AWS 네트워크_2

사이트 2 사이트 VPN - 가상사설 GW 및 고객 GW 

- 기업 데이터 센터를 AWS와 비공개 연결하고 싶다면? ; 기업-고객GW / VPC-VPN GW 

- 퍼블릭망에서 SITE 2 SITE VPN 연결 

- VGW ; VPN 연결에서 AWS 측에 있는 CONCENTRATOR / ASN(망식별번호) 설정도 가능 

- CGW ; 고객 GW 

- 어떤 IP 이용? ; 고객 GW가 퍼블릭이면, 라우팅 가능한 IP주소가 고객 GW에 존재 

- 프라이빗IP이면? ; NAT (네트워크 주소 변환) 장치의 공용 IP 이용 

- 서브넷 VPC 라우트 전파를 활성화해야! 

- 보안그룹 인바운드 ICMP 프로토콜 활성화!! 해야(온프렘에서 EC2 진단 가능)

- AWS VPN CLOUDHUB ; 여러 VPN 연결을 통해 모든 사이트간 안전한 소통 보장 

 

DX (다이렉트 커넥트) & DX GW ; 원격 네트워크의 VPC 프라이빗 연결 제공   

- 전용 연결 생성 & AWS DIRECT CONNECT 로케이션 사용 +  VPC측 VGW 

- S3 등 퍼블릭 리소스 + EC2의 프라이빗 리소스에 VIF를 사용 액세스 가능 

- 장점 1: 큰 데이터 세트 처리 시, 속도 가속 ; 퍼블릭을 안거치기 때문 

- 장점 2: 비용절약

- 장점 3: 퍼블릭 문제에도 연결 상태가 유지 > 실시간 데이터 피드를 사용하는 애플리케이션 유리

- 장점 4:하이브리드 환경 (온프렘+클라우드 / IPv4 / IPv6 지원)

- 1. AWS DIRECT CONNECT LOCATON 준비 (AWS CAGE-라우터 + CUSTOMER/PARTNER CAGE-라우터)

- 2. 온프렘 데이터 센터 준비 (방화벽 있는 라우터)

- 3. VIF(VRIVATE INTERFACE)생성 VPC로 프라이빗 리소스 액세스 

- 4. AWS CAGE 라우터 - VPC GW 연결 

- 5. VPC가 아닌 퍼블릭 서비스(S3 / 글래이시어) 이용시, 퍼블릭 VIF 추가 설치 

- 수동이므로 한 달 이상 소요 

- 다른 리전, 하나 이상의 VPC와 연결 -> DX GW 사용 -> VIF를 통해 연결되어, 다른 리전 다른 VPC와 연결 가능

- 전용 연결 용량 초당 1GBPS -10GBPS

- 호스팅 연결도 가능 

- 암호화 기능은 없는데, 보안은 당연히 유지 ; 암호화 원하면, VPN(온프렘과 DX사이)설치 암호화연결가능

- 복원력 - 여러 DX를 설치하는 것이 좋음 - 각 DX 로케이션에 두벌로 연결을 하면 복원력 강해짐

 

SITE 2 SITE VPN & DX ; 비용을 아끼는 전략

- DX로 연결 구축하고

- SITE 2 SITE VPN으로 백업 구축 

 

TRANSIT GW ; 복잡한 네트워크 토폴로지 해결 

- 피어링 연결 - 온프렘 - SITE2SITE - DX 등이 TRANSIT GATEWAY를 통해 VPC 여러개 통합 

- 리전 리소스! 

- 계정 간 공유 시, RESOURCE_ACCESS_MANAGER 사용 

- 라우팅 테이블 포함 ; VPC가 누구와 통신할 지 어떤 연결이 액세스할지 제한 가능 

- IP 멀티캐스트 지원하는 유일한 서비스 (+DX GW / VPN 연결)

- 사례1: SITE 2 SITE VPN 대역폭을 ECMP를(등가 다중 경로) 사용해 늘릴 수 있음

- 사례2: DX를 여러 계정에서 공유할 때 사용 

 

VPC 트래픽 미러링 ; VPC 네트워크 수집하고 검사 !! 

- 관리중인 보안 어플라이언스로 트래픽을 라우팅해서 구현한다!! 

- 수집하려는 트래픽이 있는 ENI 정의 > 어디로 보낼지 대상 정의 (ENI / NLB ETC)

- 동일한 VPC에 소스와 대상이 있어야 함 (단, VPC 피어링을 활성화하면, 다른 VPC도 가능)

- 용례 : 컨텐츠 검사 / 위협 모니터링 / 네트워킹 문제 해결 등 

 

VPC 용 IPv6 

- 모든 IPv6는 공용 / 인터넷 라우팅 가능 

- IPv4 비활성화는 불가능 / 하지만 IPv6 활성화는 가능 

- 듀얼 스택 모드 작동

- 사용이 안된다면, 서브넷에 IPv4 CIDR가 모자라서지, IPv6가 모자라서이기는 불가능

 

EGRESS-ONLY 인터넷 GW ; NAT GW 와 다르게 IPv6에만 사용

- 아웃바운드 연결 허용 / 인터넷이 인스턴스로 IPv6 연결을 시작하지 못하게 막음

- 라우팅 테이블 업데이트 필수

 

네트워크 보호 방법 

- NACL (네트워크 액세스 제어 목록 )

- AMAZON VPC 보안 그룹

- AWS WAF 

- AWS SHIELD / ADVANCED ; 디도스 방어 

- AWS FIREWALL MANAGER ; 규칙관리자 

- AWS NETWORK FIREWALL ; 전체 VPC 방화벽