GWLB구성 4: TGW - EP -EPS로구축

본 내용은 AWS 세미나 내용을 듣고 개인적으로 테스트하며 정리한 내용입니다.

내용이 틀릴 수 있습니다.

GWLB

게이트웨이 역할을 하는 로드 밸런서이다.

보안장비 구축 시 게이트웨이 역할을 한다.

다음은 VPC- TGW- EndPoint - EndPoint Service로 구축법이다.

ALB(Application Load Balancer TGW VPC 구축해 , 다른 Account ID의 VPC1 서비스를 외부에 제공

중앙 집중식이라 통제가 가능하다.

TGW VPC에서 작업을 잘못하면 전체적으로 장애가 날 수 있는 구조이다.

경험했던 구조 --

TGW VPC로 IN/OUT 모두 하는 구조이다.

ALB의 타깃 그룹을 IP로 해서 다른 VPC의 EC2와 통신할 수 있다는 개념을 적용한 것

<1> VPC1 - TGW , EndPoint - EndPoint Service로 구축해보자

<2> 나가는 트래픽 흐름

<3> 들어오는 트래픽 흐름

<4> 보안장비가 있는 GWLB VPC 구성

<5> TGW VPC 구성

<6> 서비스를 하는 VPC 1 구성

<1> 서비스 VPC1 - TGW , EndPoint - EndPoint Service로 구축해보자

1

서비스 VPC1 구성 + TGW VPC + GWLB, Fire Wall VPC 3 개의 구성이다.

VPC1 구성 ----------------TGW VPC (Endpoint )------- GWLB Firewall VPC구성 ( Endpoint Service VPC -- GWLB -- 제네브 UDP 6801 보안 장비 )

2

서비스 VPC1의 나가는 트래픽에 대해 TGW VPC를 사용하는 방법이다.

서비스 VPC1으로 유입되는 트래픽도 TGW VPC를 사용하는 방법이다.

3

라우팅 테이블을 확인하자!!!

<2> 나가는 트래픽 흐름

1

서비스 VPC1에서?

Private Subnet의 EC2는 0.0.0.0/0 은 TGW로 간다.

2

TGW VPC에서?

TGW 서브넷은

0.0.0.0/0 Public인 NATGW로 보냄

3

TGW VPC에서

Public -> GWLB VPC EP로 전송한다.

0.0.0.0/0 EP

4

GWLB, Firewal VPC에서

EPS -> GWLB -> Network Firewall로 간다.

5

GWLB, Firewal VPC에서

Network Firewall 은 EP로 간다.

0.0.0.0/0 EP

6

GWLB, Firewal VPC > GWLB Subnet 은 IGW로 보낸다.

0.0.0.0/0 IGW이다.

<3> 들어오는 트래픽 흐름

1

외부에서 ALB로 접속

2

ALB가 Public Subnet에 있으니까 IGW로 온다.

3

IGW로 들어오는 트래픽에 대해

IGW-ingress 라우팅 테이블 생성 - Edge association 연결

목적지가 GWLB subnet (VPC End point 존재) , Public Subnet (NAT 존재) 이면?

외부에서 오는 것이면?

EP로 보낸다.

모든 유입 트래픽은 Firewall VPC로 가야 한다.

10.11.1.0/24 이 목적지이면 EP로 보낸다.

10.11.2.0 /24 이 목적지이면 EP로 보낸다.

10.11.11.0/24 이 목적지이면 EP로 보낸다.

10.11.12.0/24 이 목적지이면 EP로 보낸다.

EPS로 가서 방화벽을 거친다.

2

다시 TGW VPC - GWLB Subnet으로 보낸다.

GWLB subnet에서 ALB로 전달

3

VPC1 IP 목적지로 전달

<4> 보안장비가 있는 GWLB VPC 구성

GWLB VPC구성 ( Endpoint Service VPC ------ GWLB ---------- 제네브 UDP 6801 보안 장비 )

1

라우팅 테이블 확인

0.0.0.0/0 EP

2

VPC > Endpoint Serivce 생성

서비스 이름

GWLB 생성 = LB 생성 필요 , 타깃 그룹은 UDP 6081 , 제네브 터널링 지원장비 필수

3

Endpoint Serivce 확인

VPCEndpointServiceName 복사

com.amazonaws.vpce.ap-northeast-1.vpce-svc-xxxxxxxxxxxxx

4

GWLB 생성 확인

GWLG Target Groups Helalthy 상태 확인

5

참고 사이트

Endpoint Service

https://brunch.co.kr/@topasvga/1316

EP-EP Serice 구성

https://brunch.co.kr/@topasvga/1343

<5> TGW VPC 구성

1

4개 서브넷

GWLB subnet (VPC End point 존재)- IGW Ingress

Public Subnet (NAT 존재)

Private Subnet (EC2 존재)

TGW Subnet ( 서비스 VPC1과 연결을 위한 서브넷)

2

IGW Ingress-rt?

외부에서 유입 들어오는 부분을 처리하기 위해 IGW-ingress 라우팅

목적지가 GWLB subnet (VPC End point 존재) , Public Subnet (NAT 존재) 이면?

EP로 보낸다.

EPS로 가서 Firewall로 보낸다.

3

GWLB -rt?

0.0.0.0/0 igw

무조건 인터넷으로 보낸다.

4

Private-rt?

0.0.0.0/0 nat

무조건 NAT로 보낸다.

5

Public-rt

0.0.0.0/0 EP로 보낸다.

무조건 Firewall로 보낸다.

6

TGW-rt?

7

ALB 사용 가능 확인

ALB는 Public에 구축

타깃 그룹은 Private EC2

<6> 서비스를 하는 VPC 1 구성

1

TGW Attatchment만 해서 인터페이스를 만든다.

2

Private subnet 라우팅을 TGW로 보낸다.

0.0.0.0/0 TGW

같이 볼만한 자료

https://brunch.co.kr/@topasvga/1795

(몰아보기) GWLB, Network Firewall

감사합니다.