[AWS] VPC 피어링에 대해 정리

VPC 피어링

• AWS ↔ VPN 연결시 정적 경로에 IP 대역대를 추가 해야 한다
• 동일한 CIDR 블록끼리 연결은 안 된다
• Site-To-Site VPN
  • VPN은 1.25 Gbps 대역폭을 제공
  • 연결되지 않더라도 생성하면 비용이 발생된다
  • AWS쪽 게이트웨이, 고객 게이트웨이 그리고 이 둘을 잇는 VPN 연결 3가지로 구성된다
    • AWS쪽 게이트웨이는 VGW와 Transit 게이트 중 하나를 택할 수 있다
    • 게이트웨이와 VPN 연결 사이에는 고가용성을 위해 터널 2개가 생성된다
      • 각 터널을마다 고유한 게이트웨이 퍼블릭 IP를 할당받는다
  • 고객 게이트웨이에서 BGP를 지원하면 동적 라우팅을 지정하고 그렇지 않으면 정적 라우팅을 지정한다
  • 구성작업
    1. 피어링 커넥션 생성
    2. 피어링 작업(요청에 대한 수락)
    3. 라우팅 테이블 추가
       • 서로의 퍼블릭 서브넷 라우트 테이블에 피어링 대상을 추가한다
         • pcx-XXX는 같고 대상은 IP대역대는 서로의 것이 되게 됨
         • VPC 라우팅 테이블에서 원격 네트워크에 대한 경로 추가하고 대상은 가상 프라이빗 게이트웨이로 한다
    4. 테스트
       • 보안그룹에 icmp/anyopen으로 해놓고 ping 날려본다
• Client VPN
  • PC 클라이언트 ↔ AWS VPC로 연결
  • 관리자한테 받은 설정파일을 이용해서 VPN 엔드 포인트와 세션설정하여 리소스 접근
• 수명주기
  • 정상상태
    • initiating-request : vpc피어링연결 시작 상태
    • pending-acceptance : 수락자VPC의 수락 응답대기(7일동안 응답 없으면 연결요청시간 만료)
    • provisioning : vpc피어링 연결요청 수락 상태
    • active : vpc피어링 연결 활성화 (다만, 보안그룹 및 라우팅테이블에서 트래픽 전달허용)
  • 예외상태
    • expired : pending-acceptance 이후 VPC피어링 연결요청 만료상태(2일 동안 상태기록)
    • rejected : pending-acceptance 이후 수락자의 연결요청 거부 상태(거부한 수락자VPC는 2시간동안 표시, 거부당한 요청자VPC는 2일동안 상태기록)
    • failed : initiating-request 이후 vpc피어링연결 실패한 상태vpc피어링 연결요청을 수락/거부/삭제 불가(2시간동안 상태기록)