8탄-7. 7주차-트랜짓 게이트웨이,Route53

<0> 트랜짓 게이트웨이 설정하기

<1> 트랜짓 게이트웨이 라우팅 분리하기

<2> VPC Peering과 등일하 게 트랜짓 피어링 불가하다.

<3> Transit gateway 설정 실습

<4> DHCP options set

<5> DNS hostnames

<6> DNS resoution

<7> IDC-> AWS 인스턴스로 도메인 질의를 가능하게 해주는 방법

<8> AWS-> IDC 서버로 도메인 질의를 가능하게 해주는 방법

<9> EC2는 Default Local DNS Caching을 하지 않는다.

<10> 삭제하기

<11> 다이렉트 커넥트

<0> 트랜짓 게이트웨이 설정하기

https://brunch.co.kr/@topasvga/827

198. Transit Gateway, VPC 연동

<1> 트랜짓 게이트웨이 라우팅 분리하기

VPC 피어링의 복잡하게 연결하는 단점을 극복한 스위치 같은 게이트웨이

1

온프라미스 VPN 장비와 VPN 연동 가능하다.

AWS VPC와 VPC 피어링 연결 가능하다.

네트워크 매니저로 대시보드를 볼 수 있다.

2

라우팅 분리하기

현재

VPC 0 10.0.0.0/16

VPC1 10.10.0.0/16

VPC2 10.20.0.0/16

TGW > TGW route table > Associations > VPC1, VPC2 라우팅 삭제

3

Associations에서 지워도 라우팅 테이블은 남아 있다.

통신 가능하다는 것이다.

VPC0 은 VPC0 , VPC1, VPC2와 통신 가능하다.

VPC 0 10.0.0.0/16

VPC1 10.10.0.0/16

VPC2 10.20.0.0/16

4

라우팅 분리해보자.

VPC1에서 VPC 0과 VPC1과만 통신되게 해 보자.

Blue 라우팅 테이블 하나를 만든다.

Blue 라우팅 테이블 > Create association > VPC1 선택 (출발지가 됨)

5

Propagations에서 통신하고자 하는 VPC 선택

VPC 0, VPC 1을 선택한다.

VPC 0 10.0.0.0/16

VPC1 10.10.0.0/16

6

VPC1 은 VPC0과 , VPC1과 통신하게 된다.

10.0.0.0/16과 10.10.0.0 /16과 통신한다.

VPC1 서버에서 VPC0과 , VPC1 서버와 통신하게 된다.

6

블랙홀 설정

Transit Gateway Route Tables > Routes > Create static route >

10.1.1.0/24 Black hole 체크 = 10.1.1.0/24으로는 통신이 안되게 된다.

<2> VPC Peering과 등일하 게 트랜짓 피어링 불가하다.

https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/invalid-peering-configurations.html

지원되지 않는 VPC 피어링 구성 - Amazon Virtual Private Cloud

<3> Transit gateway 운영 팁

트랜짓 게이트 워 이 멀티캐스트 설정법

https://aws.amazon.com/ko/blogs/publicsector/how-to-run-schneider-electrics-responder-oms-using-aws-transit-gateway-multicast/

How to run Schneider Electric’s Responder OMS using AWS Transit Gateway multicast | Amazon Web Services

https://brunch.co.kr/@topasvga/1221

426. 트랜짓 게이트웨이 운영팁

3

https://brunch.co.kr/@topasvga/1342

502. TGW-피어링-EP-EPS 구성

4

https://brunch.co.kr/@topasvga/1343

503. TGW-TGW-EP-EPS 구성

5

트랜짓 게이트웨이를 위해 별도 Subnet을 만들어 구성하는것을 권장한다.

https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/tgw-best-design-practices.html

전송 게이트웨이 설계 모범 사례 - Amazon Virtual Private Cloud

<4> DHCP options set

AWS DNS이해

VPC에서 DHCP Options set

DNS hostnames

DNS resolution의 의미를 알아보자.

1

VPC에서 오른쪽 마우스를 누르면

Edit CIDRs , DHCP options set , DNS hostname , DNS resoution 이 나온다. 4가지를 편집할 수 있다.

2

Edit CIDRs 은 VPC에 추가로 IP 블록을 추가할 수 있게 해 준다.

IP 블록 추가가 필요하면 사용하면 된다.

3

DHCP options set은 서버 만들 때 DHCP로 도메인, NTP들을 지정해 내려줄 수 있다.

변경하지 않고 사용하는 게 좋다.

AWS에서 DNS는 IP 블록 중 x.x.x.2번 같이, IP 블록 중 2번째 IP를 사용한다.

4

DNS hostname

DNS 호스트 이름을 활성화하는 것이다.

기본으로 Enable 되어 있다.

AWS는 도메인 기반으로 서비스를 하므로 반드시 활성화하도록 한다.

5

DNS resoution

AWS 제공 Cache DNS를 이용하도록 하는 옵션이다.

AWS는 도메인 기반으로 서비스하므로 반드시 활성화하도록 한다.

AWS에서 DNS는 IP 블록 중 x.x.x.2번 같은 IP 블록 중 2번째 IP를 제공한다.

6

DHCP options set는

EC2생성 시 DHCP에서 내려주는 값이다.

7

DHCP 옵션 세트를 하나 만들고, 변경해서 한번 테스트해보자.

생성

VPC > DHCP Options Sets

8

만들어진 상태

테스트로 domain-name-sever를 1.1.1.1로 했다.

ntp는 2.2.2.2로 했다.

9

변경

DHCP Options Sets는 VPC 단위로 반영한다.

VPC > 오른 마우스 Edit DHCP Options Sets

10

변경 전

ap-northeast2.computer.internet ; domain-name servers = AmazonProviderDNS로 표시된다.

