brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Aug 13. 2021

GWLB구성 4: TGW - EP -EPS로구축


본 내용은 AWS 세미나 내용을  듣고 개인적으로  테스트하며 정리한 내용입니다.

내용이  틀릴 수 있습니다.




GWLB 

게이트웨이 역할을 하는 로드 밸런서이다.

보안장비 구축 시  게이트웨이 역할을 한다.


다음은  VPC- TGW-  EndPoint - EndPoint Service로 구축법이다.

ALB(Application Load Balancer  TGW  VPC 구축해 ,   다른 Account ID의  VPC1 서비스를 외부에 제공

중앙 집중식이라 통제가 가능하다.

TGW VPC에서 작업을 잘못하면 전체적으로 장애가 날 수 있는 구조이다.

경험했던 구조 --

TGW VPC로   IN/OUT 모두 하는 구조이다.

ALB의 타깃 그룹을 IP로 해서 다른 VPC의 EC2와 통신할 수 있다는 개념을 적용한 것



<1> VPC1 - TGW , EndPoint - EndPoint Service로 구축해보자

<2>  나가는 트래픽 흐름

<3>  들어오는 트래픽 흐름

<4>  보안장비가 있는 GWLB VPC 구성

<5>  TGW VPC 구성

<6>   서비스를 하는 VPC 1 구성



<1> 서비스 VPC1 - TGW , EndPoint - EndPoint Service로 구축해보자


1

서비스 VPC1 구성 + TGW VPC   +  GWLB, Fire Wall  VPC   3 개의 구성이다.

VPC1 구성 ----------------TGW VPC  (Endpoint )-------   GWLB Firewall VPC구성 ( Endpoint Service  VPC -- GWLB -- 제네브 UDP 6801 보안 장비 )


2

서비스 VPC1의 나가는 트래픽에 대해   TGW VPC를 사용하는 방법이다.

서비스 VPC1으로 유입되는 트래픽도   TGW VPC를 사용하는 방법이다.


3

라우팅 테이블을 확인하자!!!  




<2>  나가는 트래픽 흐름


1

서비스 VPC1에서?

Private Subnet의  EC2는   0.0.0.0/0 은  TGW로 간다.


2

TGW VPC에서?

TGW 서브넷은

0.0.0.0/0  Public인  NATGW로 보냄


3

TGW VPC에서

Public -> GWLB VPC  EP로 전송한다.

0.0.0.0/0   EP


4

GWLB, Firewal VPC에서

EPS   -> GWLB -> Network Firewall로 간다.


5

GWLB, Firewal VPC에서

Network Firewall  은  EP로 간다.

0.0.0.0/0  EP


6

GWLB, Firewal VPC  >  GWLB Subnet 은 IGW로 보낸다.

0.0.0.0/0  IGW이다.




<3>  들어오는 트래픽 흐름



1

외부에서 ALB로 접속


2

ALB가  Public Subnet에 있으니까 IGW로 온다.


3

IGW로 들어오는 트래픽에 대해  

IGW-ingress  라우팅 테이블 생성 - Edge association 연결

목적지가  GWLB subnet (VPC End point 존재)  , Public Subnet (NAT 존재)  이면?

외부에서 오는 것이면?

EP로 보낸다.

모든 유입 트래픽은 Firewall VPC로 가야 한다.

10.11.1.0/24 이 목적지이면   EP로 보낸다.

10.11.2.0 /24 이 목적지이면   EP로 보낸다.

10.11.11.0/24 이 목적지이면   EP로 보낸다.

10.11.12.0/24  이 목적지이면   EP로 보낸다.

EPS로 가서 방화벽을 거친다.


2

다시 TGW VPC - GWLB Subnet으로 보낸다.

GWLB  subnet에서 ALB로 전달


3

VPC1 IP 목적지로 전달




<4>  보안장비가 있는 GWLB VPC 구성


GWLB VPC구성 ( Endpoint Service  VPC ------ GWLB ---------- 제네브 UDP 6801 보안 장비 )


1

라우팅 테이블 확인

0.0.0.0/0   EP


2

VPC > Endpoint Serivce 생성

서비스 이름

 GWLB 생성  =   LB 생성 필요 ,  타깃 그룹은 UDP 6081 , 제네브 터널링 지원장비 필수


3

Endpoint Serivce  확인

VPCEndpointServiceName 복사

com.amazonaws.vpce.ap-northeast-1.vpce-svc-xxxxxxxxxxxxx


4

 GWLB 생성  확인

GWLG Target Groups Helalthy 상태 확인


5

참고 사이트

Endpoint Service 

https://brunch.co.kr/@topasvga/1316


EP-EP Serice 구성

https://brunch.co.kr/@topasvga/1343





<5>  TGW VPC 구성


1

4개 서브넷

GWLB subnet (VPC End point 존재)- IGW Ingress

Public Subnet (NAT 존재)

Private Subnet  (EC2 존재)

TGW Subnet ( 서비스 VPC1과 연결을 위한 서브넷)


2

IGW Ingress-rt?

외부에서 유입 들어오는 부분을 처리하기 위해 IGW-ingress 라우팅 

목적지가  GWLB subnet (VPC End point 존재)  , Public Subnet (NAT 존재)  이면?

EP로 보낸다.

EPS로 가서 Firewall로 보낸다.



3

GWLB -rt?

0.0.0.0/0  igw

무조건 인터넷으로 보낸다.


4

Private-rt?

0.0.0.0/0  nat 

무조건 NAT로 보낸다.


5

Public-rt 

0.0.0.0/0  EP로 보낸다.

무조건  Firewall로 보낸다.



6

TGW-rt?



7

ALB 사용 가능 확인

ALB는 Public에 구축

타깃 그룹은 Private EC2




<6>   서비스를 하는 VPC 1 구성


1

TGW Attatchment만 해서 인터페이스를 만든다.


2

Private subnet 라우팅을 TGW로 보낸다.

0.0.0.0/0  TGW 




같이 볼만한 자료 

https://brunch.co.kr/@topasvga/1795


감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari