ECMP는 equal-cost multi-path routing의 약자로 하나의 목적지로 패킷 라우팅을 수행하면서 여러 개의 경로를 선택하는 라우팅 기법이다. ECMP는 다음 홉에 대한 선택을 단일 라우터로 국한시킬 수 있기 때문에 대부분의 라우팅 프로토콜과 결합하여 사용할 수 있다. ECMP는 다중 경로를 통해 트래픽을 분산시킴으로써 잠재적으로 대역폭의 증가를 가져온다.
ECMP는 해시 ECMP 알고리즘과 라우팅 메트릭 계산을 기반으로 동일한 비용의 다음 홉 경로를 식별하고 사용하는 원칙에 따라 트래픽을 라우팅하는 방법입니다.네트워크는 동일한 비용, 동일한 메트릭 값, 네트워크 비용 및 기본 설정의 여러 최상의 경로를 제공합니다.그런 다음 라우팅 테이블을 통한 ECMP 프로세스는 라우터 집합, ECMP(동일 비용 다중 경로) 집합을 식별하며 각각은 대상에 대한 동일한 비용 다음 홉 주소입니다.ECMP는 각 라우터가 독립적으로 주소를 지정하는 다음 홉 대상에 대해서만 로컬 홉별 결정을 요구하기 때문에 ECMP와 대부분의 라우팅 프로토콜을 함께 사용할 수 있습니다.
ECMP는 비용이 동일한 여러 최상의 경로에서 트래픽 로드 밸런싱을 통해 대역폭을 크게 늘릴 수 있지만 실제로는 올바른 결정을 내리지 않으면 배포에 문제가 있을 수 있습니다
MAC 보안 (MACsec) 은 데이터 기밀성, 데이터 무결성 및 데이터 원본 신뢰성을 제공하는 IEEE 표준입니다. MACsec을 지원하는AWS Direct Connect 연결을 사용하여 회사 데이터 센터에서 해당AWS Direct Connect 위치로 데이터를 암호화할 수 있습니다. 데이터 센터 및AWS 리전으로 흐르는 모든 데이터는 데이터 센터를 떠나기 전에 물리적 계층에서 자동으로 암호화됩니다.
다음 다이어그램에서는 전용 연결과 온프레미스 리소스 모두 MACsec을 지원해야 합니다. 전용 연결을 통해 데이터 센터로 또는 데이터 센터로부터 이동하는 레이어 2 트래픽은 암호화됩니다.
MAC 보안 (MACsec)— 데이터 기밀성, 데이터 무결성 및 데이터 원본 신뢰성을 제공하는 IEEE 802.1 계층 2 표준입니다. .
MACsec 비밀 키— 고객 온프레미스 라우터와 해당AWS Direct Connect 위치의 연결 포트 간에 MACsec 연결을 설정하는 사전 공유 키입니다. 키는 사용자가 제공하고 디바이스에 프로비저닝한 CKN/CAK 쌍을AWS 사용하여 연결이 끝날 때 디바이스에서 생성됩니다.
연결 키 이름 (CKN)및연결성 연결 키 (CAK)— 이 쌍의 값은 MACsec 비밀 키를 생성하는 데 사용됩니다. 페어 값을 생성하여 연결에 연결하고AWS Direct Connect 연결이 끝날 때 에지 디바이스에 프로비저닝합니다.AWS Direct Connect
must_encrypt : 암호화 모드를 이 값으로 설정하면 암호화가 중단되면 연결이 끊어집니다.
should_encrypt : 경우 갑작스러운 패킷 손실을 방지하기
no_encrypt : 암호화 없음
MACsec 생성 과정
1단계: 연결 생성 2단계: 링크 집계 그룹 (LAG) 생성 3단계: CKN/CAK를 연결 또는 LAG와 연결 4단계: 온프레미스 라우터 구성 5단계: (선택 사항) CKN/CAK와 연결 또는 LAG 간의 연결 제거
기본적으로 고객 게이트웨이 디바이스는 트래픽을 생성하고 IKE(Internet Key Exchange) 협상 프로세스를 시작하여 Site-to-Site VPN 연결을 위한 터널을 표시해야 합니다. 대신 AWS가 IKE 협상 프로세스를 시작하거나 다시 시작하도록 지정하도록 VPN 터널을 구성할 수 있습니다.
시작 작업(Startup action): 새 VPN 연결이나 수정된 VPN 연결에 대해 VPN 터널을 설정할 때 수행할 작업입니다. 기본적으로 고객 게이트웨이 디바이스는 IKE 협상 프로세스를 시작하여 터널을 표시합니다. 대신 AWS가 IKE 협상 프로세스를 시작하도록 지정할 수 있습니다.
DPD 시간 초과 작업(DPD timeout action): Dead Peer Detection(DPD) 시간 초과가 발생한 후에 수행할 작업입니다. 기본적으로 IKE 세션이 중지되고 터널이 중단되고 경로가 제거됩니다. DPD 시간 초과가 발생할 때 AWS가 IKE 세션을 다시 시작하도록 지정하거나, DPD 시간 초과가 발생할 때 AWS가 작업을 수행하지 않도록 지정할 수 있습니다.
※ DPD(Dead Peer Detection)는 연결할 수 없는 IKE(Internet Key Exchange) 피어를 감지할 수 있는 방법입니다.
디바이스는 암호화된 IKE(Internet Key Exchange) 1단계 알림 페이로드(R-U-THERE 메시지)를 피어에 보내고 피어로부터 DPD 승인(R-U-THERE-ACK 메시지)을 기다리는 것을 통해 이 검증을 수행합니다.
AWS Gateway Load Banancer 이하 GWLB 는 3rd party 어플라이언스와 융합을 목적으로 생성된 AWS 서비스 이다.
Gateway Load Balancer를 사용하면 방화벽, 침입 탐지 및 방지 시스템, 심층 패킷 검사 시스템과 같은 가상 어플라이언스를 배포, 확장 및 관리할 수 있습니다. 투명한 네트워크 게이트웨이(즉, 모든 트래픽에 대한 단일 진입 및 종료 지점)를 결합하고 수요에 따라 가상 어플라이언스를 조정하면서 트래픽을 분산합니다.
Gateway Load Balancer는 오픈 시스템 상호 연결(OSI) 모델의 세 번째 계층인 네트워크 계층에서 작동합니다. 모든 포트에서 모든 IP 패킷을 수신하고 리스너 규칙에 지정된 대상 그룹으로 트래픽을 전달합니다. 5튜플(TCP/UDP 흐름의 경우) 또는 3튜플(비 TCP/UDP 흐름의 경우)을 사용하여 특정 대상 어플라이언스에 대한 흐름의 연결을 유지합니다. Gateway Load Balancer 및 등록된 가상 어플라이언스 인스턴스는 포트 6081의 Geneve프로토콜을 사용하여 애플리케이션 트래픽을 교환합니다.
간략하게 설명하자면, GWLB는 LB 이고, GWLB Endpoint Service 는 GWLB Endpoint 와 GWLB 를 이어주는 중간 매체라고 생각하면 된다. 생성 순서는 GWLB -> GWLB Service Endpoint -> GWLB Endpoint 가 된다.
GWLB 는 그냥 생성하면 되고, GWLB Service Endpoint 는 생성시 유형을 GWLB 로 선택하고, 생성한 GWLB를 추가하면 된다. GWLB Service Endpoint 를 생성하면 '서비스 이름' 이 나오는데 이 부분을 복사한 후 GWLB Endpoint 생성시 다른서비스 선택한다음 나타나는 '서비스 이름'에 해당 부분을 넣으면 생성 된다.
GWLB 구성 예시
아래그림과 같이 Subnet 1에 있는 Applicatons servers 에서 인터넷에 나가기전에 Security appliances 를 통해 인터넷에 가기위해서는 라우팅으로 조절이 필요하다. 반대로 인터넷에서 Subnet 1 에 있는 Applications servers 에 응답을 돌려보낼때도, Security appliances 를 통해 제어 되어야 한다.
1. 애플리케이션 서버가 있는 서브넷의 라우팅 테이블에는 애플리케이션 서버의 모든 트래픽을 Gateway Load Balancer 엔드포인트로 라우팅하는 항목이 있어야 합니다.
대상 주소대상
VPC IPv4 CIDR
로컬
VPC IPv6 CIDR
로컬
0.0.0.0/0
vpc-endpoint-id
::/0
vpc-endpoint-id
2. 인터넷 게이트웨이의 라우팅 테이블에는 애플리케이션 서버로 향하는 트래픽을 게이트웨이 로드 밸런서 엔드포인트로 라우팅하는 항목이 있어야 합니다. 게이트웨이 로드 밸런서 엔드포인트를 지정하려면 VPC 엔드포인트의 ID를 사용합니다.
대상 주소대상
VPC IPv4 CIDR
로컬
VPC IPv6 CIDR
로컬
서브넷 1 IPv4 CIDR
vpc-endpoint-id
서브넷 1 IPv6 CIDR
vpc-endpoint-id
3. 게이트웨이 로드 밸런서 엔드포인트가 있는 서브넷의 라우팅 테이블은 검사에서 반환되는 트래픽을 최종 목적지로 라우팅해야 합니다. 인터넷에서 시작된 트래픽의 경우 로컬 경로를 통해 해당 트래픽이 애플리케이션 서버에 도달하도록 합니다. 애플리케이션 서버에서 발생한 트래픽의 경우 모든 트래픽을 인터넷 게이트웨이로 라우팅하는 항목을 추가하십시오.
AWS는 Amazon EC2 인스턴스 또는 Elastic Load Balancer의 탄력적 네트워크 인터페이스에서 대상으로 네트워크 트래픽을 복사할 수 있는 트래픽 미러링을 제공합니다.
트래픽 미러링 세션의 대상은 EC2 인스턴스 또는 Network Load Balancer일 수 있습니다. EC2 인스턴스를 대상으로 사용하는 경우 해당 인스턴스에서 패킷 캡처 소프트웨어를 실행하여 검사를 위해 모든 트래픽을 캡처할 수 있습니다. tcpdump 또는 Wireshark와 같은 패킷 캡처 소프트웨어를 이 용도로 사용할 수 있습니다.
보안 및 모니터링 어플라이언스는 개별 인스턴스로 배포하거나 UDP 리스너가 있는 Network Load Balancer 또는 Gateway Load Balancer 뒤에 인스턴스 집합으로 배포할 수 있습니다.트래픽 미러링은 필터 및 패킷 자르기를 지원하므로 선택한 모니터링 도구를 사용하여 관심 있는 트래픽만 추출할 수 있습니다.
개념
Source— 모니터링할 네트워크 인터페이스입니다.
필터— 미러링되는 트래픽을 정의하는 규칙 집합입니다.
대상— 미러링된 트래픽의 대상입니다.
세션— 소스, 필터 및 대상 간의 관계를 설정합니다.
이점
간소화된 작업— EC2 인스턴스에서 패킷 전달 에이전트를 관리할 필요 없이 VPC 트래픽의 모든 범위를 미러링합니다.
향상된 보안- 사용자 공간에서 비활성화하거나 변조할 수 없는 탄력적 네트워크 인터페이스에서 패킷을 캡처합니다.
