Slide 1

Slide 1 text

Transit Gateway를 사용한 AWS 다중 계정 네트워크 2024.8.2 AWS 사업 본부 임채정

Slide 2

Slide 2 text

2 이름:임채정 소속:AWS 사업본부     근무지 : 도쿄 Japan AWS All Certifications Engineers 2022 - 2024

Slide 3

Slide 3 text

3 목차 1. Transit Gateway 2. Transit Gateway 를 이용한 AWS 다중 계정 네트워크 3. AWS의 다른 서비스와의 조합

Slide 4

Slide 4 text

Transit Gateway 4

Slide 5

Slide 5 text

● AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을 연결하기 위한 네트워크 전송 허브 서비스 ● 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공 ● 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의 연결을 단순화하고 확장성을 높이는 데 유용 ● 대규모 시스템의 멀티리전, 계정 아키텍처 Transit Gateway 5

Slide 6

Slide 6 text

Transit Gateway 6 ● AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을 연결하기 위한 네트워크 전송 허브 서비스 ● 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공 ● 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의 연결을 단순화하고 확장성을 높이는 데 유용 ● 대규모 시스템의 멀티리전, 계정 아키텍처 => 목표: 발표가 끝나고 이 문장을 이해한다.

Slide 7

Slide 7 text

Transit Gateway 비교 7 Transit Gateway VPC Peering 사용 목적 여러 VPC와 온프레미스 네트워크 간의 연결을 중앙 집중화 두 개의 VPC 간에 직접적인 네트워크 연결을 설정하는 서비스 유즈 케이스 ● 중앙 집중식 네트워크 관리 ● 여러 VPC와 온프레미스 네트워크가 복잡하게 연결된 대규모 조직 ● 멀티리전 아키텍처를 관리해야 하는 경우 ● VPC 간에 직접적인 네트워크 연결 ● 상대적으로 간단한 네트워크 아키텍처 ● 단순한 설정과 관리로 인해 빠른 네트워크 연결이 필요한 애플리케이션

Slide 8

Slide 8 text

Transit Gateway 비교 8 Transit Gateway VPC Peering 사용 목적 여러 VPC와 온프레미스 네트워크 간의 연결을 중앙 집중화 두 개의 VPC 간에 직접적인 네트워크 연결을 설정하는 서비스 유즈 케이스 ● 중앙 집중식 네트워크 관리 ● 여러 VPC와 온프레미스 네트워크가 복잡하게 연결된 대규모 조직 ● 멀티리전 아키텍처를 관리해야 하는 경우 ● VPC 간에 직접적인 네트워크 연결 ● 상대적으로 간단한 네트워크 아키텍처 ● 단순한 설정과 관리로 인해 빠른 네트워크 연결이 필요한 애플리케이션

Slide 9

Slide 9 text

Transit Gateway 구성도 9

Slide 10

Slide 10 text

Transit Gateway 동작 10 Attachment VPC, AWS VPN 및 AWS Direct Connect Gateway를 Transit Gateway에 연결하는 작업

Slide 11

Slide 11 text

Transit Gateway 동작 11 라우팅 테이블 Transit Gateway가 가지는 라우팅 정보 테이블(라우팅 테이블)을 생성 네트워크 트래픽의 경로와 목적지를 결정하는 데 사용되는 라우팅이라는 규칙 집합을 포

Slide 12

Slide 12 text

Transit Gateway 동작 12 associations 어태치먼트 한 VPC 등을 라우팅 테이블에 연결

Slide 13

Slide 13 text

Transit Gateway 동작 13 propagation 연결된 VPC에서 라우팅 테이블로 경로를 전파 연관된 VPC에서 전파됨으로써 라우팅 테이블이 완성되어 첨부된 리소스 간(여기에서는 VPC)에서

Slide 14

Slide 14 text

Transit Gateway 동작 14 개별 라우팅 테이블 정적 라우트를 작성할 수 있으며 연결되지 않은 Amazon VPC 등에 연결하도록 구성할 수 있다

Slide 15

Slide 15 text

Transit Gateway 사용 목적 15 ● 중앙 집중식 네트워크 관리 ○ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수 있다. ○ 아키텍처의 단순화 ● 확장성 ○ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은 확장성 ● 멀티 리전, 계정 아키텍처 ○ 여러 개의 리전 혹은 계정으로 구성된 아키텍처 ● 라우팅 및 정책 관리 ○ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을

Slide 16

Slide 16 text

Transit Gateway 사용 목적 16 ● 중앙 집중식 네트워크 관리 ○ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수 있다. ○ 아키텍처의 단순화 ● 확장성 ○ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은 확장성 ● 멀티 리전, 계정 아키텍처 ○ 여러 개의 리전 혹은 계정으로 구성된 아키텍처 ● 라우팅 및 정책 관리 ○ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을

