Cloud Technology Blog

Amazon Route 53 Resolver는 퍼블릭 레코드,Amazon VPC별 DNS 이름, Amazon Route 53 프라이빗 호스팅 영역에 관한 AWS 리소스의 DNS 쿼리에 재귀적으로 응답하며 모든 VPC에서 기본적으로 사용할 수 있습니다.

VPC와 온프레미스 리소스를 모두 활용하는 워크로드가 있는 경우 온프레미스에서 호스팅되는 DNS 레코드도 확인해야 합니다. 마찬가지로 이러한 온프레미스 리소스는 AWS에서 호스팅되는 이름을 확인해야 할 수 있습니다. Resolver 엔드포인트 및 조건부 전달 규칙을 통해 온프레미스 리소스와 VPC 간의 DNS 쿼리를 확인하여 VPN 또는 Direct Connect(DX)를 통해 하이브리드 클라우드 설정을 생성할 수 있습니다. 구체적으로 설명하면 다음과 같습니다.

https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/resolver.html

TGW 어플라이언스 모드를 사용하면 트래픽이 소스 또는 대상이 아닌 다른 AZ에서 트래픽 검사를 수행할 수 있습니다.

AWS Transit Gateway Appliance 모드를 사용하면 흐름의 방향과 시작된 가용 영역에 관계없이 동일한 AZ에서 네트워크 흐름을 전달해야 하는 연결을 지정할 수 있습니다. AWS Transit Gateway 어플라이언스 모드는 네트워크 흐름 이 동일한 AZ 및 네트워크 어플라이언스로 대칭적으로 라우팅되도록 합니다. 

TGW 어플라이언스 모드 활성화 인경우 트래픽

Transit Gateway는 흐름 해시 알고리즘을 사용하여 어플라이언스 VPC에서 단일 네트워크 인터페이스를 선택하여 흐름 수명 동안 트래픽을 전송합니다. Transit Gateway는 반환 트래픽에 대해 동일한 네트워크 인터페이스를 사용합니다. 이렇게 하면 양방향 트래픽이 대칭적으로 라우팅됩니다. 즉, 트래픽 흐름은 수명이 다할 때까지 VPC 연결의 동일한 가용 영역을 통해 라우팅됩니다. 아키텍처에 여러 Transit Gateway가 있는 경우 각 Transit Gateway는 자체 세션 선호도를 유지하며 각 Transit Gateway는 다른 네트워크 인터페이스를 선택할 수 있습니다.

VPC 연결이 여러 가용 영역에 걸쳐 있고 상태 저장 검사를 위해 소스 및 대상 호스트 간의 트래픽을 동일한 어플라이언스를 통해 라우팅해야하는 경우, 어플라이언스가 있는 VPC 연결에 대한 어플라이언스 모드 지원을 활성화합니다.

TGW 어플라이언스 모드 비활성화 인경우 트래픽

Transit Gateway는 대상에 도달할 때까지 트래픽이 원래 가용 영역의 VPC 연결 간에 라우팅을 유지하려고 합니다. 트래픽은 가용 영역 장애가 있거나 가용 영역에 VPC 연결과 연결된 서브넷이 없는 경우에만 연결 사이의 가용 영역을 지납니다.

다음 다이어그램은 어플라이언스 모드 지원이 활성화되지 않은 경우의 트래픽 흐름을 보여 줍니다. VPC B의 가용 영역 2에서 시작된 응답 트래픽은 Transit Gateway에 의해 VPC C의 동일한 가용 영역으로 라우팅됩니다. 따라서 가용 영역 2의 어플라이언스가 VPC A에 있는 소스의 원래 요청을 인식하지 못하기 때문에 트래픽이 삭제됩니다.

요약하자면, 어플라이언스 모드를 사용하면 VPC간 트래픽을 검사하며, VPC 연결의 동일한 가용 영역을 통해 라우팅됩니다

https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/transit-gateway-appliance-scenario.html

요약 : 여러 VPC 환경에 동일한 서비스를 배포하고 싶을때, Service Catalog 에 관련 템플릿을 생성 후, OU 단에서 공유하여 배포할 수 있습니다.

AWS Service Catalog를 사용하면 배포된 IT 서비스, 애플리케이션, 리소스 및 메타데이터를 중앙에서 관리하여 코드형 인프라(IaC) 템플릿에 일관된 거버넌스를 적용할 수 있습니다. AWS Service Catalog를 사용하면 규정 준수 요구 사항을 충족하는 동시에 승인된 IT 서비스를 고객에게 제공하여 필요한 서비스를 빠르게 배포하도록 지원할 수 있습니다.

AWS Service Catalog는 개발자가 모든 환경에서 인프라 구성 요소를 빠르고 안전하며 쉽게 배포할 수 있도록 지원합니다. 다음 다이어그램은 이 워크플로를 보여줍니다. 여기에서 AWS Service Catalog는 프로덕션 및 비프로덕션 인프라 구성 요소를 모두 애플리케이션 개발/QA/프로덕션 계정에 공유하는 데 사용됩니다.

https://aws.amazon.com/ko/blogs/mt/standardizing-infrastructure-delivery-in-distributed-environments-using-aws-service-catalog/

AWS VPC 환경에서 안전한 인터넷 연결을 위해서는 NAT 를 사용 하여야 한다. 이때 선택 할 수 있는 옵션이 NAT GW 와 NAT 인스턴스가 있다. 

NAT GW

• 퍼블릭 - 프라이빗 서브넷의 인스턴스는 퍼블릭 NAT 게이트웨이를 통해 인터넷에 연결할 수 있지만 인터넷에서 원치 않는 인바운드 연결을 수신할 수 없습니다. 퍼블릭 서브넷에서 퍼블릭 NAT 게이트웨이를 생성하고 생성 시 탄력적 IP 주소를 NAT 게이트웨이와 연결해야 합니다. 트래픽을 NAT 게이트웨이에서 VPC용 인터넷 게이트웨이로 라우팅합니다.
• 프라이빗- 프라이빗 서브넷의 인스턴스는 프라이빗 NAT 게이트웨이를 통해 다른 VPC 또는 온프레미스 네트워크에 연결할 수 있습니다. 트래픽을 NAT 게이트웨이에서 Transit Gateway 또는 가상 프라이빗 게이트웨이를 통해 트래픽을 라우팅할 수 있습니다. 탄력적 IP 주소를 프라이빗 NAT 게이트웨이에 연결할 수 없습니다. 프라이빗 NAT 게이트웨이를 사용하여 VPC에 인터넷 게이트웨이를 연결할 수 있지만 프라이빗 NAT 게이트웨이에서 인터넷 게이트웨이로 트래픽을 라우팅하는 경우 인터넷 게이트웨이가 트래픽을 삭제합니다.

특이사항(NAT Instance는 반대)

NAT 게이트웨이는 고가용성 또는 탄력성을 제공합니다.

NAT 게이트웨이는 최대 45Gbps까지 원활하게 확장됩니다.

NAT 게이트웨이는 AWS에서 관리하는 매니지드 서비스 입니다.

NAT 게이트웨이는 보안그룹이 없습니다.

NAT 게이트웨이는 포트포워딩을 지원하지 않습니다.

NAT Instance

네트워크 주소 변환을 제공하는 고유한 AMI를 생성하고 자신의 AMI를 사용하여 EC2 인스턴스를 NAT 인스턴스로 시작할 수 있습니다. 퍼블릭 서브넷에 있는 NAT 인스턴스를 시작하여 프라이빗 서브넷에 있는 인스턴스가 인터넷 또는 다른 AWS 서비스로의 아웃바운드 IPv4 트래픽을 시작하되, 인터넷에서 시작된 인바운드 트래픽은 인스턴스가 수신하지 못하게 막을 수 있습니다.

DX 에는 다음과 같은 두 가지 유형의 DX 연결 타입을 설정 할 수 있습니다.

1. 전용 연결: 단일 고객과 연결된 물리적 이더넷 연결입니다. 고객은AWS Direct Connect 콘솔, CLI 또는 API를 통해 전용 연결을 요청할 수 있습니다. 

 - 가능한 포트 속도는 1Gbps, 10Gbps 및 100Gbps입니다. 

 - 생성한 후에는 속도 변경이 불가능하며 변경필요 시 재생성 해야 합니다

2. 호스팅된 연결:AWS Direct Connect 파트너가 고객을 대신하여 제공하는 물리적 이더넷 연결입니다. 고객은 파트너 프로그램의 파트너에게 연락하여 호스팅된 연결을 요청합니다.AWS Direct Connect 파트너는 연결을 제공합니다.

 - 가능한 포트 속도는 가능한 값은 50Mbps, 100Mbps, 200Mbps, 300Mbps, 400Mbps, 500Mbps, 1Gbps, 2Gbps, 5Gbps 및 10Gbps입니다

 - 특정 요구 사항을 충족하는AWS Direct Connect 파트너만 1Gbps, 2Gbps, 5Gbps 또는 10Gbps 호스팅 연결을 만들 수 있습니다.

 - AWS는 호스팅 연결에서 트래픽 정책을 사용합니다. 즉, 트래픽 속도가 구성된 최대 속도에 도달하면 초과 트래픽이 삭제됩니다. 이로 인해 급증하는 트래픽의 처리량이 급증하지 않는 트래픽보다 낮을 수 있습니다.

https://docs.aws.amazon.com/ko_kr/directconnect/latest/UserGuide/WorkingWithConnections.html