본문 바로가기

Networking

 (35)
[실습] Amazon TGW (Transit Gateway) 구성하기 (동일 AWS 계정+다른 Region, Split)-3편 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 서로 다른 리전에 구성된 TGW를 연결하는 상황에 대해서 실습을 해보겠습니다. 주의할 사항은 TGW 생성 시 ASN 값이 동일한 경우는 연결 후 통신이 되지 않으니 주의하시기 바랍니다. 구성도 TGW 1개(tgw)를 생성하여 VPC를 연결하면 TGW는 연결된 VPC(vpcA, vpcB)의 대역 정보를 모두 등록됩니다. vpcB의 priB-ec2가 vpcA의 priA-ec2로 통신하는 순서는 아래와 같습니다. ① vpcB의 priB-ec2는 연결된 라우팅(priB-sn-rt)을 참조하여 tgw-vpcB(tgw-eni : tgw-vpcB의 인터페이스)로 패킷 전송 ② tgw-vpcB로부터 패킷을 수신한 tgwB는 라우팅 테이블(tgwB-rt)을 참조하여 tgw-..
[실습] Amazon TGW (Transit Gateway) 구성하기 (동일 AWS 계정+동일 Region, non-Split)-2편 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 앞서 구성한 아키텍쳐에서 인터넷 연결 접점을 하나로 구성하는 것이 차이점입니다. 일반적으로 vpcA에 방화벽 같은 보안장비를 구성하고, 서비스 VPC(vpcB, vpcC, ...)를 vpcA를 통해 연결할 때 사용하는 구성입니다. 구성도 TGW 1개(tgw)를 생성하여 VPC를 연결하면 TGW는 연결된 VPC(vpcA, vpcB)의 대역 정보를 모두 등록됩니다. vpcB의 priB-ec2가 인터넷으로 통신하는 순서는 아래와 같습니다. ① vpcB의 priB-ec2는 연결된 라우팅(b-pri-sn-rt)을 참조하여 tgw-vpcB(tgw-eni : tgw-vpcB의 인터페이스)로 패킷 전송 ② tgw-vpcB로부터 패킷을 수신한 tgw는 라우팅 테이블(tgw-..
[실습] Amazon TGW (Transit Gateway) 구성하기 (동일 AWS 계정+동일 Region, Split)-1편 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Amazon TGW에서 가장 보편적으로 사용하는 상황에 대해서 실습을 해보겠습니다. 그리고 이어지는 TGW 세션을 모두 살펴보셔서 TGW 아키텍쳐에 대한 이해도를 높일 수 있기를 기대합니다. 끝까지 들여다 보시면 결국 TGW는 라우팅 이해가 전부라고 생각이 들게 됩니다. 구성도 TGW 1개(tgw)를 생성하여 VPC를 연결하면 TGW는 연결된 VPC(vpcA, vpcB)의 대역 정보를 모두 등록됩니다. vpcB의 priB-ec2가 vpcA의 priA-ec2로 통신을 하는 순서는 아래와 같습니다. ① vpcB의 priB-ec2는 연결된 라우팅(priB-sn-rt)을 참조하여 tgw-vpcB(tgw-eni : tgw-vpcB의 인터페이스)로 패킷 전송 ② tgw..
[이론] Amazon TGW(Transit Gateway) 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Amazon TGW에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. 이외 내용은 업무적으로 필요할때마다 찾아보시는 것이 효율적이라고 생각합니다. TGW 구성 구분 구성 비고 동일 AWS계정+동일 리전 TGW 1개를 생성하고 여러 개의 VPC Attach하여 구성 (권고) 다른 AWS계정+동일 리전 TGW 1개를 생성하고 Resource Access Manager를 이용하여 공유하여 구성 (권고) TGW를 계정별 생성하고, TGW간 피어링 연결 - TGW별 ASN값이 상이해야 하며, TGW 수만큼 비용 발생 - 비용 이슈가 염려되면 VPC간 Peering으로 연결 동일 AWS계정+다른 리전 다른 AWS계정+다른 리전 TGW를 계정별..
[실습] Amazon ELB에서 부하분산 처리한 로그를 Amazon S3에 저장/확인하는 방법 알아보기 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Amazon ELB의 Log를 Amazon S3에 저장하는 실습을 해보겠습니다. 온프레미스 L4엔지니어 때는 실시간 패킷 확인이 가능하여 트러블슈팅이 쉬웠는데 AWS에서 이러한 부분이 불편하여 찾은 방법입니다. 물론 VPC Flow Log라는 녀석이 있긴 하는데, 개인적으로는 ELB 로그는 이 녀석이 더 보기가 쉬운 것 같습니다. 1단계 : S3 설정 S3 > bucket > Create a bucke : elb-bucket S3 > bucket > elb-bucket > Create a folder : elb-log S3 > bucket > elb-bucket > Permission (tab) > Bucket Policy "edit" > "버킷 권한 가이드..
[실습] Amazon ELB (ALB+NLB) 구성하기 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Amazon ELB 서비스 중에서 ALB+NLB 복합 구성에 대해서 간단히 실습을 해보겠습니다. ALB의 경우 고정 IP 지정이 안되기 때문에 DNS(Public)에 등록할 때, CNAME이 아닌 A레코드(IP 형태)로 등록해야 하는 경우 NLB+ALB 구성으로 진행합니다. 구성도 가용영역 2개(AZ-A-, AZ-C)이므로 가용영역별 ELB Interface가 자동 생성됩니다. 만약 암호화 통신(HTTPS)으로 구성하는 경우 인증서 관리도 염두해 두시기 바랍니다. - 전구간 암호화 : ALB, EC2에서 인증서 관리 - Client~ALB 구간만 암호화 : ALB에서 인증서 관리 priA-ec2-a/c가 인터넷으로 요청하는 서비스가 없는 경우 Nat Gate..
[실습] Amazon ELB (ALB, NLB) 구성하기 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS ELB 서비스 중에서 ALB, NLB에 대해서 간단히 실습을 해보겠습니다. 구성도 가용영역 2개(AZ-A-, AZ-C)이므로 가용영역별 ELB Interface가 자동 생성됩니다. priA-ec2-a/c가 인터넷으로 요청하는 서비스가 없는 경우 Nat Gateway(natA-a, natA-c)는 필요없습니다. 사전 작업 인프라 생성 : vpc, subnet, igw, routing table, iam, ec2, CloudWatch의 로그 그룹 등 ※ priA-ec2-a, priA-ec2-c는 wordpress 설치하여 HTTP 준비 # WordPress로 인스턴스를 생성하거나 아래처럼 직접 WordPress(or 웹서비스)를 설치 sudo yum in..
[이론] AWS VPN 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS VPN에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. VPN 특징 VPN 협상 : 항상 온프레미스 (CGW, 클라이언트측)에서 AWS (VGW, 서버측)로 연결 시도 ※ IKE 2 사용 시 VGW가 요청자가 될 수 있도록 설정 가능 VPN 터널 Idle Timeout : 10초 ※ 터널 유지 : 온프레미스에서 Dead Peer Detect 설정 or 주기적인 Ping 전송 VPN 트래픽 흐름 - 온프레미스 > AWS : 2개 터널 이용 - AWS > 온프레미스 : 1개 터널 항상 선호 DPD vs IKE DPD(Dead Peer Detection, Default time 30Sec) : IPSec 서비스 포트로 유입되는 ..
[이론] Amazon GWLB 구성 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Amazon GWLB 구성에 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. 개요 NLB와 ALB만 구성하면 소스 IP 추적이 어려워 트래픽 모니터링이 어렵다. GWLB를 사용하여 구성하면 어플라이언스 및 최종 대상에서 소스 IP에 대한 추적이 가능합니다.(단 NLB가 아닌 ALB로 구성 시에는 ALB에서 SNAT 처리를 하기 때문에 최종 대상에서 소스 IP에 대한 추적이 기본적으로는 불가능) NLB+NLB vs GWLB+NLB GWLB ~ 어플라이언스 구간 GENEVE Protocol을 사용하여 암호화 통신 - UDP를 통해 구현된 캡슐화 프로토콜이며 VXLAN(가상 확장 LAN)의 한계를 극복 - OVN(Open Virtual Network, L..
[실습] Amazon GWLB를 사용하여 Fortinet 방화벽 구성하기 (TGW, Split)-2편 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 TGW를 구성하여 VPC간에도 방화벽(fw) 통한 패킷 통제되는 실습을 해보겠습니다. 혹자는 이렇게까지 방화벽을 통과시킬 필요가 있느냐고 하시는 분도 있었지만, Onpremise (or Management VPC)에서 Production VPC 접근에 대해서 통제 및 Logging 역할로서 의미가 있지 않을까 생각합니다. 구성도 vpcA의 "ingressA-rt"는 연결할 서브넷이 없고 igwA를 "엣지 연결"됩니다 구성 컨셉은 아래와 같습니다. - vpcA, vpcC : 서비스 영역으로 각각 인터넷을 통해서 서비스 제공 - vpcB : 보안 영역으로 인터넷~vpcA(or vpcC) 구간, vpcA~vpcC 구간에 대하여 방화벽으로 패킷을 통제 vpcA~vp..

티스토리툴바