 회선으로 실제 구현 방식은 Leased Line, MPLS, MSPP, VPLS 등의 다양한 기반 기술로 구성됩니다. 간단히 말씀드리면, 네트워크 Layer1/2레벨의 물리적 구성을 하는 것입니다.
전용 회선 연결은 국내 모든 회선 사업자를 통해 하실 수 있습니다. 다만, AWS에서는 이들 중 일정 요건을 충족하는 사업자에 AWS Direct Connect 파트너 인증을 하고, AWS 고객을 더 잘 돕도록 하고 있습니다. 현재 한국 내에 AWS Direct Connect 파트너는 드림라인, KINX, 세종 텔레콤이 있습니다.
다만, AWS Direct Connect 파트너가 아니더라도 전용 회선 연결에 대한 부분은 기존 사업자들이 시장에서 해 오던 서비스 영역과 같기 때문에 여러가지 이유로 다른 사업자의 회선을 사용하셔야 할 경우에는 사용이 가능합니다.
AWS Direct Connect 파트너 인증을 가진 사업자와 일반 회선 사업자의 가장 큰 차이점은, AWS 파트너는 AWS 서비스에 대한 전반적인 이해를 기반으로 일대일로 모든 물리적/논리적 설정을 도와드리고, 이슈 발생 시 빠르게 대응이 가능하다는 점입니다. 또한, 1Gpbs 내에서 다양한 대역폭의 선택을 원하실 경우 Direct Connect 파트너는 여러분이 원하시는 속도에 맞춰 Direct Connect 회선을 구성해 드릴 수 있는 반면에, 일반 회선 사업자는 1G또는 10G의 대역폭 만을 구성할 수 있습니다.
구성 방법 2단계- 전용 회선 연결 대역폭(Bandwidth) 결정
DX Location 상면에 위치한 AWS 네트워크 장비는 1G 또는 10G 포트 만을 가지고 있습니다. 즉, 여러분의 전용 회선은 1Gbps또는 10Gbps로만 연결이 가능하다는 것을 의미합니다.
AWS 관리 콘솔에서 아래와 같이 Direct Connect 서비스를 신청하실 때 가장 먼저 하셔야 하는 것은 DX Location을 선택 후 1G 또는 10G 중 하나를 선택하는데, 이때 선택된 대역폭에 따라 AWS에서 해당 네트워크 장비의 특정 포트를 할당해 드립니다.
그런데, 1Gpbs의 대역폭이 너무 크고 그 정도가 필요하지 않으신 경우에는, 앞서 말씀 드린대로 AWS Direct Connect 파트너를 통해서 다양한 대역폭 사이에서 신청을 할 수 있습니다. AWS 파트너는 AWS 네트워크 장비 앞단에 추가적인 장비를 설치하여 1G또는 10G회선을 나누어 서비스할 수 있으며, 파트너 전용 콘솔을 통해 여러분이 원하시는 대역폭에 따라 50/100/200/300/400/500Mbps 중 하나를 선택하실 수 있습니다.
구성 방법 3단계 – 논리적인 구성 설정
물리적인 전용 회선 연결을 모두 마치고 나면, 논리적인 설정 단계로 들어갑니다. 전용 회선 연결이 마치면, 네트워크 관점에서는 장비 포트에 전기적인 신호가 감지되어 여러분의 네트워크 장비의 해당 포트에서 녹색 불빛이 반짝거림을 의미합니다.
실제 트래픽을 흘려보내기 위해서는 논리적인 설정 즉 인터페이스 및 패킷에 대한 라우팅 설정이 필요합니다. AWS Direct Console 관리 콘솔로 가보면 다음과 같은 화면이 나오며, State가 Available로 표시됩니다. 아래의 그림에 나와있는 예시는 1Gbps의 물리적인 회선이 연결되었다는 것을 의미하는데, 실제 구성을 위해서 해당 물리 구성을 기반으로 논리적인 인터페이스를 만들고 원하는 설정을 해야 합니다.
메뉴에서 해당 연결(Connection)을 선택하고, Create Virtual Interface를 클릭하면 아래와 같은 Virtual Interface를 설정하는 화면이 나오는데, 제일 처음 해야 하는 일은 해당 인터페이스를 하나의 VPC와 연결하는 Private Interface로 설정할지, 아니면 S3와 같은 공개 인터넷 서비스에 사용될수 있는 Public Interface로 사용할 지를 결정하는 것입니다.
Private 인터페이스로 구성하기
위의 예시 에서는 먼저 Private 인터페이스를 선택했고, 해당 인터페이스가 어느 VPC에 연결될 지를 골라주는 메뉴가 있습니다. VPC에 연결할 때 사용하는 방법은 가상 게이트웨이(VPW)와 라우팅 연결을 하는 것입니다. VGW는 VPN을 구성하실 때 사용하셨던 구성 요소인데, Direct Connect에서도 VGW를 사용하게 됩니다. VGW는 각 VPC마다 단 하나만 연동될 수 있으므로, VGW를 선택하시면 해당 VGW가 연결된 VPC를 선택했다는 것을 의미합니다.
그 다음은, BGP 설정을 위한 IP Address 입력인데, Private Interface의 경우 임의의 사설 IP를 받아서 설정이 가능하므로, 비교적 간단하게 설정하실 수 있습니다.
해당 설정을 마치고, 다음 단계를 클릭하면, AWS 콘솔에서 자동으로 Router의 Configuration을 만들어 주는데, 여러분의 데이터 센터에서 사용하시는 라우터를 선택하시면 해당 설정을 그대로 받으실 수 있고, 만약 리스트에 없을 경우 Generic Configuration을 받으셔서, 수동으로 설정하시면 BGP Neighbor 가 구성 되는 것을 보실 수 있습니다.
참고로 말씀드리면, VPN 설정에서는 제공되는 라우팅 옵션으로 Static 또는 BGP 중 선택이 가능했으나, Direct Connect의 경우에는 BGP 옵션만을 제공하니 주의 하시기 바랍니다. 고객에게서 어떤 장비를 써야 하는지 추천을 요청 받는 경우가 종종 있으나, BGP라는 표준 라우팅 프로토콜이 지원되는 모든 장비를 사용하실 수 있습니다. (최근에는 라우터 뿐만 아니라 방화벽 혹은 스위치도 라우팅을 지원하는데, 일반적으로 라우팅 장비가 아닌 경우에는 BGP는 추가적인 라이선스를 구매하셔야 지원되는 경우가 있으니 잘 확인하시기 바랍니다.)
Public Interface로 구성하기
이번에는 퍼블릭 서비스를 위한 Public Virtual Interface 설정 방법을 한번 살펴 보도록 하겠습니다.
Public Interface 설정에는 Private Interfac e설정과는 다르게 반드시 사전에 준비되어야 할 한 가지가 있습니다. 즉, 해당 인터페이스에 사용될 공인 IP주소가 필요합니다. 이때 필요한 IP Range는 일대일(Peer to Peer) BGP 연결이므로 /31 bit의 공인 IP 대역을 사용하면 되는데, 만약 가용한 공인 IP가 없으실 경우에는 AWS Support를 통해 신청하시면 하나의 /31 Bit 대역의 공인 IP페어를 할당 받으실 수 있습니다.
공인 IP뿐만 아니라 공인 ASN(Autonomous System Number)도 넣으실 수 있는데, 만약 현재 ASN을 가지고 계시지 않을 경우, 사설 ASN 중 임의의 번호를 선택하실 수 있습니다. Private interface 설정과 또 다른 한 가지는 VGW를 선택하는 항목이 없다는 것입니다. 앞에서 설명 드렸듯이, VGW는 하나의 VPC와 연결되는 게이트웨이라서 퍼블릭 인터페이스 구성에는 특정 VPC에 연동이 되지는 않습니다.
모든 설정을 정상적으로 마치고 다음 단계로 넘어가면, State 가 Verifying 이라고 표시되는 화면을 보실 수 있습니다.
라우팅 설정은 이전 Private Interface 설정 때와 마찬가지로 그대로 해주시면 되는데, 설정 후에도 바로 통신이 되지는 않습니다. 그 이유는 AWS의 Public 서비스들과 라우팅 연동이 되는 구성이기 때문에 여러분이 설정하신 공인 IP주소, ASN 등이 실제 유효한 정보인지를 먼저 검증하는 과정을 거치게 되며, 이는 최대 36시간 까지 소요될 수 있습니다.
DX Location 설정 완료 및 테스트
모든 설정이 완료되고, 여러분의 라우터로 연결된(Advertised) AWS의 공인 서비스 대역을 확인해 보실 수 있습니다. 아 위와 같은 다양한 IP 대역이 수신되는 것을 보실 수 있습니다.
해당 대역들은 AWS의 VPC를 제외한 모든 Public 서비스들에 대한 엔드포인트 IP대역으로써, 이를 통해 인터넷을 통하지 않고도 Direct Connect 전용 회선을 통해 다양한 서비스들을 보다 안정적으로 사용하실 수 있습니다.
더 자세한 사항은 AWS Direct Connect 홈페이지와 한국어 기술 문서를 참고하시면 됩니다.
이 글에 대한 정보를 간략하게 요약한 AWS Direct Connect 가이드(PDF)을 참고하시고, DX에 대한 복잡한 질문/추가 질문은 aws-dx-korea@amazon.com나 AWS Direct Connect 파트너인 드림라인, KINX, 세종 텔레콤을 통해 문의하시기 바랍니다.
본 글은 아마존웹서비스 코리아의 솔루션즈 아키텍트가 국내 고객을 위해 전해 드리는 AWS 활용 기술 팁을 보내드리는 코너로서, 이번 글은 김용우 솔루션즈 아키텍트께서 작성해주셨습니다.
Source: AWS Direct Connect 서울 리전에 연결하기