[aws] Direct Connect

안녕하세요. AWS의 네트워크 서비스 중 Border Gateway Protocol(BGP) 라우팅 프로토콜 요구 사항을 지원하기 위해 AWS Transit Gateway와 AWS Direct Connect를 제공합니다. 이번 글에서는 Direct Connect 서비스에 대해 간단히 알아보겠습니다. 

 

AWS Direct Connect

AWS Direct Connect는 AWS 리소스의 최단 경로입니다. 전송하는 동안 네트워크 트래픽은 AWS 글로벌 네트워크에 남아있으며 퍼블릭 인터넷에 닿지않아 병목 현상이 발생하거나 지연 시간이 예기치 않게 증가할 가능성이 줄어듭니다.

 

새 연결을 생성할 때 AWS Direct Connect 제공 파트너가 제공하는 호스팅 연결을 선택하거나 AWS의 전용 연결을 선택하고 전 세계 AWS Direct Connect 위치에 배포할 수 있습니다.

AWS Direct Connect 작동 원리 - AWS에 연결

 

 

AWS Direct Connect SiteLink를 사용하면 AWS Direct Connect 위치 간에 데이터를 전송하여 글로벌 네트워크의 사무실과 데이터 센터 간에 프라이빗 네트워크 연결을 생성할 수 있습니다.

 

AWS Direct Connect 공식문서를 참고하면 AWS Direct Connect가 어떻게 네트워크와 연결되어있는지 좀 더 자세히 알 수 있습니다. 

 

AWS Direct Connect 네트워크 인터페이스

 

 

AWS Direct Connect Connection

다음 방법 중 하나를 사용하여 AWS Direct Connect 연결을 설정할 수 있습니다.

방법	설명
전용 연결	AWS Direct Connect 파트너 또는 네트워크 공급자와 협력하여 데이터 센터, 사무실 또는 코로케이션 환경에서 AWS Direct Connect 위치까지 라우터를 연결할 수 있습니다. 네트워크 공급자는 AWS Direct Connect 파트너가 아니어도 사용자를 전용 연결에 연결해 줄 수 있습니다. AWS Direct Connect 전용 연결은 단일 모드 광섬유를 통해 1Gbps: 1000BASE-LX(1310nm), 10Gbps: 10GBASE-LR(1310nm), 100Gbps: 100GBASE-LR4의 포트 속도를 지원합니다.
호스팅 연결	AWS Direct Connect 파트너 프로그램에서 파트너와 협력하여 데이터 센터, 사무실 또는 콜로케이션 환경에서 AWS Direct Connect 위치까지 라우터를 연결할 수 있습니다. 특정 파트너만 더 많은 용량의 연결을 제공합니다.

 

 

전용 연결의 경우 AWS Direct Connect 콘솔을 사용하여 연결 요청을 제출할 수 있습니다. 호스팅 연결의 경우 AWS Direct Connect 파트너와 협력하여 호스팅 연결을 요청합니다. 일반적인 연결 프로세스는 다음 문서를 참고합니다. 

 

호스팅 연결의 경우 AWS Direct Connect 콘솔에서 호스팅 연결을 수락해야 가상 인터페이스( virtual interface)를 생성할 수 있어 VIF를 생성하기 전 우선 호스팅 연결을 수락해줍니다.

 

 

AWS Direct Connect VIF

AWS Direct Connect connection을 사용하려면 가상 인터페이스를 만들어야 합니다. 가상 프라이빗 인터페이스를 생성하여 VPC에 연결할 수 있습니다. 또는 퍼블릭 가상 인터페이스를 생성하여 VPC에 없는 퍼블릭 AWS 서비스에 연결할 수 있습니다. VPC에 대한 프라이빗 가상 인터페이스를 만드는 경우, 연결할 VPC마다 하나의 프라이빗 가상 인터페이스가 필요합니다. 예를 들어 3개의 VPC에 연결하려면 프라이빗 가상 인터페이스도 3개가 필요합니다.

