본 내용은 AWS 세미나 내용을 듣고 개인적으로 테스트하며 정리한 내용입니다.
내용이 틀릴수 있습니다.
GWLB
게이트 웨이 역할을 하는 로드 밸런서이다.
보안장비 구축시 게이트웨이 역할을 한다.
다음은 ALB사용, EP - EPS 로 구축법이다.
VPC1은 서비스 VPC , EP 사용한다.
GWLB VPC는 EndPoint Service사용한다. 보안 장비가 위치한다.
<1> 서비스 VPC1(EndPoint) --------- GWLB VPC (EndPoint Service)로 구축해보자
<2> 외부 유입 트래픽 경로 확인
<3> 보안장비가 있는 GWLB VPC 구성
<4> 외부에서 들어 오는 VPC1 구성
<1> 서비스 VPC1(EndPoint) --------- GWLB VPC (EndPoint Service)로 구축해보자
VPC1 구성 GWLB VPC구성 2 개로 나누어 구성 된다.
VPC1 구성 (Endpoint )------- GWLB VPC구성 ( Endpoint Service VPC -- GWLB -- 제네브 UDP 6801 보안 장비 )
<2> 외부 유입 트래픽 경로 확인
1
2
외부 유입은 IGW로 들어온다.
IGW-ingress 라우팅 테이블 설정으로 EP로 간다.
모든 유입 트래픽은 Firewall을 거쳐야 한다.
3
EP - EPS 로 가서 GWBP ---- Firewall 을 거친다.
4
다시 Endpoint로 리턴된다. (내부처리)
5
Public Subnet에 ALB접속
서비스 된다.
<3> 외부에서 들어 오는 VPC1 구성
1
외부 -- 서비스 VPC1 ---------------------------GWLB VPC구성 ( Endpoint Service VPC -- GWLB -- 제네브 UDP 6801 보안 장비)
2
라우팅 테이블을 확인하자!!!
3
유입 동작
외부 -- 서비스 VPC1 IGW (인그레스 라우팅) -----EP ------------ EPS- GWLB----제네브 UDP 6801 보안 장비--------- 다시 VPC1 EP- ALB - EC2
4
IGW-ingress-rt ?
엣지 연결
+
GWLB Subnet과 Public Subet에 대해 EP로 가도록 한다.
목적지가 10.1.1.0/24 EP - GWLB subnet 의 경우 - az-1
목적지가 10.1.2.0/24 EP - GWLB subnet 의 경우 - az-2
목적지가 10.1.11.0/24 EP - Public subnet의 경우 az-1
목적지가 10.1.12.0/24 EP - Public subnet의 경우 az-2
6
GWLB-subnet-rt?
무조건 IGW로 가도록 한다.
0.0.0.0/0 igw
7
Public Routing ?
목적지 0.0.0.0/0 은 EP로 가도록 한다.
외부로 나가는건 모두 EP > EPS > GWLB > Firewall을 거진다.
8
Private rouing ?
0.0.0.0/0 NAT로 가도록 한다.
9
VPC > VPC Endpoint를 확인한다.
10
EC2 > ALB 확인
<4> 보안장비가 있는 GWLB VPC 구성
GWLB VPC구성 ( Endpoint Service VPC ------ GWLB 제네브 UDP 6801 보안 장비 )
1
VPC > Endpoint Serivce 생성
서비스 이름
com.amazonaws.vpce.ap-northeast-1.vpce-svc-0f7xxxxxxx
2
GWLB 생성 = LB 생성 필요 , 타켓 그룹은 UDP 6081 , 제네브 터널링 지원장비 필수
3
참고 사이트
Endpoint Service
https://brunch.co.kr/@topasvga/1316
EP-EP Serice 구성
https://brunch.co.kr/@topasvga/1343
같이 볼만한 자료
https://brunch.co.kr/@topasvga/1795
감사합니다..