네트워킹 및 콘텐츠 제공
AWS Transit Gateway와 하위 1Gbps 호스팅 연결 통합
비제이 메논 | ~에 2019년 11월 20일| in Expert (400) , 네트워킹 및 콘텐츠 제공 | 퍼머링크 | 공유하다
2022년 8월 8일 업데이트:
AWS Direct Connect는 이제 500Mbps 이하의 속도로 AWS Transit Gateway에 대한 연결을 지원합니다 .
이 게시물에서 설명하는 아키텍처는 더 이상 필요하지 않습니다.
AWS Transit Gateway는 여러 VPC , VPN을 연결 하고 최대 5,000개의 연결을 확장할 수 있는 기능을 제공합니다 . 관리를 간소화하고 AWS 환경 내 네트워크의 운영 비용과 온프레미스 네트워크의 연결을 줄입니다.
AWS는 AWS Transit Gateway를 AWS Direct Connect 게이트웨이 와 통합하기 위한 지원을 추가했습니다 . AWS Direct Connect 게이트웨이 통합에는 전송 가상 인터페이스라는 새로운 유형의 가상 인터페이스가 필요합니다. 전송 가상 인터페이스는 1Gbps 이상의 속도로 전용 연결 또는 호스팅된 연결을 통해서만 사용할 수 있습니다.
[2022년 8월 8일 업데이트 - 이제 전송 가상 인터페이스를 1Gbps 미만의 속도로 사용할 수 있습니다.] 전송 가상 인터페이스는 500Mbps 이하 속도(sub-1Gbps라고도 함)의 호스팅된 AWS Direct Connect 연결에 사용할 수 없습니다. 호스팅된 AWS Direct Connect 연결.
이 게시물에서는 다음 방법을 사용하여 전송 가상 인터페이스 없이 AWS Transit Gateway와 호스팅된 1Gbps 미만의 Direct Connect 연결을 통합하는 방법을 설명합니다.
- 퍼블릭 가상 인터페이스를 통한 사이트 간 VPN
- MPLS L3 VPN을 통해 프로비저닝된 하위 1Gbps 호스팅 Direct Connect 연결을 위한 프라이빗 가상 인터페이스.
전제 조건:
이 블로그 게시물의 독자는 BGP(Border Gateway Protocol) 및 다음 AWS 서비스에 대해 잘 알고 있어야 합니다.
이 연습의 경우 다음이 있어야 합니다.
- AWS 계정
- 기존 AWS Direct Connect 호스팅 연결
- 선택한 EC2 라우터 AMI
퍼블릭 가상 인터페이스를 사용하여 하위 1Gbps 호스팅 Direct Connect 연결과 AWS Transit Gateway 통합
이 방법은 VPN을 AWS Transit Gateway에 연결하는 것과 유사합니다. 이 경우 AWS Direct Connect를 통해 AWS Transit Gateway에 대한 VPN을 설정합니다. 다음 다이어그램은 시나리오와 솔루션을 보여줍니다.
그림 1: 퍼블릭 VIF를 통해 전송 게이트웨이에 연결
이는 호스팅 연결이므로 AWS Direct Connect 콘솔에서 연결을 생성할 필요가 없습니다. 귀하의 AWS Direct Connect 파트너는 귀하의 계정에 대한 연결을 생성하고 위임합니다.
- 호스팅 연결에서 퍼블릭 가상 인터페이스를 생성합니다 . 광고하려는 고객 게이트웨이 디바이스 퍼블릭 IP 주소와 온프레미스 퍼블릭 네트워크 접두사를 입력합니다 . 퍼블릭 가상 인터페이스를 사용하면 모든 AWS 퍼블릭 IP 주소 를 포함하여 사이트 간 VPN 엔드포인트의 IP 주소를 자동으로 수신합니다 . 필요한 포트와 함께 대상 엔드포인트의 접두사만 허용하도록 AWS Direct Connect에 연결하는 에지 라우터에서 필터를 사용하는 것이 좋습니다. 이 경우 AWS Transit Gateway VPN 엔드포인트와 고객 게이트웨이의 퍼블릭 주소 두 개만 사용하십시오.
- AWS Transit Gateway에 대한 새 VPN 연결을 생성합니다 . 이전 단계에서 사용한 것과 동일한 고객 게이트웨이의 퍼블릭 IP 주소를 사용합니다. ASN(자치 시스템 번호)을 사용하여 BGP(Border Gateway Protocol)에서 고객 게이트웨이를 구성할 수 있습니다.
- AWS Management Console에 제안된 샘플 구성을 사용하여 라우터(고객 게이트웨이)를 구성합니다. 샘플 구성은 AWS Management Console의 Site-to-Site VPN 연결 섹션에 있는 구성 다운로드 대화 상자에서 고객 게이트웨이 디바이스 또는 소프트웨어에 해당하는 공급업체, 플랫폼 및 소프트웨어를 선택하여 다운로드할 수 있습니다.
