Transit Gateway 란

Transit Gateway 개요

• AWS 전송 게이트웨이는 VPC나 온프레미스(On-Premise) 등의 네트워크를 단일 지점으로 연결할 수 있는 라우팅 서비스입니다. 연결된 네트워크은 다른 네트워크에 연결할 필요 없이 AWS 전송 게이트웨이만 연결하면 되므로 관리를 크게 간소화하고 운영 비용을 크게 줄여 줍니다.
• AWS 에서 네트워크를 연결하는 방식은 크게 VPC Peering, site-to-site VPN, Direct Connect 가 있습니다. (Route53 리졸버를 이용하는 방법도 있긴 합니다만...)
  하지만 VPC Peering, site-to-site VPN 또는 Direct Connect 는 P2P 연결 방식이라 규모가 커지다보면 구조가 복잡해질 수 있습니다.
  (연결할 대상이 늘어날 때마다 새로 추가를 해주어야 하기 때문)
  => Transit Gateway 등장!
• Transit Gateway 를 사용한다면 중앙 집중형 관리가 가능해지기 때문에 규모가 커진다 하더라도 유지보수에 유리합니다. 하지만 중앙 집중형 토폴로지의 치명적인 단점이 바로 중앙 관리 시스템이 고장난다면 전체 시스템에 문제가 생길 수 있다는 것입니다. 하지만 AWS 에서 제공하는 Transit Gateway 는 AWS 완전 관리형 서비스이기 때문에 핵전쟁이 일어나지 않는 한 크게 문제가 생길 일은 없을 것이라고 봅니다.

Transit way 의 가장 큰 장점!

• AWS 전송 게이트웨이는 VPC나 온프레미스(On-Premise) 등의 네트워크를 단일 지점으로 연결할 수 있는 라우팅 서비스입니다. 연결된 네트워크는 다른 네트워크에 연결할 필요 없이 AWS 전송 게이트웨이만 연결하면 되므로 관리를 크게 간소화하고 운영 비용을 크게 줄여 줍니다.

Transit Gateway 주요 기능

• 라우팅
  동적(Dynamic Routing) 및 정적(Static Routing) Layer 3 라우팅을 지원.
• 엣지 연결
  VPN을 사용하여 AWS 전송 게이트웨이와 온프레미스 게이트웨이 간에 VPN 연결을 생성.
• VPC 기능 상호 운용성
  VPC에 있는 인스턴스가 AWS 전송 게이트웨이에 연결된 다른 Amazon VPC에 있는 NAT 게이트웨이, NLB(Network Load Balancer), AWS 엔드포인트 서비스(Endpoint service = PrivateLink) 및 Amazon EFS(Elastic File System) 등에 액세스.
• 모니터링
  AWS 전송 게이트웨이는 Amazon CloudWatch 및 Amazon VPC 플로우 로그(Flow Logs)와 같은 서비스에서 사용하는 통계와 로그를 제공.
• 리전 간 VPC 피어링
  AWS 전송 게이트웨이 리전 간 VPC 피어링은 AWS 글로벌 네트워크를 사용하여 AWS 리전을 통해 트래픽을 라우팅할 수 있도록 지원.
• 멀티캐스트
  고객이 클라우드에서 멀티캐스트 애플리케이션을 쉽게 구축하고 수백 개의 수신자까지 멀티캐스트 구성을 쉽게 모니터링, 관리 및 확장할 수 있도록 지원.
• 보안
  AWS 전송 게이트웨이는 Identity and Access Management(IAM)와 통합되므로, AWS 전송 게이트웨이에 대한 액세스를 안전하게 관리.
• 지표
  성능과 송수신된 바이트, 패킷, 폐기된 패킷을 비롯한 트래픽 지표를 통해 글로벌 네트워크를 모니터링.

Transit Gateway 관련 용어

• 전송 게이트웨이(Transit Gateway=TGW)
  연결의 접점이 되는 중앙 집중형 단일 게이트웨이로 허브(Hub) & 스포크(Spoke) 환경에서 허브(Hub) 역할
• 전송 게이트웨이 연결(Transit Gateway attachment)
  전송 게이트웨이에 연결되는 방식 (현재 3가지 방식 지원)
  1) VPC 연결(Attachment)
  전송 게이트웨이와 동일 리전(Region) 내 VPC를 직접적으로 연결 (다른 계정에 생성한 VPC도 연결 가능)
  2) VPN 연결(Attachment)
  전송 게이트웨이와 VPN를 연결 (Site to Site VPN)
  3) 전송 게이트웨이 피어링(Peering)
  전송 게이트웨이와 다른 리전(Region)의 전송 게이트웨이 간 연결 (Inter Region TGW Peering)
• 전송 게이트웨이 라우팅 테이블(Transit Gateway Routing Table)
  전송 게이트웨이에서 관리하는 라우팅 테이블
• 전송 게이트웨이 공유(Transit Gateway Sharing)
  전송 게이트웨이를 공유하여 다른 AWS 계정에게 전달하여 연결 가능 (Resource Access Manager 활용)
• 전송 게이트웨이 멀티캐스트(Transit Gateway Multicast)
  전송 게이트웨이를 통해 멀티캐스트 트래픽을 전달
• 전송 게이트웨이 네트워크 매니저(Transit Gateway Network Manager)
  논리적 다이어그램 또는 지리적 맵과 중앙 대시 보드에서 글로벌 네트워크를 시각화

Transit Gateway 생성 순서

1. Transit Gateway 생성

2. Transit Gateway 연결 (VPC 연결 or VPN 연결 or Transit Gateway Peering)

3. Transit Gateway 라우팅 테이블 설정

4. 연결 서브넷 라우팅 테이블 경로 설정

순서로 생성해주면 된다.

 

📢 주의할점)
Transit Gateway VPC 연결은 자동으로 Transit Gateway 라우팅 테이블에 경로를 설정해주지만,
Transit Gateway VPN 연결은 Transit Gateway 라우팅 테이블에 수동으로 경로를 설정해주어야 한다.

Cloudformation for Transit Gateway

# Transit Gateway
TransitGateway:
    Type: AWS::EC2::TransitGateway
    Properties:
      Tags:
        - Key: Name
          Value: MyTGW

# Transit Gateway Attachment
TransitGatewayAtt:
    Type: AWS::EC2::TransitGatewayAttachment
    DependsOn: MyVPC
    Properties:
      VpcId: !Ref MyVPC
      SubnetIds:
        - !Ref SubSN1 # 연동용 서브넷1
        - !Ref SubSN2 # 연동용 서브넷2
      TransitGatewayId: !Ref TransitGateway
      Tags:
        - Key: Name
          Value: TGW-ATT

# VPC Routing Table Route
PrivateRTRoute:
    Type: AWS::EC2::Route
    DependsOn: TransitGatewayAtt
    Properties:
      DestinationCidrBlock: 10.2.0.0/16
      TransitGatewayId: !Ref TransitGateway
      RouteTableId: !Ref MyPrivateRT