8탄-7. 7주차-트랜짓 게이트웨이,Route53

<0>  트랜짓 게이트웨이 설정하기

<1> 트랜짓 게이트웨이 라우팅 분리하기

<2>  VPC Peering과 등일하 게  트랜짓 피어링 불가하다.

<3> Transit gateway  설정 실습

<4>  DHCP options set

<5>  DNS hostnames 

<6> DNS resoution

<7> IDC->  AWS  인스턴스로 도메인 질의를 가능하게 해주는 방법 

<8>  AWS-> IDC 서버로 도메인 질의를 가능하게 해주는 방법 

<9>  EC2는   Default  Local DNS Caching을 하지 않는다.

<10>  삭제하기

<11> 다이렉트 커넥트

<0>  트랜짓 게이트웨이 설정하기

https://brunch.co.kr/@topasvga/827

198. Transit Gateway, VPC 연동

<1> 트랜짓 게이트웨이 라우팅 분리하기

 VPC 피어링의  복잡하게 연결하는 단점을 극복한  스위치 같은 게이트웨이 

1

온프라미스 VPN 장비와 VPN 연동 가능하다.

AWS VPC와 VPC 피어링 연결 가능하다.

네트워크 매니저로  대시보드를 볼 수 있다.

2

라우팅 분리하기

현재

VPC 0  10.0.0.0/16

VPC1  10.10.0.0/16

VPC2  10.20.0.0/16

TGW > TGW route table >  Associations >  VPC1, VPC2 라우팅  삭제

3  

Associations에서 지워도  라우팅 테이블은 남아 있다.

통신 가능하다는 것이다.

VPC0 은  VPC0 , VPC1, VPC2와  통신 가능하다.

VPC 0  10.0.0.0/16

VPC1  10.10.0.0/16

VPC2  10.20.0.0/16

4

라우팅 분리해보자.

VPC1에서  VPC 0과  VPC1과만 통신되게 해 보자.

Blue 라우팅 테이블 하나를 만든다.

Blue 라우팅 테이블 >  Create association >  VPC1  선택  (출발지가 됨)

5

Propagations에서  통신하고자 하는  VPC  선택 

VPC 0, VPC 1을 선택한다.

VPC 0  10.0.0.0/16

VPC1  10.10.0.0/16

6

VPC1 은  VPC0과  , VPC1과 통신하게 된다.  

10.0.0.0/16과 10.10.0.0 /16과 통신한다.

VPC1 서버에서  VPC0과  , VPC1 서버와 통신하게 된다.  

6

블랙홀 설정

Transit Gateway Route Tables  > Routes > Create static route >  

10.1.1.0/24  Black hole  체크  = 10.1.1.0/24으로는 통신이 안되게 된다.

<2>  VPC Peering과 등일하 게  트랜짓 피어링 불가하다.

https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/invalid-peering-configurations.html

지원되지 않는 VPC 피어링 구성 - Amazon Virtual Private Cloud

<3> Transit gateway  운영 팁

트랜짓 게이트 워 이 멀티캐스트 설정법

https://aws.amazon.com/ko/blogs/publicsector/how-to-run-schneider-electrics-responder-oms-using-aws-transit-gateway-multicast/

How to run Schneider Electric’s Responder OMS using AWS Transit Gateway multicast | Amazon Web Services

https://brunch.co.kr/@topasvga/1221

426. 트랜짓 게이트웨이 운영팁

3

https://brunch.co.kr/@topasvga/1342

502. TGW-피어링-EP-EPS 구성

4

https://brunch.co.kr/@topasvga/1343

503. TGW-TGW-EP-EPS 구성

5

트랜짓 게이트웨이를 위해 별도 Subnet을 만들어 구성하는것을 권장한다.

https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/tgw-best-design-practices.html

전송 게이트웨이 설계 모범 사례 - Amazon Virtual Private Cloud

<4>  DHCP options set

AWS DNS이해 

VPC에서 DHCP Options set 

DNS  hostnames 

DNS resolution의 의미를 알아보자.

1

VPC에서 오른쪽 마우스를 누르면  

Edit CIDRs , DHCP options set , DNS hostname , DNS resoution 이 나온다.  4가지를 편집할 수 있다.

2

Edit CIDRs 은  VPC에 추가로  IP 블록을 추가할 수 있게 해 준다.

IP 블록 추가가 필요하면 사용하면 된다.

3

DHCP options set은 서버 만들 때 DHCP로 도메인, NTP들을 지정해 내려줄 수 있다.

변경하지 않고 사용하는 게 좋다.

AWS에서 DNS는 IP 블록 중  x.x.x.2번 같이,  IP 블록 중 2번째 IP를 사용한다.

4

DNS hostname

DNS 호스트 이름을 활성화하는 것이다.

기본으로 Enable 되어 있다. 

AWS는 도메인 기반으로 서비스를 하므로 반드시 활성화하도록 한다.

5

DNS resoution

AWS 제공 Cache DNS를 이용하도록 하는 옵션이다.

AWS는 도메인 기반으로 서비스하므로 반드시 활성화하도록 한다.

AWS에서 DNS는 IP 블록 중  x.x.x.2번 같은   IP 블록 중 2번째  IP를 제공한다.

6

DHCP options set는 

EC2생성 시 DHCP에서 내려주는 값이다.

7

DHCP 옵션 세트를 하나 만들고, 변경해서 한번 테스트해보자.

생성

 VPC >  DHCP Options Sets 

8

만들어진 상태

테스트로 domain-name-sever를 1.1.1.1로 했다.

ntp는 2.2.2.2로 했다.

9

변경 

 DHCP Options Sets는  VPC 단위로 반영한다.

VPC  >  오른 마우스  Edit  DHCP Options Sets 

10

변경 전

ap-northeast2.computer.internet ; domain-name servers = AmazonProviderDNS로 표시된다.

11

변경 후

domain-name-sever가  seokkk.ml , ip는 1.1.1.1로 , ntp는 2.2.2.2로 변경된 걸 볼 수 있다.

DNS나 NTP를 변경할 때 사용한다.

특별히 변경할 일이 없으면 변경하지 않도록 한다.

EC2를 하나 만들어 보면 반영이 된 것을 볼 수 있다.

변경된 DHCP Options 반영 후

domain-name-sever가  seokkk.ml , ip는 1.1.1.1로 , ntp는 2.2.2.2로 변경된 걸 볼 수 있다.

새로 만든 DHCP Options 반영 전

AWS 제공하는 것 사용한다.  more  /etc/resolve.conf를 확인하자.

AWS는 IP 블록 중 2번 IP를 기본으로 Cache DNS로 사용한다. 그래서  nameserver는 2번이다

<5>  DNS hostnames 

말 그대로 호스트 이름을 활성화하는 것이다.

AWS 제공하는 hostname을 사용하도록 하자.

disable 하면 AWS 제공하는 hostname을 사용할 수 없다.

1

Enable 전

EC2에 정보를 보면 

Private IPv4 DNS는 ip-형식으로 나온다.

Public IPv4 DNS는 아예 안 나온다.

2

Enable 후

DNS이름으로 나온다. 

Private IPv4 DNS는 ip-형식으로 나온다.

Public IPv4 DNS는 ec2-형식으로 나온다.

DNS 이름으로 질의가 가능하다.

<6> DNS resoution

x.x.x.2번처럼  두 번째 IP가 Cache DNS로 제공된다.

VPC에서  Enable 해 사용하도록 한다.

Disable 하면 AWS 제공하는 dns를 사용할 수 없다.

<7> IDC->  AWS  인스턴스로 도메인 질의를 가능하게 해주는 방법 

AWS 입장에서 설정한다.

AWS입장에서 인바운드이므로  인바운드 엔드포인트를 설정한다.

1

IDC -> AWS로 DNS로 쿼리 할 경우?

Route53에서  인바운드 엔드포인트 설정 +   IDC DNS에서 엔드 포인터로  포워더 설정  2가지를 하면 된다.

2

AWS 계정이  서로  다른 경우는   RAM으로 자원 공유해 사용한다.

Private DNS , Amazon  제공 외부  DNS 서버가 시스템 규칙이 우선한다.

전달 규칙은  지정한  IP로 쿼리 한다.

3

AWS에  EC2  2개 생성 - 아무 AWS  계정에 생성한다.

4

AWS Route53에서  aws.inter  도메인 등록   (Private DNS로  생성한다)

seoaw-web01  ip  등록

seoaw-web02  ip  등록

5

AWS Route53에서 인바운드  엔드포인트 설정함

서브넷  2개 설정 시  엔드포인트 IP2개 지정할 수 있음. 250으로 설정함.

방화벽은  TCP , UDP 53  IN  허용 , 아웃바운드는 모두 허용

6

IDC DNS에서  aws.inter에 대해 포워더 설정 

엔드포인트 IP 2개로 포워더 설정함. 250

7

IDC  서버에서 seoaw-web01  접속해 확인함.

<8>  AWS-> IDC 서버로 도메인 질의를 가능하게 해주는 방법 

1

AWS -> IDC로 DNS로 쿼리 할 경우?

2가지 작업을 해야 한다.

아웃바운드 엔드포인트 생성해서  IDC로 쿼리가 가능하다.

AWS기준으로 아웃바운드이다.

Route53  > 규칙 > 전달로 규칙을 만든다.

2

AWS 계정이  서로  다른 경우는   RAM으로 자원 공유해 사용한다.

Private DNS , Amazon  제공 외부  DNS 서버가 시스템 규칙이 우선한다.

전달 규칙은  지정한  IP로 쿼리 한다.

3

아웃바운드 엔드포인트 생성

ip를 지정한다.. 251

4

Route53  > 규칙 > 전달로 규칙을 만든다.

aws-to-idc-rule

전달

idc에서 사용 중인  도메인 정보 이름 입력

AWS VPC선택

아웃바운드 엔드포인트 설정한 것 선택
idc  dns 입력

5

AWS DHCP옵션은

10.80.1.200 , 8.8.8.8로 설정함. 

// 10.80.1.200은  IDC DNS  서버  IP임.

// AWS에서  IDC DNS 가서 질의함.  

반드시 필요한 부분이 아니면   AWS에서 IDC로 가도록 설정하지 않도록 하자.

AWS와 IDC 간 연결 문제가 발생하면  서비스가 안될 수 있다.

6

AWS 인스턴스에서   IDC  서버로 이름으로 접속해 본다.

<9>  EC2는   Default  Local DNS Caching을 하지 않는다.

1초에 1024 만큼만 질의 가능하다.

과다 DNS 질의를 하는 경우 문제가 발생한다.

https://aws.amazon.com/ko/premiumsupport/knowledge-center/dns-resolution-failures-ec2-linux/

EC2 Linux에서 DNS 확인 실패 방지

<10>  삭제하기

1

Route53 >   규칙  연결 해제

규칙 삭제

2

아웃바운드 엔드포인트 , 인바운드 엔드포인트 삭제함.

<11> 다이렉트 커넥트

인터넷 전용선이다.

회사 데이터센터와 AWS와  인터넷 전용선을  연결하는  방식

1

AWS -----AWS라우터---파트너/고객 라우터------(전용선)-----------고객 IDC

2

백업으로 VPN을 구성한다.

3

LACP를 지원한다. 

링크 어그리게이션  지원한다.

다음은 보안 그룹

https://brunch.co.kr/@topasvga/1340

500.8주차-보안그룹, NACL,VPC Flowlog

감사합니다.