Cloud/AWS2020. 6. 19. 23:58
Today Keys :  ingress , routing , security, gateway , igw , vgw , internet, route table, vpc, aws, cloud

 이번 포스팅은 2019년 12월에 추가된 VPC Ingress Routing에 대한 내용입니다. 기존에 서브넷에만 적용되던 라우팅을 Internet Gateway나 Virtual Private Gateway에 적용하여 보다 유연하게 경로 제어를 할 수 있어서, 추가적인 보안 정책 수립을 용이하게 도와줄 수 있습니다.


Ingress Routing
  ▪  IGW 및 VGW를 통해서 통신하는 VPC 트래픽에 라우팅 테이블을 적용하여 VPC 내의 가상 어플라이언스로 경로를 통하도록 하여, 
     네트워크 및 보안 정책을 수립할 수 있도록 함.
  ▪  On-Premise와 유사하게 IDS나 Firewall 솔루션을 이용해서 VPC를 통신하는 트래픽에 대한 보안 정책 적용 가능.
         - 물론 기존에도 가능했지만, 복잡도와 Latency 증가 가능.
  ▪ CloudFormation 에서도 지원(20.1.21)



Ingress Routing 설정
  ▪ 라우팅 테이블의 하단에 보면, 기존의 '서브넷 연결' 메뉴외에 'Edge Associations' 메뉴를 통해서 IGW/VGW에 적용

  ▪ Edit edge associations로 들어가 보면, 선택할 수 있는 Edge가 'Internet gateway'와, 'Virtual private gateways'를 선택 가능

  ▪ Internet Gateway에 연결하는 경우, 목적지 네트워크 대역이 사용자 입장에서는 Public IP 였으나  IGW에서 VPC 내부로 올 때, NAT가 수행되기 때문에 해당 Public IP에 대응하는 VPC 내부의 Private IP를 목적지를 하도록 라우팅 설정을 해야 함


Ingress Route Table 제약사항 
  ▪  Ingress Route Table은 동일 VPC 내로만 라우팅이 가능하며, 아래의 경우에는 Gateway에 Association 불가
       - Target이 ENI 또는 Local 경로 외에 다른 Target이 포함된 경우
       - VPC CIDR 외의 경로가 있는 경우
       - Route Propagation이 활성화 된 경우
       ※ 이미 Association이 된 상황에서는 위의 경우에 대한 라우팅 설정 지정 불가
  ▪  Ingress Route Table이 실제 Gateway에 Association된 경우에는 Target이 대한 타입이 아래와 같이 제한 됨.
       - Instance
       - Network Interface (ENI)
       - Local





Posted by 지기 네떡지기

댓글을 달아 주세요