[AWS] VPN & Direct Connect 개념

💙베하💙 누구든 탑승할 수 있는 유임승차 팀입니다!!💨😉

지난주에 이어 이번 주에는 aws의 vpn과 direct connet에 대해서 알아보았습니다!

VPN이란?

VPN은 Virtual Private Network의 약어로 가상의 사설망 정도로 해석할 수 있는데요, 인터넷과 같은 Public망을 사설망처럼 이용할 수 있도록 구축하게 됩니다.즉, 일반 인터넷망을 전용선처럼 사용한다는 의미이고 보통은 기존 사설망의 비용문제를 해소하기 위해 사용합니다.

단, VPN은 일반 전용선이 아닌 일반 인테넛망을 사용하다 보니 보안에 취약하다는 단점이 있는데요, 이를 위해 IPSec 등의 보안 옵션을 사용할 수도 있습니다.

 

IPSec이란?

IPSec이란 Internet Protocol Security 의 약자로 암호화 기술을 이용하여 IP 패킷 단위로 데이터 변조 방지 및 은닉 기능을 제공하는 프로토콜의 모음입니다. IPSec은 네트워크 계층에서 동작하기 때문에 우리가 흔히 알고 있는 파일 전송 프로토콜인 FTP, 하이퍼텍스트 프로토콜인 HTTP 또는 이메일 전송 프로토콜인 SMTP 등 어플리케이션 종류와 무관하게 모든 TCP/IP 어플리케이션에 대해 보안 프로토콜로 사용이 가능합니다.

 

AWS의 VPN은 ?

AWS Virtual Private Network 솔루션은 온프레미스 네트워크, 원격 사무실, 클라이언트 디바이스 및 AWS 글로벌 네트워크 사이에서 보안 연결을 설정합니다. AWS VPN은 AWS Site-to-Site VPN 및 AWS Client VPN이라는 두 가지 서비스로 구성됩니다. 이 서비스를 함께 결합하여 네트워크 트래픽을 보호하는 탄력적인 고가용성 관리형 클라우드 VPN 솔루션을 제공합니다.

가장 많이 쓰이는 VPN중 하나인 Site-to-Site VPN은 AWS Classic VPN 또는 AWS VPN이라고 불리는 서비스입니다. 보통 VPN이라고 하면 Site-to-Site VPN을 뜻합니다. AWS의 VPN을 별도로 정리하는 이유는 AWS에서의 VPN은 AWS VPC 환경과 온프레미스(OnPremise) 환경의 VPN연결을 뜻하기 때문인데요.

위 VPN 구성을 보면, AWS 네트워크 환경안에 VPC가 있고, 이 VPC는 Virtual Private Gateway를 통해 온프레미스(OnPremise)의 네트워크과 연결되게 됩니다. VPN의 구성요소로는 AWS의 Vitual Private Gateway, VPN Connection, Customer Gateway 3가지로 구성됩니다.

 

Direct Connect란?

Direct Connect란 전용선을 사용하여 고객의 데이터 센터와 AWS의 VPC간에 Private한 연결을 지원합니다. 업계 표준 802.1q VLAN을 사용하여 Private IP 주소를 통해 AWS VPC에 연결하게 되는데요. DirectConnect를 VPN 대신에 사용할 수 있으나 비용은 더 비싼편입니다.

또한 복수의 Direct Connect가 하나의 Private Gateway로 연결될수도 있습니다.(이중화), 그리고 연결하려는 복수의 VPC가 서로 다른 리전에 존재할 경우 Direct Connect Gateway를 사용하여 연결할수도 있습니다.

Direct Connect 연결 유형

Direct Connect 의 연결 유형에는 다음 두 가지 유형이 있습니다.

• 전용 연결(dedicated connections)
• 호스팅 연결(hosted connections)

Dedicated Connections
단일 고객이 연결을 고객이 소유합니다.
포트 속도는 1, 10 Gbps 또는 지역에 따라 100 Gbps 까지 지원합니다.
고객의 장비를 설치한 경우에는 CLI, API 등으로 연결을 신청한 후, 교차 연결을 위한 별도의 작업이 필요합니다.

