brunch

매거진 AWS 전문가 되기
라이킷 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by Master Seo Aug 12. 2021

GWLB구성 2: TGW - EP -EPS로구축

본 내용은 AWS 세미나 내용을  듣고 개인적으로  테스트하며 정리한 내용입니다.

내용이  틀릴수 있습니다.



GWLB 

게이트웨이 역할을 하는 로드 밸런서이다.

보안장비 구축 시  게이트웨이 역할을 한다.

다음은  VPC1 -  TGW , EndPoint - EndPoint Service로 구축법이다.

실무에서 많이 사용하게 되는 구성이다.

Private Subnet에 있는 서버들이 TGW  VPC 한 곳을 통해 외부 나가는 구성이다.



<1>  VPC1 - TGW , EndPoint - EndPoint Service로 구축해보자

<2>  나가는  데이터 흐름

<3> 보안장비가 있는 GWLB VPC 구성

<4> 외부로 나가는 TGW VPC 구성

<5> 서비스를 하는 VPC 1 구성




<1>  VPC1 - TGW , EndPoint - EndPoint Service로 구축해보자.


TGW용  Subnet을 별도로 구성하자!!



이미지 출처 : gitbook 



VPC1 구성과  TGW VPC ,   GWLB VPC구성  3 개로 나누어 구성된다.


VPC1 구성 ----------------TGW VPC  (Endpoint )-------   GWLB VPC구성 ( Endpoint Service  VPC -- GWLB -- 제네브 UDP 6801 보안 장비 )




<2>  나가는  데이터 흐름


서비스 VPC1의 나가는 데이터는    TGW VPC의   NATGW -  IGW를  통해 나가는 방법이다.

TGW Subnet을  AZ마다 각각 만든다. AZ가 2개라면  TGW Subnet도 2개 만든다.  



1

서비스 VPC1 구성 ---------TGW VPC  (Endpoint ) ---  GWLB VPC구성 ( Endpoint Service -- GWLB -- 제네브 UDP 6801 보안 장비 )


// EP Service가 있는 GWLB VPC부터 구성해야 한다.

EP가 연결하기위해서



2

라우팅 테이블을 확인하자!!!  


3

나가는 데이터?


서비스 VPC1  에서

EC2  Private Subnet은   0.0.0.0/0은  TGW로 간다.

TGW Attachment는 미리 VPC1에 만들어 놓고 TGW와 연결해야 한다.


2

TGW VPC 에서

TGW VPC의 TGW  Subnet으로 연결된다.

TGW Subnet 의  0.0.0.0/0 은 EP 이다.


EP는 EPS로 가서 GWLB ---- Network Firewall 을 거친다.


3

GWLB VPC에서 

0.0.0.0/0은  EP로 설정


5

다시 TGW VPC  Private Subnet EP로 리턴 된다.

TGW VPC 에서

Private subnet의 라우팅 테이블은?

0.0.0.0/0 NATGW


6

TGW VPC 에서

Public Subnet 라우팅 테이블은?

0.0.0.0/0  IGW

10.1.0.0/16  EP

10.2.0.0/16  EP

10.3.0.0/16 EP




<3> 보안장비가 있는 GWLB VPC 


GWLB VPC구성 ( Endpoint Service  VPC ------ GWLB ------------ 제네브 UDP 6801 보안 장비 )


1

VPC > Endpoint Serivce 생성

서비스 이름

com.amazonaws.vpce.ap-northeast-1.vpce-svc-0f7xxxxxxx

2

Load Balancers >  GWLB 생성  =   LB 생성 필요 ,  타깃 그룹은 UDP 6081 , 제네브 터널링 지원장비 필수


3

참고 사이트

Endpoint Service 

https://brunch.co.kr/@topasvga/1316

476. 3주차-VPC엔드포인트

VPC 내부의 서버가 인터넷을 통한 통신이 아니라, 내부 통신을 하도록 하게 해 주는 것이 엔드 포인트이다. 1 VPC에 있는 EC2에서 VPC외부에 있는 S3와 Dynamodb 내부 통신을 위해서는 Gateway endpoi

brunch.co.kr/@topasvga/1316

 


EP-EP Serice 구성

https://brunch.co.kr/@topasvga/1343

503. TGW-TGW-EP-EPS 구성

https://brunch.co.kr/@topasvga/1589 기존 TGW에 TGW를 연동해서 Endpoint 서비스를 이용해보자. 전체 구성 Seoul vpc -----seoul tgw ------us tgw , endpoint(A account) -----us endpoint service(B account) 결론 잘된다. Seoul vpc

brunch.co.kr/@topasvga/1343

 





<4> 외부로 나가는 TGW VPC 


VPC1 구성 ----------------TGW VPC  (Endpoint )-------   GWLB VPC구성 ( Endpoint Service  VPC -- GWLB -- 제네브 UDP 6801 보안 장비 )


라우팅 테이블을 확인하자!!!  




<5> 서비스를 하는 VPC 1 


1

TGW Attatchment만 해서 인터페이스를 만든다.


2

Private subnet 라우팅을 TGW로 보낸다.

0.0.0.0/0  TGW 




같이 볼만한 자료 

https://brunch.co.kr/@topasvga/1795

(몰아보기) GWLB, Network Firewall

<1> GWLB VPC 설정과 Network Firewall https://brunch.co.kr/@topasvga/1536 <2> GWLB https://brunch.co.kr/@topasvga/1793 https://brunch.co.kr/@topasvga/1794

brunch.co.kr/@topasvga/1795

 


감사합니다.





keyword
Master Seo 소속 클라우드전문가카페 직업 엔지니어

(전) 네이버 엔지니어 7년 , 네이버 클라우드 마스터, PRO , AWS 아키프로, Google프로아키, Azure어드민, CCNP, 맛집,여행 전문가, 좋은 기운을 주는사람
구독자 2,522
매거진의 이전글 GWLB구성 1: EP -EPS로구축해보자
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari