REL 2: 네트워크 토폴로지는 어떻게 계획합니까?
워크로드는 여러 환경에 존재할 수 있습니다. 여기에는 다중 클라우드 환경(퍼블릭 액세스 및 프라이빗)과 기존 데이터 센터 인프라가 포함됩니다. 따라서 시스템 내부 및 시스템 간 연결, 퍼블릭 IP 주소 관리, 프라이빗 IP 주소 관리 및 도메인 이름 확인과 같은 네트워크 고려 사항을 계획에 포함해야 합니다.
리소스
AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)
AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)
What is Amazon Route 53?
What is Elastic Load Balancing?
What is Amazon CloudFront?
What Is a Transit Gateway?
What Is Amazon VPC?
Working with Direct Connect Gateways
Using the Direct Connect Resiliency Toolkit to get started
Multiple data center HA network connectivity
What Is AWS Global Accelerator?
VPC Endpoints and VPC Endpoint Services (AWS PrivateLink)
Amazon Virtual Private Cloud Connectivity Options Whitepaper
AWS Marketplace for Network Infrastructure
APN Partner: partners that can help plan your networking
모범 사례:
-
워크로드 퍼블릭 엔드포인트에 고가용성 네트워크 연결을 사용합니다.: 이러한 엔드포인트와 엔드포인트로의 라우팅은 고가용성으로 구현해야 합니다. 이러한 고가용성을 달성하려면 고가용성 DNS, CDN(콘텐츠 전송 네트워크), API Gateway, 로드 밸런싱 또는 역방향 프록시를 사용합니다.
-
클라우드와 온프레미스 환경의 프라이빗 네트워크 간에 이중화된 연결을 프로비저닝합니다.: 별도로 배포된 프라이빗 네트워크 간에 여러 AWS Direct Connect(DX) 연결 또는 VPN 터널을 사용합니다. 가용성을 높이려는 경우에는 여러 DX 위치를 사용합니다. 여러 AWS 리전을 사용하는 경우 2개 이상의 AWS 리전에 이중화되도록 해야 합니다. VPN을 종료하는 AWS Marketplace 어플라이언스를 평가해야 할 수 있습니다. AWS Marketplace 어플라이언스를 사용하는 경우 다른 가용 영역에서 고가용성을 위해 중복 인스턴스를 배포합니다.
-
확장 및 가용성을 위한 IP 서브넷 할당 계정을 확인합니다.: Amazon VPC IP 주소 범위는 가용 영역의 서브넷에 IP 주소를 할당하고 추후 확장을 고려하는 등 워크로드의 요구 사항을 수용할 수 있도록 충분히 커야 합니다. 여기에는 로드 밸런서, EC2 인스턴스 및 컨테이너 기반 애플리케이션이 포함됩니다.
-
다대다 메시보다 허브 앤 스포크 토폴로지를 선호합니다.: 셋 이상의 네트워크 주소 공간(예: VPC와 온프레미스 네트워크)이 VPC 피어링, AWS Direct Connect 또는 VPN을 통해 연결되는 경우 AWS Transit Gateway가 제공하는 것과 같은 허브 앤 스포크 모델을 사용합니다.
-
연결된 모든 프라이빗 주소 공간에서 겹치지 않는 프라이빗 IP 주소 범위를 적용합니다.: VPN을 통해 피어링되거나 연결된 경우 각 VPC의 IP 주소 범위가 겹치지 않아야 합니다. 마찬가지로, VPC와 온프레미스 환경 간의 IP 주소 충돌 또는 사용하는 다른 클라우드 공급자와의 IP 주소 충돌을 방지해야 합니다. 필요한 경우 프라이빗 IP 주소 범위를 할당할 수 있어야 합니다.
개선 계획
워크로드 퍼블릭 엔드포인트에 고가용성 네트워크 연결을 사용합니다.
- 사용자에 대한 연결 가용성이 높은지 확인합니다.
- 사용자가 인터넷을 통해 애플리케이션에 액세스하는 경우 서비스 API 작업을 이용하여 인터넷 게이트웨이가 올바르게 사용되는지 확인합니다. 또한 애플리케이션
엔드포인트를 호스팅하는 서브넷에 대한 라우팅 테이블 항목이 올바른지 확인합니다.
DescribeInternetGateways
DescribeRouteTables - 사용자가 온프레미스 환경을 통해 애플리케이션에 액세스하는 경우 AWS와 온프레미스 환경 간의 연결 가용성이 높은지 확인합니다.
- 사용자가 인터넷을 통해 애플리케이션에 액세스하는 경우 서비스 API 작업을 이용하여 인터넷 게이트웨이가 올바르게 사용되는지 확인합니다. 또한 애플리케이션
엔드포인트를 호스팅하는 서브넷에 대한 라우팅 테이블 항목이 올바른지 확인합니다.
- 고가용성 DNS를 사용하여 애플리케이션 엔드포인트의 도메인 이름을 관리하고 있는지 확인합니다.
- Route 53을 사용하여 도메인 이름을 관리합니다.
What is Amazon Route 53? - 요구 사항을 충족하는 타사 DNS 공급자를 사용합니다.
- Route 53을 사용하여 도메인 이름을 관리합니다.
- 애플리케이션에 고가용성 역방향 프록시 또는 로드 밸런서를 사용하고 있는지 확인합니다.
- Elastic Load Balancing을 사용합니다.
What is Elastic Load Balancing? - 요구 사항을 충족하는 AWS Marketplace 어플라이언스를 사용합니다.
- Elastic Load Balancing을 사용합니다.
클라우드와 온프레미스 환경의 프라이빗 네트워크 간에 이중화된 연결을 프로비저닝합니다.
- 온프레미스 환경에 대한 이중화된 연결이 구성되어 있는지 확인합니다.: 가용성 요구 사항을 충족하기 위해 여러 AWS 리전으로의 이중화 연결이 필요할 수 있습니다.
AWS Direct Connect Resiliency Recommendations
Using Redundant Site-to-Site VPN Connections to Provide Failover- 서비스 API를 사용하여 Direct Connect 회선이 올바르게 사용되고 있는지 확인합니다.
DescribeConnections
DescribeConnectionsOnInterconnect
DescribeDirectConnectGatewayAssociations
DescribeDirectConnectGatewayAttachments
DescribeDirectConnectGateways
DescribeHostedConnections
DescribeInterconnects - Direct Connect 연결이 하나만 있거나 하나도 없는 경우 가상 프라이빗 게이트웨이에 이중화 VPN 터널을 설정합니다.
What is AWS Site-to-Site VPN?
- 서비스 API를 사용하여 Direct Connect 회선이 올바르게 사용되고 있는지 확인합니다.
- 현재 연결(예: Direct Connect, 가상 프라이빗 게이트웨이, AWS Marketplace 어플라이언스)을 파악합니다.
- 서비스 API를 사용하여 Direct Connect 연결의 구성을 확인합니다.
DescribeConnections
DescribeConnectionsOnInterconnect
DescribeDirectConnectGatewayAssociations
DescribeDirectConnectGatewayAttachments
DescribeDirectConnectGateways
DescribeHostedConnections
DescribeInterconnects - API를 사용하여 라우팅 테이블에서 사용하는 가상 프라이빗 게이트웨이를 수집합니다.
DescribeVpnGateways
DescribeRouteTables - 서비스 API를 사용하여 라우팅 테이블에서 사용하는 AWS Marketplace 애플리케이션을 수집합니다.
DescribeRouteTables
- 서비스 API를 사용하여 Direct Connect 연결의 구성을 확인합니다.
확장 및 가용성을 위한 IP 서브넷 할당 계정을 확인합니다.
- 서비스 요구 사항, 지연 시간, 규정, DR(재해 복구) 요구 사항을 기준으로 관련 AWS 계정 및 리전을 선택합니다.
- 지역 VPC 배포에 대한 요구 사항을 파악합니다.
- 다중 VPC 연결을 배포할 것인지 여부를 결정합니다.
What Is a Transit Gateway?
Single Region Multi-VPC Connectivity - 규정 요구 사항에 따라 분리된 네트워킹이 필요한지 결정합니다.
- 다중 VPC 연결을 배포할 것인지 여부를 결정합니다.
- VPC 규모를 파악합니다.
- VPC를 최대한 큰 규모로 만듭니다. VPC에 할당된 초기 VPC CIDR 블록은 변경 또는 삭제가 불가능하지만 중첩되지 않은 추가 CIDR 블록을 VPC에 추가할 수 있습니다. 그러나 이 경우 주소 범위를 분할될 수 있습니다.
- Elastic Load Balancer, Auto Scaling 그룹, 동시 AWS Lambda 호출 등을 고려합니다.
다대다 메시보다 허브 앤 스포크 토폴로지를 선호합니다.
- 이러한 네트워크가 두 개 뿐인 경우에는 서로 연결하면 되지만 네트워크 수가 증가하면 이 메시 기반 연결의 복잡성이 크게 증가합니다. AWS Transit
Gateway는 유지 관리가 간편한 허브 앤 스포크 모델을 제공하므로 여러 네트워크에 걸쳐 트래픽을 라우팅할 수 있습니다.
What Is a Transit Gateway?
연결된 모든 프라이빗 주소 공간에서 겹치지 않는 프라이빗 IP 주소 범위를 적용합니다.
- 현재 CIDR 사용량을 파악합니다(예: VPC, 서브넷 등).
- 서비스 API를 사용하여 현재 CIDR 사용량을 파악합니다.
- 현재 서브넷 사용량을 파악합니다.
- 서비스 API를 사용하여 각 리전의 VPC당 서브넷 정보를 수집합니다.
DescribeSubnets - 현재 사용량을 기록합니다.
- 중첩되지 않는 IP 범위를 생성했는지 판단합니다.
- 여유 용량을 계산합니다.
- 중첩된 IP 범위를 기록합니다.: 중첩되는 범위를 연결해야 하는 경우 새 주소 범위로 마이그레이션하거나 AWS Marketplace에서 제공하는 Network and Port Translation(NAT) 어플라이언스를 사용할 수 있습니다.
- 서비스 API를 사용하여 각 리전의 VPC당 서브넷 정보를 수집합니다.