[AWS SAA] 46. S2S VPN과 Direct Connect

Site to Site(S2S) VPN

S2S VPN 연결에서는 VPN 터널 2개가 제공됩니다. 이러한 터널은 AWS 측의 가상 프라이빗 게이트웨이나 Transit Gateway와 온 프레미스 측의 고객 게이트웨이를 연결합니다. S2S VPN의 특징은 다음과 같습니다.

• 가상 프라이빗 게이트웨이는 S2S VPN 연결의 AWS 측에 있는 VPN 집선기입니다.
• 한 VPN 연결의 VPN 터널이 서로 다른 가용 영역에서 종료됩니다.
• 고객 게이트웨이는 AWS에서 고객이 생성하는 리소스입니다. 온프레미스 네트워크의 고객 게이트웨이 디바이스를 나타냅니다. 네트워크 관리자가 원격 네트워ㅋ에서 고객 게이트웨이 디바이스 또는 애플리케이션을 구성합니다. AWS는 고객에게 필요한 구성 정보를 제공합니다.
• 고객 게이트웨이 장치의 기능에 따라 정적 라우팅 또는 동적 라우팅을 선택합니다. 동적 라우팅 옵션은Border Gateway Protocol(BGP)를 사용하여 자동으로 경로를 탐색합니다.

 

고객 게이트웨이 디바이스는 트래픽을 생성하고 Internet Key Exchange) 협상 프로세스를 시작하여 S2S VPN 연결을 위한 터널을 표시해야 합니다. 고객 게이트웨이를 생성할 때 디바이스에 대한 정보를 AWS에 제공합니다.

 

상세

 

Direct Connect

Direct Connect는 표준 이터넷 광 케이블을 통해 내부 네트워크를 Direct Connect 로케이션에 연결합니다. 케이블의 한쪽 끝은 사용자의 라우터에 연결되고 다른 쪽 끝은 Direct Connect 라우터에 연결됩니다. 이러한 방식을 교차 연결이라고 합니다. 이 연결을 구성하면 네트워크 경로에서 인터넷 서비스 공급자(ISP)를 우회하여 퍼블릭 AWS 서비스 또는 VPC에 직접 가상 인터페이스를 생성할 수 있습니다.

 

데이터 센터에서 교차 연결 생성 프로세스를 시작하려면 Letter of Authorization and Connecting Facility Assignment(LOA-CFA)가 필요합니다.

 

 

위 예시에서는 온프레미스 데이터 센터에 고객 게이트웨이 디바이스가 있습니다. 데이터 센터에서는 라우터가 있는 고객 케이지로 트래픽이 전달됩니다. 고객 케이지는 AWS 케이지의 AWS 라우터로 트래픽을 전송합니다. AWS 클라우드에서 가상 프라입시 게이트웨이는 AWS 백본을 통해 트래픽을 수신하여 온프레미스 데이터 센터를 VPC에 연결합니다. 이 연결이 설정되면 VPC에서 경로를 생성할 수 있습니다. 그러면 온프레미스 데이터 센터와 VPC의 프라이빗 서브넷 간 트래픽 흐름이 허용됩니다.

 

Direct Connect 로케이션에서 해당 로케이션과 연결된 리전의 AWS에 액세스할 수 있습니다. 퍼블릭 리전 또는 AWS GovCloud(미국)의 단일 연결을 사용하여 다른 모든 퍼블릭 리전 의 퍼블릭 AWS 서비스에 액세스할 수 있습니다.

 

Dircet Connect 로케이션에서 Direct Connect를 사용하기 위해 네트워크가 다음 조건 중 하나를 만족해야 합니다.

• 네트워크가 기존 Direct Connect 로케이션과 공동 배치되어 있습니다.
• Direct Connect 파트너와 협렵합니다.
• 독립 서비스 공급자와  협력하여 Direct Connect에 연결합니다.

상세

 

요금

1. Direct Connect 요금 정책 시에 사용되는 요인

• 용량
  네트워크 연결을 통해 데이터를 전송할 수 있는 최대 속도입니다. AWS Direct Connect 연결의 용량은 초당 Mbps 또는 초당 Gbps 단위로 측정됩니다.
• 포트 시간
  AWS 사용을 위해 포트가 프로비저닝되는 시간을 측정한 값입니다. AWS Direct Connect 위치 내에 있는 AWS Direct Connect 제공 파트너의 네트워킹 장비에서 측정한 값일 수도 있습니다. 포트를 통해 전달되는 데이터가 없어도 포트 시간 요금은 부과됩니다. 포트 시간 요금은 연결 유형(전용/호스트 연결)에 따라 결정됩니다.
• 데이터 송신(DTO)
  AWS Direct Connect를 통해 AWS 외부의 대상 위치로 전송되는 네트워크 트래픽의 누적 양을 지칭합니다. DTO 요금은 GB 단위로 부과됩니다. 그리고 용량 측정값과는 달리 DTO는 전송되는 데이터의 '속도'가 아닌 '양'입니다. DTO 계산 시 정확한 요금은 사용 중인 Direct Connect 로케이션과 리전에 따라 달라집니다.

2. Site to Site VPN 요금 정책

사용하는 연결의 시간당 연결 요금이 부과되며 Direct Connect와 마찬가지로 DTO 요금도 부과됩니다. S2S 사용 시 처음 데이터 전송 100GB는 무료입니다.

 

Direct Connect 요금 / S2S VPN

 

선택 기준

하이브리드 연결 요구를 가장 효율적으로 충족하는 제품을 선택하는 것이 좋습니다. 사용 사레에 따라 S2S VPN이나 Direct Connect 중 하나 또는 두 가지를 모두 선택할 수 있습니다.

 

1. S2S VPN (최대 전송 속도 1.25Gbps)

• 온 프레미스 네트워크와 VPC 간의 네트워크 연결을 빠르게 설정하는 방법이 필요한 경우
• 가용 예산이 많지 않은 경우
• 전송 데이터를 암호화해야 하는 경우

2. Direct Connect (연결 옵션 1/10/100 Gbps)

• AWS S2S VPN에서 제공할 수 있는 것보다 빠른 연결 옵션이 필요한 경우
• Direct Connect를 지원하는 공동 배치를 이미 사 용중인 경우
• 네트워크 성능을 예측할 수 있어야 하는 경우