AWS Transit Gateway 출시 – VPC 네트워크 아키텍처 단순화 가능
VPC, 서브넷, 라우팅 테이블, 보안 그룹 및 네트워크 ACL을 사용한 격리 및 액세스 제어가 매우 유용하기 때문에 고객들은 이들 항목을 많이 생성합니다. 여러 사업부, 팀, 프로젝트 등을 지원하기 위해 여러 AWS 계정과 리전에 걸쳐 수백 개의 VPC를 배포한 고객을 흔히 볼 수 있습니다.
고객이 VPC 간에 연결을 설정하기 시작하면 환경이 복잡해집니다. 위에 나열한 모든 연결 옵션은 엄격한 P2P 옵션이므로 VPC 간 연결 수가 빠르게 늘어납니다.
AWS Transit Gateway 출시
전체 네트워크 아키텍처를 단순화하고, 운영 오버헤드를 줄이며, 보안을 비롯하여 외부 연결의 중요한 측면을 중앙에서 관리할 수 있습니다. 마지막으로, Transit Gateway를 사용하여 기존 엣지 연결을 통합하고 단일 수신/송신 지점을 통해 라우팅할 수 있습니다.
Transit Gateway는 설정과 사용이 쉽고 고도의 확장성과 복원력을 제공하도록 설계되었습니다. 각 게이트웨이마다 최대 5,000개의 VPC를 연결할 수 있으며 각 연결은 최대 초당 50Gbps의 집중적인 트래픽을 처리할 수 있습니다. 현재 AWS VPN 연결을 Transit Gateway에 연결할 수 있으며 2019년 초에 Direct Connect에 대한 연결을 지원할 예정입니다.
Transit Gateway 생성
이 새로운 기능에는 여러 계정 간에 손쉽게 AWS 리소스를 공유하도록 지원하는 새로운 AWS 서비스인 AWS Resource Manager가 사용됩니다. 리소스를 소유한 계정이 리소스 공유를 생성하고 리소스에 액세스할 수 있는 다른 AWS 계정의 목록을 지정하기만 하면 됩니다. Transit Gateway는 이 방식으로 공유할 수 있는 최초의 리소스 유형 중 하나이며, 앞으로 다른 리소스도 지원할 예정입니다. 앞으로 이 기능에 대해 많은 이야기를 하게 되겠지만, 우선은 특정 AWS 리소스의 소유권과 액세스라는 개념을 서로 분리하는 기능으로 이해하면 되겠습니다.
첫 단계로 AWS 계정에서 Transit Gateway를 생성합니다. VPC 콘솔(CLI, API 및 CloudFormation 지원도 제공)을 열고 Transit Gateways를 선택한 후 [Create Transit Gateway]를 클릭합니다. 이름과 설명, Amazon 측 게이트웨이의 ASN을 입력합니다. 다른 계정에서 보내는 공유 요청을 자동으로 수락하도록 선택할 수 있습니다.
몇 분 안에 게이트웨이를 사용할 수 있습니다.
이제 게이트웨이를 VPC에 연결하고 워크로드가 있는 서브넷을 선택할 수 있습니다(최대 AZ당 1개의 서브넷).
그런 다음 Resource Access Manager 콘솔에 접속하여 [Create a resource share]를 클릭합니다.
공유의 이름을 지정하고 Transit Gateway를 찾아 공유에 추가한 후 이 공유를 공유할 AWS 계정을 추가합니다. 이 공유를 조직 또는 OU(조직 단위)와 공유하도록 선택할 수도 있습니다. 옵션을 선택하고 [Create resource share]를 클릭하여 계속 진행합니다.
몇 분 안에 리소스 공유가 생성되고 사용할 준비가 됩니다.
다음으로 게이트웨이를 공유한 계정에 로그인하고 RAM 콘솔로 다시 이동한 후 초대 메시지를 찾아 클릭합니다.
원하는 초대 메시지가 수신되고 있음을 확인하고 [Accept resource share]를 클릭합니다.
의사를 확인하고 나면 Transit Gateway가 공유 리소스로서 표시됩니다.
다음 단계(그림 없음)로, 이 계정에서 원하는 VPC에 Transit Gateway를 연결합니다.
보다시피, Transit Gateway를 사용하여 네트워킹 모델을 단순화할 수 있습니다. 여러 VPC에 걸쳐 배포되는 애플리케이션을 손쉽게 만들어 복잡한 네트워크를 관리할 필요 없이 그러한 애플리케이션 간에 네트워크 서비스를 공유할 수 있습니다. 예를 들어 다음과 같은 환경에서
다음과 같은 환경으로 바꿀 수 있습니다.
또한 Transit Gateway를 방화벽 또는 IPS(Intrusiong Prevention System)에 연결하고 네트워크의 모든 수신 및 송신 트래픽을 처리하는 단일 VPC를 생성할 수도 있습니다.
주요 사항
다음은 VPC Transit Gateway에 대해 알아두어야 할 몇 가지 다른 사항입니다.
AWS 통합 – Transit Gateway는 Amazon CloudWatch에 지표를 게시하고 VPC Flow Log 레코드를 생성합니다.
VPN ECMP 지원 – VPN 연결에 대해 ECMP(Equal-Cost Multi-Path) 지원을 활성화할 수 있습니다. 여러 연결에서 동일한 CIDR 블록을 알리는 경우 트래픽이 해당 연결 간에 균등하게 분산됩니다.
라우팅 도메인 – 동일한 Transit Gateway에 여러 개의 라우팅 테이블을 사용하고, 연결별로 라우팅을 제어하는 데 이러한 라우팅 테이블을 사용할 수 있습니다. VPC 트래픽을 격리하거나 특정 VPC에서 별도의 점검 도메인으로 트래픽을 우회시킬 수 있습니다.
보안 – VPC 보안 그룹과 네트워크 ACL을 사용하여 온프레미스 네트워크 간의 트래픽 흐름을 제어할 수 있습니다.
요금 – Transit Gateway가 연결되어 있는 시간에 대한 시간당 요금과 GB당 데이터 처리 요금을 지불합니다.
Direct Connect – 현재 AWS Direct Connect 지원 기능을 개발하는 중입니다.
지금 이용 가능
AWS Transit Gateway는 현재 이용 가능합니다. 지금 바로 이용해 보십시오!
— Jeff;