본문 바로가기
AWS

AWS 네트워크 - VPC 간 연결(VPC Peering, Transit Gateway), 온프레미스-VPC 연결 (Direct Connect, Site-to-Site VPN)

by yingtao 2025. 6. 1.

VPC 란 AWS에서 제공하는 가상 네트워크 서비스.

하나의 VPC에 다양한 역할을 하는 시스템을 두면 VPC 내부의 통신 제어가 복잡해지므로, 일반적으로 몇개의 VPC 혹은 여러개의 AWS 계정에 나누어 시스템을 배치시킨다.

VPC는 독립된 네트워크 공간으로, 다른 시스템들 사이에 임의로 통신을 수행할 수 없다. 따라서 VPC간 통신을 위해서는 VPC 피어링, AWS Transit Gateway 라는 별도의 서비스가 필요하다.

 

VPC 간 연결

  • VPC Peering

VPC 사이를 연결하는 기능을 제공한다.

연결한 VPC는 각각의 VPC에 상대 VPC의 CIDR로의 라우팅을 설정해 상대 VPC의 가상 서버와 통신할 수 있다. 서로 다른 리전에 위치한 VPC간 피어링 설정 시에는 프라이빗 IP를 통해 통신 가능하다.

이때, VPC를 아우르는 통신은 불가능하다.
(VPC A - VPC B / VPC B - VPC C 가 각각 피어링 된 경우, A와 C는 통신 불가)

따라서 각각 VPC Peering 설정을 해야하고, 운용이 복잡해질 가능성이 있다.

VPC 피어링 생성은 무료이다. 동일 AZ 혹은 서로 다른 계정간 데이터 전송은 무료지만, 서로 다른 AZ나 리전간 전송은 유료이다.

 

  • AWS Transit Gateway

AWS Transit Gateway는 VPC 사이를 연결하는 네트워크 허브 기능을 제공한다.

여러 VPC를 연결해야하는 경우, Transit Gateway에 각 VPC를 연결하고 라우팅을 설정하면 VPC간 통신이 가능하다.

VPC 수가 늘어나도 Transit Gateway상의 테이블이 라우팅 테이블이 자동으로 VPC를 추가하기 때문에 하나의 Transit Gateway로 간단하게 운용이 가능하다. (다수의 VPC Peering을 설정해야 하는 것과의 차이)

또한 VPC와 온프레미스 네트워크를 연결하는 기능도 제공한다.

각 연결에 대해 시간당 비용이 청구되며, 처리된 트래픽 양에 대한 요금이 청구된다.

 

온프레미스와 연결

온프레미스 시스템과 연동이 필요하거나 온프레미스로의 마이그레이션 과정에서 데이터 전송이 필요할 때 온프레미스와 클라우드 네트워크를 연결해야 한다.

이때는 AWS Direct Connect(전용 네트워크 연결) 을 사용하거나 AWS Site-to-Site VPN을 사용한다.

  • AWS Direct Connect

AWS와 데이터 센터를 연결하는 전용 네트워크 연결 서비스.

Direct Connect 로케이션을 제공하는 기업의 데이터 센터로 고객이 사용하는 데이터 센터와 Direct Connect 로케이션 사이는 별도의 WAN 회선이나 전용 네트워크 연결을 이용해야 한다.

점유형과 공유형 두가지 연결 방식을 제공한다.

점유형은 고객이 1Gbps, 10Gbps, 100Gbps 사이에서 회선 속도를 선택해 전용 연결을 구축하는 것이고, 공유형은 Direct Connect 파트너가 구축한 전용 연결의 일부 대역폭을 고객에게 제공하는 방식이다. 소규모 대역폭이 필요하거나 초기 구축 비용을 절감하고자 할때 유용하다.

또한, 단일 Direct Connect 연결은 SPOF 지점이 될 수 있으므로 안정적인 운영을 위해서는 여러 개의 Direct Connect 연결을 구축하여 다중화하는 것이 좋다.

 

  • AWS Site-to-Site VPN

이용자의 데이터센터 등의 거점과 AWS 사이를 IPsec VPN 기반으로 연결한 AWS 매니지드 서비스.

전용선에 비해 짧은 리드 타임으로 가설할 수 있지만, 일반 회선을 이용하기 때문에 대역이 안정적이지는 않다. 인터넷 기반이기 때문에 Direct Connect처럼 SLA가 보장되는 대역폭 안정성을 기대하기는 어렵다.

또한 인터넷 회선에 장애가 발생한 경우 VPN 연결이 불가능하므로 여러 회선 사업자를 이용해 여러 Site-to-Site VPN을 가설하는 등의 대책이 필요하다. (다중화)

 

  • AWS Direct Connect + AWS Site-to-Site VPN

온프레미스 연결 다중화 패턴

Direct Connect가 프라이빗하고 안정적인 대역폭을 제공하므로 평상시 주 경로로 사용하고, 인터넷을 통한 Site-to-Site VPN은 비용 효율적인 백업 경로로 활용한다.

이때 라우팅 우선순위는 AWS로부터 온프레미스로의 통신은 항상 Direct Connect으로 트래픽이 흐르게끔 설정한다.

 

참고 : AWS 시스템 개발 스킬업, Jpub (다카오카 스스무, 사사키 도루)

저작자표시 (새창열림)

'AWS' 카테고리의 다른 글

EC2에서 OpenVPN 서버 Docker container로 구축하기  (0) 2025.04.07
EC2 Instance Connect Endpoint(EIC Endpoint)로 VSCode에서 원격 접속하기  (0) 2025.03.20
OpenVPN을 통해 Private Subnet에 위치한 RDS 접근하기  (0) 2025.03.03

관련글

티스토리툴바