brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Jul 27. 2020

426. 트랜짓 게이트웨이 구축과 운영 팁

<1> 트랜짓 게이트웨이  생성시  자동  수락 체크하고  구축하라.

<2> 트랜짓 게이트웨이 +  NAT  통합 구축시 VPC-C에서  S3 앤드포인트는 필수로 설정하라.

<3> ECS Fargate 사용시는 4개의 앤드포인트와 사설  DNS 활성화를 해야 한다.

<4> 트랜짓 게이트웨이 구축법

<5> 네트워크 매니저와   Cloudwatch로  모니터링하라.

<6>  쿠버네티스 사용을 위한 앤드포인트 생성 하라.

<7> 리전간 피어링 지원

<8> Transit Gateway와 연결된 여러 VPN 터널을 사용하여 ECMP(동일 비용 다중 경로 라우팅)를 구현

<9>  IDC와  Site to Site VPN 연결이 자주 끊길때는 Anti DDOS 장비에서 차단 되는지 확인하라.




<1> 트랜짓 게이트웨이  생성시  자동  수락 체크하고  구축하라.


트랜짓 게이트웨이에    VPC 1개 연결시마다  수락을 2번씩 해야 한다.

여간 귀찬은 일이 아니다.

초기 구축시  자동  수락 체크하고  구축하면  1번만 하면 된다.


자동 수락 부분은  콘솔이나 CLI 로 수정이 불가능하다.

다시 구축해야만 가능하므로 초기 구축시 자동 수락 체크하고 구축하라.




<2> 트랜직 게이트웨이  NAT  통합 구축시 VPC-C에서  S3 앤드포인트는 필수로 설정하라.

그렇지 않으면 YUM 이 안 될수 있다.



AWS Yum 레파지토리는 S3로 운영한다.

VPC-C 에서 앤드포인트가 설정 안되어 있고,  트랜짓 게이트웨이에  S3 앤드 포인트가 설정 된 경우

VPC-C 사설망에서  YUM이 안된다.

트랜짓 게이트웨이의  S3 앤드 포인트로  경로를 찾지 못한다.

해결법은 VPC-C 에서 앤드포인트가 설정해  YUM레파지토리를 바로 찾거나

트랜짓 게이트웨이의  S3 앤드포인트를 설정하지 않음으로 외부 경로로 YUM레파지토리를 바로 찾는 방법이다.


VPC-C에서  S3 앤드포인트는 필수로 설정하라.

또는 

VPC-C에서 앤드포인트를 설정하지 않았다면, 트랜짓 게이트웨에에서도 앤드포인트를 설정하지 않아아  YUM을 사용할수 있다.



<3> ECS Fargate 사용시는 4개의 앤드포인트와 사설  DNS 활성화를 해야 한다.


1. S3에 대한 게이트웨이 VPC 엔드포인트 추가

2  com.amazonaws.region.ecr.api

    com.amazonaws.region.ecr.dkr

3. com.amazonaws.region.logs

4. com.amazonaws.us-west-2.ecs

    com.amazonaws.us-west-2.ecs-agent

    com.amazonaws.us-west-2.ecs-telemetry



아래 2개에 대해 보안 그룹도 ELB에서만 접속되도록 수정이 필요하다.

3. com.amazonaws.region.ecr.dkr

4.. com.amazonaws.region.logs



https://aws.amazon.com/ko/blogs/korea/setting-up-aws-privatelink-for-amazon-ecs-and-amazon-ecr/



<4> 트랜짓 게이트웨이 구축법

https://brunch.co.kr/@topasvga/827




<5> 네트워크 매니저와   Cloudwatch로  모니터링하라.


https://brunch.co.kr/@topasvga/1208




<6>  쿠버네티스 사용을 위한 앤드포인트 생성 하라.


Amazon EKS 클러스터와 노드그룹 간 통신을 위한 Endpoint 생성 

Endpoint가 없어 통신 안됨.

Private-subnet에 추가 필요


s3

sts

logs

ec2

ecr.api

ecr.dkr


참고 

https://aws.amazon.com/ko/premiumsupport/knowledge-center/eks-cluster-node-group-private-network/ 




<7> 리전간 피어링 지원


2020년 

https://aws.amazon.com/ko/about-aws/whats-new/2020/04/aws-transit-gateway-now-supports-inter-region-peering-in-11-additional-regions/



<8> Transit Gateway와 연결된 여러 VPN 터널을 사용하여 ECMP(동일 비용 다중 경로 라우팅)를 구현


https://aws.amazon.com/ko/premiumsupport/knowledge-center/transit-gateway-ecmp-multiple-tunnels/


https://aws.amazon.com/ko/blogs/networking-and-content-delivery/scaling-vpn-throughput-using-aws-transit-gateway/



<9>  IDC와  Site to Site VPN 연결이 자주 끊길때는 Anti DDOS 장비에서 차단 되는지 확인하라.


감사합니다.


브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari