amazon virtual private cloud · 2020-05-05 · amazon virtual private cloud transit gateways...
TRANSCRIPT
Amazon Virtual Private Cloud전송 게이트웨이
Amazon Virtual Private Cloud 전송 게이트웨이
Amazon Virtual Private Cloud: 전송 게이트웨이Copyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
Amazon Virtual Private Cloud 전송 게이트웨이
Table of Contents전송 게이트웨이란 무엇입니까? ............................................................................................................ 1
전송 게이트웨이 개념 .................................................................................................................. 1전송 게이트웨이 사용 .................................................................................................................. 1요금 .......................................................................................................................................... 1
전송 게이트웨이 작업 방법 ................................................................................................................... 2리소스 연결 ............................................................................................................................... 2가용 영역 .................................................................................................................................. 2라우팅 ....................................................................................................................................... 2
라우팅 테이블 .................................................................................................................... 2라우팅 테이블 연결 ............................................................................................................. 3라우팅 전파 ....................................................................................................................... 3피어링 연결에 대한 라우팅 ................................................................................................... 3경로 평가 순서 ................................................................................................................... 3
시작하기 ............................................................................................................................................ 5사전 조건 .................................................................................................................................. 51단계: 전송 게이트웨이 생성 ........................................................................................................ 52단계: VPC를 전송 게이트웨이에 연결 ........................................................................................... 63단계: 전송 게이트웨이와 VPC 사이에 라우팅 추가 ......................................................................... 64단계: 전송 게이트웨이 테스트 ..................................................................................................... 75단계: 전송 게이트웨이 삭제 ........................................................................................................ 7
예제 .................................................................................................................................................. 8중앙 집중식 라우터 ..................................................................................................................... 8
개요 .................................................................................................................................. 8라우팅 ............................................................................................................................... 9
격리된 VPC ............................................................................................................................... 9개요 ................................................................................................................................ 10라우팅 ............................................................................................................................. 10
공유 서비스를 사용하는 격리된 VPC ........................................................................................... 11개요 ................................................................................................................................ 12라우팅 ............................................................................................................................. 12
피어링 ..................................................................................................................................... 13개요 ................................................................................................................................ 14라우팅 ............................................................................................................................. 14
전송 게이트웨이 사용 ........................................................................................................................ 16전송 게이트웨이 ....................................................................................................................... 16
전송 게이트웨이 생성 ........................................................................................................ 17전송 게이트웨이 보기 ........................................................................................................ 17전송 게이트웨이에 대한 태그 추가 또는 편집 ........................................................................ 18전송 게이트웨이 공유 ........................................................................................................ 18리소스 공유 수락 .............................................................................................................. 19공유 연결 수락 ................................................................................................................. 19전송 게이트웨이 삭제 ........................................................................................................ 19
VPC에 대한 전송 게이트웨이 연결 .............................................................................................. 19VPC에 대한 전송 게이트웨이 연결 생성 ............................................................................... 20VPC 연결 수정 ................................................................................................................. 20VPC 연결 태그 수정 .......................................................................................................... 21VPC 연결 보기 ................................................................................................................. 21VPC 연결 삭제 ................................................................................................................. 21
Direct Connect 게이트웨이에 전송 게이트웨이 연결 ....................................................................... 21전송 게이트웨이 VPN 연결 ......................................................................................................... 22
VPN에 대한 전송 게이트웨이 연결 생성 ............................................................................... 22VPN 연결 보기 ................................................................................................................. 23
전송 게이트웨이 피어링 연결 ...................................................................................................... 23피어링 연결 생성 .............................................................................................................. 23
iii
Amazon Virtual Private Cloud 전송 게이트웨이
피어링 연결 요청 수락 또는 거부 ......................................................................................... 24전송 게이트웨이 라우팅 테이블에 라우팅 추가 ...................................................................... 24전송 게이트웨이 피어링 연결 보기 ....................................................................................... 25피어링 연결 삭제 .............................................................................................................. 25
전송 게이트웨이 라우팅 테이블 ................................................................................................... 25전송 게이트웨이 라우팅 테이블 생성 .................................................................................... 26전송 게이트웨이 라우팅 테이블 연결 .................................................................................... 26전송 게이트웨이 라우팅 테이블에 대한 연결 삭제 .................................................................. 26전송 게이트웨이 라우팅 테이블 보기 .................................................................................... 27전송 게이트웨이 라우팅 테이블에 라우팅 전파 ...................................................................... 27경로 전파 비활성화 ........................................................................................................... 27라우팅 테이블 전파 보기 .................................................................................................... 28고정 라우팅 생성 .............................................................................................................. 28고정 경로 삭제 ................................................................................................................. 28Amazon S3에 라우팅 테이블 내보내기 ................................................................................. 29전송 게이트웨이 라우팅 테이블 삭제 .................................................................................... 30
전송 게이트웨이의 멀티캐스트 .................................................................................................... 30멀티캐스트 개념 ................................................................................................................. 1고려 사항 ......................................................................................................................... 30멀티캐스트 라우팅 ............................................................................................................ 31멀티캐스트 작업 ............................................................................................................... 32
전송 게이트웨이 모니터링 .................................................................................................................. 37CloudWatch 지표 ...................................................................................................................... 37
전송 게이트웨이 지표 ........................................................................................................ 37전송 게이트웨이의 지표 차원 .............................................................................................. 38
CloudTrail 로그 ......................................................................................................................... 38CloudTrail의 전송 게이트웨이 정보 ...................................................................................... 39전송 게이트웨이 로그 파일 항목 이해 .................................................................................. 39