 

AWS Direct Connect VIF 정보

 

AWS Virtual Interface 정보에 대한 내용은 아래와 같습니다. 

Resource	필수 정보
Connection	가상 인터페이스를 생성하려는 AWS Direct Connect 연결 또는 링크 집계 그룹(LAG)입니다.
Virtual interface name (가상 인터페이스 이름)	가상 인터페이스의 이름입니다.
Virtual interface owner (가상 인터페이스 소유자)	다른 계정을 위해 가상 인터페이스를 생성하는 경우 다른 계정의 AWS 계정 ID가 필요합니다.
(프라이빗 가상 인터페이스만 해당)  Connection(연결)	동일한 AWS 리전의 VPC에 연결하려면 VPC용 가상 프라이빗 게이트웨이가 필요합니다. BGP 세션의 Amazon 측 ASN은 가상 프라이빗 게이트웨이에서 상속됩니다. 가상 프라이빗 게이트웨이를 생성할 때 고유한 프라이빗 ASN을 지정할 수 있습니다. 그렇지 않으면 Amazon이 기본 ASN을 제공합니다.
VLAN	연결에서 아직 사용 중이 아닌 고유한 VLAN(Virtual Local Area Network) 태그입니다. 값은 1~4094이고 Ethernet 802.1Q 표준을 준수해야 합니다. 이 태그는 AWS Direct Connect 연결을 통과하는 트래픽에 필요합니다.호스팅 연결이 있는 경우 AWS Direct Connect 파트너가 이 값을 제공합니다. 가상 인터페이스를 생성한 후에는 이 값을 수정할 수 없습니다.
피어 IP 주소	가상 인터페이스는 IPv4, IPv6 또는 하나씩(듀얼 스택)에 대해 BGP 피어링 세션을 지원할 수 있습니다.
Address family (주소 패밀리)	BGP 피어링 세션이 IPv4를 통하는지 또는 IPv6를 통하는지를 표시합니다.
BGP information (BGP 정보)	사용자 측 BGP 세션에 대한 퍼블릭 또는 프라이빗 BGP(Border Gateway Protocol) ASN(자율 시스템 번호). 공인 ASN을 사용 중이면 ASN을 소유하고 있어야 합니다. 프라이빗 ASN을 사용하는 경우 사용자 지정 ASN 값을 설정할 수 있습니다. 16비트 ASN의 경우, 값은 64512~65534 범위여야 합니다. 32비트 ASN의 경우, 값은 1~2147483647 범위여야 합니다. 퍼블릭 가상 인터페이스를 위해 프라이빗 ASN을 사용하는 경우 AS(자율 시스템) 접두어가 작동하지 않습니다. AWS는 MD5를 기본으로 활성화합니다. 이 옵션은 수정할 수 없습니다. MD5 BGP 인증 키. 사용자는 자체로 제공할 수도 있고 Amazon이 사용자 대신 생성하도록 허용할 수도 있습니다.
(퍼블릭 가상 인터페이스만 해당)  Prefixes you want to advertise (공급할 접두사)	BGP를 통해 공급할 퍼블릭 IPv4 경로 또는 IPv6 경로입니다. BGP를 사용하는 접두사를 적어도 하나, 최대 1,000개까지 보급해야 합니다. IPv4: IPv4 CIDR은 다음 중 하나에 해당하는 경우 AWS Direct Connect를 사용하여 발표된 다른 퍼블릭 IPv4 CIDR과 겹칠 수 있습니다.자세한 내용은 라우팅 정책과 BGP 커뮤니티를 참조하세요. CIDR은 서로 다른 AWS 리전에 속해 있습니다. 퍼블릭 접두사에 BGP 커뮤니티 태그를 적용해야 합니다. 액티브/패시브 구성에 퍼블릭 ASN이 있는 경우 AS_PATH를 사용합니다. IPv6: /64 이하의 접두사 길이를 지정합니다. 기존 퍼블릭 VIF에 접두사를 추가하고 AWS 지원팀에 문의하여 이를 알릴 수 있습니다. 지원 사례의 경우 퍼블릭 VIF에 추가하고 광고하려는 추가 CIDR 접두사 목록을 제공하세요. Direct Connect 퍼블릭 가상 인터페이스에서 원하는 접두사 길이를 지정할 수 있습니다. IPv4는 /1 - /32 범위를 지원해야 하며 IPv6는 /1 - /64 범위를 모두 지원해야 합니다.
(프라이빗 가상 인터페이스만 해당)  Jumbo frames (점보 프레임)	AWS Direct Connect를 통한 패킷의 최대 전송 단위(MTU)입니다. 기본값은 1500입니다.
(전송 가상 인터페이스만 해당)  Jumbo frames (점보 프레임)	AWS Direct Connect를 통한 패킷의 최대 전송 단위(MTU)입니다. 기본값은 1500입니다. 가상 인터페이스의 MTU를 8500(점보 프레임)으로 설정하면, 점보 프레임을 지원하도록 업데이트되지 않은 경우 기본 물리적 연결로 업데이트될 수 있습니다.

