VPC Gateway 종류

1. Internet Gateway

인터넷과 통신하기 위한 Gateway

Instance가 인터넷에 접속하기 위하여 Route Table에 0.0.0.0/0 - Internet Gateway로 라우팅 필요(인터넷에서 Insatance로 접속하기 위해서는 추가로 Instance에 공인 IP 할당 필요)

 

2. NAT Gateway

Private Subnet이 인터넷과 통신하기 위한 Gateway

NAT Gateway는 Private IP를 가지며 Public Subnet에 위치시켜 Source를 NAT 시켜 Internet Gateway를 통해 인터넷 접속이 가능하게 해줌

Instance가 인터넷에 접속하기 위하여 Route Table에 0.0.0.0/0 - NAT Gateway로 라우팅 필요

 

3. VPN Gateway

Data Center의 Gateway와 IPsec VPN을 맺어 통신하기 위한 Gateway

On Premise 접속하기 위하여 Route Table에 Data Center IP 대역 - VPN Gateway로 라우팅 필요

IPsec VPN ▶️ https://eunhyee.tistory.com/225

IPsec VPN

 

4. VPC Peering

VPC 끼리 연결(VPC는 기본적으로 VPC내부에서는 통신 가능하지만 VPC 끼리는 통신 불가능)하기 위한 Gateway

다른 지역, 다른 계정에 있는 VPC와도 연결 가능

Remote VPC에 접속하기 위하여 Route Table에 Remote VPC IP 대역 - VPN Peering으로 라우팅 필요

 

5. DX(Direct Connect)

전용 회선으로 연결된 Gateway

일반 회선이 아니 별도 회선으로 Site to Site 통신하게 되며 요금이 비싸 IPsec VPN(인터넷으로 통신하는 대신 보안 터널 생성)을 맺어 사용하고는 함

Direct Connect Gateway를 생성하고 VPN Gateway에 연결해야 함

Remote에 접속하기 위하여 Route Table에 Remote IP 대역 - VPN Gateway로 라우팅 필요

 

 

6. Transit Gateway

VPC 간 통신을 위해서는 VPC Peering을 맺어야하며 데이지 체인 방식이 불가능하여 풀매시로 맺어야 하는 문제점이 있음

On Premise와 DX, VPN Gateway를 맺을 경우 통합 관리가 불편한 문제점이 있음

위 두 문제점을 해결하기 위해 VPC(Subnet 단위로 가능), DX, VPN Gateway에 연결하여 한번에 관리할 수 있는 Transit Gateway 등장(Transit Gateway와도 연결 가능)

 

7. VPC Endpoint

Interface Endpoint

- Interface Endpoint는 서브넷에 생성되며 ENI(Endpoint Network Interface)에 Private IP가 할당되어 서비스와 연결

- 인터넷을 통해 통신하던 서비스를 프라이빗 통신을 통해 접속할 수 있도록 해주며 정책을 통해 접근 관리 가능

- Private DNS를 활성화하여 DNS name, Endpoint hostname를 통해 Endpoint에 접속 가능(서비스에 따라 Private DNS 활성화되지 않을 수 있음)

- VPC 내부는 Local로 접속 허용되기 때문에 Route Table에 추가 작업 필요 없음

 

초록색 : VPC Interface Endpoint 설정 전 / 파란색 : VPC Interface Endpoint 설정 후 / Public DNS 사용

초록색 : VPC Interface Endpoint 설정 전 / 파란색 : VPC Interface Endpoint 설정 후 / Private DNS 사용

 

Gateway Endpoint

- S3와 Dynamo DB만 사용 가능

- 인터넷을 통해 통신하던 S3, Dynamo DB를 Gateway Endpoint를 만들어 프라이빗 통신을 통해 접속할 수 있도록 해주며 정책을 통해 - 접근(S3 버킷 이름, action 등) 관리 가능

- S3, Dynamo DB에 접속하기 위하여 pi-id(관리형 접두사) Gateway Endpoint로 라우팅 필요

초록색 : VPC Gateway Endpoint 설정 전 / 파란색 : VPC Gateway Endpoint 설정 후

 

8. VPC Endpoint Service

Service Provider VPC와 Service Consumer VPC가 프라이빗 통신을 하기 위함

목적에 따라 Network/Gateway Load Balancer 가능

 

Network Load Balancer

- NLB와 Endpoint Service와 연결 후 Enpoint Service와 Interface Endpoint 연결

 

Gateway Load Balancer

- 방화벽, 침입 탐지 및 방지 시스템, 심층 패킷 검사 시스템 같은 가상 어플라이언스를 배포, 확장 및 관리 가능

- GLB와 Endpoint Service와 연결 후 Enpoint Service와 GLB Endpoint 연결

- GLB Endpoint는 Interface Endpoint로 서브넷에 생성되며 ENI(Endpoint Network Interface)에 Private IP가 할당되어 서비스와 연결

- Subnet1은 Application Servers가 Security Appliances에 접속하기 위하여 Route Table에 0.0.0.0/0 - GLB Endpoint로 라우팅 필요

- 인터넷 게이트웨이는 Application Servers로 향하는 트래픽이 GLB Endpoint를 통해 접속하기 위하여 Route Table에 Subnet1 대역 - GLB Endpoint로 라우팅 필요

- Subnet2는 인터넷으로 접속하기 위하여 Route Table에 0.0.0.0/0 - Internet Gateway로 라우팅 필요

 

9. VPC Flowlogs

VPC 단위로 필터/최대 집계 간격/로그 레코드를 설정하여 CloudWatch Logs or S3 버킷으로 전송

 

다양한 VPC Architecture ▶️ https://docs.aws.amazon.com/ko_kr/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html

Network-to-Amazon VPC connectivity options - Amazon Virtual Private Cloud Connectivity Options