11

변경 후

domain-name-sever가 seokkk.ml , ip는 1.1.1.1로 , ntp는 2.2.2.2로 변경된 걸 볼 수 있다.

DNS나 NTP를 변경할 때 사용한다.

특별히 변경할 일이 없으면 변경하지 않도록 한다.

EC2를 하나 만들어 보면 반영이 된 것을 볼 수 있다.

변경된 DHCP Options 반영 후

domain-name-sever가 seokkk.ml , ip는 1.1.1.1로 , ntp는 2.2.2.2로 변경된 걸 볼 수 있다.

새로 만든 DHCP Options 반영 전

AWS 제공하는 것 사용한다. more /etc/resolve.conf를 확인하자.

AWS는 IP 블록 중 2번 IP를 기본으로 Cache DNS로 사용한다. 그래서 nameserver는 2번이다

<5> DNS hostnames

말 그대로 호스트 이름을 활성화하는 것이다.

AWS 제공하는 hostname을 사용하도록 하자.

disable 하면 AWS 제공하는 hostname을 사용할 수 없다.

1

Enable 전

EC2에 정보를 보면

Private IPv4 DNS는 ip-형식으로 나온다.

Public IPv4 DNS는 아예 안 나온다.

2

Enable 후

DNS이름으로 나온다.

Private IPv4 DNS는 ip-형식으로 나온다.

Public IPv4 DNS는 ec2-형식으로 나온다.

DNS 이름으로 질의가 가능하다.

<6> DNS resoution

x.x.x.2번처럼 두 번째 IP가 Cache DNS로 제공된다.

VPC에서 Enable 해 사용하도록 한다.

Disable 하면 AWS 제공하는 dns를 사용할 수 없다.

<7> IDC-> AWS 인스턴스로 도메인 질의를 가능하게 해주는 방법

AWS 입장에서 설정한다.

AWS입장에서 인바운드이므로 인바운드 엔드포인트를 설정한다.

1

IDC -> AWS로 DNS로 쿼리 할 경우?

Route53에서 인바운드 엔드포인트 설정 + IDC DNS에서 엔드 포인터로 포워더 설정 2가지를 하면 된다.

2

AWS 계정이 서로 다른 경우는 RAM으로 자원 공유해 사용한다.

Private DNS , Amazon 제공 외부 DNS 서버가 시스템 규칙이 우선한다.

전달 규칙은 지정한 IP로 쿼리 한다.

3

AWS에 EC2 2개 생성 - 아무 AWS 계정에 생성한다.

4

AWS Route53에서 aws.inter 도메인 등록 (Private DNS로 생성한다)

seoaw-web01 ip 등록

seoaw-web02 ip 등록

5

AWS Route53에서 인바운드 엔드포인트 설정함

서브넷 2개 설정 시 엔드포인트 IP2개 지정할 수 있음. 250으로 설정함.

방화벽은 TCP , UDP 53 IN 허용 , 아웃바운드는 모두 허용

6

IDC DNS에서 aws.inter에 대해 포워더 설정

엔드포인트 IP 2개로 포워더 설정함. 250

7

IDC 서버에서 seoaw-web01 접속해 확인함.

<8> AWS-> IDC 서버로 도메인 질의를 가능하게 해주는 방법

1

AWS -> IDC로 DNS로 쿼리 할 경우?

2가지 작업을 해야 한다.

아웃바운드 엔드포인트 생성해서 IDC로 쿼리가 가능하다.

AWS기준으로 아웃바운드이다.

Route53 > 규칙 > 전달로 규칙을 만든다.

2

AWS 계정이 서로 다른 경우는 RAM으로 자원 공유해 사용한다.

Private DNS , Amazon 제공 외부 DNS 서버가 시스템 규칙이 우선한다.

전달 규칙은 지정한 IP로 쿼리 한다.

3

아웃바운드 엔드포인트 생성

ip를 지정한다.. 251

4

Route53 > 규칙 > 전달로 규칙을 만든다.

aws-to-idc-rule

전달

idc에서 사용 중인 도메인 정보 이름 입력

AWS VPC선택

아웃바운드 엔드포인트 설정한 것 선택
idc dns 입력

5

AWS DHCP옵션은

10.80.1.200 , 8.8.8.8로 설정함.

// 10.80.1.200은 IDC DNS 서버 IP임.

// AWS에서 IDC DNS 가서 질의함.

반드시 필요한 부분이 아니면 AWS에서 IDC로 가도록 설정하지 않도록 하자.

AWS와 IDC 간 연결 문제가 발생하면 서비스가 안될 수 있다.

6

AWS 인스턴스에서 IDC 서버로 이름으로 접속해 본다.

<9> EC2는 Default Local DNS Caching을 하지 않는다.

1초에 1024 만큼만 질의 가능하다.

과다 DNS 질의를 하는 경우 문제가 발생한다.

https://aws.amazon.com/ko/premiumsupport/knowledge-center/dns-resolution-failures-ec2-linux/

EC2 Linux에서 DNS 확인 실패 방지

<10> 삭제하기

1

Route53 > 규칙 연결 해제

규칙 삭제

2

아웃바운드 엔드포인트 , 인바운드 엔드포인트 삭제함.

<11> 다이렉트 커넥트

인터넷 전용선이다.

회사 데이터센터와 AWS와 인터넷 전용선을 연결하는 방식

1

AWS -----AWS라우터---파트너/고객 라우터------(전용선)-----------고객 IDC

2

백업으로 VPN을 구성한다.

3

LACP를 지원한다.

링크 어그리게이션 지원한다.

다음은 보안 그룹

https://brunch.co.kr/@topasvga/1340

500.8주차-보안그룹, NACL,VPC Flowlog

감사합니다.