 

AWS Direct Connect 링크 집계 그룹(LAG)

링크 집계 그룹(LAG)은 LACP(Link Aggregation Control Protocol)를 사용하여 단일 AWS Direct Connect 엔드포인트에서 복수의 연결을 집계하는 논리적 인터페이스로, 사용자가 이들 연결을 단일의 관리되는 연결로 취급할 수 있습니다. LAG 컨피그레이션이 그룹 내 모든 연결에 적용되므로 LAG는 구성을 간소화합니다.

 

Direct Connect LAG(링크 집계 그룹) 예시

 

 

AWS Direct Connect  Gateway

AWS Direct Connect 게이트웨이를 사용하여 VPC를 연결합니다. AWS Direct Connect 게이트웨이를 다음 게이트웨이 중 하나와 연결합니다.

• 동일한 리전에 여러 VPC가 있을 때의 전송 게이트웨이
• 가상 프라이빗 게이트웨이

 

AWS Direct Connect 라우팅 정책

AWS Direct Connect는 라우팅 정책 중 프라이빗 가상 인터페이스 라우팅 예시를 통해 Direct Connect의 라우팅에 대해 알아보겠습니다. 

 

아래 그림과 같이 AWS Direct Connect의 Home Region이 VPC Home Region과 동일한 구성을 고려합니다. 위치 1 (us-east-1) 에서 Direct Connect 게이트웨이까지 AWS Direct Connect 두 개의 프라이빗 VIF (VIF A 및 VIF B) 가 있습니다. AWS Direct Connect 위치 (us-west-1) 에서 다이렉트 커넥트 게이트웨이까지 하나의 프라이빗 VIF (VIF C) 가 있습니다. VIF A보다 먼저 VIF B를 통해 트래픽을 AWS 라우팅하려면 VIF B의 AS_PATH 속성을 VIF A AS_PATH 속성보다 짧게 설정합니다.

 

VIF의 구성은 다음과 같습니다.

• VIF A(us-east-1)는 172.16.0.0/16을 광고하고 AS_PATH 속성은 65001, 65001, 65001입니다.
• VIF B(us-east-1)는 172.16.0.0/16을 광고하고 AS_PATH 속성은 65001, 65001입니다.
• VIF C(us-west-1)는 172.16.0.0/16을 광고하고 AS_PATH 속성은 65001입니다.

 

 

 

VIF C의 CIDR 범위 구성을 변경하는 경우 VIF C CIDR 범위에 속하는 경로는 가장 긴 접두사가 일치하므로 VIF C를 사용합니다.

• VIF C(us-west-1에 속함)는 172.16.0.0/24을 광고하며 AS_PATH 속성은 65001입니다

 

 

 

 

보다 자세한 내용은 AWS Direct Connect 공식문서를 참고해주세요.