VPC 간의 연결 방식- VPC Peering, VGW, DGW, TGW 비교

이 페이지는 https://www.megaport.com/blog/aws-vgw-vs-dgw-vs-tgw/ 에 계시된 내용을 한글로 번역 및 이해하기 쉽게 변경되었다.

개요

AWS상에서 가상 사설 네트워크 즉, Virtual Private Cloud(VPC)간의 연결을 위한 방법은 계속해서 진화해 오고 있다. 가장 오래된 방식으로 VGW(Virtual Private Gateway)가 제일 먼저 발표 되었었고 그 다음에 DGW(Direct Connect Gateway)가 2017년에 발표 되었었으며 2018년에는 Transit Gateway(TGW)가 출시되었다.

 

각각의 기능들은 비용적인 측면과 몇가지 항목에서 기능적 특징들이 있기 때문에 이를 잘 알아보고 선택해서 사용하는 것이 중요하다. 각 기능적 특징에 대해 아래의 표를 참고하기 바란다.

VGW, DGW, TGW 비교

 

VPC Peering

VPC간 1:1 연결 방식 제공이며 동일한 계정 또는 다른 계정에 있는 VPC 간에 비공개 연결을 설정하는 방법이다.

• 사설 IP 사용
• 동일 리전내 뿐 아니라 서로 다른 리전내 연결도 가능하다.
• IP가 중복이 있다면 VPC 간 피어링을 지원하지 않음
• 두 VPC 간에 하나의 피어링 리소스만 설정할 수 있음
• VPC간 다중 피어링 관계를 지원하지 않음
• IGW(Internet Gateway) 또는 VGW(Virtual Private Gateway)가 필요하지 않음
• 고가용성 연결 제공
• 글로벌 AWS 백본에서 트래픽 유지

사용사례:VPC간 1:1 로 연결 제공

 

사용사례: VPC Peering을 이용한 업무 확장 사례

 

 

AWS Direct Connect와  VGW(Virtual Private Gateway)

VGW는 VPC와 연결을 원할때 제공해 주는 엔드포인트(end point)이다. Direct Connect와 함께 사용되어 동일한 리전의 동일한 계정에 있는 여러 VPC가 연결될 수 있는 기능이 도입됨. VGW가 발표되기  이전에는 각 VPC에 대한 Direct Connect VIF(프라이빗 가상 인터페이스)가 필요하여 1:1 상관 관계를 설정했는데, 이는 비용과 관리 오버헤드 면에서 모두 확장되지 않았었다. VGW는 두 VPC가 동일한 지역, 동일한 계정에 있는 한 각 VPC에 대해 새로운 Direct Connect 회로를 요구하는 비용을 줄이는 솔루션이 되었다. 이 구성은 Direct Connect 또는 Site-to-Site VPN과 함께 사용할 수 있있다.

 

사용사례: 온프레미스의 데이터센터와 연결

전형적인 VGW 연결 방식<온프레미스의 Customer Gateway와 VPN 연결을 통해 연결>

 

사용 사례: AWS Direct Connect와 VGW를 이용해 동일 리전, 동일 계정의 VPC 연결

AWS Direct Connect란? 1. 1Gbps 또는 10Gbps의 전용 사설 네트워크 연결을 제공합니다. 2. 사설 네트워크 연결 간에 지속적으로 높은 처리량을 유지해야 하는 장기적 요구 사항이 있는 비즈니스를 위해 설계되었습니다     (대용량 데이터 원본을 AWS로 마이그레이션하는 것과 같은 일회성 작업에는 적합하지 않음). 3. 사설 네트워크 연결의 예측 가능성으로 인해 애플리케이션 성능이 향상됩니다. 4. VPN 솔루션에 비해 데이터 전송 비용 절감 가능 5. 사용 사례에는 하이브리드 클라우드 아키텍처, 지속적으로 대용량 데이터 세트 전송, 보안 및 규정 준수가 포함됩니다.

 

AWS Direct Connect 와 VGW를 이용한 다양한 온프레미스 연결 방식 모델(온프레미스 고객 게이트웨이 <--> Direct Connect 파트너(보라색) <--> AWS Direct Connect <--> VGW

 

 

Direct Connect Gateway – DGW

VGW가 동일한 계정내의 VPC간 연결을 지원했다면 DGW는 동일 리전의 사로다른 계정간 VPC를 연결하는 기능을 제공한다. 이때 다른 VPC간 연결을 위해 Direct Connect가 사용되고 이 Direct Connect는 연결하고자 하는 VPC의 VGW와 연결된다. 이때 CIDR 주소는 겹칠 수 없다. 또한 트래픽은 VPC-A에서 Direct Connect 게이트웨이 및 VPC-B로 라우팅되지 않는다. 트래픽은 [VPC-A] → [Direct Connect]  →  [Data Center Router]  →  [Direct Connect]  →  [VPC-B]에서 라우팅되어야 한다.

 

사용 사례: 동일한 Direct Connect를 공유하는 여러 지역에 여러 VPC가 분산되어 있는 경우.

 

 

Transit Gateway – TGW

Transit Gateway는 AWS의 이전 제품보다 향상된 라우팅 서비스를 제공할수 있도록 설계되었다. 초기 출시에 Transit Gateway는 Direct Connect를 지원하지 않았기 때문에 Site-to-Site VPN이 필요했었다. 또한 각 VPN 세션의 처리량은 1.25Gbps로 제한된다. 이 이상으로 확장하려면 원하는 집계 대역폭에 도달하기 위해 여러 VPN 연결을 추가한 다음 모든 VPN 연결에서 다중 경로 트래픽에 ECMP를 활용해야 한다. ECMP를 사용하더라도 단일 흐름은 1.25Gbps로 제한된다.

AWS Resource Access Manager와 결합된 TGW를 사용하면 여러 AWS 계정에서 단일 Transit Gateway를 사용할 수 있지만 여전히 단일 지역으로 제한된다. 또한 여러 라우팅 테이블을 추가하면 CIDR 중복이 허용된다. TGW에서 여러 라우팅 테이블을 활용할 수 있으므로 라우팅 도메인을 격리하여 트래픽 분할을 적용할 수 있는 VRF 유형의 기능이 제공된다. TGW의 중요한 이점은 데이터가 VPN을 통해 온프레미스 라우터로 헤어핀하고 VGW 및 DGW에서 관찰된 대로 AWS로 다시 돌아갈 필요 없이 VPC 간에 라우팅할 수 있다는 것이다. 지원되는 리전 목록은 AWS FAQ 를 통해 확인할 수 있다 .

 

Trasit Gateway를 이용해 서로 다른 리전간, 서로 다른 계정간 다수의 VPC를 연결 할 수 있다.

 

사용 사례: 동일한 Direct Connect를 사용하여 서로 다른 AWS 계정에 분산된 동일한 리전의 여러 VPC.

 

 

 

 

이번 포스팅은 여기까지 끝