본문 바로가기

Cloud/AWS

AWS Cloud WAN - Part 7

Today Keys :    cloud wan, wan, resource, access, manager, ram, sharing, core, policy, edge, segment,
 

 이번 포스팅에서는 AWS Re:Invent 2021에서 소개된 AWS Cloud WAN에 대한 일곱 번째 포스팅입니다.  이번 포스팅에서는 Multi Account에서 Cloud WAN의 Core Network를 Resource Access Manager를 이용해서, 공유해서 서로 다른 Account의 VPC를 연결하는 것을 테스트 하는 예제입니다.
 Cloud WAN에 대한 포스팅으로 다룰 수 있는 내용들은  더 많이 있을 것 같지만, 나중에 다루기로 했던, Cloud WAN에 대한 개론에 대한 포스팅인 Cloud WAN Part 8까지만 올리게 될 것 같습니다. Cloud WAN에 대한 추가적인 포스팅을 추가로 더 다루게 될 수도 있으나 현재는 Part 8까지만 계획 중입니다.
 

 
오늘 포스팅에서 다룰  Multi Account에서 Cloud WAN을 사용 할 수 있도록
Core Network에 대한 Resource Sharing 테스트를 위한 아키텍처입니다.
2개의 Account (ZIGI, SPACE)가 있고, 그 중에 ZIGI라는 Account에서 Cloud WAN을 구성했습니다.
ZIGI Account에서 생성해 둔, Core Network를 SPACE Account에 Sharing을 하고,
SPACE Account에서는 Sharing 받은 Core Network를 이용해서, Attachment를 합니다.
마지막으로 기존 ZIGI의 Attachment와 SPACE의 Attachment에 대한 통신이 이뤄지는지 봅니다.
 
 
 
본 포스팅에서는  ZIGI Account의 Cloud WAN의 구성(Attachment 2개 포함)까지 되어 있다고 가정합니다.
 

[ ZIGI Account ]

먼저, ZIGI Account에서 Resoure Access Manager를 이용해서 Core Networks를 SPACE Account에 Sharing 합니다.
Core Network를 공유는 Virginia 리전에서 하시면 됩니다.
Resource Share name 이름으로 'ZIGI-Core-RAM'이라고 설정하고,
Sharing할 Resource Type을 Core Network로 설정해서, 기존에 만들어 둔 Core Network을 선택합니다.
여기에서 별도의 Tag는 지정하지 않았습니다.
 
 
 
공유 Resource Type에 연결 할 Permission을 설정합니다.
여기에서는 기본 값으로 두고, 다음으로 넘어갑니다.
 
 
 
이 공유 Resource에 접근을 허용 할 principals를 설정합니다.
외부 혹은 동일 Organizaion에서만 접근하도록 설정이 가능하여,
AWS Account, Organizaion, OU, IAM Role, IAM User를 Principals로 지정 할 수 있습니다.
공유 허용 범위는 기본 값으로 두고, AWS Account(앞의 아키텍처 그림에 있는 SPACE Account)만 개별로 지정했습니다.
 
 
 
Resource Access Manager 설정을 마치기 위해서 앞서 설정한 값을 확인 후, Sharing을 시작합니다. 
 
 
 
Resource Access Manager가 정상적으로 설정이 되면, 아래와 같이 확인이 가능합니다.
 
 

 

[ SPACE Account ]

 
이제 SPACE Account에서 Resource Access Manager를 확인해 보겠습니다.
ZIGI Account에서 공유한 Core Network Resource 가 보이는 것을 확인 할 수 있습니다.
 
 
 
이제 ZIGI Account에서 공유 받은  Core Network를 이용해서 Attachment를 만듭니다.
이름을 'ZIGI-RAM-Attach'라고 하고,
Core network에는 공유 받은 ZIGI-Core-NW를 선택합니다.
Edge Location은 Virginia, Attachment Type을 VPC로 하고 SPACE Account의 VPC인 ZIGI-VPC-RAM1을 선택합니다 .
 
 
 
잠시 후, ZIGI-RAM-Attach가 정상적으로 생성된 것을 볼 수 있습니다.
우측에 보시면, Core Network가 'Shared'라고 표기가 되어 있는 것을 볼 수 있습니다.
 
 
 
[ ZIGI Account ]
ZIGI Account의 Attachment에서도 SPACE Account에서 만든 Attachment가 보이는 것을 확인할 수 있습니다.
 
 
앞서 공유 받은 Attachment를 포함해서 현재 ZIGI Account의 Attachment를 포함해서 3개의 VPC Attachmen가 있습니다.
 
 
 
이제 zigiseg1의 라우팅 테이블을 확인해 보겠습니다.
ZIGI Account의
   Virginia VPC의 Attachment 대역인 10.1.0.0/22 
   Singapore VPC의 Attachment 대역인 10.4.0.0/22
SPACE Account의
   Virginia VPC의 Attachment 대역인 10.3.0.0/22
이 모두 보이는 것을 볼 수 있습니다.
 
 

 

 
zigiseg1의 Singapore(ap-southeast-1)에서도 라우팅 테이블을 동일하게 확인할 수 있습니다.
 
 
 
이제 실제 통신 테스트를 해보겠습니다.
먼저 동일 Region에 있는 ZIGI Account의 EC2(10.1.1.161)과 SPACE Account의 EC2(10.3.0.183) 간에
정상적으로 통신이 되는 것을 아래와 같이 확인 할 수 있습니다. 
 
 
 
다음은 서로 다른  Region에 있는 ZIGI Account의 EC2(10.4.0.168)과 SPACE Account의 EC2(10.3.0.183) 간에도
아래와 같이 정상적으로 통신이 되는 것을  확인 할 수 있습니다.