Slide 1
Slide 1 text
Transit Gateway를
사용한 AWS 다중 계정
네트워크
2024.8.2
AWS 사업 본부 임채정
Slide 2
Slide 2 text
2
이름:임채정
소속:AWS 사업본부
근무지 : 도쿄
Japan AWS All Certifications Engineers 2022 - 2024
Slide 3
Slide 3 text
3
목차
1. Transit Gateway
2. Transit Gateway 를 이용한 AWS 다중 계정 네트워크
3. AWS의 다른 서비스와의 조합
Slide 4
Slide 4 text
Transit Gateway
4
Slide 5
Slide 5 text
● AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을
연결하기 위한 네트워크 전송 허브 서비스
● 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공
● 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의
연결을 단순화하고 확장성을 높이는 데 유용
● 대규모 시스템의 멀티리전, 계정 아키텍처
Transit Gateway 5
Slide 6
Slide 6 text
Transit Gateway 6
● AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을
연결하기 위한 네트워크 전송 허브 서비스
● 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공
● 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의
연결을 단순화하고 확장성을 높이는 데 유용
● 대규모 시스템의 멀티리전, 계정 아키텍처
=> 목표:
발표가 끝나고 이 문장을 이해한다.
Slide 7
Slide 7 text
Transit Gateway 비교 7
Transit Gateway VPC Peering
사용 목적
여러 VPC와 온프레미스 네트워크 간의 연결을 중앙
집중화
두 개의 VPC 간에 직접적인 네트워크 연결을
설정하는 서비스
유즈 케이스
● 중앙 집중식 네트워크 관리
● 여러 VPC와 온프레미스 네트워크가 복잡하게 연결된
대규모 조직
● 멀티리전 아키텍처를 관리해야 하는 경우
● VPC 간에 직접적인 네트워크 연결
● 상대적으로 간단한 네트워크 아키텍처
● 단순한 설정과 관리로 인해 빠른 네트워크 연결이
필요한 애플리케이션
Slide 8
Slide 8 text
Transit Gateway 비교 8
Transit Gateway VPC Peering
사용 목적
여러 VPC와 온프레미스 네트워크 간의 연결을 중앙
집중화
두 개의 VPC 간에 직접적인 네트워크 연결을
설정하는 서비스
유즈 케이스
● 중앙 집중식 네트워크 관리
● 여러 VPC와 온프레미스 네트워크가 복잡하게
연결된 대규모 조직
● 멀티리전 아키텍처를 관리해야 하는 경우
● VPC 간에 직접적인 네트워크 연결
● 상대적으로 간단한 네트워크 아키텍처
● 단순한 설정과 관리로 인해 빠른 네트워크 연결이
필요한 애플리케이션
Slide 9
Slide 9 text
Transit Gateway 구성도 9
Slide 10
Slide 10 text
Transit Gateway 동작 10
Attachment
VPC, AWS VPN 및 AWS Direct Connect Gateway를 Transit Gateway에 연결하는 작업
Slide 11
Slide 11 text
Transit Gateway 동작 11
라우팅 테이블
Transit Gateway가 가지는 라우팅 정보 테이블(라우팅 테이블)을 생성
네트워크 트래픽의 경로와 목적지를 결정하는 데 사용되는 라우팅이라는 규칙 집합을 포
Slide 12
Slide 12 text
Transit Gateway 동작 12
associations
어태치먼트 한 VPC 등을 라우팅 테이블에 연결
Slide 13
Slide 13 text
Transit Gateway 동작 13
propagation
연결된 VPC에서 라우팅 테이블로 경로를 전파
연관된 VPC에서 전파됨으로써 라우팅 테이블이 완성되어 첨부된 리소스 간(여기에서는 VPC)에서
Slide 14
Slide 14 text
Transit Gateway 동작 14
개별 라우팅 테이블
정적 라우트를 작성할 수 있으며 연결되지 않은 Amazon VPC 등에 연결하도록 구성할 수 있다
Slide 15
Slide 15 text
Transit Gateway 사용 목적 15
● 중앙 집중식 네트워크 관리
○ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수
있다.
○ 아키텍처의 단순화
● 확장성
○ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은
확장성
● 멀티 리전, 계정 아키텍처
○ 여러 개의 리전 혹은 계정으로 구성된 아키텍처
● 라우팅 및 정책 관리
○ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을
Slide 16
Slide 16 text
Transit Gateway 사용 목적 16
● 중앙 집중식 네트워크 관리
○ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수
있다.