Hosted Connections
DX 로케이션에 설치된 ARN 파트너의 장비에서 온 프레미스로의 가상 연결이 제공되는 방식입니다.
포트 속도는 50 ~ 500 Mbps이며 파트너에 따라 1,2,5,10 Gbps를 지원하기도 합니다.
연결 자체를 고객에게 제공(점유형)하는 경우나 아닌 경우(공유형, 호스팅 된 VIF)가 있습니다.
이는 파트너에게 연결을 신청할 때 상담이 필요합니다.

VIF

연결이 구성되면 실제로 AWS 리소스와의 통신을 위한 가상 인터페이스(VIF)가 필요합니다.
VIF는 다음과 같은 유형이 있습니다.

• Public VIF : 퍼블릭 IP를 사용하여 공개적인 연결이 필요한 AWS 서비스(S3, CloudWatch, DynamoDB 등)과 통신하는데 사용됩니다.
• Private VIF : DX Gateway 또는 VPC와의 통신을 위해 사용됩니다.
• Transit VIF : DX Gateway에 연결된 Transit Gateway와의 통신을 위해 사용됩니다.

VIF를 생성하는 방식도 다음과 같은 유형이 있습니다.

• 표준 VIF : 연결을 소유하고 있는 경우에 가능하며 실제 대역폭을 점유하여 사용합니다.
• 호스팅 VIF : 연결을 소유하고 있지 않은 경우에 사용하며 실제 대역폭과는 속도가 차이가 있을 수 있습니다.
• 호스팅 연결 : 위의 연결 목차에서 설명한 호스팅 연결로 구성하였을 때 생성하는 방식입니다.
  연결 1개당 하나의 VIF만 생성할 수 있습니다.

연결과 VIF를 조합하여 간략하게 보자면 다음과 같습니다.

전용 연결호스팅 연결

통신 방식	DX 로케이션의 고객 장비 혹은 파트너의 장비에서 온 프레미스로 통신	DX 로케이션의 APN 파트너의 가상 연결로 온 프레미스와 통신
연결의 소유	고객 장비라면 고객에게 있지만 파트너 장비라면 상담 필요	고객 소유
속도	1, 10 Gbps(리전에 따라 100Gbps 지원)	50 ~ 500Mbps(파트너에 따라 1,2,5,10 Gbps 지원)
VIF 생성	표준 VIF, 호스팅 VIF	호스팅 연결
기타	LAG를 통해 최대 4, 40Gbps 까지 속도 상승 가능	트래픽 속도가 구성된 최대 속도에 도달하면 초과 트래픽이 삭제

 

사용 패턴

주로 사용되는 Direct Connect의 사용 패턴은 다음과 같습니다.

1. AWS Direct Connect 

가장 간단한 구성으로 온 프레미스와 AWS VPC 간의 통신을 위해 Direct Connect를 쓰는 구성입니다.

혹은 더욱 일관된 처리량과 고가용성을 위해 2개의 Direct Connect를 구성하는 패턴도 있습니다.

다른 지역 혹은 다른 계정의 VPC와 연결하기 위해 Direc Connect Gateway를 사용할 수 있습니다.

 

2. AWS Direct Connect + AWS Transit Gateway 

VPC의 관리를 위해 Transit Gateway를 쓰던 환경이었다면 Direct Connect Gateway를 통해 이를 연결할 수 있습니다.
연결 가능한 Transit Gateway는 최대 3개입니다.

 

3. AWS Direct Connect + VPN 

AWS 리소스는 Public VIF와 통신하고 VPC와는 IPSec VPN과 통신합니다.
이러한 구성으로 종단 간 보안 IPSec 연결의 장점과 Direct Connect의 대역폭을 결합하여 일반 회선을 사용하는 것보다 향상된 네트워크 경험을 제공합니다.

 

4. AWS Direct Connect + AWS Transit Gateway + VPN 

동일한 리전의 여러 VPC에 대한 IPSec VPN의 연결 비용을 최소화할 수 있습니다.
AWS Transit Gateway와 IPSec VPN 터널의 라우터 사이에 또 ​​다른 BGP 세션 또는 고정 라우터가 설정됩니다.

마지막으로

VPN과 Direct Connect를 간단히 정리해 보았습니다.
긴 글 읽어주셔서 감사합니다!