이 아키텍처는 AWS와 고객의 온프레미스 네트워크 간의 지점 간 연결에 적합합니다. 그러나 고객의 네트워크가 완전히 메시된 방식으로 MPLS 네트워크를 통해 연결된 여러 사이트로 구성된 시나리오에서는 최적이 아님이 입증되었습니다.
MPLS L3 VPN은 여러 사이트를 비공개로 연결할 수 있는 유연성을 제공합니다. MPLS 네트워크를 AWS와 통합하려면 MPLS 서비스 공급자가 관리하는 PE(공급자 에지) 라우터를 사용해야 합니다. 이러한 PE 라우터의 규모 및 다중 테넌트 특성으로 인해 VPN 터널은 일반적으로 PE 라우터에서 구성되지 않습니다. 이는 복잡성을 증가시키고 이 계층에 운영 위험을 초래하기 때문입니다.
MPLS L3 VPN과 AWS Transit Gateway 통합
MPLS L3 VPN을 AWS Transit Gateway에 통합하기 위해 동적 또는 정적 라우팅을 사용할 수 있습니다. 두 방법 모두 아래에 설명되어 있습니다.
옵션 1: AWS Transit Gateway와 MPLS L3 VPN 간의 동적 라우팅 프로토콜 사용
다음 다이어그램은 동적 라우팅 프로토콜을 사용하여 AWS Transit Gateway를 하위 1Gbps 호스팅 Direct Connect 연결에 통합하는 데 사용되는 아키텍처를 보여줍니다.
그림 2: BGP를 사용하여 L3 MPLS를 통해 프라이빗 가상 인터페이스를 통해 AWS Transit Gateway에 연결
다음 단계는 온프레미스 네트워크와 AWS Transit Gateway 뒤의 VPC 간에 엔드 투 엔드 연결을 제공합니다. 이 아키텍처는 또한 BGP를 사용하여 장애 조치를 동적으로 관리합니다. 여러 세트의 BGP 피어링을 사용하면 VPC와 온프레미스 네트워크 간에 접두사를 교환할 수 있습니다. 다음 목록에는 BGP 피어링이 요약되어 있습니다.
- 라우터 AMI를 실행하는 EC2 인스턴스와 AWS Transit Gateway 사이. 이러한 피어링은 VPC 접두사를 에지 통과 VPC로 교환하고 그 반대도 마찬가지입니다.
- PE 라우터와 플로팅 가상 프라이빗 게이트웨이 사이. 이러한 피어링은 온프레미스 접두사를 AWS로 교환하고 그 반대도 마찬가지입니다.
- 플로팅 가상 프라이빗 게이트웨이와 라우터 Amazon 머신 이미지(AMI)를 실행하는 EC2 인스턴스 사이. 이러한 피어링은 에지 전송 VPC를 통해 AWS Transit Gateway에서 온프레미스로 수신된 접두사를 교환하고 그 반대의 경우도 마찬가지입니다.
단계
다음 절차에서는 이 호스팅 연결을 위해 AWS Direct Connect 콘솔에서 연결을 생성할 필요가 없습니다. AWS Direct Connect 파트너는 귀하의 계정에 대한 연결을 생성하고 위임합니다.
- Transit Gateway를 설정하고 여기에 몇 개의 VPC를 연결합니다. 단계는 AWS 뉴스 블로그에서 AWS Transit Gateway를 사용하여 네트워크 아키텍처 간소화를 참조하십시오.
- 가상 프라이빗 게이트웨이(VGW)를 생성하고 VPC에 연결하지 마십시오. 이렇게 하면 플로팅 가상 프라이빗 게이트웨이가 생성됩니다.
- 프라이빗 가상 인터페이스를 만듭니다 . 생성하는 동안 2단계에서 생성한 유동 가상 프라이빗 게이트웨이를 선택합니다. 이 시점에서 PE 라우터를 올바르게 구성했다면 PE 라우터와 유동 가상 프라이빗 게이트웨이 간에 BGP 피어링이 자동으로 나타납니다. 이 피어링은 온프레미스 네트워크와 AWS 간에 접두사를 교환합니다. 다음 다이어그램은 이러한 단계를 자세히 보여줍니다. 그림 3: 플로팅 가상 프라이빗 게이트웨이에 프라이빗 가상 인터페이스 연결
- 서로 다른 2개의 가용 영역에 2개의 퍼블릭 서브넷이 있는 전송 VPC를 생성합니다. 인터넷 게이트웨이를 VPC에 연결하고 각 서브넷 의 AWS Marketplace 에서 선택한 라우터 AMI를 실행하는 EC2 인스턴스를 배포합니다 . 이것이 에지 전송 VPC입니다. 이러한 EC2 인스턴스의 보안 그룹에 규칙을 추가하여 VPN 게이트웨이 및 AWS Transit Gateway VPN 엔드포인트 퍼블릭 IP 주소에서 ISAKMP(UDP 500), NAT Traversal(UDP 4500) 및 ESP(IP 프로토콜 50)를 허용합니다.
