Amazon Web Services 한국 블로그
AWS Transit Gateway 출시 – VPC 네트워크 아키텍처 단순화 가능 (서울 리전 포함)
Amazon Virtual Private Cloud는 AWS의 핵심이 되는 가장 유용한 기능이라고 해도 과언이 아닙니다. 고객들은 VPC를 다양한 방식으로 구성하며, AWS Direct Connect(Direct Connect 게이트웨이를 통해), NAT 게이트웨이, 인터넷 게이트웨이, 송신 전용 인터넷 게이트웨이, VPC 피어링, AWS 관리형 VPN 연결, PrivateLink 등 다양한 연결 옵션과 게이트웨이를 이용합니다.
VPC, 서브넷, 라우팅 테이블, 보안 그룹 및 네트워크 ACL을 사용한 격리 및 액세스 제어가 매우 유용하기 때문에 고객들은 이들 항목을 많이 생성합니다. 여러 사업부, 팀, 프로젝트 등을 지원하기 위해 여러 AWS 계정과 리전에 걸쳐 수백 개의 VPC를 배포한 고객을 흔히 볼 수 있습니다.
고객이 VPC 간에 연결을 설정하기 시작하면 환경이 복잡해집니다. 위에 나열한 모든 연결 옵션은 엄격한 P2P 옵션이므로 VPC 간 연결 수가 빠르게 늘어납니다.
AWS Transit Gateway 출시
AWS Transit Gateway를 통해 허브 및 스포크 방식의 네트워크 토폴로지를 구축하는 기능을 선보입니다. VPC, Active Directory, 공유 서비스 등의 리소스가 여러 AWS 계정에 걸쳐 배포되어 있는 경우에도 기존 VPC, 데이터 센터, 원격 사무소 및 원격 게이트웨이를 관리형 Transit Gateway에 연결하고 네트워크 라우팅과 보안을 완벽하게 제어할 수 있습니다.
전체 네트워크 아키텍처를 단순화하고, 운영 오버헤드를 줄이며, 보안을 비롯하여 외부 연결의 중요한 측면을 중앙에서 관리할 수 있습니다. 마지막으로, Transit Gateway를 사용하여 기존 엣지 연결을 통합하고 단일 수신/송신 지점을 통해 라우팅할 수 있습니다.
Transit Gateway는 설정과 사용이 쉽고 고도의 확장성과 복원력을 제공하도록 설계되었습니다. 각 게이트웨이마다 최대 5,000개의 VPC를 연결할 수 있으며 각 연결은 최대 초당 50Gbps의 집중적인 트래픽을 처리할 수 있습니다. 현재 AWS VPN 연결을 Transit Gateway에 연결할 수 있으며 2019년 초에 Direct Connect에 대한 연결을 지원할 예정입니다.
Transit Gateway 생성
이 새로운 기능에는 여러 계정 간에 손쉽게 AWS 리소스를 공유하도록 지원하는 새로운 AWS 서비스인 AWS Resource Manager가 사용됩니다. 리소스를 소유한 계정이 리소스 공유를 생성하고 리소스에 액세스할 수 있는 다른 AWS 계정의 목록을 지정하기만 하면 됩니다. Transit Gateway는 이 방식으로 공유할 수 있는 최초의 리소스 유형 중 하나이며, 앞으로 다른 리소스도 지원할 예정입니다. 앞으로 이 기능에 대해 많은 이야기를 하게 되겠지만, 우선은 특정 AWS 리소스의 소유권과 액세스라는 개념을 서로 분리하는 기능으로 이해하면 되겠습니다.
첫 단계로 AWS 계정에서 Transit Gateway를 생성합니다. VPC 콘솔(CLI, API 및 CloudFormation 지원도 제공)을 열고 Transit Gateways를 선택한 후 [Create Transit Gateway]를 클릭합니다. 이름과 설명, Amazon 측 게이트웨이의 ASN을 입력합니다. 다른 계정에서 보내는 공유 요청을 자동으로 수락하도록 선택할 수 있습니다.
몇 분 안에 게이트웨이를 사용할 수 있습니다.
이제 게이트웨이를 VPC에 연결하고 워크로드가 있는 서브넷을 선택할 수 있습니다(최대 AZ당 1개의 서브넷).
그런 다음 Resource Access Manager 콘솔에 접속하여 [Create a resource share]를 클릭합니다.
공유의 이름을 지정하고 Transit Gateway를 찾아 공유에 추가한 후 이 공유를 공유할 AWS 계정을 추가합니다. 이 공유를 조직 또는 OU(조직 단위)와 공유하도록 선택할 수도 있습니다. 옵션을 선택하고 [Create resource share]를 클릭하여 계속 진행합니다.
몇 분 안에 리소스 공유가 생성되고 사용할 준비가 됩니다.
다음으로 게이트웨이를 공유한 계정에 로그인하고 RAM 콘솔로 다시 이동한 후 초대 메시지를 찾아 클릭합니다.
원하는 초대 메시지가 수신되고 있음을 확인하고 [Accept resource share]를 클릭합니다.
의사를 확인하고 나면 Transit Gateway가 공유 리소스로서 표시됩니다.
다음 단계(그림 없음)로, 이 계정에서 원하는 VPC에 Transit Gateway를 연결합니다.
보다시피, Transit Gateway를 사용하여 네트워킹 모델을 단순화할 수 있습니다. 여러 VPC에 걸쳐 배포되는 애플리케이션을 손쉽게 만들어 복잡한 네트워크를 관리할 필요 없이 그러한 애플리케이션 간에 네트워크 서비스를 공유할 수 있습니다. 예를 들어 다음과 같은 환경에서
다음과 같은 환경으로 바꿀 수 있습니다.
또한 Transit Gateway를 방화벽 또는 IPS(Intrusiong Prevention System)에 연결하고 네트워크의 모든 수신 및 송신 트래픽을 처리하는 단일 VPC를 생성할 수도 있습니다.
주요 사항
다음은 VPC Transit Gateway에 대해 알아두어야 할 몇 가지 다른 사항입니다.
- AWS 통합 – Transit Gateway는 Amazon CloudWatch에 지표를 게시하고 VPC Flow Log 레코드를 생성합니다.
- VPN ECMP 지원 – VPN 연결에 대해 ECMP(Equal-Cost Multi-Path) 지원을 활성화할 수 있습니다. 여러 연결에서 동일한 CIDR 블록을 알리는 경우 트래픽이 해당 연결 간에 균등하게 분산됩니다.
- 라우팅 도메인 – 동일한 Transit Gateway에 여러 개의 라우팅 테이블을 사용하고, 연결별로 라우팅을 제어하는 데 이러한 라우팅 테이블을 사용할 수 있습니다. VPC 트래픽을 격리하거나 특정 VPC에서 별도의 점검 도메인으로 트래픽을 우회시킬 수 있습니다.
- 보안 – VPC 보안 그룹과 네트워크 ACL을 사용하여 온프레미스 네트워크 간의 트래픽 흐름을 제어할 수 있습니다.
- 요금 – Transit Gateway가 연결되어 있는 시간에 대한 시간당 요금과 GB당 데이터 처리 요금을 지불합니다.
- Direct Connect – 현재 AWS Direct Connect 지원 기능을 개발하는 중입니다.
지금 이용 가능
AWS Transit Gateway는 현재 이용 가능합니다. 지금 바로 이용해 보십시오! (Update: 2018년 12월 13일에 서울 리전에도 출시하였습니다.)
— Jeff;