brunch

매거진 AWS 전문가 되기
라이킷 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by Master Seo Jul 27. 2020

426. 트랜짓 게이트웨이 구축과 운영 팁

<1> 트랜짓 게이트웨이  생성시  자동  수락 체크하고  구축하라.

<2> 트랜짓 게이트웨이 +  NAT  통합 구축시 VPC-C에서  S3 앤드포인트는 필수로 설정하라.

<3> ECS Fargate 사용시는 4개의 앤드포인트와 사설  DNS 활성화를 해야 한다.

<4> 트랜짓 게이트웨이 구축법

<5> 네트워크 매니저와   Cloudwatch로  모니터링하라.

<6>  쿠버네티스 사용을 위한 앤드포인트 생성 하라.

<7> 리전간 피어링 지원

<8> Transit Gateway와 연결된 여러 VPN 터널을 사용하여 ECMP(동일 비용 다중 경로 라우팅)를 구현

<9>  IDC와  Site to Site VPN 연결이 자주 끊길때는 Anti DDOS 장비에서 차단 되는지 확인하라.




<1> 트랜짓 게이트웨이  생성시  자동  수락 체크하고  구축하라.


트랜짓 게이트웨이에    VPC 1개 연결시마다  수락을 2번씩 해야 한다.

여간 귀찬은 일이 아니다.

초기 구축시  자동  수락 체크하고  구축하면  1번만 하면 된다.


자동 수락 부분은  콘솔이나 CLI 로 수정이 불가능하다.

다시 구축해야만 가능하므로 초기 구축시 자동 수락 체크하고 구축하라.




<2> 트랜직 게이트웨이  NAT  통합 구축시 VPC-C에서  S3 앤드포인트는 필수로 설정하라.

그렇지 않으면 YUM 이 안 될수 있다.



AWS Yum 레파지토리는 S3로 운영한다.

VPC-C 에서 앤드포인트가 설정 안되어 있고,  트랜짓 게이트웨이에  S3 앤드 포인트가 설정 된 경우

VPC-C 사설망에서  YUM이 안된다.

트랜짓 게이트웨이의  S3 앤드 포인트로  경로를 찾지 못한다.

해결법은 VPC-C 에서 앤드포인트가 설정해  YUM레파지토리를 바로 찾거나

트랜짓 게이트웨이의  S3 앤드포인트를 설정하지 않음으로 외부 경로로 YUM레파지토리를 바로 찾는 방법이다.


VPC-C에서  S3 앤드포인트는 필수로 설정하라.

또는 

VPC-C에서 앤드포인트를 설정하지 않았다면, 트랜짓 게이트웨에에서도 앤드포인트를 설정하지 않아아  YUM을 사용할수 있다.



<3> ECS Fargate 사용시는 4개의 앤드포인트와 사설  DNS 활성화를 해야 한다.


1. S3에 대한 게이트웨이 VPC 엔드포인트 추가

2  com.amazonaws.region.ecr.api

    com.amazonaws.region.ecr.dkr

3. com.amazonaws.region.logs

4. com.amazonaws.us-west-2.ecs

    com.amazonaws.us-west-2.ecs-agent

    com.amazonaws.us-west-2.ecs-telemetry



아래 2개에 대해 보안 그룹도 ELB에서만 접속되도록 수정이 필요하다.

3. com.amazonaws.region.ecr.dkr

4.. com.amazonaws.region.logs



https://aws.amazon.com/ko/blogs/korea/setting-up-aws-privatelink-for-amazon-ecs-and-amazon-ecr/

Amazon ECS와 Amazon ECR의 AWS PrivateLink 설정 방법 | Amazon Web Services

Amazon ECS와 Amazon ECR에서 AWS PrivateLink가 정식으로 지원됩니다. AWS PrivateLink는 AWS 서비스 액세스에 대한 높은 가용성과 확장성을 제공하기 위한 네트워킹 기술입니다. 이 기술을 사용하면 모든 트래

aws.amazon.com

 



<4> 트랜짓 게이트웨이 구축법

https://brunch.co.kr/@topasvga/827

198. Transit Gateway, VPC 연동

AWS VPC 간 네트워크 구성을 간단하게 하자. 보안상 모든 AWS상의 서버접속을 사내 네트워크에서 내부통신만 하도록 설정할때 유용하다. <0> 네트워크 구성 B가 Transit Gateway 이다. 요청사항 : �

brunch.co.kr/@topasvga/827

 




<5> 네트워크 매니저와   Cloudwatch로  모니터링하라.


https://brunch.co.kr/@topasvga/1208

415.Network Manager+Cloudwatch

Network Manager와cloudwatch 조합으로 VPN장애 확인 | <1> 현상 데이터를 올리면 VPN 터널이 계속 끊어짐 <2> 확인과 조치 트랜짓 게이트웨이 사용중인 경우이다. 1. 확인 1) Nework Manager 구성하여 업다운 모��

brunch.co.kr/@topasvga/1208

 




<6>  쿠버네티스 사용을 위한 앤드포인트 생성 하라.


Amazon EKS 클러스터와 노드그룹 간 통신을 위한 Endpoint 생성 

Endpoint가 없어 통신 안됨.

Private-subnet에 추가 필요


s3

sts

logs

ec2

ecr.api

ecr.dkr


참고 

https://aws.amazon.com/ko/premiumsupport/knowledge-center/eks-cluster-node-group-private-network/ 




<7> 리전간 피어링 지원


2020년 

https://aws.amazon.com/ko/about-aws/whats-new/2020/04/aws-transit-gateway-now-supports-inter-region-peering-in-11-additional-regions/

AWS Transit Gateway, 이제 11개 추가 리전에서 리전 간 피어링 지원

aws.amazon.com

 



<8> Transit Gateway와 연결된 여러 VPN 터널을 사용하여 ECMP(동일 비용 다중 경로 라우팅)를 구현


https://aws.amazon.com/ko/premiumsupport/knowledge-center/transit-gateway-ecmp-multiple-tunnels/

Transit Gateway와 연결된 여러 VPN 터널로 ECMP(동일 비용 다중 경로 라우팅) 구현

aws.amazon.com

 


https://aws.amazon.com/ko/blogs/networking-and-content-delivery/scaling-vpn-throughput-using-aws-transit-gateway/

Scaling VPN throughput using AWS Transit Gateway | Amazon Web Services

A virtual private network (VPN) is one of the most common ways that customers connect securely to the AWS Cloud from on-premises or data center environments. Customers establish VPN connectivity to AWS using AWS managed VPN solutions like AWS Site-to-Site

aws.amazon.com

 



<9>  IDC와  Site to Site VPN 연결이 자주 끊길때는 Anti DDOS 장비에서 차단 되는지 확인하라.


감사합니다.


keyword
Master Seo 소속 클라우드전문가카페 직업 엔지니어

(전) 네이버 엔지니어 7년 , 네이버 클라우드 마스터, PRO , AWS 아키프로, Google프로아키, Azure어드민, CCNP, 맛집,여행 전문가, 좋은 기운을 주는사람
구독자 2,521
매거진의 이전글 425.  VPC Flow log, ES로 확인
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari