top of page

하이브리드 클라우드를 위한 Direct connect와 Site-to-Site VPN

AWS Hands-on Lab #6 하이브리드 클라우드를 위한 direct connect와 Site-to-Site VPN


Witten by Minhyeok Cha

많은 기업들이 온프레미스에서 클라우드로 마이그레이션을 진행했습니다. 마이그레이션의 이유로는 기존 장비의 노후화, 비용 최적화, 탄력적인 서비스 등의 니즈가 있지만 기존 장비를 포기한다는 점이 걸려 클라우드로 이전하는 작업이 고민인 분들도 있습니다.


이러한 고민을 해결하기 위해 다양한 컴퓨팅, 스토리지나 마이크로서비스 등 다양한 플랫폼 간의 오케스트레이션이 포함 가능한 하이브리드 클라우드라는 솔루션을 본문에서 안내하려고 합니다.



하이브리드 클라우드란?

하이브리드 클라우드에 들어가기 앞서 여기서 사용되는 클라우드의 종류는 2가지로 퍼블릭 클라우드와 프라이빗 클라우드로 나뉘며 각 클라우드가 연결되어 함께 작동하여 애플리케이션, 컴퓨팅, 스토리지 등 데이터를 주고 받는 솔루션입니다.


💡여기서 온프레미스 서버는 기존 소지한 서버이거나 혹은 프라이빗 클라우드도 포함합니다.


AWS와 하이브리드 클라우드 적용

AWS에는 온프레미스 네트워크와 AWS 클라우드 네트워크 사이를 연결하는 서비스가 있습니다.


1. Direct Connect(DX)

온프레미스에서 AWS로 전용 네트워크 연결을 쉽게 설정할 수 있는 클라우드 서비스 솔루션입니다. AWS Direct Connect(이하 DX)로 AWS와 고객의 데이터 센터, 사무실 또는 코로케이션 환경 간에 프라이빗 연결을 설정할 수 있습니다. 이로 인해 인터넷 기반 연결보다 대역폭 처리량이 늘어나고 일관된 경험을 제공할 수 있습니다.


· DX의 기본적인 사용 아키텍처

DX의 기본적인 사용 아키텍처

· 다음과 같이 DX를 생성하여 대역폭을 확장하거나 LAG(Link Aggregation Groups)를 사용하여 가용성을 높일 수 있습니다.

DX를 생성하여 대역폭을 확장하거나 LAG를 사용하여 가용성을 높일 수 있습니다

2. Site-to-Site VPN

온프레미스 네트워크, 원격 사무실, 클라이언트 디바이스 및 AWS 글로벌 네트워크 사이에서 보안 연결을 설정합니다. 이 서비스를 함께 결합하여 네트워크 트래픽을 보호하는 탄력적인 고가용성 관리형 클라우드 VPN 솔루션을 제공합니다.


· Site-to-Site VPN → Transit Gateway 아키텍처

Site-to-Site VPN → Transit Gateway 아키텍처

해당 VPN은 AWS에서의 VPC와 VPN을 연결해주는 Transit Gateway를 사용하여 트래픽을 라우팅했습니다.



고객 사례

클라우드와 온프레미스 센터를 연결하는 방법은 위와 같은 방법이 있지만 일부 고객들의 니즈는 그 뿐만이 아니었습니다. 예시로 ISMS와 같은 심사나 보안성 검사 중 각 계층에 대한 보안을 체크해야 한다고 할 때 규정에 따라 DX의 전용 회선을 사용하는 동시에 3 계층의 암호화도 필요할 수 있습니다.


💡 DX의 전용선은 2 계층(MACsec) 암호화를 지원하여 VPN은 3 계층(IPsec)을 암호화

실제 스마일샤크 고객 중 보안 및 준수 규정 심사로 인해 온프레미스와 클라우드 간의 암호화는 간혹 찾아오는 이슈 중 하나이며 다음과 같은 솔루션을 통해 이 이슈를 대처해 나아갔습니다.