- 이전 단계에서 시작한 EC2 인스턴스의 탄력적 IP 주소를 사용하여 두 개의 고객 게이트웨이를 생성합니다. 고객 게이트웨이 생성 에 있는 유사한 프로세스의 단계를 따릅니다 .
- 플로팅 가상 프라이빗 게이트웨이와 이전 단계에서 생성한 고객 게이트웨이 간에 동적 경로 기반 VPN을 생성합니다. 단계는 사무실 네트워크와 Amazon Virtual Private Cloud 간에 보안 연결을 생성하려면 어떻게 해야 합니까 를 참조하십시오 .
- 이전 단계에서 생성한 고객 게이트웨이를 사용하여 전송 게이트웨이에 대한 VPN 연결을 생성합니다. 이 VPN은 동적 경로 기반 VPN이어야 합니다. 단계는 Transit Gateway VPN 연결 단원을 참조하십시오 . 다음 다이어그램은 이러한 단계를 자세히 보여줍니다.
그림 4: Edge Transit VPC를 통해 BGP를 사용하여 부동 가상 프라이빗 게이트웨이를 AWS Transit Gateway에 연결
이 시점에서 VPC와 온프레미스 네트워크 간에 종단 간 연결이 가능합니다.
옵션 2: 전송 게이트웨이와 MPLS L3 VPN 간의 정적 라우팅 사용
이 옵션은 동적 라우팅 대신 Edge Transit VPC에서 라우터 AMI를 실행하는 EC2 인스턴스와 Transit Gateway 간에 정적 라우팅을 사용합니다. 라우터 AMI와 AWS Transit Gateway가 있는 EC2 인스턴스 간에 VPN 터널을 사용하지 않으므로 VPN 연결 비용을 발생시키지 않음으로써 비용을 최적화할 수 있습니다. 이 옵션은 플로팅 가상 프라이빗 게이트웨이와 라우터 AMI를 실행하는 EC2 인스턴스 간에 VPN 터널을 계속 사용합니다. 다음 다이어그램은 이 시나리오와 배포 단계를 보여줍니다.
그림 5: Transit Gateway에서 정적 경로를 사용하여 L3 MPLS를 통해 프라이빗 VIF를 통해 AWS Transit Gateway 연결
단계
이 아키텍처를 배포하려면 옵션 1: Transit Gateway와 MPLS L3 VPN 간의 동적 라우팅 프로토콜 사용에서 1~6단계를 수행 한 후 다음 추가 단계를 따릅니다.
- 엣지 전송 VPC를 AWS Transit Gateway에 연결합니다. 단계는 VPC에 Transit Gateway 연결을 참조하십시오 .
- 라우터 AMI가 있는 EC2 인스턴스의 탄력적 네트워크 인터페이스(ENI)를 온프레미스 접두사의 대상으로 사용하도록 에지 전송 VPC 라우팅 테이블을 수정합니다. 또한 AWS Transit Gateway 뒤에 있는 VPC IP 주소 범위의 경우 각 가용 영역에서 대상을 전송 게이트웨이 엔드포인트로 설정합니다.
- AWS Transit Gateway의 라우팅 테이블에서 온프레미스 네트워크의 대상 접두사에 대한 엣지 전송 VPC 연결을 가리키는 고정 경로를 추가합니다. 다음 다이어그램은 이러한 단계를 자세히 보여줍니다.
그림 6: 고정 경로를 사용하여 Edge Transit VPC를 통해 부동 가상 프라이빗 게이트웨이를 AWS Transit Gateway에 연결
이 옵션에서는 장애 조치를 수동으로 관리하거나 자동화를 사용하여 장애 조치를 감지한 다음 경로 테이블을 프로그래밍 방식으로 수정하여 경로를 전환해야 합니다.
결론
이 게시물에서는 지점 간 및 MPLS L3 VPN을 사용하여 AWS Direct Connect에서 호스팅되는 1Gbps 미만을 통해 AWS Transit Gateway를 온프레미스 네트워크와 통합하는 다양한 방법을 설명했습니다.
이 블로그 게시물이 1Gbps 미만에서 호스팅되는 AWS Direct Connect 연결과 함께 AWS Transit Gateway를 사용하고 AWS 환경과의 연결을 단순화하는 데 도움이 되기를 바랍니다. 질문이나 의견이 있으시면 댓글을 남겨주세요.
블로그: AWS Client VPN을 사용하여 AWS 및 온프레미스 리소스에 안전하게 액세스 | ||
AWS VPN 서비스에 대해 알아보기 | ||
re:Invent 2019 보기: AWS 및 하이브리드 AWS 네트워크 아키텍처에 대한 연결 |
'[AWS-RDP] > DirectConnect' 카테고리의 다른 글
[중요][AWS] Direct Connect, 더 다양한 연결 속도로 AWS Transit Gateway 지원 확장 (3) | 2023.06.20 |
---|---|
[참고][AWS Security] AWS Transit Gateway에 대한 Direct Connect 정식 지원 (1) | 2023.05.08 |
댓글