본문 바로가기
공부 이야기/그냥 찾아보는 공부

AWS Direct Connect

mind: 2019. 5. 27. 15:37

https://www.youtube.com/watch?v=aK7f3rL8wnM

 

Youtube에 게시된 소개영상을 보고 생각을 정리해보았다.

해당 영상은 AWS 클라우드 기술 중 하나인 Direct Connect에 대한 설명으로 2주 전에 게시됬다.

 

 클라우드 아키텍쳐에 대한 지식을 얻기 위해 Youtube 검색창에서 '클라우드'를 검색했고 AWS의 해당 영상을 보게되었다. 이 쪽 분야의 선두주자답게 이해하기 쉽고 보기 편하게 정리되어 있어서 클라우드에 대한 내용을 잘 배울 수 있었다.

 

 AWS는 아마존 웹 서비스로 4차 산업 혁명의 키워드 중 하나인 '클라우드'를 주력으로 하는 회사이다.

 우선, 클라우드를 알기 위해선 네트워크 인프라에 대한 지식이 필요하다. 네트워크 인프라란, 현대인들이 사용하고 있는 AP, LAN, Router, Gateway 등 여러 통신 장비와 기술들을 통해 인터넷을 사용할 수 있도록 길을 터주는 산업이다.

 이처럼 인터넷을 사용하는 클라우드 특성 상, 클라우드를 설계하기 위해서는 네트워크 인프라에 대한 지식이 요구되는 것이다.

 특히, 이 영상에서는 네트워크 인프라의 세부적인 분야 중 백본망 설계가 이뤄진 환경에서의 논리적인 연결 설정을 다루고 있다. 

 

논리적인 연결 설정이라고 하면 다음과 같이 구체적인 기술들을 의미하는 것이다. 해당 영상에서 주로 다룬 기술을 열거해보면,

가상 사설망 VPN, 네트워크 이중화 작업, VLAN 설정, 공인 IP 할당 및 NAT 변환, 영역간 라우팅인 BGP 등이 있다.

 

우선 VPN을 설정하는 이유는 암호화이다. 네트워크 이중화는 신뢰성 있는 통신을 위한 것이다. VLAN은 스위치의 특징 중 하나인 망내 브로드캐스팅을 제한하기 위한 설정의 일환이다. BGP는 확장된 개념에서의 라우팅으로 단순한 부서망이나 사무실 망이 아닌 회사망, 지역망과 같은 큰 영역에서 다른 영역으로의 라우팅을 역할해주는 것이다.

 

라우터 장비와 관련 기술에 대해서는 비프로스트의 헤임달과 같은 존재라고 비유할 수 있다.

 

AWS Direct Connect에서는 공인 IP가 없는 회사에 대해 티켓을 제공하여 30bit 크기의 주소를 할당해준다고 한다. 할당받은 주소를 통해 사내 망 관리자는 적절하게 게이트웨이에 NAT를 설정해주어야 한다.

  

 

첫째, 나는 클라우드 설정에 앞서서 사내망이 Region, VPC, Public subnet, Private subnet으로 구성되는 것을 알게 되었다.

온 프레미스는 AWS의 데이터 센터의 망이고 VPN은 앞서 설명한 것처럼 암호화지원, IGW는 인터넷과 사내망 사이를 연결해주는 게이트웨이이다.

 

 

둘째, Direct Connect Gateway는 영역(VPC)간의 연결을 다음과 같이 수행한다.

기본적으로 10개의 VPC를 지원하며 1G, 10G, 40G 번들링(랜-어그리게이션)의 속도를 지원한다. 또한 라우터의 개념에서 보면 리플렉터 역할을 수행하므로 다른 지점 간의 연동도 가능하다.

IPSec의 단점인 Jitter에 의한 불안정성을 DXG에서 해결할 수 있다고 한다. 아마 자체 프로토콜을 지원하고 있나보다.

하지만 다른 영역(Region)으로의 통신인 트랜지티브는 지원하진 않고 게이트웨이를 통해 온프레미스 망으로 이동해야 다른 지점으로 갈 수 있다고 한다.

왜냐면 사내 네트워크 관리자는 다른 회사의 망까지 관리할 필요가 없기 때문이다.

 

모든 트래픽은 AWS 네트워크 백본을 통해 이동되며 국내에는 U+평촌센터와 가산센터가 있다.

 

셋째, 트래픽 엔지니어링과 같은 경로 제어는 어떤식으로 하는지에 대해 다음과 같다.

노드 간 코스트가 동일한 경우, 반반씩 이동하는 방식을 취한다. 

노드 간 코스트가 상이한 경우, 한 곳은 메인 루트로 다른 곳은 보조 루트로 사용하게 된다. 

마지막 백업회선은 VPN회선을 사용할 것이다.

 

높은 대역폭, 높은 비트를 지원하는 곳을 우선한다.

BGP Community란 라우팅 경로 광고시 첨가되는 메타데이터로, 퍼블릭 대역을 사용하는 것인지에 대해 정의한다.

따라서 퍼블릭 대역에서 리전별로 데이터를 필터링할 수 있게 된다. 

 

회사망과 온프레스망은 BGP를 통해서 구성하기 때문에 BGP를 지원하는 장비를 사던가 빌리던가 하셔

 

기존의 DNS서비스 방식, Unbound라는 인스턴스를 추가하기 때문에 불편함이 초래했다.
Resolver라는 기능을 추가해서 도메인에 대한 응답을 포워딩할 수 있게 했다. 양방향 Lookup도 구현 가능

 

 

 

 

 

* 모든 출처는 AWS Korea에 있으며 제시된 링크를 통해 자세한 것을 볼 수 있으며, 학습용으로 링크를 게시한 것임을 알린다.

'공부 이야기 > 그냥 찾아보는 공부' 카테고리의 다른 글

IPSec, 사이트 투 사이트 VPN  (0) 2019.06.02
VPN이란 무엇인가?  (0) 2019.05.28
네트워크 보안 명령어 정리  (0) 2019.04.29
네트워크 보안 - ASA를 이용한 접근 제어 기법  (0) 2019.04.28
네트워크 보안 - ASA에 대해  (0) 2019.04.28

'공부 이야기/그냥 찾아보는 공부' Related Articles

티스토리툴바