Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Transit Gateway를 사용한 AWS 다중 계정 네트워크

Lim Chaejeong
August 16, 2024
92

Transit Gateway를 사용한 AWS 다중 계정 네트워크

Transit Gateway를 사용한 여러 개의 AWS 계정의 네트워크의 설계에 대해 소개합니다.
또한, Transit Gateway를 Direct Connect 나 Network Firewall 과 같은 다른 AWS의 서비스와 함께 사용할 때의 구성에 대해서 설명합니다.
발표 영상: https://www.youtube.com/watch?v=wg2cGUWrUSM&t=1906s

Lim Chaejeong

August 16, 2024
Tweet

Transcript

  1. 3 목차 1. Transit Gateway 2. Transit Gateway 를 이용한

    AWS 다중 계정 네트워크 3. AWS의 다른 서비스와의 조합
  2. • AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을

    연결하기 위한 네트워크 전송 허브 서비스 • 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공 • 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의 연결을 단순화하고 확장성을 높이는 데 유용 • 대규모 시스템의 멀티리전, 계정 아키텍처 Transit Gateway 5
  3. Transit Gateway 6 • AWS 의 가상 네트워크 환경 (VPC)

    과 온프레미스 환경을 연결하기 위한 네트워크 전송 허브 서비스 • 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공 • 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의 연결을 단순화하고 확장성을 높이는 데 유용 • 대규모 시스템의 멀티리전, 계정 아키텍처 => 목표: 발표가 끝나고 이 문장을 이해한다.
  4. Transit Gateway 비교 7 Transit Gateway VPC Peering 사용 목적

    여러 VPC와 온프레미스 네트워크 간의 연결을 중앙 집중화 두 개의 VPC 간에 직접적인 네트워크 연결을 설정하는 서비스 유즈 케이스 • 중앙 집중식 네트워크 관리 • 여러 VPC와 온프레미스 네트워크가 복잡하게 연결된 대규모 조직 • 멀티리전 아키텍처를 관리해야 하는 경우 • VPC 간에 직접적인 네트워크 연결 • 상대적으로 간단한 네트워크 아키텍처 • 단순한 설정과 관리로 인해 빠른 네트워크 연결이 필요한 애플리케이션
  5. Transit Gateway 비교 8 Transit Gateway VPC Peering 사용 목적

    여러 VPC와 온프레미스 네트워크 간의 연결을 중앙 집중화 두 개의 VPC 간에 직접적인 네트워크 연결을 설정하는 서비스 유즈 케이스 • 중앙 집중식 네트워크 관리 • 여러 VPC와 온프레미스 네트워크가 복잡하게 연결된 대규모 조직 • 멀티리전 아키텍처를 관리해야 하는 경우 • VPC 간에 직접적인 네트워크 연결 • 상대적으로 간단한 네트워크 아키텍처 • 단순한 설정과 관리로 인해 빠른 네트워크 연결이 필요한 애플리케이션
  6. Transit Gateway 동작 10 Attachment VPC, AWS VPN 및 AWS

    Direct Connect Gateway를 Transit Gateway에 연결하는 작업
  7. Transit Gateway 동작 11 라우팅 테이블 Transit Gateway가 가지는 라우팅

    정보 테이블(라우팅 테이블)을 생성 네트워크 트래픽의 경로와 목적지를 결정하는 데 사용되는 라우팅이라는 규칙 집합을 포
  8. Transit Gateway 동작 13 propagation 연결된 VPC에서 라우팅 테이블로 경로를

    전파 연관된 VPC에서 전파됨으로써 라우팅 테이블이 완성되어 첨부된 리소스 간(여기에서는 VPC)에서
  9. Transit Gateway 동작 14 개별 라우팅 테이블 정적 라우트를 작성할

    수 있으며 연결되지 않은 Amazon VPC 등에 연결하도록 구성할 수 있다
  10. Transit Gateway 사용 목적 15 • 중앙 집중식 네트워크 관리

    ◦ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수 있다. ◦ 아키텍처의 단순화 • 확장성 ◦ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은 확장성 • 멀티 리전, 계정 아키텍처 ◦ 여러 개의 리전 혹은 계정으로 구성된 아키텍처 • 라우팅 및 정책 관리 ◦ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을
  11. Transit Gateway 사용 목적 16 • 중앙 집중식 네트워크 관리

    ◦ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수 있다. ◦ 아키텍처의 단순화 • 확장성 ◦ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은 확장성 • 멀티 리전, 계정 아키텍처 ◦ 여러 개의 리전 혹은 계정으로 구성된 아키텍처 • 라우팅 및 정책 관리 ◦ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을
  12. Transit Gateway 사용 목적 17 • 중앙 집중식 네트워크 관리

    ◦ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수 있다. ◦ 아키텍처의 단순화 • 확장성 ◦ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은 확장성 • 멀티 리전, 계정 아키텍처 ◦ 여러 개의 리전 혹은 계정으로 구성된 아키텍처 • 라우팅 및 정책 관리 ◦ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을
  13. Transit Gateway 사용 목적 18 • 중앙 집중식 네트워크 관리

    ◦ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수 있다. ◦ 아키텍처의 단순화 • 확장성 ◦ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은 확장성 • 멀티 리전, 계정 아키텍처 ◦ 여러 개의 리전 혹은 계정으로 구성된 아키텍처 • 라우팅 및 정책 관리 ◦ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을
  14. 다중 계정을 사용하는 이유 20 • 개발 테스트 본방 환경으로

    분리해서 사용 • 프로젝트 별로 나눠서 사용 • 대규모 조직에서 비지니스 유닛 별 분리해서 사용 ◦ 기간 시스템, 인사 시스템, 점포 시스템, 데이터 분석 기반 시스템 ◦ 기간계 시스템, 비기간계 시스템 • 규제 준수 및 보안 요구사항에 의해 계정 분리 ◦ 규제 요구사항에 따라 계정을 분리하여, 규제 준수와 감사 요구사항 준수 (ex. 금융기관이나 의료기관)
  15. Transit Gateway으로 다중 계정 관리 22 • AWS Resource Access

    Manager (RAM) 의 사용 ◦ 여러 계정에서 Transit Gateway를 사용하기 위해 계정 간에 적절한 리소스 공유 설정이 필요하다. • 라우팅 테이블 관리 ◦ 보안 정책 설정 및 관리를 위해 서로 다른 보안 요구 사항을 가진 네트워크를 적절히 분할하고 격리해야 한다. ◦ 이를 위해, 라우팅 경로를 명확히 정의하고 불필요한 경로를 제거하여 네트워크 성능을 최적화 참고자료 1) AWS 공식 페이지: 라우팅 우선순위 2) AWS 공식 페이지: 라우팅 테이블 및 VPN 라우팅 우선 순위
  16. AWS의 다른 서비스와의 조합 25 • AWS Direct Connect, AWS

    Site-to-Site VPN ◦ 하이브리드 아키텍처 • Network Firewall ◦ 공용 인터넷 게이트웨이 • Network Manager ◦ 가시화 서비스
  17. AWS의 다른 서비스와의 조합 26 • AWS Direct Connect, AWS

    Site-to-Site VPN ◦ 하이브리드 아키텍처 • Network Firewall ◦ 공용 인터넷 게이트웨이 • Network Manager ◦ 가시화 서비스
  18. Direct Connect Site-to-Site VPN 사용 목적 온프레미스와 AWS 환경을 전용

    네트워크 연결을 제공 인터넷을 통해 온프레미스 네트워크와 AWS VPC 간에 암호화된 터널을 설정하는 서비스 유즈 케이스 • 인터넷을 거치지 않고 전용 회선을 통해 통신하므로 더 높은 대역폭과 안전성, 일관된 네트워크 성능을 제공 • 전용 물리적 회선을 사용하여 연결 • 최대 20개의 VPC에 연결 가능 • 공용 인터넷을 통해 트래픽을 전달하므로, 설정이 비교적 간단하고 빠르게 배포 • 인터넷을 통한 암호화된 연결 • 하나의 VPC와 연결 온프레미스와 연결 가능한 서비스 27
  19. AWS의 다른 서비스와의 조합 34 • AWS Direct Connect, AWS

    Site-to-Site VPN ◦ 하이브리드 아키텍처 • Network Firewall ◦ 공용 인터넷 게이트웨이 • Network Manager ◦ 가시화 서비스
  20. Network Firewall 37 • VPC와 인터넷의 네트워크 트래픽을 세밀하게 제어하는

    방화벽 규칙을 생성하여 VPC 전체에 방화벽 역할을 한다 • VPC의 Internet Gateway 앞에 위치해 VPC로 들어오고 나가는 인터넷 트래픽(인바운드, 아웃바운드 )을 검사하고 패킷을 필터링, 액세스 제어 ◦ 상태 비 저장 패킷 필터링 (프로토콜, 소스 IP, 소스 포트, 대상 IP, 대상 포트) ◦ 상태 저장 패킷 필터링 (프로토콜, 소스 IP, 소스 포트, 대상 IP, 대상 포트) ◦ 대상 도메인 이름을 기반으로 HTTP/HTTPS 액세스 제어
  21. AWS의 다른 서비스와의 조합 49 • AWS Direct Connect, AWS

    Site-to-Site VPN ◦ 하이브리드 아키텍처 • Network Firewall ◦ 공용 인터넷 게이트웨이 • Network Manager ◦ 가시화 서비스
  22. Network Manager 50 • AWS 글로벌 네트워크 인프라를 중앙에서 모니터링하고

    관리할 수 있는 서비스 • 주요 기능 ◦ 여러 AWS 리전과 온프레미스 네트워크를 연결하는 네트워크 인프라를 중앙에서 관리 ◦ 네트워크 연결 상태와 토폴로지를 시각적으로 표시하여, 네트워크 구조를 쉽게 이해하고 관리 ◦ 네트워크 성능을 모니터링하고, 성능 메트릭을 수집하여 네트워크 상태를 분석 ◦ 네트워크 이벤트와 상태 변화를 실시간으로 모니터링하고, 알림을 설정하여 중요한 이벤트에 대해 신속하게 대응
  23. 결론 59 • AWS 의 가상 네트워크 환경 (VPC) 과

    온프레미스 환경을 연결하기 위한 네트워크 전송 허브 서비스 • 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공 • 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의 연결을 단순화하고 확장성을 높이는 데 유용 • 대규모 시스템의 멀티리전, 계정 아키텍처
  24. 결론 61 • AWS 의 가상 네트워크 환경 (VPC) 과

    온프레미스 환경을 연결하기 위한 네트워크 전송 허브 서비스 • 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공 • 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의 연결을 단순화하고 확장성을 높이는 데 유용 • 대규모 시스템의 멀티리전, 계정 아키텍처
  25. 결론 63 • AWS 의 가상 네트워크 환경 (VPC) 과

    온프레미스 환경을 연결하기 위한 네트워크 전송 허브 서비스 • 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공 • 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의 연결을 단순화하고 확장성을 높이는 데 유용 • 대규모 시스템의 멀티리전, 계정 아키텍처
  26. 65