[AWS SAA] 45. VPC 피어링

VPC 피어링

비즈니스 또는 아키텍처 규모가 충분히 커지게 되면 보안 또는 아키텍처 측면의 필요를 위해 또는 단지 단순성을 위해 논리적 요소를 분리해야 합니다.

 

VPC 피어링 연결은 두 VPC 간에 일대일 관계입니다. 두 VPC 간에 하나의 피어링 리소스만 가질 수 있습니다. 소유한 각 VPC에 대해 여러 VPC 피어링 연결을 생성할 수 있습니다.

 

VPC 피어링 관련 제한 사항 및 규칙은 다음과 같습니다.

• VPC 당 사용할 수 있는 활성 및 보류 VPC 피어링 연결의 수에는 제한이 있습니다.
• 동일한 2개의 VPC 간에는 하나의 VPC 피어링 연결만 생성할 수 있습니다.
• VPC 피어링 연결에서 MTU(최대 전송 단위)는 1,500 byte 입니다.

 

다중 VPC 피어링 연결

 

위 예시에서 A와 B, B와 C가 피어링 되어있습니다. 이러한 피어링이 A와 C가 통신할 수 있다는 의미는 아닙니다. 피어로 명시적으로 설정되지 않는 한 기본적으로 VPC 피어링은 A가 C에 연결하도록 허용하지 않습니다. 서로 통신할 수 있는 VPC는 고객이 제어합니다.

 

소유한 각 VPC에 대해 여러 개의 VPC 피어링 연결을 생성할 수 있지만, 전이적 피어링 관계는 지원되지 않습니다. 직접 피어링 되지 않은 VPC와는 피어링 관계를 갖지 않습니다. 자체 VPC 간의 VPC 피어링 연결, 또는 단일 리전 내에 있는 다른 AWS 계정에서 VPC와의 VPC 피어링 연결을 만들 수 있습니다.

 

이점

VPC 피어링을 사용해 여러 VPC를 연결하는 경우 다음과 같은 이점이 있습니다.

• 인터넷 게이트웨이 또는 가상 게이트웨이를 우회할 수 있습니다. VPC 피어링을 사용하면 환경 내에 다른 가상 어플라이언스가 필요 없이 둘 이상의 네트워크를 빠르게 연결할 수 있습니다.
• 고가용성 연결을 사용할 수 있습니다. VPC 피어링 연결은 기본적으로 중복됩니다. AWS에서 연결을 관리합니다.
• 대역폭 병목 현상을 방지할 수 있습니다. 모든 리전 간 트래픽은 암호화되며 단일 장애 지점 또는 대역폭 제한이 없습니다. 트래픽은 항상 글로벌 AWS 백본에서 유지되며 퍼블릭 인터넷을 통해 전송되지 않습니다. 이러한 구성 방식으로 인해 흔히 발생하는 공격과 DDoS(Distributed Denial-of-Servuce) 공격 등의 위협이 줄어듭니다.
• 프라이빗 IP 주소를 사용해 트래픽을 전송할 수 있습니다. VPC 피어링 트래픽은 프라이빗 IP 공간 내에 유지됩니다.

 

예시

예시 1

위 예시에서는 각 VPC와 공유할 수 있는 공유 서비스 VPC가 있습니다. 이 VPC를 사용해 리소스가 App1, 2 VPC 각각에 있는 서비스에 연결할 수 있습니다.

 

뿐만 아니라 다른 리전에 있는 VPC와의 VPC 피어링 연결이 표시되어 있는데, 리전 간 VPC 피어링을 사용하면 서로 다른 리전에서 실행되는 VPC 리소스가 프라이빗 IP 주소를 사용하여 서로 통신할 수 있습니다. 리전 간에 트래픽을 전송하기 위해 게이트웨이, VPN 연결 또는 별도의 물리적 하드웨어를 사용할 필요가 없습니다.

 

예시 2

VPC 피어링을 사용하여 각 VPC를 조직 내의 다른 모든 VPC에 연결하면 풀 메시 네트워크 디자인을 생성할 수 있습니다.

 

이 아키텍처에서 각 VPC는 통신이 승인된 각 VPC와 일대일 연결이 있어야 합니다. 이 요구 사항이 적용되는 이유는 각 VPC 피어링 연결이 성격상 전이적이지 않고 네트워크 트래픽이 피어링 연결 간에 전달되도록 허용하지 않기 때문입니다.

 

예를 들어 A가 C와 피어링되고, C가 E와 피어링된 경우 패킷을 A에서 C를 경유해 E로 라우팅할 수 없습니다. 패킷을 A와 E 사에이서 직접 라우팅하려면 두 VPC 간에 별도 VPC 피어링 연결을 생성해야 합니다.

 

필요한 연결 수는 잠재적 장애 지점 수 및 모니터링 요구 사항에 직접적인 영향을 미칩니다. 필요한 연결이 적을수록 모니터링해야 하는 연결이 줄어들고 잠재적 장애 지점이 감소합니다. 네트워킹 환경을 확장해야 하는 경우 다른 옵션을 고려해야 합니다.