'vpn'에 해당되는 글 1건

  1. 2018.11.28 AWS - Direct Connect : Part 1
Today Keys : Hybrid, Direct, Connect, Direct Connect, 전용회선, AWS, VPC, VPN, VGW, BGP, DX, 클라우드, Cloud, 하이브리드



이번 포스팅은 AWS와 On-premise와 연결하는 Direct Connect에 대한 첫 번째 포스팅입니다.

기존에 포스팅 중이던 VPC와 함께 포스팅 될 예정입니다. 

최초에 작성하고 내용을 일부 수정하느라 크리스마스 이브 밤에 정식 포스팅을 시작합니다. 

아마도 기본 내용의 포스팅이라서 추가적으로 나중에 업데이트 되지 않을까 싶습니다. 



AWS와 On-Premise의 연결

 ▪ AWS와 On-Premise 와의 연결을 위한 방법으로는 다음의 3가지 방법으로 나눌 수 있음

    1. 일반 인터넷망

    2. VPN

          - Software VPN으로 구성 혹은 전용 하드웨어 VPN으로 구성

    3. Direct Connect




Direct Connect

 ▪ AWS와 On-Premise 데이터센터 간의 전용회선을 통해서 연결하는 구성

 ▪ 일반 인터넷망이나 VPN망에 비해서 망 대비 안정적인 성능을 제공할 수 있으며, 보안적으로도 우수

 ▪ 1G/10G 혹은 LAG를 통한 최대 40G 구성도 가능. 1G 이하의 속도도 제공하지만, 구성 방식이 다름

      - 아래의 'Direct Connect 구분' 참조

  VPN의 경우 연동 시에 Static Routing과 Dynamic Routing으로 BGP를 함께 지원하지만,  Direct Connect는 BGP만 지원

      - 단, Sub 1G를 사용하는 Hosted Direct Connect는 APN Partner를 통해서 BGP 구성하고 사용자는 Static으로 구성 가능.

 ▪ MTU 1500 & 9001 지원

     * 2018년 10월 11일부터 점보프레임(MTU 9001) 지원

 ▪ 별도의 SLA(서비스 수준 계약)는 제공하지 않음


Direct Connect 연결 지점

 ▪ Direct Connect를 사용하기 위해서는 On-Premise와의 전용선을 연결하기 위한 DX Location이란 지점이 필요

 ▪ 전 세계 16개 리전 80여개의 접속 지점이 존재(2018년 기준 - AWS Summit 자료)

 ▪ On-Premise 데이터센터의 라우터에서 직접 DX Location 내에 있는 AWS Direct Connect 라우터에 연결 할 수도 있고,
    DX Location에 상면을 임대하여, 로컬 구간만 케이블을 구성할 수도 있음.

 ▪ 한국 리전에는 KINX(서울 가산), LG U+(경기 평촌)에 DX-Location이 존재



Direct Connect 구분

 ▪ Dedicated 방식

   - 사용자 단 장비와 직접 AWS Direct Router 장비가 연결

   - Direct Connect 연결을 위한 Virtual Interface를 사용자 측에서 직접 생성

   - AWS Direct Connect 연결을 위한 BGP 설정을 사용자 단 장비에 설정

   - 1G 혹은 10G 속도 지원

   - Connection을 생성하여 요청하면 실제 케이블이 연결된 정보를 승인받아서 할당받고, Cross Connection 연결을 요청



  Hosted 방식

   - 사용자 단 장비는 APN Partner 장비와 전용선을 연결

   - Direct Connect 연결을 위한 Virtual Interface은 APN Partner에게 요청한 후 할당 받음.

   - APN Partner는 APN Partner 계정에서 VIF를 만들어서 사용자 계정에 할당하고 사용자가 이를 수락하는 방식

   - AWS Direct Router와는 APN Partner 장비가 연결된 상태이기 때문에 별도의 Cross Connection 연결 과정이 없음. 

   - AWS Direct Connect 연결을 위한 BGP 설정을 사용자 단 장비에 설정을 하지만,
     APN Partner에 요청하여 BGP 연동은 APN Partner 장비에서 하고, 사용자와의 연결은 

   - 1G 이하의 속도 연결 필요 시에 사용


  

 

 

Direct Connect 연결을 위한 장비 요건

 ▪ Singlemode 광 연결

 ▪ 802.1Q 지원
     - VIF에서 VLAN ID를 사용하여 구분

 ▪ BGP 지원
     -
VPN을 통한 연결은 Static Route와 BGP를 모두 지원하지만, Direct Connect는 BGP만 지원

 ▪ RFC 3021(Using 31-Bit Prefixes on IPv4 Point-to-Point Links) 지원
     - Public VIF에서 AWS의 Public IP 주소를 이용할 때만 필요

  


Direct Connect 구성

 Direct Connect는 Virtual Interface(VIF)를 생성하여 VGW(VPC)와 연결(Private VIF)하거나, 해당 Region의 직접 연결(Public VIF)

 VIF가 연결되는 VGW는 Direct Connect를 갖고 있는 계정이 아닌 다른 계정에도 연결 가능

    - 즉, 계정을 분리하여 관리하더라도 하나의 Direct Connect 구성 가능.

    - 하나의 회사에서 공용의 전용선을 구성하고, 회사 내의 구분 단위 별(팀,그룹,본부 등)로 별도 계정으로 공용 전용선 사용 가능.



Private VIF & Public VIF

 ▪ Private VIF

   - Private VIF 생성 시에 해당 VIF를 연결 할 VGW(VPC)를 선택 

   - AWS 내의 생성한 VPC 내의 네트워크를 Direct Connect를 통해서 연결하는 경우에 사용



  

 ▪ Public VIF

    - AWS의 VPC 내에 존재하는 것이 아닌 S3, API Gateway와 같은 Public Service를 인터넷망이 아닌 Direct Connect 연결 시 사용

    - Public VIF를 연결하게 되면 해당 리전의 Public Service를 위한 공인 대역을 BGP를 통해서 On-Premise로 광고

    - On-Premise로 광고된 대역에 대해서는 Longest match Rule에 의해서 기존의 인터넷망이 아니 Direct Connect 경로로 통신

    - 만약 AWS 내의 전체 Public Service가 아니라 특정 서비스에 대해서만 Direct Connect로 통신하고자 할 때에는 

       특정 서비스에 대한 CIDR을 확인하여, 해당 대역을 제외하고는 Filtering을 통해서 라우팅 광고를 제한적으로 수신

         * 각 서비스별 CIDR은 AWS에서 확인 가능



Direct Connect 한도


Posted by 네떡지기

티스토리 툴바