본 내용은 AWS 세미나 내용을 듣고 개인적으로 테스트하며 정리한 내용입니다.
내용이 틀릴 수 있습니다.
GWLB
게이트웨이 역할을 하는 로드 밸런서이다.
보안장비 구축 시 게이트웨이 역할을 한다.
다음은 VPC- TGW- EndPoint - EndPoint Service로 구축법이다.
ALB(Application Load Balancer TGW VPC 구축해 , 다른 Account ID의 VPC1 서비스를 외부에 제공
중앙 집중식이라 통제가 가능하다.
TGW VPC에서 작업을 잘못하면 전체적으로 장애가 날 수 있는 구조이다.
경험했던 구조 --
TGW VPC로 IN/OUT 모두 하는 구조이다.
ALB의 타깃 그룹을 IP로 해서 다른 VPC의 EC2와 통신할 수 있다는 개념을 적용한 것
<1> VPC1 - TGW , EndPoint - EndPoint Service로 구축해보자
<2> 나가는 트래픽 흐름
<3> 들어오는 트래픽 흐름
<4> 보안장비가 있는 GWLB VPC 구성
<5> TGW VPC 구성
<6> 서비스를 하는 VPC 1 구성
<1> 서비스 VPC1 - TGW , EndPoint - EndPoint Service로 구축해보자
1
서비스 VPC1 구성 + TGW VPC + GWLB, Fire Wall VPC 3 개의 구성이다.
VPC1 구성 ----------------TGW VPC (Endpoint )------- GWLB Firewall VPC구성 ( Endpoint Service VPC -- GWLB -- 제네브 UDP 6801 보안 장비 )
2
서비스 VPC1의 나가는 트래픽에 대해 TGW VPC를 사용하는 방법이다.
서비스 VPC1으로 유입되는 트래픽도 TGW VPC를 사용하는 방법이다.
3
라우팅 테이블을 확인하자!!!
<2> 나가는 트래픽 흐름
1
서비스 VPC1에서?
Private Subnet의 EC2는 0.0.0.0/0 은 TGW로 간다.
2
TGW VPC에서?
TGW 서브넷은
0.0.0.0/0 Public인 NATGW로 보냄
3
TGW VPC에서
Public -> GWLB VPC EP로 전송한다.
0.0.0.0/0 EP
4
GWLB, Firewal VPC에서
EPS -> GWLB -> Network Firewall로 간다.
5
GWLB, Firewal VPC에서
Network Firewall 은 EP로 간다.
0.0.0.0/0 EP
6
GWLB, Firewal VPC > GWLB Subnet 은 IGW로 보낸다.
0.0.0.0/0 IGW이다.
<3> 들어오는 트래픽 흐름
1
외부에서 ALB로 접속
2
ALB가 Public Subnet에 있으니까 IGW로 온다.
3
IGW로 들어오는 트래픽에 대해
IGW-ingress 라우팅 테이블 생성 - Edge association 연결
목적지가 GWLB subnet (VPC End point 존재) , Public Subnet (NAT 존재) 이면?
외부에서 오는 것이면?
EP로 보낸다.
모든 유입 트래픽은 Firewall VPC로 가야 한다.
10.11.1.0/24 이 목적지이면 EP로 보낸다.
10.11.2.0 /24 이 목적지이면 EP로 보낸다.
10.11.11.0/24 이 목적지이면 EP로 보낸다.
10.11.12.0/24 이 목적지이면 EP로 보낸다.
EPS로 가서 방화벽을 거친다.
2
다시 TGW VPC - GWLB Subnet으로 보낸다.
GWLB subnet에서 ALB로 전달
3
VPC1 IP 목적지로 전달
<4> 보안장비가 있는 GWLB VPC 구성
GWLB VPC구성 ( Endpoint Service VPC ------ GWLB ---------- 제네브 UDP 6801 보안 장비 )
1
라우팅 테이블 확인
0.0.0.0/0 EP
2
VPC > Endpoint Serivce 생성
서비스 이름
GWLB 생성 = LB 생성 필요 , 타깃 그룹은 UDP 6081 , 제네브 터널링 지원장비 필수
3
Endpoint Serivce 확인
VPCEndpointServiceName 복사
com.amazonaws.vpce.ap-northeast-1.vpce-svc-xxxxxxxxxxxxx
4
GWLB 생성 확인
GWLG Target Groups Helalthy 상태 확인
5
참고 사이트
Endpoint Service
https://brunch.co.kr/@topasvga/1316
EP-EP Serice 구성
https://brunch.co.kr/@topasvga/1343
<5> TGW VPC 구성
1
4개 서브넷
GWLB subnet (VPC End point 존재)- IGW Ingress
Public Subnet (NAT 존재)
Private Subnet (EC2 존재)
TGW Subnet ( 서비스 VPC1과 연결을 위한 서브넷)
2
IGW Ingress-rt?
외부에서 유입 들어오는 부분을 처리하기 위해 IGW-ingress 라우팅
목적지가 GWLB subnet (VPC End point 존재) , Public Subnet (NAT 존재) 이면?
EP로 보낸다.
EPS로 가서 Firewall로 보낸다.
3
GWLB -rt?
0.0.0.0/0 igw
무조건 인터넷으로 보낸다.
4
Private-rt?
0.0.0.0/0 nat
무조건 NAT로 보낸다.
5
Public-rt
0.0.0.0/0 EP로 보낸다.
무조건 Firewall로 보낸다.
6
TGW-rt?
7
ALB 사용 가능 확인
ALB는 Public에 구축
타깃 그룹은 Private EC2
<6> 서비스를 하는 VPC 1 구성
1
TGW Attatchment만 해서 인터페이스를 만든다.
2
Private subnet 라우팅을 TGW로 보낸다.
0.0.0.0/0 TGW
같이 볼만한 자료
https://brunch.co.kr/@topasvga/1795
감사합니다.