'2019/01/01'에 해당되는 글 2건

  1. 2019.01.01 AWS - Direct Connect : Part 2 [Hosted Connected]
  2. 2019.01.01 AWS - VPC : Part 11 [Endpoint-3]

Today Keys : direct, connect, dx, router, 전용선, dedicated, hosted, AWS, VPC, APN, 가상, VIF, sub, 


이번 포스팅은 AWS와 On-premise를 전용선으로 연동하는 Direct Connect 중에서 Hosted 방식의 연동 예제입니다.

본 포스팅에서는 Direct Connect 관점에서만 예제를 진행하고, 사전에 VPC 설정 등은 다루지 않습니다.


 

 

 

본 포스팅에서는 1개의 VPC(VGW)와 Sub 1G를 연동하는 Hosted Direct Connect 를 구성합니다.

최종 구성 이후의 그림과 같으며, 예제를 시작하기 전에는 Sub 1G를 제공하는 APN파트너와 전용선 개통이 완료된

상태로 가정하고 진행합니다.

Sub 1G를 사용하기 위해서 APN파트너에게 필요한 속도를 신청하면 VIF(가상인터페이스) 할당을 해줍니다.

가상 인터페이스가 할당된 상태에서 Direct Connect 메뉴에 들어가보면 [연결] 에 다음과 같이

APN파트에서 할당된 VIF 정보가 보입니다.

 

해당 연결을 선택하면 하단에 세부 정보가 표기됩니다.

현재는APN파트너에게 할당만 받은 상태이기 때문에 [pending acceptance] 입니다.

그리고 On-premise와 연동에 필요한 VLAN 정보와 포트 속도 등도 확인 할 수 있습니다.

하단의 체크 박스를 선택하고, 연결 수락을 진행합니다.

 

연결수락을 하면 상태가

[pending acceptance] 에서 [pending] 으로 변경됩니다.

 

이 상태에서 가상인터페이스(VIF) 메뉴를 가서보면 아직 가상 인터페이스가 없다고 나옵니다.

또한 가상 인터페이스를 만들 수 있는 메뉴도 없습니다.

연결을 수락한 이후에 가상 인터페이스를 생성할 수 있는 메뉴가 뜨는 데까지는 수 분이 소요됩니다.

 

연결 수락 후, 수 분이 지나면 다음과 같이 가상 인터페이스를 생성할 수 있는 메뉴가 활성화 됩니다.

 

[가상 인터페이스 생성] 메뉴를 선택하면 다음과 같이 VIF(가상 인터페이스)를 생성 할 수 있습니다.

프라이빗과 퍼블릭을 생성할 수 있습니다. 여기에서는 VPC와 연결하기 위한 private VIF를 생성합니다.

VIF를 연결하기 위해서 연결 대상을 '가상 프라이빗 게이트웨이'로 선택하고,

어떤 VPC와 연결할지, VPC에 연결된 VGW를 선택합니다.

VLAN 정보는 사전에 APN 파트너가 할당한 정보로 설정이 되어 있으며 변경되지 않습니다.

사용자 측의 BGP ASN을 지정합니다. 

사용자가 Public AS 갖고 있어서 해당 AS를 사용하거나, 임의의 사설 AS를 사용합니다.

* BGP 사설 AS(16bit) 범위 : 64.512 – 65.534

피어 IP주소와 BGP 키는 자동 생성을 할 수도 있지만,  

자동생성 체크박스를 해제하여 다음과 같이 사용자가 직접 지정 할 수도 있습니다.

 

 

 

 

모든 정보를 다 입력하고 가상 인터페이스를 생성하면 다음과 같이 생성된 가상인터페이스 정보를 확인 할 수 있습니다.

가상 인터페이스는 만든 직후에는 [ pending ] 상태이며, 잠시 후에 [ Down ] 상태로 변경됩니다.

 

 하단에 [ Peerings ] 탭을 선택하면, BGP ASN과 BGP 인증 키, 피어 IP 정보 등을 볼 수 있습니다.


AWS의 VIF 설정이 끝나면,  사용자 측 라우터(혹은 L3 스위치) 설정을 위한 설정 파일을 다운 받을 수 있습니다.

VIF(가상 인터페이스)를 선택하고 작업 메뉴에서 [라우터 구성 다운로드]를 선택합니다.