○ 아키텍처의 단순화
● 확장성
○ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은
확장성
● 멀티 리전, 계정 아키텍처
○ 여러 개의 리전 혹은 계정으로 구성된 아키텍처
● 라우팅 및 정책 관리
○ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을
Slide 17
Slide 17 text
Transit Gateway 사용 목적 17
● 중앙 집중식 네트워크 관리
○ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수
있다.
○ 아키텍처의 단순화
● 확장성
○ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은
확장성
● 멀티 리전, 계정 아키텍처
○ 여러 개의 리전 혹은 계정으로 구성된 아키텍처
● 라우팅 및 정책 관리
○ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을
Slide 18
Slide 18 text
Transit Gateway 사용 목적 18
● 중앙 집중식 네트워크 관리
○ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수
있다.
○ 아키텍처의 단순화
● 확장성
○ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은
확장성
● 멀티 리전, 계정 아키텍처
○ 여러 개의 리전 혹은 계정으로 구성된 아키텍처
● 라우팅 및 정책 관리
○ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을
Slide 19
Slide 19 text
Transit Gateway 를 이용한
AWS 다중 계정 네트워크
19
Slide 20
Slide 20 text
다중 계정을 사용하는 이유 20
● 개발 테스트 본방 환경으로 분리해서 사용
● 프로젝트 별로 나눠서 사용
● 대규모 조직에서 비지니스 유닛 별 분리해서 사용
○ 기간 시스템, 인사 시스템, 점포 시스템, 데이터 분석 기반
시스템
○ 기간계 시스템, 비기간계 시스템
● 규제 준수 및 보안 요구사항에 의해 계정 분리
○ 규제 요구사항에 따라 계정을 분리하여, 규제 준수와 감사
요구사항 준수 (ex. 금융기관이나 의료기관)
Slide 21
Slide 21 text
대규모 조직에서 비지니스 유닛 별
분리
21
Slide 22
Slide 22 text
Transit Gateway으로 다중 계정
관리
22
● AWS Resource Access Manager (RAM) 의 사용
○ 여러 계정에서 Transit Gateway를 사용하기 위해 계정 간에
적절한 리소스 공유 설정이 필요하다.
● 라우팅 테이블 관리
○ 보안 정책 설정 및 관리를 위해 서로 다른 보안 요구 사항을
가진 네트워크를 적절히 분할하고 격리해야 한다.
○ 이를 위해, 라우팅 경로를 명확히 정의하고 불필요한 경로를
제거하여 네트워크 성능을 최적화
참고자료
1) AWS 공식 페이지: 라우팅 우선순위
2) AWS 공식 페이지: 라우팅 테이블 및 VPN 라우팅 우선 순위
Slide 23
Slide 23 text
Transit Gateway으로 다중 계정
관리
23
Slide 24
Slide 24 text
AWS의 다른 서비스와의
조합
24
Slide 25
Slide 25 text
AWS의 다른 서비스와의 조합 25
● AWS Direct Connect, AWS Site-to-Site VPN
○ 하이브리드 아키텍처
● Network Firewall
○ 공용 인터넷 게이트웨이
● Network Manager
○ 가시화 서비스
Slide 26
Slide 26 text
AWS의 다른 서비스와의 조합 26
● AWS Direct Connect, AWS Site-to-Site VPN
○ 하이브리드 아키텍처
● Network Firewall
○ 공용 인터넷 게이트웨이
● Network Manager
○ 가시화 서비스
Slide 27
Slide 27 text
Direct Connect Site-to-Site VPN
사용 목적
온프레미스와 AWS 환경을 전용 네트워크 연결을
제공
인터넷을 통해 온프레미스 네트워크와 AWS VPC
간에 암호화된 터널을 설정하는 서비스
유즈 케이스
● 인터넷을 거치지 않고 전용 회선을 통해
통신하므로 더 높은 대역폭과 안전성, 일관된
네트워크 성능을 제공
● 전용 물리적 회선을 사용하여 연결
● 최대 20개의 VPC에 연결 가능
● 공용 인터넷을 통해 트래픽을 전달하므로, 설정이
비교적 간단하고 빠르게 배포
● 인터넷을 통한 암호화된 연결
● 하나의 VPC와 연결
온프레미스와 연결 가능한
서비스
27
Slide 28
Slide 28 text
AWS Site-to-Site VPN 28
Slide 29
Slide 29 text
AWS Site-to-Site VPN 29
Slide 30
Slide 30 text
AWS Direct Connect 30
Slide 31
Slide 31 text
AWS Direct Connect 31
Slide 32
Slide 32 text
AWS Direct Connect 라우팅 32
Slide 33
Slide 33 text
AWS Direct Connect 라우팅 33
Slide 34
Slide 34 text
AWS의 다른 서비스와의 조합 34
● AWS Direct Connect, AWS Site-to-Site VPN
○ 하이브리드 아키텍처
● Network Firewall
○ 공용 인터넷 게이트웨이
● Network Manager
○ 가시화 서비스
Slide 35
Slide 35 text
공용 인터넷 게이트웨이 35
Slide 36
Slide 36 text
공용 인터넷 게이트웨이 36
Slide 37