· DX - 프라이빗 IP VPN - Transit Gateway

DX - 프라이빗 IP VPN - Transit Gateway

위 아키텍처와 같이 DX - 프라이빗 IP VPN을 적용하려면 다음과 같은 조건이 있습니다.

  • 온프레미스 네트워크와 AWS 간의 AWS DX연결

  • 적절한 전송 게이트웨이와 연결된 AWS DX 게이트웨이

  • 사용 가능한 프라이빗 IP CIDR 블록이 있는 전송 게이트웨이

  • 온프레미스 네트워크의 고객 게이트웨이 디바이스 및 해당 AWS 고객 게이트웨이

프라이빗 IP Site-to-Site VPN을 통해, AWS Transit Gateway와 온프레미스의 Customer Gateway 종료 지점까지 프라이빗 IP(RFC1918)를 할당합니다. 즉 온프레미스 네트워크와 AWS 간의 트래픽을 암호화할 수 있습니다.


AWS Direct Connect를 통한 프라이빗 IP VPN을 사용하면 AWS와 온프레미스 네트워크 간의 트래픽이 프라이빗 연결로 안전하게 제공되므로 고객이 규제 및 보안 규정을 준수할 수 있습니다.



AWS 콘솔 상의 구성

· AWS와 IDC 사이에 전용 네트워크 연결 설정


· 대상(Transit) 게이트웨이 구성(AWS로 연결되는 엔드포인트)


· Custom Gateway 구성


· 기존 Transit Gateway를 수정



💡 이때 CGW의 프라이빗 IP 대역이 포함 될 CIDR 대역을 추가합니다.

· Site-to-Site VPN 연결 구성



· 구성 다운로드

다운로드를 받으면 터널 설정란을 확인할 수 있는데 이 정보를 IDC에 제공하여 Network 설정과 IPSec 설정을 추가하여 설정을 완료합니다.



백업으로의 기능

DX연결에 대한 백업으로도 VPN을 사용하는 방법도 있습니다.


· DX - VPN 병렬 (비대칭 라우팅) 구조

DX - VPN 병렬 (비대칭 라우팅) 구조

AWS Transit Gateway 라우팅 테이블 관점에서 볼 때 AWS DX 연결(DX Gateway를 통해) 및 VPN에서 수신한 온프레미스 접두사에 대한 경로는 접두사 길이가 동일하며 BGP의 접두사 필터링과 MED(Multi Exit Discriminator)의 값을 VPN에 100으로 설정합니다.


위 아키텍처를 예시로 3개의 VPC CIDR /24 접두사를 기준으로 Customer Router를 향해 광고를 합니다. 이때 위에서 언급한 BGP접두사 필터링 및 MED를 수정하여 메인 트래픽을 DX로 향하게 합니다.


AWS Transit Gateway의 경로 평가 순서에 따라, AWS DX를 통한 경로가 온프레미스 네트워크에 도달하는 데 선호되는 방법입니다.



💡DX를 통해 수신된 경로가 동적 Site-to-Site VPN을 통해 수신되는 경로보다 기본적으로 선호도가 높습니다. 더 자세한 사항은 Transit Gateway 작동 방식을 참고해주세요.

마무리

원래는 하이브리드 클라우드의 특성과 간단한 예시를 작성할 예정이었으나, 고객사가 성장한 만큼 저희 스마일샤크도 성장하고 그만큼 IT 심사 이슈가 많이 들어와 본 글과 어울리는 것 같아 고객 예시도 하나 섞어봤습니다.


DX와 VPN의 조합, DX 위에 프라이빗 IP를 사용한 Site-to-Site VPN 연결 생성 방법, BGP 경로 축소 및 접두사 필터링 등 다양한 활용 방법이 있으며 보안, 트래픽 분할, 경로 확장 등 다양한 솔루션에 사용하실 수 있으니 이번 글을 통해 하이브리드 클라우드 상에서 이러한 니즈가 있으신 분들은 한 번씩 찾아보시는 것도 좋을 것 같습니다.

조회수 186회댓글 0개

관련 게시물

전체 보기

Comments


bottom of page