Today Keys : ingress , routing , security, gateway , igw , vgw , internet, route table, vpc, aws, cloud
이번 포스팅은 2019년 12월에 추가된 VPC Ingress Routing에 대한 내용입니다. 기존에 서브넷에만 적용되던 라우팅을 Internet Gateway나 Virtual Private Gateway에 적용하여 보다 유연하게 경로 제어를 할 수 있어서, 추가적인 보안 정책 수립을 용이하게 도와줄 수 있습니다.
Ingress Routing
▪ IGW 및 VGW를 통해서 통신하는 VPC 트래픽에 라우팅 테이블을 적용하여 VPC 내의 가상 어플라이언스로 경로를 통하도록 하여,
네트워크 및 보안 정책을 수립할 수 있도록 함.
▪ On-Premise와 유사하게 IDS나 Firewall 솔루션을 이용해서 VPC를 통신하는 트래픽에 대한 보안 정책 적용 가능.
- 물론 기존에도 가능했지만, 복잡도와 Latency 증가 가능.
▪ CloudFormation 에서도 지원(20.1.21)
Ingress Routing 설정
▪ 라우팅 테이블의 하단에 보면, 기존의 '서브넷 연결' 메뉴외에 'Edge Associations' 메뉴를 통해서 IGW/VGW에 적용
▪ Edit edge associations로 들어가 보면, 선택할 수 있는 Edge가 'Internet gateway'와, 'Virtual private gateways'를 선택 가능
▪ Internet Gateway에 연결하는 경우, 목적지 네트워크 대역이 사용자 입장에서는 Public IP 였으나 IGW에서 VPC 내부로 올 때, NAT가 수행되기 때문에 해당 Public IP에 대응하는 VPC 내부의 Private IP를 목적지를 하도록 라우팅 설정을 해야 함
Ingress Route Table 제약사항
▪ Ingress Route Table은 동일 VPC 내로만 라우팅이 가능하며, 아래의 경우에는 Gateway에 Association 불가
- Target이 ENI 또는 Local 경로 외에 다른 Target이 포함된 경우
- VPC CIDR 외의 경로가 있는 경우
- Route Propagation이 활성화 된 경우
※ 이미 Association이 된 상황에서는 위의 경우에 대한 라우팅 설정 지정 불가
▪ Ingress Route Table이 실제 Gateway에 Association된 경우에는 Target이 대한 타입이 아래와 같이 제한 됨.
- Instance
- Network Interface (ENI)
- Local