Slide 37 text
Network Firewall 37
● VPC와 인터넷의 네트워크 트래픽을 세밀하게 제어하는 방화벽
규칙을 생성하여 VPC 전체에 방화벽 역할을 한다
● VPC의 Internet Gateway 앞에 위치해 VPC로 들어오고 나가는
인터넷 트래픽(인바운드, 아웃바운드 )을 검사하고 패킷을 필터링,
액세스 제어
○ 상태 비 저장 패킷 필터링 (프로토콜, 소스 IP, 소스 포트, 대상 IP, 대상
포트)
○ 상태 저장 패킷 필터링 (프로토콜, 소스 IP, 소스 포트, 대상 IP, 대상 포트)
○ 대상 도메인 이름을 기반으로 HTTP/HTTPS 액세스 제어
Slide 38
Slide 38 text
Network Firewall 38
Slide 39
Slide 39 text
Network Firewall 라우팅 39
Slide 40
Slide 40 text
Network Firewall 라우팅 40
Slide 41
Slide 41 text
Network Firewall 라우팅 41
Slide 42
Slide 42 text
Network Firewall 라우팅 42
Slide 43
Slide 43 text
Network Firewall 라우팅 43
Slide 44
Slide 44 text
Network Firewall 라우팅 44
Slide 45
Slide 45 text
Network Firewall 라우팅 45
Slide 46
Slide 46 text
Network Firewall 라우팅 46
Slide 47
Slide 47 text
Network Firewall 라우팅 47
Slide 48
Slide 48 text
Network Firewall 라우팅 48
Slide 49
Slide 49 text
AWS의 다른 서비스와의 조합 49
● AWS Direct Connect, AWS Site-to-Site VPN
○ 하이브리드 아키텍처
● Network Firewall
○ 공용 인터넷 게이트웨이
● Network Manager
○ 가시화 서비스
Slide 50
Slide 50 text
Network Manager 50
● AWS 글로벌 네트워크 인프라를 중앙에서 모니터링하고 관리할 수
있는 서비스
● 주요 기능
○ 여러 AWS 리전과 온프레미스 네트워크를 연결하는 네트워크
인프라를 중앙에서 관리
○ 네트워크 연결 상태와 토폴로지를 시각적으로 표시하여, 네트워크
구조를 쉽게 이해하고 관리
○ 네트워크 성능을 모니터링하고, 성능 메트릭을 수집하여 네트워크
상태를 분석
○ 네트워크 이벤트와 상태 변화를 실시간으로 모니터링하고, 알림을
설정하여 중요한 이벤트에 대해 신속하게 대응
Slide 51
Slide 51 text
Network Manager 51
Slide 52
Slide 52 text
Network Manager 52
Slide 53
Slide 53 text
Network Manager 53
Slide 54
Slide 54 text
Network Manager 54
Slide 55
Slide 55 text
Network Manager 55
출처: https://aws.amazon.com/jp/blogs/news/new-for-aws-transit-gateway-build-global-networks-and-centralize-monitoring-using-network-manager/
Slide 56
Slide 56 text
Network Manager 56
Slide 57
Slide 57 text
Network Manager 57
출처: https://aws.amazon.com/jp/blogs/news/new-for-aws-transit-gateway-build-global-networks-and-centralize-monitoring-using-network-manager/
Slide 58
Slide 58 text
결론
58
Slide 59
Slide 59 text
결론 59
● AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을
연결하기 위한 네트워크 전송 허브 서비스
● 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공
● 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의
연결을 단순화하고 확장성을 높이는 데 유용
● 대규모 시스템의 멀티리전, 계정 아키텍처
Slide 60
Slide 60 text
결론 60
Slide 61
Slide 61 text
결론 61
● AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을
연결하기 위한 네트워크 전송 허브 서비스
● 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공
● 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의
연결을 단순화하고 확장성을 높이는 데 유용
● 대규모 시스템의 멀티리전, 계정 아키텍처
Slide 62
Slide 62 text
AWS Site-to-Site VPN 62
Slide 63
Slide 63 text
결론 63
● AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을
연결하기 위한 네트워크 전송 허브 서비스
● 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공
● 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의
연결을 단순화하고 확장성을 높이는 데 유용
● 대규모 시스템의 멀티리전, 계정 아키텍처
Slide 64
Slide 64 text
64
Q&A
Slide 65
Slide 65 text
65