Slide 17

Slide 17 text

Transit Gateway 사용 목적 17 ● 중앙 집중식 네트워크 관리 ○ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수 있다. ○ 아키텍처의 단순화 ● 확장성 ○ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은 확장성 ● 멀티 리전, 계정 아키텍처 ○ 여러 개의 리전 혹은 계정으로 구성된 아키텍처 ● 라우팅 및 정책 관리 ○ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을

Slide 18

Slide 18 text

Transit Gateway 사용 목적 18 ● 중앙 집중식 네트워크 관리 ○ 여러 VPC 와 온프레미스 네트워크를 중앙에서 연결, 관리할 수 있다. ○ 아키텍처의 단순화 ● 확장성 ○ 수 많은 VPC와 온프레미스 네트워크를 연결할 수 있는 높은 확장성 ● 멀티 리전, 계정 아키텍처 ○ 여러 개의 리전 혹은 계정으로 구성된 아키텍처 ● 라우팅 및 정책 관리 ○ 중앙에서 네트워크 트래픽을 효율적으로 제어하고 보안 정책을

Slide 19

Slide 19 text

Transit Gateway 를 이용한 AWS 다중 계정 네트워크 19

Slide 20

Slide 20 text

다중 계정을 사용하는 이유 20 ● 개발 테스트 본방 환경으로 분리해서 사용 ● 프로젝트 별로 나눠서 사용 ● 대규모 조직에서 비지니스 유닛 별 분리해서 사용 ○ 기간 시스템, 인사 시스템, 점포 시스템, 데이터 분석 기반 시스템 ○ 기간계 시스템, 비기간계 시스템 ● 규제 준수 및 보안 요구사항에 의해 계정 분리 ○ 규제 요구사항에 따라 계정을 분리하여, 규제 준수와 감사 요구사항 준수 (ex. 금융기관이나 의료기관)

Slide 21

Slide 21 text

대규모 조직에서 비지니스 유닛 별 분리 21

Slide 22

Slide 22 text

Transit Gateway으로 다중 계정 관리 22 ● AWS Resource Access Manager (RAM) 의 사용 ○ 여러 계정에서 Transit Gateway를 사용하기 위해 계정 간에 적절한 리소스 공유 설정이 필요하다. ● 라우팅 테이블 관리 ○ 보안 정책 설정 및 관리를 위해 서로 다른 보안 요구 사항을 가진 네트워크를 적절히 분할하고 격리해야 한다. ○ 이를 위해, 라우팅 경로를 명확히 정의하고 불필요한 경로를 제거하여 네트워크 성능을 최적화 참고자료 1) AWS 공식 페이지: 라우팅 우선순위 2) AWS 공식 페이지: 라우팅 테이블 및 VPN 라우팅 우선 순위

Slide 23

Slide 23 text

Transit Gateway으로 다중 계정 관리 23

Slide 24

Slide 24 text

AWS의 다른 서비스와의 조합 24

Slide 25

Slide 25 text

AWS의 다른 서비스와의 조합 25 ● AWS Direct Connect, AWS Site-to-Site VPN ○ 하이브리드 아키텍처 ● Network Firewall ○ 공용 인터넷 게이트웨이 ● Network Manager ○ 가시화 서비스

Slide 26

Slide 26 text

AWS의 다른 서비스와의 조합 26 ● AWS Direct Connect, AWS Site-to-Site VPN ○ 하이브리드 아키텍처 ● Network Firewall ○ 공용 인터넷 게이트웨이 ● Network Manager ○ 가시화 서비스

Slide 27

Slide 27 text

Direct Connect Site-to-Site VPN 사용 목적 온프레미스와 AWS 환경을 전용 네트워크 연결을 제공 인터넷을 통해 온프레미스 네트워크와 AWS VPC 간에 암호화된 터널을 설정하는 서비스 유즈 케이스 ● 인터넷을 거치지 않고 전용 회선을 통해 통신하므로 더 높은 대역폭과 안전성, 일관된 네트워크 성능을 제공 ● 전용 물리적 회선을 사용하여 연결 ● 최대 20개의 VPC에 연결 가능 ● 공용 인터넷을 통해 트래픽을 전달하므로, 설정이 비교적 간단하고 빠르게 배포 ● 인터넷을 통한 암호화된 연결 ● 하나의 VPC와 연결 온프레미스와 연결 가능한 서비스 27

Slide 28

Slide 28 text

AWS Site-to-Site VPN 28

Slide 29

Slide 29 text

AWS Site-to-Site VPN 29

Slide 30

Slide 30 text

AWS Direct Connect 30

Slide 31

Slide 31 text

AWS Direct Connect 31

Slide 32

Slide 32 text

AWS Direct Connect 라우팅 32

Slide 33

Slide 33 text

AWS Direct Connect 라우팅 33

Slide 34

Slide 34 text

AWS의 다른 서비스와의 조합 34 ● AWS Direct Connect, AWS Site-to-Site VPN ○ 하이브리드 아키텍처 ● Network Firewall ○ 공용 인터넷 게이트웨이 ● Network Manager ○ 가시화 서비스