 

라우터 구성 다운로드에서는 현재 Cisco, Juniper, Palo Alto3가지 벤더의 제품을 지원하고 있습니다.

각 벤더를 선택하면 해당 벤더에서 지원하는 플랫폼(네트워크 장비 OS)과 해당 플랫폼의 버전을 있습니다. 


 

다음은 벤더별 지원하는 플랫폼 종류입니다.

실제 벤더의 모든 제품군을 지원하거나, 혹은 사용자가 갖고 있는 모든 벤더를 지원하는 것은 아니지만, 

아무 벤더의 설정을 다운받아서 사용자가 갖고 있는 벤더의 설정으로 변경해서 사용하시면 됩니다. 

 

 

 

 

 

 

다음은 Cisco Nexus 7000 시리즈의 설정을 다운받은 예시 컨피그입니다.

아래 설정을 다운 받아서 적절하게 설정을 변경해서 사용하시면 됩니다.

특히 Interface 번호나 BGP로 광고할 사용자 측이 네트워크 대역은 반드시 변경해야 합니다.

전체 설정을 모두하지 않더라도 필수적인 인터페이스 설정과 BGP 기본 설정만으로 연동이 가능합니다.

 

사용자 측 BGP 설정이 모두 끝나고 AWS의 VIF 상태를 보면 아래와 같이 BGP가 [ up ] 상태가 되는 것을 볼 수 있습니다.

BGP가 정상적으로 up으로 보이는 데 까지는 수분이 걸릴 수 있습니다. 

 

AWS VIF의 BGP가 up으로 보이기 전에 실제 사용자 장비에서 보면 BGP가 먼저 맺어진 것을 확인 할 수도 있습니다. 

실제 BGP 연동 후, AWS 대시보드에 반영되는 데까지는 좀 더 시간이 걸립니다. 

 

Posted by 네떡지기

Today Keys : VPC, endpoint, privatelink, private, link, 엔드포인트, 서비스, 게이트웨이, 인터페이스, interface,NLB


Private Link

VPC Endpoint는 게이트웨이 형식과 인터페이스 형식으로 구분 됨.

인터페이스 형식으로 구분되는 EndPoint를 Private Link라고도 합니다.

▪ VPC Endpoint 이외에 VPC Endpoint Service라는 것이 있는 데,  

  VPC Endpoint Service는 AWS 서비스가 아닌 AWS 사용자가 직접 만든 서비스를 접근하도록 하는 Private Link 임.

 

정리하면

  VPC Endpoint

     ▪ 게이트웨이 형식

     ▪ 인터페이스 형식 (Private Link) - 사용자

  VPC Endpoint Service  (Private Link) - 제공자

 

PrivateLink

▪ Private Link를 통한 AWS 일반 서비스 접근(VPC Endpoint : 인터페이스 형식)

     - 별도의 인터넷 경로없이 AWS 내부망을 통한 통신

     - Internet Gateway, NAT Gateway, Public IP 등이 필요하지 않음.

     - Direct Connect와 VPN을 통해서도 Private Link 접근 가능.

 

▪  Private Link를 통한 서비스 공유(VPC Endpoint Service)

   - 직접 만든 서비스를  VPC Endpoint Service로 만들어서 다른 AWS 사용자가 서비스에 접근 가능하도록 함.

   - 3rd party 서비스(SaaS)

   - 서비스 제공을 위해서는 NLB를 사용 필수

   ※ VPC Endpoint Service를 통해서 생성된 PrivateLink는 VPC Endpoint에서 사용

 

  


VPC Endpoint  Service 생성

   Step 1. NLB를 생성하여 서비스 연결

   Step 2. VPC EndPoint Service를 생성하면서 NLB를 연결.

 

VPC Endpoint Service 사용

   Step 1 특정 서비스 사용자(소비자)에게 Endpoint Service를 사용 할 수 있는 권한 부여

              - AWS 계정, IAM 사용자 및 IAM 역할

   Step 2 권한을 부여 받은 사용자는 Interface Endpoint 생성

   Step 3 연결을 활성화하기 위해 Interface Endpoint 연결 요청을 수락

              - Default로 수동 수락이지만, Endpoint Service 생성 시에 자동 수락으로 설정 가능.

 

Posted by 네떡지기

티스토리 툴바