[AWS] Transit Gateway 이해

in Study on AWS, AWS Base
[AWS] Transit Gateway 이해

AWS의 Transit Gateway를 이해해보자.



1. Transit Gateway 개요

Transit Gateway는 가상 사설 클라우드(VPC)와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다.
클라우드 인프라가 전 세계적으로 확장됨에 따라 리전 간 피어링은 AWS 글로벌 인프라를 사용하여 Transit Gateway를 함께 연결합니다.
데이터는 자동으로 암호화되며 퍼블릭 인터넷을 통해 전송되지 않습니다.

AWS Transit Gateway Docs

Transit Gateway는 네트워크 전송 허브(라우터)로서, 서로 다른 VPC간의 통신을 가능하게 하는 서비스이다.
기존의 VPC Peering의 경우 1대 1 VPC 연결만 지원함에 따라 직접적으로 연결되지 않은 VPC에 바로 접근할 수 없었다면(전이적 피어링) Transit Gateway는 중앙 집중 허브를 통해 여러개의 VPC간 연결 정책을 중앙에서 관리할 수 있고, VPN을 통해 VPC와 온프레미스 네트워크를 연결할 수 있다.

2. Transit Gateway 특징

  • 여러 VPC와 연결 가능
  • 중앙 허브와 VPN을 통해 VPC와 온프레미스 네트워크 연결 가능
  • 복잡한 피어링 관계를 제거하여 네트워크 간소화
  • 다른 리전간의 Transit Gateway와 피어링 연결 가능
  • 새로운 네트워크를 한 번의 연결을 통해 추가 가능
  • 향상된 보안
    • 공용 네트워크에 노출되지 않음, 암호화
    • DDos, SQL Injection, Cross Site Scripting 등 방지
  • 온디맨드, 멀티캐스트 대역폭

3. VPC Peering의 한계

Transit Gateway에 대해 자세히 알기 전에 VPC Peering에 대해 먼저 알아보자.
원활한 이해를 위한 빌드업이다.
그림을 통해 살펴보자.

archi

위 그림은 VPC PeeringVPN을 사용한 AWS Region 1-AWS Region 2, AWS Cloud-On-Premise 연결을 나타낸 구조도이다.

이 때 구현된 연결은 다음과 같다.

  1. Amazon VPC A - Amazon VPC B
  2. Amazon VPC B - Amazon VPC D
  3. Amazon VPC C - Amazon VPC D
  4. Amazon VPC C - Amazon VPC E
  5. Amazon VPC D - Amazon VPC E
  6. Amazon VPC B - On-Premise

VPC Peering - 전이적 피어링

1, 2번 연결을 보자.

archi

Amazon VPC A에서 Amazon VPC D는 사이에 Amazon VPC B를 끼고 연결되어 있는 것 처럼 보인다.
하지만 전이적 피어링 제한으로 인해 Amazon VPC A에서 Amazon VPC D로의 직접적인 접근(패킷 라우팅)은 불가능하다.

archi

위 그림은 전이적 피어링 제한을 나타낸다.
VPC A는 각각 VPC BVPC C로 연결되어 있기 때문에, VPC B에서 VPC A를 통해 VPC C로 접근 할 수 있다고 생각하기 쉽지만, 이는 불가능하다.
즉, 다음과 같은 연결은 직접적으로 이루어지지 않는다.

VPC B - VPC A - VPC C

때문에 아까 봤던 구조도에서의 다음 연결은 이루어지지 않는다.

Amazon VPC A - Amazon VPC B - Amazon VPC D

VPC Peering - 엣지 간 라우팅

1, 6번 연결을 보자.

archi

Amazon VPC AAmazon VPC BVPC Peering으로 연결되어 있으며, Amazon VPC BOn-PremiseVPN Connection으로 연결되어 있는데, 이 때 VPN ConnectionDirect Connect, Site-to-Site의 경우를 포함한다.

위 경우와 마찬가지로 Amazon VPC AAmazon VPC B를 통해 On-Premise에 접근할 수 있을 것 처럼 보이지만, 이는 엣지 간 라우팅 제한으로 인해 불가능하다.

archi

위 그림은 엣지 간 라우팅 제한을 나타낸다.
On-Premise 네트워크에서의 트래픽은 VPC A에 대한 VPN 연결 또는 AWS Direct Connect 연결을 사용하여 VPC B에 직접 액세스할 수 없으며, 그 반대의 경우에도 불가능하다.

비단 On-Premise에 대한 피어링 뿐만이 아니라, 다음의 경우도 불가능하다.

  • 인터넷 게이트웨이를 통한 엣지 간 라우팅

archi

VPC AVPC B 사이(pcx-abababab)에 VPC Peering 연결이 있다.
VPC A에는 인터넷 게이트웨이가 있지만, VPC B에는 없다.
엣지 간 라우팅은 지원되지 않으므로, VPC A를 사용하여 피어링 관계를 확장함으로써 VPC B와 인터넷 사이에 피어링 관계가 존재하도록 할 수 없다.

예를 들어 인터넷에서의 트래픽은 VPC A에 대한 인터넷 게이트웨이 연결을 사용하여 VPC B에 직접 액세스할 수 없다.
인터넷 게이트웨이가 아닌 NAT 게이트웨이(또는 디바이스)의 경우에도 마찬가지다.

  • VPC 게이트웨이 엔드포인트를 통한 엣지 간 라우팅

archi

VPC AVPC B 사이(pcx-aaaabbbb)에 VPC Peering 연결이 있다.
VPC A에는 Amazon S3에 연결하는 VPC 게이트웨이 엔드포인트가 있다.
엣지 간 라우팅은 지원되지 않으므로 VPC A로 피어링 관계를 확장하여 VPC BAmazon S3 사이에 피어링 관계가 존재하도록 할 수는 없다.

예를 들어 VPC BVPC A에 대한 VPC 게이트웨이 엔드포인트 연결을 사용하여 Amazon S3에 직접 액세스할 수 없다.

4. Transit Gateway 사용

VPC Peering의 한계는 모두 Transit Gateway를 사용함으로서 극복할 수 있다.
그림을 통해 살펴보자.

archi

위 그림은 Transit Gateway를 사용한 구조도이다.

VPC Peering만을 통한 구현보다 훨씬 깔끔해진게 느껴진다.

Amazon VPCTransit Gateway을 통해 연결되며, Transit Gateway - Route Table을 통해 연결되어 있다면 어떤 대상이든 접근할 수 있다.

또한 불필요한 통신을 막기 위해 Association을 지정하여 리소스를 분리하고 차단할 수 있다.

확장성이 필요한 워크로드의 경우, VPC Peering + VPN만을 사용하여 네트워크를 구성한다면 VPC를 하나 추가할 때 마다 수 많은 연결이 필요할 수 있지만, Transit Gateway를 사용하면 한 번의 추가로 해결된다.

5. Transit Gateway 차이점, 단점

Transit Gateway가 장점만 있는 것은 아니다.
VPC Peering과의 차이점을 알아보자.

서비스 갯수 한도(장점)

AWS 서비스에는 Hard LimitSoft Limit 개념이 있다.

Hard Limit은 말그대로 더이상 수용할 수 없는 최대한도를 말하며 Soft Limit은 요청하여 증설할 수 있는 한도를 말한다.

VPC PeeringHard limit은 VPC당 125개 이며, Transit GatewayTransit Gateway당 5000개의 VPC 연결이 가능하다.

대역폭(단점)

VPC Peering은 대역폭에 제한이 없으며, Transit Gateway는 최대 대역폭이 50Gbps이다.

따라서 만약 50Gbps 이상의 대역폭을 요구하는 서비스의 경우 Transit Gateway를 사용한 네트워크 구축은 제한된다.

비용(단점)

비용을 같은 조건으로 비교해보면 VPC Peering 대비 Trasit Gateway 가 약 1.5배 더 비싸다.

데이터 전송 비용은 두 서비스가 동일하지만, Transit Gateway는 사용하는 동안의 연결 비용, VPN 비용이 추가로 발생한다.

Transit Gateway의 기능을 생각하면 당연하다고 볼 수 있다.

하지만 만약 비용 효율적인 워크로드를 구성해야 하는 경우, Transit Gateway는 제한될 수 있다.

Ref

AWS Docs - Transit Gateway란 무엇입니까?

AWS Docs - 지원되지 않는 VPC 피어링 구성

Transit Gateway란

VPC Peering 과 Transit Gateway 어떻게 다를까

Transit Gateway?(1) - 개념 및 비용비교

Transit Gateway 소개

VPC Peering과 Transit Gateway 비교

© 2022. All rights reserved.