Today Keys : cloud wan, core, network, policy, attachment, cne, edge, segment, concept, 개념
이번 포스팅에서는 AWS Re:Invent 2021에서 소개된 AWS Cloud WAN에 대해서 예정했던 마지막 포스팅인 여덟 번째 포스팅입니다. 이번 포스팅에서는 Cloud WAN에 대한 일반적인 개념에 대해서 다루었습니다. 기존에 7번째 포스팅까지 다루었던 실습을 좀 더 이해하기 위한 개념이라고 보시면 됩니다.
Cloud WAN에 대한 내용이 더 많아서, 모든 내용을 다룬 것은 아니기 때문에 추후에 다루지 않았던 다른 내용에 포스팅을 진행 할 수 있으나 현재 계획된 Cloud WAN에 대한 포스팅은 여기까지입니다.
AWS Cloud WAN
▪Cloud 및 On-Premise에서 실행되는 리소스를 연결하는 통합 Global N/W를 구축, 관리 및 모니터링하는 데 사용하는 관리형 WAN 서비스
▪ On-Premise 데이터 센터 및 Amazon VPC를 연결할 수 있는 중앙 대시보드를 제공
▪ 간단한 네트워크 정책을 사용하여 네트워크 관리 및 보안 작업을 중앙에서 구성하고 자동화 함
▪ 기존의 리전 간 VPC 혹은 Transit Gateway Peering을 통해 글로벌 Global 네트워크를 연결하고 관리하던 것을 중앙에서 Global 제어
- 하나의 네트워크 정책(Policy)에서 네트워크에 구성에 대한 정의(의도:Intend)를 통해 전체 네트워크 관리
Cloud WAN을 구성하는 개념
Global Network
▪사용자의 Network object의 최상위 레벨
Network Manager
▪Global Network를 중앙 관리하기 위한 AWS 관리 콘솔 및 관련 API의 User Interface
Core Network
▪AWS에서 관리하는 Global Network의 일부
▪Core Network Policy 문서에 정의 된 리전에서만 동작
Core Network Policy
▪Core Network의 정책 정의를 위해서 사용되는 문서
▪Core Network Policy 문서에 대한 추가적인 내용은 본 포스팅 하단 참조.
Attachments
▪Core Network에 연결하는 리소스
▪실질적으로 Cloud WAN을 이용해서 통신을 하게 될 서비스
▪연결 가능한 리소스 : VPC, VPN, Transit Gateway route table, Connect(SD-WAN)
CNE(Core Network Edge)
▪Attachment에 대한 Regional Connection point (Policy에 정의)
- 모든 Attachment는 Core Network Edge에 연결
▪Core Network Policy 문서에서 선언한 리전에서 Core Network Edge Router가 생성 됨.
▪Core Network Edge Router 간에는 서로 Full-mesh Peering 연결 및 다중 경로를 통한 가용성을 확보함.
▪※ 내부적으로 Cloud WAN은 Transit Gateway와 유사하지만, 일부 동작은 다름(Ex. Dynamic Routing)
Network Segments
▪Global Network 내에서 허용되는 라우팅 도메인(독립적인 라우팅 동장)
▪각 Attachment는 Attachment Policy에 따라서, 하나의 Segment에 연결 됨.
▪Segment는 기본적으로 독립적인 라우팅 도메인이기 때문에, Segment 간의 통신은 불가
- 단, Network Policy에서 sharing을 사용하면 Segment 간의 통신 가능
▪Segment 내에 연결된 Attachemnt 간에는 라우팅이 기본 동작하며, 모두 통신이 가능
- 단, 기본적으로 동작하는 라우팅을 제거(Isolated mode)하여, Attachment 간의 통신 제어 가능
Cloud WAN 구성 단계
Step 1 : Core Network 생성
Step 2 : Core Network Policy 설정
Step 3 : Segments와 Segment Actions 설정
- Attachment 구성
Step 4 : (Optional) Transit Gateway Network 등록
Step 5 : 중앙 관리 및 모니터링
Core Network Policy
▪Core Network를 관리하기 위한 정책(Policy) 문서
▪Core Network에서 관리 할 리전 및 라우팅과 Core Network에 연결 될 Attachment를 분류하기 위한 정의 선언
▪선언형 방식으로 설정해서, 원하는 구성을 선언한 정책 문서를 적용
▪일반 웹 형태에서 설정하는 방식의 Visual editor 방식과 JSON을 직접 수정하는 방식을 사용 가능
- toggle 형태로 원하는 방식으로 선택 할 수 있으며, 수정 중에도 변경 가능.
▪Core Network Policy는 Network Configuration, Segments, Segment Action, Attachment policies 영역으로 구분
- Network Configuration : Core Network를 구성 할 리전(Edge) 설정
- Segments : Core Network의 라우팅 도메인 구성을 하며, 해당 라우팅 도메인이 구성 될 리전 설정 등
- Segment Action : Segment 간의 라우팅 동작 방식 설정
- Attachment Policies : Attachment를 어떤 Segment에 연결 할 지에 대한 정책 설정
Segment와 Attachment의 구성
▪Core Network Policy에서 설정한 Edge Location(리전)에는 Core Network Edge라는 Router가 구성 됨.
▪Core Network Edge는 기존의 Transit Gateway와 유사
▪Segment는 Core Network의 라우팅 도메인으로, 단일 리전이 아닌 리전 간의 연결된 구성
▪리전 별 Attachment는 각 리전의 CNE 내에 있는 Segment에 연결
▪리전 간의 CNE는 Full-mesh로 연결된 것이나,
각 Segment에 대한 Global Segment가 있고 리전의 Segment는 Global Segment에 연결된 것으로 보면, 이해가 쉬움.
▪Segment Sharing의 경우, 추가 연결을 한다기 보다는 둘 간의 Dynamic Routing 구성하는 개념,
▪Segment에 연결된 Attachment에 대한 네트워크도 기본적으로 Routing이 돌지만, Isolated 모드 시 Routing이 비활성화 되는 개념
▪대략적인 이에 대한 개념을 시각화 해보면, 아래와 같은 구성으로 이해 할 수 있으며,
위의 Segment와 Attachement 구성에 대한 설명 및 아래의 구성은 이해를 돕기 위한 설명이며, 실제 내부 구성과 동작과 일치하지는 않음.