brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Nov 16. 2020

8탄-6. 6주차-VPC피어링, VPN

<1>  VPC 피어링

<2>  VPN

<3>  Client VPN




<1> VPC 피어링


1

AWS의 서로 다른 VPC 간에 연결을 통해 사설로 통신하게 하는 것이다.


2

동일 리전 간 VPC피어링 지원

타 리전과 VPC피어링도 지원

다른 AWS계정간 피어링 지원


// 현재 트랜짓 게이트웨이는 동일 리전 연동은 지원 안함.  타 리전과 연동만 지원함.



3

동일 CIDR 간 피어링 불가

트랜짓 피어링 지원 안됨


VPC1-------- (피어링) -------------VPC2 -------- (피어링)-------VPC3


VPC1과 VPC3은 통신 안됨.



https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/invalid-peering-configurations.html


4

VPC 간 50개 연결

최대 125개까지 가능



5

https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/what-is-vpc-peering.html




실습

https://brunch.co.kr/@topasvga/348





<2> VPN


1

Site-To-Site VPN

AWS VPC와  IDC 간 VPN 연결하는 방식이다.



2

고객 IDC의 물리 VPN 장비의 IP 인 고객 게이트웨이 CGW (Custom GateWay)에 연결하여 설정한다.

AWS에서 CGW (Custom GateWay)로 연결 = 고객 VPN 장비를 지정해  설정 파일을 생성한다.


구성

AWS VPC--------------------------IDC-VPC   (VPN장비 = 고객게이트웨이 CGW ) 온프라미스

VPN장비 = 고객게이트웨이 CGW



3

AWS에서 생성된 설정 파일은  물리 VPN 장비에 설정하면 연결이 된다.

연결되면   2개의 터널 엔드포인트가 생긴다.


4

SLA가 99.95 이다.

한달  21분 이상 비활성화 될수 있다.  https://uptime.is/

vpn으로 DB를 동기화 하지 말아라.


VPN 터널 IDLE Timeout시간이 있다.

트래픽이 흐르지 않으면 해당 터널은 다운된다.

고객 게이트웨이 디바이스에 DPD 기능 활성화로  유지시킬 수 있다.

https://aws.amazon.com/ko/premiumsupport/knowledge-center/vpn-tunnel-instability-inactivity


5

https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/initiate-vpn-tunnels.html


6

https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-vpn-connection


7

다이내믹 라우팅 BGP로 설정하는 것을 권장한다.

Static으로 연결할 수도 있다.


8

VPN은 1.25 Gbps 대역폭을 제공한다.


9

VGW 생성하면 비용이 발생한다.

VPN이 연결되지 않더라도 비용이 발생하므로 테스트 후엔  반드시 삭제해야 한다.



10

VPN모니터링은  CloudWatch로 하라.

모니터링 실패시 SNS로 보낼수 있다.

slack등으로도 보낼수 있도록 설정할수 있다.



11

https://brunch.co.kr/@topasvga/388


12

https://brunch.co.kr/@topasvga/661


13

https://brunch.co.kr/@topasvga/1293





<3>  Client VPN


PC 클라이언트 -> AWS VPC로 연결하는 방식이다.



# 기타

ifconfig eth0로 mtu 확인


동일리전 vpc peering  mtu 9001 지원  (동일 VPC도 9001 지원)

ping  -M  do -s 8500 10.1.1.1   가능


다른 리전간은 mtu 9001지원 안함.

https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/vpc-peering-basics.html#vpc-peering-limitations



외부는 1500 바이트

ping -M do -s 1472 8.8.8.8  

가능




다음은 트랜짓 게이트웨이


https://brunch.co.kr/@topasvga/1338



감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari