Cloud Technology Blog

기본적으로 고객 게이트웨이 디바이스는 트래픽을 생성하고 IKE(Internet Key Exchange) 협상 프로세스를 시작하여 Site-to-Site VPN 연결을 위한 터널을 표시해야 합니다. 대신 AWS가 IKE 협상 프로세스를 시작하거나 다시 시작하도록 지정하도록 VPN 터널을 구성할 수 있습니다.

• 시작 작업(Startup action): 새 VPN 연결이나 수정된 VPN 연결에 대해 VPN 터널을 설정할 때 수행할 작업입니다. 기본적으로 고객 게이트웨이 디바이스는 IKE 협상 프로세스를 시작하여 터널을 표시합니다. 대신 AWS가 IKE 협상 프로세스를 시작하도록 지정할 수 있습니다.

• DPD 시간 초과 작업(DPD timeout action): Dead Peer Detection(DPD) 시간 초과가 발생한 후에 수행할 작업입니다. 기본적으로 IKE 세션이 중지되고 터널이 중단되고 경로가 제거됩니다. DPD 시간 초과가 발생할 때 AWS가 IKE 세션을 다시 시작하도록 지정하거나, DPD 시간 초과가 발생할 때 AWS가 작업을 수행하지 않도록 지정할 수 있습니다.

※ DPD (Dead Peer Detection )는 연결할 수 없는 IKE(Internet Key Exchange) 피어를 감지할 수 있는 방법입니다.

 디바이스는 암호화된 IKE(Internet Key Exchange) 1단계 알림 페이로드(R-U-THERE 메시지)를 피어에 보내고 피어로부터 DPD 승인(R-U-THERE-ACK 메시지)을 기다리는 것을 통해 이 검증을 수행합니다.

VPN 설명에대한 참고글 : https://tech.cloudmt.co.kr/2022/09/30/%EC%9D%B8%ED%94%84%EB%9D%BC-%EC%97%94%EC%A7%80%EB%8B%88%EC%96%B4%EB%9D%BC%EB%A9%B4-%EA%BC%AD-%EC%95%8C%EC%95%84%EC%95%BC%ED%95%98%EB%8A%94-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-vpn/

TGW 어플라이언스 모드를 사용하면 트래픽이 소스 또는 대상이 아닌 다른 AZ에서 트래픽 검사를 수행할 수 있습니다.

AWS Transit Gateway Appliance 모드를 사용하면 흐름의 방향과 시작된 가용 영역에 관계없이 동일한 AZ에서 네트워크 흐름을 전달해야 하는 연결을 지정할 수 있습니다. AWS Transit Gateway 어플라이언스 모드는 네트워크 흐름 이 동일한 AZ 및 네트워크 어플라이언스로 대칭적으로 라우팅되도록 합니다. 

TGW 어플라이언스 모드 활성화 인경우 트래픽

Transit Gateway는 흐름 해시 알고리즘을 사용하여 어플라이언스 VPC에서 단일 네트워크 인터페이스를 선택하여 흐름 수명 동안 트래픽을 전송합니다. Transit Gateway는 반환 트래픽에 대해 동일한 네트워크 인터페이스를 사용합니다. 이렇게 하면 양방향 트래픽이 대칭적으로 라우팅됩니다. 즉, 트래픽 흐름은 수명이 다할 때까지 VPC 연결의 동일한 가용 영역을 통해 라우팅됩니다. 아키텍처에 여러 Transit Gateway가 있는 경우 각 Transit Gateway는 자체 세션 선호도를 유지하며 각 Transit Gateway는 다른 네트워크 인터페이스를 선택할 수 있습니다.

VPC 연결이 여러 가용 영역에 걸쳐 있고 상태 저장 검사를 위해 소스 및 대상 호스트 간의 트래픽을 동일한 어플라이언스를 통해 라우팅해야하는 경우, 어플라이언스가 있는 VPC 연결에 대한 어플라이언스 모드 지원을 활성화합니다.

TGW 어플라이언스 모드 비활성화 인경우 트래픽

Transit Gateway는 대상에 도달할 때까지 트래픽이 원래 가용 영역의 VPC 연결 간에 라우팅을 유지하려고 합니다. 트래픽은 가용 영역 장애가 있거나 가용 영역에 VPC 연결과 연결된 서브넷이 없는 경우에만 연결 사이의 가용 영역을 지납니다.

다음 다이어그램은 어플라이언스 모드 지원이 활성화되지 않은 경우의 트래픽 흐름을 보여 줍니다. VPC B의 가용 영역 2에서 시작된 응답 트래픽은 Transit Gateway에 의해 VPC C의 동일한 가용 영역으로 라우팅됩니다. 따라서 가용 영역 2의 어플라이언스가 VPC A에 있는 소스의 원래 요청을 인식하지 못하기 때문에 트래픽이 삭제됩니다.

요약하자면, 어플라이언스 모드를 사용하면 VPC간 트래픽을 검사하며, VPC 연결의 동일한 가용 영역을 통해 라우팅됩니다

https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/transit-gateway-appliance-scenario.html

개요 : AWS Network 구성시 동일 리전에서만 사용 한다면 특별히 고려할 사항없이 구성 할 수 있다.

VPC 가 여러개인 경우 TGW 연결을 진행 할 수 있고, VPC 가 2개인경우 1:1로 VPC Peering 구성을 진행 할 수도 있다.

TGW 연결을 진행 할때 RAM 을 통해 TGW를 공유하여 TGW ATTECHMENT 를 사용하여 연결 이 가능하다.

단, Multi Region 을 구성 하고자 할때는 RAM 사용이 불가능하다. 사유로는 RAM 은 리전에 종속 되기 때문에 동일한 리전에서만 공유가 가능하다. 이때 고려해야할 부분이 TGW Peering 연결이다.

TGW Peering 방식은 TGW ATTECHMENT 를 Peering 방식으로 한개 생성 후 계정 두개와 공유를 진행 하고 VPC TGW ATTECHMENT 를 생성하여 라우팅을 잡아 주면 된다.

https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/tgw-peering.html

개요 : ECR 멀리리전 이미지 복제를 위해서는 Private Registry 의 Permissions 설정과, Replication 설정이 필요 함

고려사항 : 복제 정책을 설정 한다고 해도, 기존에 있는 이미지는 복제가 되지 않는다. 새로 Push 되는 이미지에 대해서만 복제가 발생함

적용 시나리오 : A 계정의 서울리전 ECR 에서 A 계정의 도쿄리전의 ECR 로 이미지 복제 

1. 서울 리전 Permisstions 에서 명령문 생성을 클릭

• 명령문 ID 는 아무 문자를 넣어도 상관 없음
• 계정의 경우 현재 시나리오 에서는 동일 계정의 다른 리전을 대상으로 하므로, 테스트할 계정의 Account number 기재

2. Replication 생성 -> 규칙추가 -> 대상리전 선택 까지하고나면 아래와 같은화면이 나옴

• 여기서 필터를 추가하지 않고 저장하게 되면, push 가 일어나는 모든 레포지 토리의 이미지가복제됨
• 필터를 추가하게 되면 필터에 걸린 이미지만 복제가 생성됨

3. 받는쪽 리전의 Permissions 설정을 1번과 같이 설정하면 끝

AWS 에서 제공하는 각 서비스에는 네트워크 대역폭이 존재한다.

 

추가적인 크레딧 사용이 없는 사용자가 t3.micro 인스턴스를 생성해서 사용할 경우 네트워크 대역폭은 0.064Gbps = 8MB 와 같다.

 

실제로 AWS 를 사용하다 보면 인스턴스 생성시 네트워크 대역폭은 버스트시 사용 가능한 대역폭으로 나타나 있어서 리소스가 부족한 현상들을 자주 접할 수 있다.

 

위 글을 참고 해서 기준 네트워크 대역폭을 고려해서 인스턴스 생성을 하시기 바랍니다

 

 

관련자료

https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/general-purpose-instances.html#general-purpose-network-performance