WiseN

[Reinvent2019] Transit Gateway를 보다 편리하게 - Inter-region Peering과 Network Manager 소개

Blog thumbnail

들어가며


안녕하세요. GS네오텍 강현석입니다.

이번 행사에서 많은 분들이 눈여겨봤을 것으로 생각되는 'Transit Gateway Inter-region Peering' 기능이 드디어 업데이트 되었습니다. 약 1년전에 Transit Gateway가 처음 발표되면서 이전까지의 수많은 VPC와 On-Premise Network를 손쉽게 통합할 수 있게 되었는데요. 반면 Transit Gateway는 Region Gateway로 다른 Region의 VPC와 연결은 지원하지 않아 활용에 일부 불편함이 있었습니다.

하지만, 고객의 의견을 항상 존중(?)하는 AWS는 이러한 피드백을 수용하여 'Inter-region Peering' 기능을 출시하였습니다. 뿐만 아니라 Transit Gateway와 함께 구성 된 네트워크들을 쉽게 관리 할수 있도록 'Transit Gateway Network Manager' 기능도 함께 출시하였습니다.

서론이 길었습니다. 시작합니다.

 

Transit Gateway Inter-region Peering 개요


Transit Gateway는 VPC 및 VPN에 대한 연결성을 제공할 뿐만 아니라 Direct Conenct에 대해 Virtual Interface까지 제공합니다이런 다양한 연결 옵션을 제공함에도 불구하고 동일 Region의 VPC만 연결할 수 있던 점이 큰 단점이였는데요. 이번 기능 업데이트를 통해 이러한 단점이 사라졌습니다.

그럼 'Inter-region Peering'에 대해 살펴 보도록 하겠습니다.

 

▨ 기능 개요

Inter-region Peering은 다른 Region의 Transit Gateway와의 Peering을 제공합니다. 각 Region의 Transit Gateway를 Region Gateway로 구성하고 Inter-region Peering을 통해 네트워크를 글로벌하게 확장할 수 있습니다. 무엇보다 Peering을 통한 트래픽은 AWS Global Backbone Network를 경유하기 때문에 인터넷 보다 빠르고 트래픽 노출을 최소화 할 수 있습니다. 또한, VPC Peering과 동일하게 Peering을 통해 통신하는 트래픽을 암호화 하기 때문에 보안을 강화 할 수 있습니다.

단, `19년 12월 기준으로 Seoul 리전은 아직 지원하지 않고 다음 Region들에 대해서 'Inter-region Peering'을 설정할 수 있습니다.
 

  • US-East(N.Virginia), US-East(Ohio), US-West(Oregon)
  • EU(Ireland), EU(Frankfurt)

▨ 고려 사항

Inter-region Peering은 앞서 말씀 드린 것처럼, 다른 Region의 Transit Gateway만 Peering이 가능합니다. 한편 동일 계정 뿐만 아니라  타 계정에 대한 Transit Gateway과의 Peering도 가능한데요. 단, 뒤에서 설명 드릴 Transit Gateway Network Manager에서 일부 제약 사항이 있습니다.

Transit Gateway Inter-Region Peering에 대한 요금도 많이들 궁금해 하실 듯 합니다. Peering 연결을 통해 전송된 데이터에 대한 추가 데이터 처리 요금은 부과 되지 않습니다. 아래 각 Region 별 Transit Gateway 요금을 참조하시기 바랍니다.

AWS Documentation – Transit Gateway Price 

 

Transit Gateway Inter-region Peering​ 데모


Transit Gateway Inter-region Peering 설정은 다음과 같습니다. (데모는 US-East-1과 US-West-2 리전에서 진행)
Inter-Region Peering은 각 Transit Gateway Console의 Attachments 항목에서 설정할 수 있습니다.

먼저, Attachments에서 Peering Connection을 생성합니다. (각 Region에 Transit Gateway는 사전 생성)

※ Peer Transit Gateway에서 Peering Attachments를 삭제하는 경우, 기존 요청 Transit Gateway의 Attachments도 삭제되니 주의!

  

Peering 연결 요청에 대해 수락을 하게 되면, Provisioning에 일정 시간이 소요 된 후 다음과 같이 연결이 완료됩니다.
  

Inter-region PeeringBGP Peering과 1도 관계가 없기 때문에, 두 Transit Gateway Peer간에 Routing 정보를 주고 받지 않습니다. 정리하면 Transit Gateway는 Region 내에서 Routing을 동적으로 관리가 가능하고 Inter-Region에 대해서는 Static 경로로 구성이 필요합니다. 따라서, Transit Gateway Route Table에서 Peering을 구성한 Attachment로 Routing을 추가 해야 합니다.

 

 

해당 Peer Transit Gateway에 대한 Route Entry를 추가하게 되면 다음과 같이 Peering Connection에 대한 경로를 확인할 수 있습니다.

 

  

Transit Gateway Network Manager 개요




Transit Gateway가 Inter-region Peering 기능을 업데이트 하면서, Global 하게 확장되는 네트워크를 관리하도록 Network Manager가 출시 되었습니다. Transit Gateway Network Manager를 통해 AWS의 Network Resource와 On-Premises Location(VPN)을 시각화하고 모니터링이 가능해졌습니다.

 

그럼, 해당 기능에 대해 좀 더 살펴보도록 하겠습니다.

 

▨ 기능 개요

Network Manager는 Transit Gateway와 연관 된 네트워크 리소스들을 시각화하고 모니터링이 가능하고 말씀을 드렸었는데요. 이러한 네트워크 리소스들을 Network Manager에 등록하기 전에 다음의 Concept을 먼저 살펴보도록 하겠습니다. 

  • Global Network : Network 리소스들의 정보를 담고 있는 단일 Private Network
  • Device​ : Transit Gateway와 연결되는 Hardware 또는 Virtual Appliance
  • Link : Site에서 사용하는 단일 Internet Connection (Ex: KT 50Mbps)
  • Site : 실제 On-Premises Location을 지정하는 Object

 

▨ 고려 사항

Network Manager를 사용하는 경우, 큰 고려사항은 없습니다. 기본적으로 Network Manager를 사용하는데에 발생하는 비용은 없기 때문에, 사용하는 Network Resource에 대한 비용만 고려하시면 됩니다. Network Manager에서 'Global Network'를 생성한 후, CloudWatch Metric과 Events를 사용하여 더 자세한 네트워크 상태를 모니터링 할 수 있습니다.

, Network Manager는 단순히 네트워크 리소스에 대한 시각화와 모니터링만을 제공하므로, Network Manager에서 리소스를 생성,수정,삭제 할 수는 없습니다.

※ 타 계정의 Transit Gateway와 Inter-region Peering을 구성한 경우, 해당 타계정의 Attachments 정보는 볼 수 없습니다.

 

Transit Gateway Network Manager​ 데모


Transit Gateway Network Manager를 사용하려면 먼저 Global Network를 생성해야 합니다.


 

 

Global Network를 생성한 후, 생성 된 Global Network를 클릭하여, 상세 페이지로 이동 합니다. Transit Gateway를 등록하여, Transit Gateway와 관련된 네트워크 리소스를 볼 수 있습니다.

 

 

생성한 Global Network에 Transit Gateway를 등록합니다.

 

Transit Gateway가 등록 되면, 해당 Transit Gateway에 연관된 네트워크 리소스 정보를 볼 수 있습니다. 예제의 경우, Transit Gateway에 연결된 VPC, Direct Connect Gateway, VPN 정보를 볼 수 있습니다.


  다음은 등록된 Transit Gateway와 연관된 네트워크 리소스들을 시각화 해주는 Topology입니다.



위 토폴로지를 보시면 VPN 연결에 대해서 'Not Associated'로 보여지는 것을 볼 수 있습니다. 위에 언급했던 Device, Site 그리고 Link(Optional)를 등록하도록 하겠습니다. (좌측 탭의 'On-premises' 에서 등록)

Customer Device의 정보를 입력해 줍니다. 위에 보시는 것처럼, Device의 정보를 입력할 수 있습니다. 이 정보를 통해 Customer Device의 인벤토리 관리를 수월하게 할 수 있습니다.
 

Device를 등록하게 되면, 생성 된 Device의 상세 페이지에서 'On-Premise Associations'를 통해 CGW(Customer Gateway)와 매핑할 수 있습니다. CGW(Customer Gateway)를 등록하기 전에, Site와 Link를 하겠습니다. 주의할 점은 해당 'On-Premiss Associations' 탭에서 등록할 수가 없고, 좌측 탭의 Site로 가서 Site를 생성해야 합니다.


생성하는 Site를 구분하기 위해 이름 뿐만 아니라, 해당 Site의 주소, 위도, 경도를 입력할 수 있습니다. 여기서 입력되는 위도,경도 값을 통해 'Global Network'의 'Geographic'에서 위치를 시각화 할 수 있습니다. 

Site가 생성되면, 상세페이지에서 'Link'를 같이 생성합니다. 'Link'는 Site의 추가적인 정보를 입력하는 선택 사항으로, 회선속도(Up/Download) 및 회선사업자 등의 정보를 포함할 수 있습니다.

 

생성 후에, 좌측의 'Device' 탭으로 돌아가서 상세 페이지로 이동합니다. 상단의 'On-Premises Associations' 탭에서 'Associate Site'를 클릭하여 앞에서 생성한 Site를 연결합니다. 마찬가지로, 'Link' 탭에서 'Associate Link'를 클릭하여 생성한 Link를 연결 합니다. 

마지막으로 생성한 'Device'와 CGW(Customer Gateway)를 연결합니다.

 

 연결이 완료되면 다음과 같이 토폴로지가 변경된 것을 볼 수 있습니다.

 

또한, 생성한 Site는 Global Network의 'Geographic' 탭에서 다음과 같이 위치정보를 볼 수 있습니다.

 

추가적으로, 'Inter-region Peering'까지 구성한 경우, Peering 정보까지 볼 수 있습니다.

 

번외로 테스트를 위해 VPN 연결을 Down 시켜보았습니다. (실서비스 환경에서는 절대 따라하지 마세요)

보시는 것처럼, 이벤트가 발생하면 토폴로지에서도 확인이 가능합니다. 서비스 장애가 발생하면 해당 기능을 통해 빠르게 문제 파악이 가능할 것으로 보이네요. 

마지막으로 동일 Global Network에 'Inter-region Peering'을 구성해봤는데요. 아쉽게도 Region 별 계층 구조가 아닌 Transit Gateway를 기준으로 추가되는 것 같습니다. 따라서, Global Network를 구성할 때 각 Region 별 Transit Gateway Naming을 잘 하셔서 분류를 하는 것을 권장 드립니다.

 

 

마치며


이전까지 Global Routing을 위해 Transit VPC를 구성하곤 했는데요.

Transit VPC 구성을 위해 타사 Appliance를 구성하고 License 비용 뿐만 아니라 관리의 어려움이 있었습니다. 이 기능 업데이트를 통해 Transit VPC를 모두 대체할 수는 없겠지만 관리형 서비스의 많은 이점을 얻을 수 있을 것으로 보입니다.

마지막으로, Network Manager를 통해 AWS 글로벌 인프라를 시각화하고 모니터링 할 수 있게 되었습니다. 이를 통해 전체 인프라를 한눈에 보고 문제점을 보다 빨리 파악할 수 있습니다. 무엇보다 별도의 비용이 발생하지 않으니 안 쓸 이유가 없겠죠?

이번 게시물은 데모 때문인지 내용이 꽤 많았네요. 긴 글 읽어주셔서 감사합니다.

끝!