AWS VPC를 연결하는 서비스

aws에는 정말 많은 서비스가 있고, 앞으로도 많이 생길 것이다. 각 서비스는 기존에 불가능하거나 불편했던 점을 개선하기 위해 나왔기 때문에 서비스의 이유에 대해 생각해보면 좀 더 이해하기 편리하다.

VPC 단위로도 많은 서비스가 있는데 각 문서를 따로 읽다 보니 비슷하면서 헷갈리는 부분이 있다. VPC를 연결하는 서비스들의 명칭과 기능에 대해 잘 구분할 줄 알아야 한다.

 

VPC Peering

논리적으로 독립적인 두 개의 VPC(Virtual Private Cloud)를 마치 하나의 VPC를 사용하는 것처럼 묶어준다.

 

두 개의 VPC를 하나의 VPC인 것처럼 사용하기 위해 Peering Connection을 생성하고, Peering Connection을 각 VPC subnet의 route table에 추가하기만 하면 된다. 두 VPC의 CIDR이 겹치는 부분이 있다면 구분할 수 없기 때문에 겹처서는 안된다.

 

route table에 다른 VPC를 추가시키는 방식이라서 region, account 간에도 peering이 가능하고, 전이(transitive)되지는 않는다. 예를 들어 세 개의 VPC A, B, C가 있을 때 A와 B를 peering 하고, B와 C를 peering 했다고 해서 A와 C가 연결되지 않는다.

 

 

VPC Endpont Services

내 VPC에 다른 여러 개의 VPC를 붙일 때 사용한다. VPC Peering으로 이를 해결한다면 전이가 되지 않기 때문에 n개의 VPC에 대해 n개의 peering을 생성해야 한다.

VPC Endpoint Services는 NLB(Network Load Balancer)를 생성하고, 붙이려고 하는 VPC에 ENI(Elastic Network Interface)를 NLB에 연결한다. 역시 마찬가지로 외부 네트워크를 사용하지 않고 aws private link를 통해 연결된다.

 

 

VPC Endpoints

기존에 private subnet에서 VPC 밖에 있는 aws 서비스를 호출한다고 하면 private subnet -> NAT gateway -> Internet gateway를 통했다. 하지만 어차피 목적지가 aws 서비스인데 단순히 직접 호출할 길이 없기 때문에 불필요한 외부 인터넷을 통한다는 게 비효율적이다.

VPC Endpoint는 이런 불필요한 외부 인터넷을 타지 않고, aws private network를 사용하게 한다.

 

VPC Endpoint를 생성하고 연결하는데 interface 방식과 gateway 방식이 있다.

• interface: DNS host name과 이를 통하는 내부 ENI를 생성해서 연결한다.
• gateway: route table에 해당 aws 서비스로 향하는 rule을 추가한다.

 

 

Site to Site VPN

Site to Site VPN은 aws 내의 서비스를 연결하는 게 아니고, 자체적으로 구축한 인프라를 aws와 연결할 때 사용한다. 전혀 다른 네트워크지만 같은 네트워크를 사용하는 것처럼 묶을 때 사용한다.

각 네트워크에 Gateway를 설치하고 두 Gateway를 연결해주는 방식이다. 실제 트래픽은 외부 인터넷을 통한다.

1. 자신의 인프라에 Customer Gateway를 설치
2. aws VPC에 VPG(Virtual Private Gateway)를 연결
3. 두 Gateway를 site to site VPN으로 연결

 

 

Direct Connect

Site to Site VPN과 같이 자체적으로 구축한 인프라와 aws VPC를 연결하는데 외부 인터넷 망이 아닌 aws 전용 회선으로 연결한다.

 

Direct connect를 여러 VPC와 할 경우에는 n개의 Direct Connect를 생성하는 대신 Direct Connect Gateway로 해결할 수 있다.
Direct connect와 연결할 Direct Connect Gateway에 여러 VPC를 붙여서 사용한다. 이때 Direct Connect Gateway에서 라우팅을 하기 위해 여러 VPC들은 CIDR가 겹치면 안 된다.