AWS Direct Connect  - 확장 가능하고 안전한 다중 VPC AWS 네트워크 인프라 구축
다이렉트 커넥트 연결의 MACsec 보안AWS Direct Connect 레질리언스 권장 사항AWS Direct Connect SiteLink

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Direct Connect 

인터넷을 통한 VPN은 시작하기에 좋은 옵션이지만, 프로덕션 트래픽에서는 인터넷 연결이 안정적이지 않을 수 있습니다. 이러한 신뢰성이 낮기 때문에 많은 고객이 선택합니다 AWS Direct Connect. AWS Direct Connect 인터넷을 사용하여 AWS에 연결하는 대신 사용할 수 있는 네트워킹 서비스입니다. 를 사용하면 AWS Direct Connect이전에는 인터넷을 통해 전송되었을 데이터가 시설과 AWS 간의 사설 네트워크 연결을 통해 전달됩니다. 많은 상황에서 사설 네트워크 연결은 인터넷 기반 연결보다 비용을 줄이고, 대역폭을 늘리고, 더 일관된 네트워크 경험을 제공할 수 있습니다. VPC에 연결하는 AWS Direct Connect 데 사용할 수 있는 몇 가지 방법이 있습니다.

를 사용하여 온프레미스 데이터 센터를 연결하는 방법을 보여 주는 다이어그램 AWS Direct Connect

를 사용하여 온프레미스 데이터 센터를 연결하는 방법 AWS Direct Connect

  • 옵션 1: VPC에 연결된 VGW에 프라이빗 가상 인터페이스 (VIF) 생성 — Direct Connect 연결당 50개의 VIF를 생성하여 최대 50개의 VPC에 연결할 수 있습니다 (하나의 VIF는 하나의 VPC에 대한 연결을 제공함). VPC당 하나의 BGP 피어링이 있습니다. 이 설정에서의 연결은 Direct Connect 위치가 위치한 AWS 지역으로 제한됩니다. VIF를 VPC에 one-to-one 매핑하고 글로벌 액세스가 부족하기 때문에 랜딩 존에서 VPC에 액세스하는 데 가장 선호되지 않는 방법입니다.

  • 옵션 2: 여러 VGW와 연결된 Direct Connect 게이트웨이에 프라이빗 VIF 생성 (각 VGW는 VPC에 연결됨) — Direct Connect 게이트웨이는 전 세계에서 사용할 수 있는 리소스입니다. 모든 지역에서 Direct Connect 게이트웨이를 생성하고 중국을 포함한 다른 모든 지역에서 액세스할 수 있습니다 GovCloud (중국 제외). Direct Connect 게이트웨이는 단일 프라이빗 VIF를 통해 모든 AWS 계정의 전 세계 최대 20개의 VPC (VGW 이용) 에 연결할 수 있습니다. 랜딩 존이 소수의 VPC (10개 이하 VPC) 로 구성되어 있거나 글로벌 액세스가 필요한 경우 유용한 옵션입니다. Direct Connect 연결당 Direct Connect 게이트웨이당 하나의 BGP 피어링 세션이 있습니다. Direct Connect 게이트웨이는 북쪽/남쪽 트래픽 흐름에만 사용되며 VPC-VPC 연결은 허용하지 않습니다. 자세한 내용은 설명서의 가상 프라이빗 게이트웨이 연결을 참조하십시오. AWS Direct Connect 이 옵션을 사용하면 Direct Connect 위치가 위치한 AWS 지역에만 연결이 제한되지 않습니다. AWS Direct Connect 게이트웨이는 노스/사우스 트래픽 플로우에만 사용되며 VPC-VPC 연결은 허용하지 않습니다. 이 규칙의 예외는 동일한 게이트웨이 및 동일한 가상 인터페이스에 연결된 VGW가 있는 둘 이상의 VPC에 슈퍼넷을 알리는 경우입니다. AWS Direct Connect 이 경우 VPC는 엔드포인트를 통해 서로 통신할 수 있습니다. AWS Direct Connect 자세한 내용은 AWS Direct Connect 게이트웨이 설명서를 참조하십시오.

  • 옵션 3: Transit Gateway와 연결된 Direct Connect 게이트웨이에 전송 VIF 생성 - Transit VIF를 사용하여 Transit Gateway 인스턴스를 Direct Connect 게이트웨이에 연결할 수 있습니다. AWS Direct Connect 이제 모든 포트 속도에 대해 Transit Gateway에 대한 연결을 지원하므로 고속 연결 (1Gbps 이상) 이 필요하지 않은 경우 Transit Gateway 사용자에게 보다 비용 효율적인 선택을 제공합니다. 이를 통해 Transit Gateway에 연결하여 50, 100, 200, 300, 400, 500Mbps의 속도로 다이렉트 커넥트를 사용할 수 있습니다. Transit VIF를 사용하면 단일 전송 VIF 및 BGP 피어링을 통해 다양한 AWS 지역 및 AWS 계정의 AWS Direct Connect 게이트웨이당 최대 6개의 Transit Gateway 인스턴스 (수천 개의 VPC에 연결할 수 있음) 에 온 프레미스 데이터 센터를 연결할 수 있습니다. 이는 여러 VPC를 대규모로 연결하는 옵션 중에서 가장 간단한 설정이지만 Transit Gateway 할당량을 염두에 두어야 합니다. 한 가지 주요 제한 사항은 Transit Gateway에서 전송 VIF를 통해 온프레미스 라우터로 200개의 접두사만 알릴 수 있다는 것입니다. 이전 옵션의 경우 Direct Connect 가격을 지불하면 됩니다. 이 옵션의 경우 Transit Gateway 첨부 파일 및 데이터 처리 요금도 지불해야 합니다. 자세한 내용은 Direct Connect의 Transit Gateway 연결 설명서를 참조하십시오.

  • 옵션 4: Direct Connect 퍼블릭 VIF를 통해 Transit Gateway에 대한 VPN 연결 생성 — 퍼블릭 VIF를 사용하면 퍼블릭 IP 주소를 사용하여 모든 AWS 퍼블릭 서비스 및 엔드포인트에 액세스할 수 있습니다. Transit Gateway에서 VPN 연결을 생성하면 AWS 측에서 VPN 엔드포인트에 사용할 두 개의 퍼블릭 IP 주소를 얻게 됩니다. 퍼블릭 VIF를 통해 이러한 퍼블릭 IP에 연결할 수 있습니다. 퍼블릭 VIF를 통해 원하는 만큼 많은 Transit Gateway 인스턴스에 대한 VPN 연결을 생성할 수 있습니다. 퍼블릭 VIF를 통해 BGP 피어링을 생성하면 AWS는 전체 AWS 퍼블릭 IP 범위를 라우터에 알립니다. 특정 트래픽만 허용하려면 (예: VPN 종료 엔드포인트로만 트래픽을 허용) 방화벽 온프레미스 시설을 사용하는 것이 좋습니다. 이 옵션은 네트워크 계층에서 Direct Connect를 암호화하는 데 사용할 수 있습니다.

  • 옵션 5: 사설 IP VPN을 AWS Direct Connect 사용하여 Transit Gateway에 VPN 연결 생성 — 사설 IP VPN은 고객이 사설 IP 주소를 사용하여 Direct Connect를 통해 AWS 사이트 간 VPN 연결을 배포할 수 있는 기능을 제공합니다. 이 기능을 사용하면 퍼블릭 IP 주소 없이도 Direct Connect 연결을 통해 온프레미스 네트워크와 AWS 간의 트래픽을 암호화할 수 있으므로 보안과 네트워크 프라이버시를 동시에 강화할 수 있습니다. 사설 IP VPN은 Transit VIF에 배포되므로 Transit Gateway를 사용하여 고객 VPC의 중앙 집중식 관리 및 온프레미스 네트워크 연결을 보다 안전하고 사설적이며 확장 가능한 방식으로 관리할 수 있습니다.

  • 옵션 6: 트랜짓 VIF를 통해 Transit Gateway에 GRE 터널 생성 — Transit Gateway Connect 연결 유형은 GRE를 지원합니다. Transit Gateway Connect를 사용하면 SD-WAN 네트워크 가상 어플라이언스와 Transit Gateway 간에 IPsec VPN을 설정할 필요 없이 SD-WAN 인프라를 AWS에 기본적으로 연결할 수 있습니다. GRE 터널은 Transit Gateway Connect를 첨부 유형으로 사용하여 전송 VIF를 통해 설정할 수 있으므로 VPN 연결에 비해 더 높은 대역폭 성능을 제공합니다. 자세한 내용은 AWS Transit Gateway Connect를 통한 SD-WAN 연결 단순화 블로그 게시물을 참조하십시오.

“VIF에서 Direct Connect Gateway로 전송” 옵션은 Direct Connect 연결당 단일 BGP 세션을 사용하여 단일 지점 (Transit Gateway) AWS 리전 에서 특정 항목에 대한 모든 온프레미스 연결을 통합할 수 있기 때문에 최상의 옵션인 것 같습니다. 그러나 이 옵션과 관련된 일부 제한 및 고려 사항으로 인해 랜딩 존 연결 요구 사항에 따라 사설 VIF와 전송 VIF를 함께 사용할 수 있습니다.

다음 그림은 VPC에 연결하는 기본 방법으로 Transit VIF를 사용하고 온프레미스 데이터 센터에서 미디어 VPC로 매우 많은 양의 데이터를 전송해야 하는 엣지 사용 사례에 프라이빗 VIF를 사용하는 샘플 설정을 보여줍니다. 프라이빗 VIF는 Transit Gateway 데이터 처리 요금을 피하기 위해 사용됩니다. 이중화를 극대화하려면 서로 다른 두 Direct Connect 위치에 최소 두 개의 연결을 설치하여 총 네 개의 연결을 사용하는 것이 좋습니다. 연결당 VIF를 하나씩 생성하여 총 4개의 프라이빗 VIF와 4개의 전송 VIF를 생성합니다. 연결에 대한 백업 연결로 VPN을 만들 수도 있습니다. AWS Direct Connect

“트랜짓 VIF를 통해 Transit Gateway에 GRE 터널 생성” 옵션을 사용하면 SD-WAN 인프라를 AWS와 기본적으로 연결할 수 있습니다. 따라서 SD-WAN 네트워크 가상 어플라이언스와 Transit Gateway 간에 IPsec VPN을 설정할 필요가 없습니다.

하이브리드 연결을 위한 샘플 참조 아키텍처를 보여주는 다이어그램

하이브리드 연결을 위한 샘플 참조 아키텍처

네트워크 서비스 계정을 사용하여 네트워크 관리 경계를 지정할 수 있는 Direct Connect 리소스를 만들 수 있습니다. Direct Connect 연결, Direct Connect 게이트웨이 및 트랜짓 게이트웨이는 모두 네트워크 서비스 계정에 있을 수 있습니다. 랜딩 존과 AWS Direct Connect 연결을 공유하려면 Transit Gateway를 다른 AWS RAM 계정과 공유하기만 하면 됩니다.

다이렉트 커넥트 연결의 MACsec 보안

고객은 일부 위치에서 10Gbps 및 100Gbps 전용 연결에 대해 MAC 보안 표준 (MACsec) 암호화 (IEEE 802.1AE) 를 사용하여 Direct Connect 연결을 사용할 수 있습니다. 이 기능을 통해 고객은 계층 2 수준에서 데이터를 보호할 수 있으며 Direct Connect는 point-to-point 암호화를 제공합니다. MACsec Direct Connect 기능을 활성화하려면 MACsec 사전 요구 사항을 충족해야 합니다. MACsec은 링크를 hop-by-hop 기본적으로 보호하므로 장치가 Direct Connect 장치와 직접 레이어 2 인접성을 가져야 합니다. 라스트 마일 제공업체가 MACsec에서 연결이 제대로 작동하는지 확인하는 데 도움을 줄 수 있습니다. 자세한 내용은 AWS Direct Connect 연결에 MACsec 보안 추가를 참조하십시오.

AWS Direct Connect 레질리언스 권장 사항

를 AWS Direct Connect통해 고객은 온프레미스 네트워크에서 Amazon VPC와 AWS 리소스에 매우 탄력적으로 연결할 수 있습니다. 고객이 여러 데이터 센터에서 연결하여 단일 지점의 물리적 위치 장애를 없애는 것이 가장 좋습니다. 또한 워크로드 유형에 따라 고객은 이중화를 위해 둘 이상의 Direct Connect 연결을 사용하는 것이 좋습니다.

또한 AWS는 고객에게 여러 중복 모델이 포함된 연결 마법사를 제공하는 AWS Direct Connect Resiliency Toolkit을 제공합니다. 이를 통해 고객은 서비스 수준 계약 (SLA) 요구 사항에 가장 적합한 모델을 결정하고 그에 따라 Direct Connect 연결을 사용하여 하이브리드 연결을 설계할 수 있습니다. 자세한 내용은 복원력 권장 사항을 참조하십시오.AWS Direct Connect

이전에는 다크 파이버 또는 기타 기술인 IPSEC VPN을 통한 직접 회로 구축을 사용하거나 MPLS 또는 기존 T1 회로와 같은 기술을 갖춘 타사 회로 공급자를 사용해야 온프레미스 네트워크에 대한 site-to-site 링크를 구성할 수 있었습니다. MetroEthernet 의 SiteLink 출현으로 이제 고객은 특정 위치에서 종료되는 온-프레미스 위치에 대한 직접 site-to-site 연결을 활성화할 수 있습니다. AWS Direct Connect Direct Connect 회로를 사용하면 트래픽을 VPC를 통해 라우팅할 필요 없이 AWS 지역을 완전히 우회하여 site-to-site 연결을 제공할 수 있습니다.

이제 위치 간 가장 빠른 경로를 통해 데이터를 전송함으로써 글로벌 네트워크의 사무실과 데이터 센터 간에 글로벌하고 안정적인 pay-as-you-go 연결을 구축할 수 있습니다. AWS Direct Connect

다이어그램 AWS Direct Connect SiteLink

에 대한 샘플 참조 아키텍처 AWS Direct Connect SiteLink

를 사용할 SiteLink 때는 먼저 전 세계 100개 이상의 AWS Direct Connect 위치에 있는 온프레미스 네트워크를 AWS에 연결합니다. 그런 다음 해당 연결에 가상 인터페이스 (VIF) 를 생성하고 활성화합니다. SiteLink 모든 VIF가 동일한 AWS Direct Connect 게이트웨이 (DXGW) 에 연결되면 VIF 간에 데이터 전송을 시작할 수 있습니다. 데이터는 빠르고 안전하며 신뢰할 수 있는 AWS 글로벌 네트워크를 사용하여 AWS Direct Connect 위치 간 최단 경로를 따라 목적지에 도달합니다. 리소스가 없어도 사용할 AWS 리전 SiteLink 수 있습니다.

를 통해 DXGW는 SiteLink 활성화된 VIF를 통해 라우터로부터 IPv4/IPv6 접두사를 학습하고 SiteLink, BGP 최적 경로 알고리즘을 실행하고, NextHop AS_Path와 같은 속성을 업데이트하고, 이러한 BGP 접두사를 해당 DXGW와 관련된 나머지 활성화 VIF에 다시 광고합니다. SiteLink SiteLink VIF에서 사용하지 않도록 설정하면 DXGW는 이 VIF를 통해 학습된 SiteLink 온-프레미스 접두사를 활성화된 다른 VIF에 알리지 않습니다. SiteLink 비활성화된 VIF의 온프레미스 접두사는 DXGW와 연결된 AWS 가상 사설 게이트웨이 (VGW) 또는 TGW (Transit Gateway) 인스턴스와 같은 DXGW 게이트웨이 연결에만 광고됩니다.

사이트링크 트래픽 흐름의 예를 보여주는 다이어그램

사이트링크는 트래픽 흐름을 허용합니다. 예

SiteLink 고객은 AWS 글로벌 네트워크를 사용하여 높은 대역폭과 짧은 지연 시간으로 원격 위치 간의 기본 또는 보조/백업 연결 역할을 할 수 있으며, 동적 라우팅을 통해 서로 통신할 수 있는 위치 및 AWS 지역 리소스와 통신할 수 있는 위치를 제어할 수 있습니다.

자세한 내용은 소개를 참조하십시오. AWS Direct Connect SiteLink