Slide 35

Slide 35 text

공용 인터넷 게이트웨이 35

Slide 36

Slide 36 text

공용 인터넷 게이트웨이 36

Slide 37

Slide 37 text

Network Firewall 37 ● VPC와 인터넷의 네트워크 트래픽을 세밀하게 제어하는 방화벽 규칙을 생성하여 VPC 전체에 방화벽 역할을 한다 ● VPC의 Internet Gateway 앞에 위치해 VPC로 들어오고 나가는 인터넷 트래픽(인바운드, 아웃바운드 )을 검사하고 패킷을 필터링, 액세스 제어 ○ 상태 비 저장 패킷 필터링 (프로토콜, 소스 IP, 소스 포트, 대상 IP, 대상 포트) ○ 상태 저장 패킷 필터링 (프로토콜, 소스 IP, 소스 포트, 대상 IP, 대상 포트) ○ 대상 도메인 이름을 기반으로 HTTP/HTTPS 액세스 제어

Slide 38

Slide 38 text

Network Firewall 38

Slide 39

Slide 39 text

Network Firewall 라우팅 39

Slide 40

Slide 40 text

Network Firewall 라우팅 40

Slide 41

Slide 41 text

Network Firewall 라우팅 41

Slide 42

Slide 42 text

Network Firewall 라우팅 42

Slide 43

Slide 43 text

Network Firewall 라우팅 43

Slide 44

Slide 44 text

Network Firewall 라우팅 44

Slide 45

Slide 45 text

Network Firewall 라우팅 45

Slide 46

Slide 46 text

Network Firewall 라우팅 46

Slide 47

Slide 47 text

Network Firewall 라우팅 47

Slide 48

Slide 48 text

Network Firewall 라우팅 48

Slide 49

Slide 49 text

AWS의 다른 서비스와의 조합 49 ● AWS Direct Connect, AWS Site-to-Site VPN ○ 하이브리드 아키텍처 ● Network Firewall ○ 공용 인터넷 게이트웨이 ● Network Manager ○ 가시화 서비스

Slide 50

Slide 50 text

Network Manager 50 ● AWS 글로벌 네트워크 인프라를 중앙에서 모니터링하고 관리할 수 있는 서비스 ● 주요 기능 ○ 여러 AWS 리전과 온프레미스 네트워크를 연결하는 네트워크 인프라를 중앙에서 관리 ○ 네트워크 연결 상태와 토폴로지를 시각적으로 표시하여, 네트워크 구조를 쉽게 이해하고 관리 ○ 네트워크 성능을 모니터링하고, 성능 메트릭을 수집하여 네트워크 상태를 분석 ○ 네트워크 이벤트와 상태 변화를 실시간으로 모니터링하고, 알림을 설정하여 중요한 이벤트에 대해 신속하게 대응

Slide 51

Slide 51 text

Network Manager 51

Slide 52

Slide 52 text

Network Manager 52

Slide 53

Slide 53 text

Network Manager 53

Slide 54

Slide 54 text

Network Manager 54

Slide 55

Slide 55 text

Network Manager 55 출처: https://aws.amazon.com/jp/blogs/news/new-for-aws-transit-gateway-build-global-networks-and-centralize-monitoring-using-network-manager/

Slide 56

Slide 56 text

Network Manager 56

Slide 57

Slide 57 text

Network Manager 57 출처: https://aws.amazon.com/jp/blogs/news/new-for-aws-transit-gateway-build-global-networks-and-centralize-monitoring-using-network-manager/

Slide 58

Slide 58 text

결론 58

Slide 59

Slide 59 text

결론 59 ● AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을 연결하기 위한 네트워크 전송 허브 서비스 ● 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공 ● 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의 연결을 단순화하고 확장성을 높이는 데 유용 ● 대규모 시스템의 멀티리전, 계정 아키텍처

Slide 60

Slide 60 text

결론 60

Slide 61

Slide 61 text

결론 61 ● AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을 연결하기 위한 네트워크 전송 허브 서비스 ● 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공 ● 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의 연결을 단순화하고 확장성을 높이는 데 유용 ● 대규모 시스템의 멀티리전, 계정 아키텍처

Slide 62

Slide 62 text

AWS Site-to-Site VPN 62

Slide 63

Slide 63 text

결론 63 ● AWS 의 가상 네트워크 환경 (VPC) 과 온프레미스 환경을 연결하기 위한 네트워크 전송 허브 서비스 ● 중앙 집중식 네트워크 관리와 효율적인 트래픽 라우팅을 제공 ● 여러 VPC, 온프레미스 네트워크, 그리고 AWS 서비스 간의 연결을 단순화하고 확장성을 높이는 데 유용 ● 대규모 시스템의 멀티리전, 계정 아키텍처

Slide 64

Slide 64 text

64 Q&A

Slide 65

Slide 65 text

65