인증 및 액세스 제어 .......................................................................................................................... 42전송 게이트웨이를 관리하는 정책의 예 ......................................................................................... 42서비스 연결 역할 ...................................................................................................................... 44
서비스 연결 역할에 의해 부여된 권한 .................................................................................. 44서비스 연결 역할 생성 ....................................................................................................... 44서비스 연결 역할 편집 ....................................................................................................... 44서비스 연결 역할 삭제 ....................................................................................................... 44
설계 모범 사례 ................................................................................................................................. 45네트워크 ACL ................................................................................................................................... 46
EC2 네트워크 인터페이스 워크로드 및 transit gateway 연결에 대한 동일한 서브넷 .............................. 46EC2 네트워크 인터페이스 워크로드 및 transit gateway 연결에 대한 다른 서브넷 ................................. 46모범 사례 ................................................................................................................................. 47
할당량 ............................................................................................................................................. 48일반 ........................................................................................................................................ 48라우팅 ..................................................................................................................................... 48전송 게이트웨이 연결 ................................................................................................................ 48대역폭 ..................................................................................................................................... 48AWS Direct Connect 게이트웨이 ................................................................................................. 48MTU ....................................................................................................................................... 49멀티캐스트 ............................................................................................................................... 49추가 할당량 리소스 ................................................................................................................... 49
공유 고려 사항 ................................................................................................................................. 50전송 게이트웨이 공유 해제 ......................................................................................................... 50
Transit Gateway Network Manager ...................................................................................................... 52Network Manager 개념 ................................................................................................................ 1요금 ........................................................................................................................................ 52Transit Gateway Network Manager 작동 방식 ................................................................................ 52
전송 게이트웨이 등록 ........................................................................................................ 52온프레미스 네트워크 정의 및 연결 ....................................................................................... 54
iv
Amazon Virtual Private Cloud 전송 게이트웨이
할당량 ............................................................................................................................. 54시작하기 .................................................................................................................................. 55
사전 조건 ......................................................................................................................... 551단계: 글로벌 네트워크 생성 .............................................................................................. 552단계: 전송 게이트웨이 등록 .............................................................................................. 553단계: (선택 사항) 온프레미스 네트워크 리소스 정의 및 연결 ................................................... 564단계: 글로벌 네트워크 보기 및 모니터링 ............................................................................. 56
시나리오 .................................................................................................................................. 56AWS 전용 글로벌 네트워크 ................................................................................................ 57단일 VPN 연결을 사용하는 단일 디바이스 ............................................................................ 57여러 VPN 연결을 사용하는 디바이스 ................................................................................... 58다중 디바이스 및 다중 링크 사이트 ...................................................................................... 59AWS에 연결하는 SD-WAN ................................................................................................. 60
Network Manager 리소스 작업 .................................................................................................... 62글로벌 네트워크 ............................................................................................................... 62전송 게이트웨이 등록 ........................................................................................................ 63온프레미스 네트워크 ......................................................................................................... 65
글로벌 네트워크 시각화 및 모니터링 ............................................................................................ 72개요 ................................................................................................................................ 73세부 정보 ......................................................................................................................... 74지리적 위치 ...................................................................................................................... 75토폴리지 .......................................................................................................................... 76이벤트 ............................................................................................................................. 77모니터링 .......................................................................................................................... 77라우팅 분석기 .................................................................................................................. 77
지표 및 이벤트 ......................................................................................................................... 77CloudWatch 지표로 모니터링 .............................................................................................. 77CloudWatch 이벤트를 사용하여 모니터링 ............................................................................. 79
Route Analyzer ......................................................................................................................... 83Route Analyzer 기본 사항 .................................................................................................. 83라우팅 분석 수행 .............................................................................................................. 83예: 피어링된 전송 게이트웨이에 대한 라우팅 분석 .................................................................. 84예: 미들박스 구성을 사용한 라우팅 분석 ............................................................................... 86
Transit Gateway Network Manager의 Identity and Access Management ............................................. 88Network Manager에서 IAM을 사용하는 방법 ......................................................................... 88Transit Gateway Network Manager 관리 정책의 예 ................................................................. 89서비스 연결 역할 .............................................................................................................. 92
Network Manager 리소스에 태그 지정 .......................................................................................... 93지원되는 리소스 ............................................................................................................... 93태그 지정 제약 조건 .......................................................................................................... 93
AWS CloudTrail을 사용하여 Transit Gateway Network Manager API 호출 로깅 ................................... 94CloudTrail의 Network Manager 정보 .................................................................................... 94
문서 기록 ......................................................................................................................................... 95
v
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 개념
전송 게이트웨이란 무엇입니까?transit gateway는 가상 사설 클라우드(VPC)와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다.
자세한 내용은 AWS Transit Gateway를 참조하십시오.
전송 게이트웨이 개념다음은 transit gateways의 핵심 개념입니다.
• 연결 — VPC, AWS Direct Connect 게이트웨이, 다른 transit gateway와의 피어링 연결 또는 transitgateway에 대한 VPN 연결을 연결할 수 있습니다.
• transit gateway MTU(최대 전송 단위 — 네트워크 연결의 MTU(최대 전송 단위)는 연결을 통해 전달할 수있는 허용되는 최대 크기의 패킷 크기(바이트)입니다. 연결 MTU가 클수록 더 많은 데이터가 단일 패킷으로 전달될 수 있습니다. transit gateway는 VPC, Direct Connect 및 피어링 연결 간의 트래픽에 대해 8500바이트의 MTU를 지원합니다. VPN 연결을 통한 트래픽은 1500바이트의 MTU를 가질 수 있습니다.
• transit gateway 라우팅 테이블 — transit gateway에는 기본 라우팅 테이블이 있으며 선택적으로 추가 라우팅 테이블을 추가할 수 있습니다. 라우팅 테이블에는 패킷의 대상 IP 주소를 기반으로 다음 홉을 결정하는동적 및 정적 라우팅이 포함됩니다. 이러한 라우팅의 대상은 VPC 또는 VPN 연결일 수 있습니다. 기본적으로 transit gateway 연결은 기본 transit gateway 라우팅 테이블과 연결됩니다.
• 연결 — 각 연결은 항상 정확히 하나의 라우팅 테이블과 연결됩니다. 라우팅 테이블은 0개 이상의 연결과연관될 수 있습니다.
• 라우팅 전파 — VPC 또는 VPN 연결은 transit gateway 라우팅 테이블에 라우팅을 동적으로 전파할 수 있습니다. VPC를 사용하는 경우 트래픽을 transit gateway로 보내려면 정적 라우팅을 생성해야 합니다. VPN연결을 사용하면 BGP(Border Gateway Protocol)를 사용하여 transit gateway에서 온프레미스 라우터로 라우팅이 전파됩니다. 피어링 연결을 사용하는 경우 피어링 연결을 가리키도록 전송 게이트웨이 라우팅 테이블에서 정적 라우팅을 만들어야 합니다.
전송 게이트웨이 사용다음 인터페이스 중 하나를 사용하여 transit gateways를 생성하고, 액세스하고, 관리할 수 있습니다.
• AWS Management 콘솔 — transit gateways에 액세스할 때 사용할 수 있는 웹 인터페이스를 제공합니다.• AWS 명령줄 인터페이스(AWS CLI) — Amazon VPC를 비롯한 다양한 AWS 서비스에 명령을 제공하며
Windows, macOS 및 Linux에서 지원됩니다. 자세한 내용은 AWS Command Line Interface 단원을 참조하십시오.
• AWS SDK - 언어별 API를 제공하고, 서명 계산, 요청 재시도 처리 및 오류 처리와 같은 많은 연결 세부 정보를 관리합니다. 자세한 내용은 AWS SDK를 참조하십시오.
• 쿼리 API— HTTPS 요청을 사용하여 호출하는 하위 수준의 API 작업을 제공합니다. 쿼리 API 사용은Amazon VPC에 액세스하는 가장 직접적인 방법이지만, 애플리케이션에서 요청에 서명할 해시 생성 및 오류 처리와 같은 하위 수준의 세부 정보를 처리해야 합니다. 자세한 내용은 Amazon EC2 API Reference 단원을 참조하십시오.
요금VPC 또는 VPN 연결이 transit gateway에 연결된 각 시간에 따라 요금이 부과됩니다. 자세한 내용은 AWSTransit Gateway 요금 단원을 참조하십시오.
1
Amazon Virtual Private Cloud 전송 게이트웨이리소스 연결
전송 게이트웨이 작업 방법transit gateway는 Virtual Private Cloud(VPC)와 VPN 연결 간의 트래픽에 대한 리전별 가상 라우터 역할을합니다. transit gateway는 네트워크 트래픽의 볼륨에 따라 탄력적으로 조정됩니다. transit gateway를 통한라우팅은 패킷이 대상 IP 주소를 기반으로 특정 다음 홉 연결로 전송되는 계층 3에서 작동합니다.
리소스 연결transit gateway 연결은 패킷의 소스와 대상입니다. 다음 리소스를 transit gateway에 연결할 수 있습니다.
• 하나 이상의 VPC• 하나 이상의 VPN 연결• 하나 이상의 AWS Direct Connect 게이트웨이• 하나 이상의 전송 게이트웨이 피어링 연결
전송 게이트웨이 피어링 연결을 연결하는 경우 transit gateway는 다른 리전에 있어야 합니다.
가용 영역transit gateway에 VPC를 연결할 때 transit gateway에서 하나 이상의 가용 영역을 사용하여 트래픽을 VPC서브넷의 리소스로 라우팅해야 합니다. 각 가용 영역을 활성화하려면 정확히 하나의 서브넷을 지정해야 합니다. transit gateway는 서브넷의 IP 주소 하나를 사용하여 해당 서브넷에 네트워크 인터페이스를 배치합니다.가용 영역을 활성화하면 지정된 서브넷이 아닌 해당 가용 영역의 모든 서브넷으로 트래픽을 라우팅할 수 있습니다. transit gateway 연결이 없는 가용 영역에 상주하는 리소스는 transit gateway에 도달할 수 없습니다.
가용성을 위해 여러 개의 가용 영역을 활성화하는 것이 좋습니다.
라우팅transit gateway는 transit gateway 라우팅 테이블을 사용하여 연결 간에 IPv4 및 IPv6 패킷을 라우팅합니다.연결된 VPC 및 VPN 연결에 대한 라우팅 테이블의 라우팅을 전파하도록 이러한 라우팅 테이블을 구성할 수있습니다. transit gateway 라우팅 테이블에 정적 라우팅을 추가할 수도 있습니다. 패킷이 한 연결에서 오는경우 이 패킷은 대상 IP 주소와 일치하는 라우팅을 사용하여 다른 연결로 라우팅됩니다.
전송 게이트웨이 피어링 연결의 경우 정적 라우팅만 지원됩니다.
라우팅 테이블transit gateway는 자동으로 기본 라우팅 테이블과 함께 제공됩니다. 기본적으로 이 라우팅 테이블은 기본 연결 라우팅 테이블과 기본 전파 라우팅 테이블입니다. 또는 라우팅 전파 및 라우팅 테이블 연결을 비활성화한경우 transit gateway에 대한 기본 라우팅 테이블을 생성하지 않습니다.
transit gateway에 사용할 추가 라우팅 테이블을 만들 수 있습니다. 이렇게 하면 연결의 서브넷을 격리할 수있습니다. 각 연결은 라우팅 테이블 하나와 연결할 수 있습니다. 한 연결은 하나 이상의 라우팅 테이블에 경로를 전파할 수 있습니다.
transit gateway 경로 테이블에 경로와 일치하는 트래픽을 삭제하는 블랙홀 경로를 만들 수 있습니다.
2
Amazon Virtual Private Cloud 전송 게이트웨이라우팅 테이블 연결
전송 게이트웨이에 VPC를 연결할 때 전송 게이트웨이를 통해 라우팅할 트래픽에 대한 라우팅을 서브넷 라우팅 테이블에 추가해야 합니다. 자세한 내용은 Amazon VPC 사용 설명서의 전송 게이트웨이에 대한 라우팅을 참조하십시오.
라우팅 테이블 연결transit gateway 연결을 단일 라우팅 테이블과 연결할 수 있습니다. 각 라우팅 테이블은 0개 이상의 연결과 연결할 수 있으며 패킷을 다른 연결에 전달할 수 있습니다.
라우팅 전파각 연결에는 하나 이상의 transit gateway 라우팅 테이블에 설치할 수 있는 라우팅이 있습니다. 연결이 transitgateway 라우팅 테이블에 전파되면 이러한 라우팅이 라우팅 테이블에 설치됩니다.
VPC 연결의 경우 VPC의 CIDR 블록이 전송 게이트웨이 라우팅 테이블로 전파됩니다.
VPN 연결의 경우 BGP(Border Gateway Protocol)를 사용하여 전송 게이트웨이 및 온프레미스 라우터로 또는 전송 게이트웨이 및 온프레미스 라우터에서 transit gateway 라우팅 테이블의 라우팅이 전파됩니다. BGP세션을 통해 공고하는 접두사는 전송 게이트웨이 라우팅 테이블로 전파됩니다.
피어링 연결에 대한 라우팅두 transit gateway를 피어링하고 서로 간에 트래픽을 라우팅할 수 있습니다. 이렇게 하려면 transit gateway에서 피어링 연결을 생성하고 함께 피어링 연결을 생성할 피어 transit gateway를 지정합니다. 그런 다음transit gateway 라우팅 테이블에서 정적 라우팅을 생성하여 트래픽을 transit gateway 피어링 연결로 라우팅합니다. 피어 transit gateway로 라우팅된 트래픽은 피어 transit gateway에 대한 VPC 및 VPN 연결로 라우팅될 수 있습니다.
자세한 내용은 예: 피어링된 전송 게이트웨이 (p. 13) 단원을 참조하십시오.
경로 평가 순서전송 게이트웨이 경로는 다음과 같은 순서로 평가됩니다.
• 대상 주소의 가장 긴 접두사 경로• 경로가 다른 대상과 동일한 경우:
• 고정 경로는 전파된 경로보다 우선 순위가 높습니다.• 전파된 경로 중에 VPC CIDR은 Direct Connect 게이트웨이 및 Site-to-Site VPN보다 우선 순위가 높습니
다.
다음과 같은 VPC 라우팅 테이블을 고려하십시오. VPC 로컬 경로는 우선 순위가 가장 높으며, 그 다음은 가장 구체적인 경로입니다. 정적 라우팅과 전파된 라우팅의 대상이 같은 경우, 정적 라우팅 우선 순위가 더 높습니다.
대상 대상 우선 순위
10.0.0.0/16 로컬 1
192.168.0.0/16 pcx-12345 2
172.31.0.0/16 vgw-12345(고정) 또는
tgw-12345(고정)
2
3
Amazon Virtual Private Cloud 전송 게이트웨이경로 평가 순서
대상 대상 우선 순위
172.31.0.0/16 vgw-12345(전파됨) 3
0.0.0.0/0 igw-12345 4
다음과 같은 transit gateway 라우팅 테이블을 고려하십시오. 정적 라우팅과 전파된 라우팅의 대상이 같은 경우, 정적 라우팅 우선 순위가 더 높습니다. VPN 연결보다 AWS Direct Connect 게이트웨이 연결을 사용하고싶은 경우, BGP VPN 연결을 사용하고 transit gateway 라우팅 테이블의 경로를 전파합니다.
대상 주소 연결(대상) 리소스 유형 라우팅 유형 우선 순위
10.0.0.0/16 tgw-attach-123 |vpc-1234
VPC 고정 또는 전파됨 1
192.168.0.0/16 tgw-attach-789 |vpn-5678
VPN 고정 2
172.31.0.0/16 tgw-attach-456 |dxgw_id
AWS DirectConnect 게이트웨이
전파 완료 3
172.31.0.0/16 tgw-attach-789 |vpn-5678
VPN 전파 완료 4
4
Amazon Virtual Private Cloud 전송 게이트웨이사전 조건
전송 게이트웨이 시작하기다음 작업은 transit gateways에 익숙해지는 데 도움이 됩니다. transit gateway를 만들고 transit gateway를사용하여 두 개의 VPC를 연결합니다.
작업• 사전 조건 (p. 5)• 1단계: 전송 게이트웨이 생성 (p. 5)• 2단계: VPC를 전송 게이트웨이에 연결 (p. 6)• 3단계: 전송 게이트웨이와 VPC 사이에 라우팅 추가 (p. 6)• 4단계: 전송 게이트웨이 테스트 (p. 7)• 5단계: 전송 게이트웨이 삭제 (p. 7)
사전 조건• transit gateway를 사용하는 간단한 예를 보여주기 위해 동일한 리전에 두 개의 VPC를 만듭니다. VPC는
중복 CIDR을 가질 수 없습니다. 각 VPC에서 하나의 EC2 인스턴스를 시작합니다. 자세한 내용은 AmazonVPC 사용 설명서에서 Amazon VPC용 IPv4 시작하기를 참조하십시오.
• 동일한 라우팅에서 두 개의 서로 다른 VPC를 가리킬 수 없습니다. transit gateway 라우팅 테이블에 동일한 라우팅이 있는 경우 transit gateway는 새로 연결된 VPC의 CIDR을 전파하지 않습니다.
• transit gateways로 작업하는 데 필요한 권한이 있는지 확인하십시오. 자세한 내용은 전송 게이트웨이의 인증 및 액세스 제어 (p. 42) 단원을 참조하십시오.
1단계: 전송 게이트웨이 생성transit gateway를 생성할 때 기본 transit gateway 라우팅 테이블을 만들어 기본 연결 라우팅 테이블과 기본전파 라우팅 테이블로 사용합니다.
transit gateway를 생성하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 리전 선택기에서 VPC를 만들 때 사용한 리전을 선택합니다.3. 탐색 창에서 Transit Gateways(전송 게이트웨이)를 선택합니다.4. Create Transit Gateway(전송 게이트웨이 생성)를 선택합니다.5. (선택 사항) Name tag(이름 태그)에 transit gateway 이름을 입력합니다. 그러면 "이름"이 키로 지정되고
이름이 값으로 지정된 태그가 생성됩니다.6. (선택 사항) 설명에 transit gateway에 대한 설명을 입력합니다.7. Amazon 측 ASN에서 transit gateway의 프라이빗 ASN(자율 시스템 번호)을 입력합니다. 이 ASN은
BGP(Border Gateway Protocol) 세션의 AWS 측에 대한 ASN이어야 합니다.
16비트 ASN의 경우 범위는 64512 ~ 65534입니다.
32비트 ASN의 경우 범위는 4200000000 ~ 4294967294입니다.
다중 리전 배포가 있는 경우 각 transit gateways에 고유의 ASN을 사용하는 것이 좋습니다.
5
Amazon Virtual Private Cloud 전송 게이트웨이2단계: VPC를 전송 게이트웨이에 연결
8. (선택 사항) DNS 지원을 비활성화해야 하거나 기본 연결 라우팅 테이블이나 기본 전파 라우팅 테이블을원하지 않는 경우 기본 설정을 수정할 수 있습니다.
9. Create Transit Gateway(전송 게이트웨이 생성)를 선택합니다.10. Create Transit Gateway request succeeded(전송 게이트웨이 요청 생성 성공) 메시지가 나타나면 닫
기를 선택합니다. transit gateway의 초기 상태는 pending입니다.
2단계: VPC를 전송 게이트웨이에 연결연결을 생성하기 전에 이전 섹션에서 생성한 transit gateway가 사용 가능한 것으로 표시될 때까지 기다리십시오. 각 VPC에 대한 연결을 생성합니다.
사전 조건 (p. 5)에서 설명한 대로 두 개의 VPC를 만들고 각각에서 EC2 인스턴스를 시작했는지 확인합니다.
VPC에 대한 전송 게이트웨이 연결 생성
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. Create Transit Gateway Attachment(전송 게이트웨이 연결 생성)를 선택합니다.4. Transit Gateway ID(전송 게이트웨이 ID)에서 연결에 대해 사용할 transit gateway를 선택합니다.5. Attachment type(연결 유형)에서 VPC를 선택합니다.6. (선택 사항) Attachment name tag(연결 이름 태그)에 연결 이름을 입력합니다.7. DNS 지원을 활성화할지 선택합니다. 이 연습에서는 IPv6 지원을 활성화하지 마십시오.8. VPC ID에서 transit gateway에 연결할 VPC를 선택합니다.9. Subnet IDs(서브넷 ID)에서, transit gateway가 각 가용 영역마다 트래픽을 라우팅하기 위해 사용할 서브
넷 하나를 선택합니다. 하나 이상의 서브넷을 선택해야 합니다. 가용 영역당 서브넷 한 개만 선택할 수있습니다.
10. Create attachment(연결 생성)를 선택합니다.
각 연결은 항상 정확히 하나의 라우팅 테이블과 연결됩니다. 라우팅 테이블은 0개 이상의 연결과 연관될 수있습니다. 구성할 라우팅을 결정하려면 transit gateway의 사용 사례를 결정한 다음, 라우팅을 구성합니다. 자세한 내용은 예제 (p. 8) 단원을 참조하십시오.
3단계: 전송 게이트웨이와 VPC 사이에 라우팅 추가라우팅 테이블에는 패킷의 대상 IP 주소를 기반으로 연결된 VPC의 다음 홉을 결정하는 동적 및 정적 라우팅이 포함되어 있습니다.
VPC 라우팅 테이블에 라우팅을 추가하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 라우팅 테이블을 선택합니다.3. VPC와 연결된 라우팅 테이블을 선택합니다.4. 라우팅 탭에서 Edit routes(라우팅 편집)를 선택합니다.5. 라우팅 추가를 선택합니다.6. Destination(대상 주소) 열에서 대상 IP 주소 범위를 입력합니다. Target(대상)에서 transit gateway 연결
을 생성하는 데 사용한 transit gateway를 선택합니다.7. Save routes(라우팅 저장)를 선택한 후 닫기를 선택합니다.
6
Amazon Virtual Private Cloud 전송 게이트웨이4단계: 전송 게이트웨이 테스트
4단계: 전송 게이트웨이 테스트각 VPC의 EC2 인스턴스에 연결한 다음 ping 명령 등을 통해 데이터를 전송하면 transit gateway가 성공적으로 생성되었는지 확인할 수 있습니다. 자세한 내용은 Linux 인스턴스에 연결 또는 Windows 인스턴스 연결을참조하십시오.
5단계: 전송 게이트웨이 삭제transit gateway를 더 이상 사용할 필요가 없는 경우 삭제할 수 있습니다. 리소스가 연결된 transit gateway는삭제할 수 없습니다. transit gateway가 삭제되면 그 즉시 요금 발생이 중지됩니다.
transit gateway를 삭제하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. 연결을 선택한 다음 작업, 삭제를 차례로 선택합니다. 확인 메시지가 나타나면 삭제를 선택합니다.4. 탐색 창에서 Transit Gateways(전송 게이트웨이)를 선택합니다.5. transit gateway를 선택한 다음 작업, 삭제를 차례로 선택합니다. 확인 메시지가 나타나면 삭제를 선택합
니다.
7
Amazon Virtual Private Cloud 전송 게이트웨이중앙 집중식 라우터
예제transit gateways의 일반 사용 사례는 다음과 같습니다. 전송 게이트웨이는 이러한 사용 사례에만 국한되지않습니다.
항목• 예: 중앙 집중식 라우터 (p. 8)• 예: 격리된 VPC (p. 9)• 예: 공유 서비스를 사용하는 격리된 VPC (p. 11)• 예: 피어링된 전송 게이트웨이 (p. 13)
예: 중앙 집중식 라우터transit gateway를 모든 VPC, AWS Direct Connect 및 Site-to-Site VPN 연결을 연결하는 중앙 집중식 라우터로 구성할 수 있습니다. 이 시나리오에서는 모든 연결이 전송 게이트웨이 기본 라우팅 테이블과 연결되어 전송 게이트웨이 기본 라우팅 테이블에 전파됩니다. 따라서 모든 연결은 패킷을 서로 라우팅할 수 있으며transit gateway는 단순한 계층 3 IP 라우터 역할을 합니다.
목차• 개요 (p. 8)• 라우팅 (p. 9)
개요다음 다이어그램은 이 시나리오를 위한 구성의 주요 구성 요소를 보여줍니다. 이 시나리오에서는 transitgateway에 대한 VPC 연결 3개와 Site-to-Site VPN 연결 1개가 있습니다. 다른 VPC의 서브넷 또는 VPN 연결로 향하는 VPC A, VPC B 및 VPC C에 있는 서브넷의 패킷은 먼저 transit gateway를 통해 라우팅됩니다.
이 시나리오에는 이 시나리오를 위한 다음 개체를 생성합니다.
• VPC 3개. VPC 생성에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 VPC 생성을 참조하십시오.
• transit gateway. 자세한 내용은 the section called “전송 게이트웨이 생성” (p. 17) 단원을 참조하십시오.• transit gateway의 VPC 연결 3개. 자세한 내용은 the section called “VPC에 대한 전송 게이트웨이 연결 생
성” (p. 20) 단원을 참조하십시오.
8
Amazon Virtual Private Cloud 전송 게이트웨이라우팅
• 전송 게이트웨이의 Site-to-Site VPN 연결. 자세한 내용은 the section called “VPN에 대한 전송 게이트웨이연결 생성” (p. 22) 단원을 참조하십시오. AWS Site-to-Site VPN 사용 설명서의 고객 게이트웨이 디바이스 요구 사항을 검토해야 합니다.
VPC 연결을 생성할 때 각 VPC의 CIDR 블록이 transit gateway 라우팅 테이블에 전파됩니다. VPN 연결이가동되면 BGP 세션이 설정되고 Site-to-Site VPN CIDR이 transit gateway 라우팅 테이블로 전파되며 VPCCIDR이 고객 게이트웨이 BGP 테이블에 추가됩니다.
라우팅각 VPC에는 라우팅 테이블이 있고 transit gateway의 라우팅 테이블이 있습니다.
VPC 라우팅 테이블각 VPC에는 항목 2개가 포함된 라우팅 테이블이 있습니다. 첫 번째 항목은 VPC의 로컬 IPv4 라우팅에 대한기본 항목으로서, 이 VPC의 인스턴스가 서로 통신할 수 있게 해줍니다. 두 번째 항목은 기타 IPv4 서브넷 트래픽을 모두 transit gateway로 라우팅합니다. 다음 표에 VPC A 경로가 나와 있습니다.
대상 주소 대상
10.1.0.0/16 로컬
0.0.0.0/0 tgw-id
전송 게이트웨이 라우팅 테이블다음은 라우팅 전파가 활성화된 이전 다이어그램의 연결에 대한 기본 라우팅 테이블의 예입니다.
대상 주소 대상 라우팅 유형
10.1.0.0/16 VPC A 연연 전파
10.2.0.0/16 VPC B 연연 전파
10.3.0.0/16 VPC C 연연 전파
10.99.99.0/24 VPN 연연연 연연 연연 전파
고객 게이트웨이 BGP 테이블고객 게이트웨이 BGP 테이블에는 다음과 같은 VPC CIDR이 포함되어 있습니다.
• 10.1.0.0/16• 10.2.0.0/16• 10.3.0.0/16
예: 격리된 VPCtransit gateway를 여러 개의 격리된 라우터로 구성할 수 있습니다. 이는 여러 개의 transit gateways를 사용하는 것과 유사하지만 라우팅 및 연결이 변경될 수 있는 경우 더 많은 유연성을 제공합니다. 이 시나리오에서는
9
Amazon Virtual Private Cloud 전송 게이트웨이개요
격리된 각 라우터에 단일 라우팅 테이블이 있습니다. 격리된 라우터와 연결된 모든 연결이 전파되어 해당 라우팅 테이블과 연결됩니다. 하나의 격리된 라우터와 연결된 경우 패킷을 서로 라우팅할 수 있지만, 격리된 다른 라우터에 연결된 경우 패킷을 라우팅하거나 수신할 수 없습니다.
목차• 개요 (p. 10)• 라우팅 (p. 10)
개요다음 다이어그램은 이 시나리오를 위한 구성의 주요 구성 요소를 보여줍니다. VPC A, VPC B, VPC C의 패킷은 transit gateway로 라우팅됩니다. 인터넷이 대상인 VPC A, VPC B, VPC C에 있는 서브넷의 패킷은 먼저transit gateway를 통해 라우팅된 후 Site-to-Site VPN 연결로 라우팅됩니다(대상이 해당 네트워크 내에 있는경우). 대상이 다른 VPC의 서브넷인 한 VPC의 패킷(예: 10.1.0.0~10.2.0.0)은 transit gateway를 통해 라우팅되고, transit gateway 라우팅 테이블에 해당 경로가 없으므로 차단됩니다.
이 시나리오에는 다음 개체를 생성합니다.
• VPC 3개. VPC 생성에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 VPC 생성을 참조하십시오.
• transit gateway. 자세한 내용은 the section called “전송 게이트웨이 생성” (p. 17) 단원을 참조하십시오.• VPC 3개에 대한 transit gateway의 연결 3개. 자세한 내용은 the section called “VPC에 대한 전송 게이트웨
이 연결 생성” (p. 20) 단원을 참조하십시오.• 전송 게이트웨이의 Site-to-Site VPN 연결. 자세한 내용은 the section called “VPN에 대한 전송 게이트웨이
연결 생성” (p. 22) 단원을 참조하십시오. AWS Site-to-Site VPN 사용 설명서의 고객 게이트웨이 디바이스 요구 사항을 검토해야 합니다.
VPN 연결이 가동되면 BGP 세션이 설정되고 VPN CIDR이 transit gateway 라우팅 테이블로 전파되며 VPCCIDR이 고객 게이트웨이 BGP 테이블에 추가됩니다.
라우팅각 VPC에는 라우팅 테이블 하나가 있으며 transit gateway에는 두 개의 라우팅 테이블이 있습니다. 하나는VPC용이며 다른 하나는 VPN 연결용입니다.
VPC A, VPC B 및 VPC C 라우팅 테이블각 VPC에는 항목 2개가 포함된 라우팅 테이블이 있습니다. 첫 번째 항목은 VPC의 로컬 IPv4 라우팅에 대한기본 항목입니다. 이 항목을 사용하면 이 VPC의 인스턴스가 서로 통신할 수 있습니다. 두 번째 항목은 기타IPv4 서브넷 트래픽을 모두 transit gateway로 라우팅합니다. 다음 표에 VPC A 경로가 나와 있습니다.
10
Amazon Virtual Private Cloud 전송 게이트웨이공유 서비스를 사용하는 격리된 VPC
대상 주소 대상
10.1.0.0/16 로컬
0.0.0.0/0 tgw-id
전송 게이트웨이 라우팅 테이블이 시나리오에서는 VPC에 대한 라우팅 테이블 하나와 VPN 연결에 대한 라우팅 테이블 하나를 사용합니다.
VPC 연결은 다음 라우팅 테이블과 연결되며, 해당 테이블에는 VPN 연결에 대한 전파된 라우팅이 있습니다.
대상 주소 대상 라우팅 유형
10.99.99.0/24 VPN 연연연 연연 연연 전파
VPC 연결은 다음 라우팅 테이블과 연결되며, 해당 테이블에는 각 VPN 연결에 대한 전파된 라우팅이 있습니다.
대상 주소 대상 라우팅 유형
10.1.0.0/16 VPC A 연연 전파
10.2.0.0/16 VPC B 연연 전파
10.3.0.0/16 VPC C 연연 전파
transit gateway 라우팅 테이블에서 라우팅을 전파하는 방법에 대한 자세한 내용은 전송 게이트웨이 라우팅테이블에 라우팅 전파 (p. 27) 단원을 참조하십시오.
고객 게이트웨이 BGP 테이블고객 게이트웨이 BGP 테이블에는 다음과 같은 VPC CIDR이 포함되어 있습니다.
• 10.1.0.0/16• 10.2.0.0/16• 10.3.0.0/16
예: 공유 서비스를 사용하는 격리된 VPCtransit gateway를 공유 서비스를 사용하는 여러 개의 격리된 라우터로 구성할 수 있습니다. 이는 여러 개의transit gateways를 사용하는 것과 유사하지만 라우팅 및 연결이 변경될 수 있는 경우 더 많은 유연성을 제공합니다. 이 시나리오에서는 격리된 각 라우터에 단일 라우팅 테이블이 있습니다. 격리된 라우터와 연결된 모든 연결이 전파되어 해당 라우팅 테이블과 연결됩니다. 하나의 격리된 라우터와 연결된 경우 패킷을 서로 라우팅할 수 있지만, 격리된 다른 라우터에 연결된 경우 패킷을 라우팅하거나 수신할 수 없습니다. 연결은 공유서비스로 패킷을 라우팅하거나 공유 서비스에서 패킷을 수신할 수 있습니다. 격리해야 하는 그룹이 있지만공유 서비스(예: 프로덕션 시스템)를 사용하는 경우 이 시나리오를 사용할 수 있습니다.
목차• 개요 (p. 12)• 라우팅 (p. 12)
11
Amazon Virtual Private Cloud 전송 게이트웨이개요
개요다음 다이어그램은 이 시나리오를 위한 구성의 주요 구성 요소를 보여줍니다. 인터넷이 대상인 VPC A, VPCB 및 VPC C에 있는 서브넷의 패킷은 먼저 transit gateway를 통해 라우팅된 후 Site-to-Site VPN으로 라우팅됩니다. 대상이 VPC A, VPC B 또는 VPC C의 서브넷인 VPC A, VPC B 또는 VPC C에 있는 서브넷의 패킷(예: 10.1.0.0~10.2.0.0)은 transit gateway를 통해 라우팅되고, transit gateway 라우팅 테이블에 해당 라우팅이 없으므로 차단됩니다. 대상이 VPC D인 VPC A, VPC B, VPC C의 패킷은 transit gateway를 통해 라우팅된 후 VPC D로 라우팅됩니다.
이 시나리오에는 다음 개체를 생성합니다.
• VPC 4개. VPC 생성에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 VPC 생성을 참조하십시오.
• transit gateway. 자세한 내용은 전송 게이트웨이 생성을 참조하십시오.• VPC 4개에 대한 transit gateway의 연결 4개. 자세한 내용은 the section called “VPC에 대한 전송 게이트웨
이 연결 생성” (p. 20) 단원을 참조하십시오.• 전송 게이트웨이의 Site-to-Site VPN 연결. 자세한 내용은 the section called “VPN에 대한 전송 게이트웨이
연결 생성” (p. 22) 단원을 참조하십시오. AWS Site-to-Site VPN 사용 설명서의 고객 게이트웨이 디바이스 요구 사항을 검토해야 합니다.
VPN 연결이 가동되면 BGP 세션이 설정되고 VPN CIDR이 transit gateway 라우팅 테이블로 전파되며 VPCCIDR이 고객 게이트웨이 BGP 테이블에 추가됩니다.
라우팅각 VPC에는 라우팅 테이블 하나가 있으며 transit gateway에는 두 개의 라우팅 테이블이 있습니다. 하나는VPC용이며 다른 하나는 VPN 연결 및 공유 서비스 VPC용입니다.
VPC A, VPC B, VPC C, VPC D 라우팅 테이블각 VPC에는 항목 2개가 포함된 라우팅 테이블이 있습니다. 첫 번째 항목은 VPC의 로컬 IPv4 라우팅에 대한기본 항목으로서, 이 VPC의 인스턴스가 서로 통신할 수 있게 해줍니다. 두 번째 항목은 기타 IPv4 서브넷 트래픽을 모두 transit gateway로 라우팅합니다. 다음 표에 VPC A 경로가 나와 있습니다.
12
Amazon Virtual Private Cloud 전송 게이트웨이피어링
대상 주소 대상
10.1.0.0/16 로컬
0.0.0.0/0 tgw-id
전송 게이트웨이 라우팅 테이블이 시나리오에서는 VPC에 대한 라우팅 테이블 하나와 VPN 연결에 대한 라우팅 테이블 하나를 사용합니다.
VPC A, B 및 C 연결은 다음 라우팅 테이블과 연결되며, 해당 테이블에는 VPN 연결에 대한 전파된 라우팅과VPC D의 연결에 대한 전파된 라우팅이 있습니다.
대상 주소 대상 라우팅 유형
10.99.99.0/24 VPN 연연연 연연 연연 전파
10.4.0.0/16 VPC D 연연 전파
VPN 연결 및 공유 서비스 VPC(VPC D) 연결은 각 VPC 연결을 가리키는 항목이 있는 다음 라우팅 테이블과연결됩니다. 이렇게 하면 VPN 연결 및 공유 서비스 VPC에서 VPC와 통신할 수 있습니다.
대상 주소 대상 라우팅 유형
10.1.0.0/16 VPC A 연연 전파
10.2.0.0/16 VPC B 연연 전파
10.3.0.0/16 VPC C 연연 전파
10.4.0.0/16 VPC D 연연 전파
transit gateway 라우팅 테이블에서 라우팅을 전파하는 방법에 대한 자세한 내용은 전송 게이트웨이 라우팅테이블에 라우팅 전파 (p. 27) 단원을 참조하십시오.
고객 게이트웨이 BGP 테이블고객 게이트웨이 BGP 테이블에는 다음과 같은 VPC CIDR이 포함되어 있습니다.
• 10.1.0.0/16• 10.2.0.0/16• 10.3.0.0/16• 10.4.0.0/16
예: 피어링된 전송 게이트웨이다른 리전의 전송 게이트웨이 간에 전송 게이트웨이 피어링 연결을 생성할 수 있습니다. 그런 다음 각 전송게이트웨이 연결 간에 트래픽을 라우팅할 수 있습니다. 이 시나리오에서는 VPC 및 VPN 연결이 전송 게이트웨이 기본 라우팅 테이블과 연결되어 전송 게이트웨이 기본 라우팅 테이블에 전파됩니다. 각 전송 게이트웨이 라우팅 테이블에는 전송 게이트웨이 피어링 연결을 가리키는 정적 라우팅이 있습니다.
13
Amazon Virtual Private Cloud 전송 게이트웨이개요
내용• 개요 (p. 14)• 라우팅 (p. 14)
개요다음 다이어그램은 이 시나리오를 위한 구성의 주요 구성 요소를 보여줍니다. 전송 게이트웨이 1에는 두개의 VPC 연결이 있고, 전송 게이트웨이 2에는 하나의 Site-to-Site VPN 연결이 있습니다. 인터넷이 대상인 VPC A 및 VPC B에 있는 서브넷의 패킷은 먼저 transit gateway 1, transit gateway 2를 통해 라우팅된 후VPN 연결로 라우팅됩니다.
이 시나리오에서는 다음 엔터티를 생성합니다.
• VPC 2개. VPC 생성에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 VPC 생성을 참조하십시오.
• 다른 리전에 있는 transit gateway 2개. 자세한 내용은 the section called “전송 게이트웨이 생성” (p. 17)단원을 참조하십시오.
• 첫 번째 transit gateway에 있는 VPC 연결 2개. 자세한 내용은 the section called “VPC에 대한 전송 게이트웨이 연결 생성” (p. 20) 단원을 참조하십시오.
• 전송 게이트웨이의 Site-to-Site VPN 연결. 자세한 내용은 the section called “VPN에 대한 전송 게이트웨이연결 생성” (p. 22) 단원을 참조하십시오. AWS Site-to-Site VPN 사용 설명서의 고객 게이트웨이 디바이스 요구 사항을 검토해야 합니다.
• 두 transit gateway 간의 전송 게이트웨이 피어링 연결. 자세한 내용은 전송 게이트웨이 피어링 연결 (p. 23) 단원을 참조하십시오.
VPC 연결을 생성할 때 각 VPC의 CIDR이 transit gateway 1의 라우팅 테이블에 전파됩니다. VPN 연결이 작동 중이면 다음 작업이 수행됩니다.
• BGP 세션이 설정됩니다.• Site-to-Site VPN CIDR이 transit gateway 2의 라우팅 테이블로 전파됩니다.• VPC CIDR이 고객 게이트웨이 BGP 테이블에 추가됩니다.
라우팅각 VPC에는 라우팅 테이블이 있으며 각 transit gateway에는 라우팅 테이블이 있습니다.
VPC A 및 VPC B 라우팅 테이블각 VPC에는 항목 2개가 포함된 라우팅 테이블이 있습니다. 첫 번째 항목은 VPC의 로컬 IPv4 라우팅에 대한기본 항목입니다. 이 기본 항목을 사용하면 이 VPC의 리소스가 서로 통신할 수 있습니다. 두 번째 항목은 기타 IPv4 서브넷 트래픽을 모두 transit gateway로 라우팅합니다. 다음 표에 VPC A 경로가 나와 있습니다.
대상 주소 대상
10.0.0.0/16 로컬
14
Amazon Virtual Private Cloud 전송 게이트웨이라우팅
대상 주소 대상
0.0.0.0/0 tgw-1-id
전송 게이트웨이 라우팅 테이블다음은 라우팅 전파가 활성화된 전송 게이트웨이 1의 기본 라우팅 테이블의 예입니다.
대상 대상 라우팅 유형
10.0.0.0/16 VPC A연 연연 ID 전파
10.2.0.0/16 VPC B연 연연 ID 전파
0.0.0.0/0 연연연 연연연 연연 ID 고정
다음은 라우팅 전파가 활성화된 전송 게이트웨이 2의 기본 라우팅 테이블의 예입니다.
대상 대상 라우팅 유형
172.31.0.0/16 VPN 연연연 연연 연연 ID 전파
10.0.0.0/16 연연연 연연연 연연 ID 고정
10.2.0.0/16 연연연 연연연 연연 ID 고정
고객 게이트웨이 BGP 테이블고객 게이트웨이 BGP 테이블에는 다음과 같은 VPC CIDR이 포함되어 있습니다.
• 10.0.0.0/16• 10.2.0.0/16
15
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이
전송 게이트웨이 사용Amazon VPC 콘솔 또는 AWS CLI를 사용하여 transit gateways에서 작업할 수 있습니다.
목차• 전송 게이트웨이 (p. 16)• VPC에 대한 전송 게이트웨이 연결 (p. 19)• Direct Connect 게이트웨이에 전송 게이트웨이 연결 (p. 21)• 전송 게이트웨이 VPN 연결 (p. 22)• 전송 게이트웨이 피어링 연결 (p. 23)• 전송 게이트웨이 라우팅 테이블 (p. 25)• 전송 게이트웨이의 멀티캐스트 (p. 30)
전송 게이트웨이transit gateway를 사용하면 VPC와 VPN 연결을 동일한 리전에 연결하고 두 리전 간의 트래픽을 라우팅할 수있습니다. transit gateway는 AWS 계정에서 작동하며, AWS Resource Access Manager를 사용하여 transitgateway를 다른 계정과 공유할 수 있습니다. transit gateway를 다른 AWS 계정과 공유하면 계정 소유자가 자신의 VPC를 transit gateway에 연결할 수 있습니다. 두 계정의 사용자는 언제든지 연결을 삭제할 수 있습니다.
transit gateway에서 멀티캐스트를 활성화한 다음 도메인과 연결된 VPC 연결을 통해 멀티캐스트 소스에서멀티캐스트 그룹 멤버로 멀티캐스트 트래픽을 보낼 수 있는 transit gateway 멀티캐스트 도메인을 생성할 수있습니다.
또한 서로 다른 AWS 리전에 있는 transit gateway 간에 피어링 연결을 생성할 수도 있습니다. 이렇게 하면 여러 리전의 전송 게이트웨이 연결 간에 트래픽을 라우팅할 수 있습니다.
각 VPC 또는 VPN 연결은 단일 라우팅 테이블과 연결됩니다. 해당 라우팅 테이블은 해당 리소스 연결에서 들어오는 트래픽에 대한 다음 홉을 결정합니다. transit gateway 내부의 라우팅 테이블은 IPv4 또는 IPv6 CIDR및 대상에 대해 모두 허용됩니다. 대상은 VPC 및 VPN 연결입니다. transit gateway에서 VPC를 연결하거나VPN 연결을 생성하면 transit gateway의 기본 라우팅 테이블과 연결됩니다.
transit gateway 내부에 추가 라우팅 테이블을 생성하고 VPC 또는 VPN 연결을 이 라우팅 테이블로 변경할수 있습니다. 이를 통해 네트워크를 세분화할 수 있습니다. 예를 들어, 개발 VPC를 라우팅 테이블 하나와 연결하고 프로덕션 VPC를 다른 라우팅 테이블과 연결할 수 있습니다. 이를 통해 기존 네트워크에서 가상 라우팅 및 전달(VRF)과 유사한 transit gateway 내부의 격리된 네트워크를 생성할 수 있습니다.
전송 게이트웨이는 연결된 VPC와 VPN 연결 간의 동적 및 정적 라우팅을 지원합니다. 각 연결에 대해 라우팅전파를 활성화하거나 비활성화할 수 있습니다. 전송 게이트웨이 피어링 연결은 정적 라우팅만 지원합니다.
주제• 전송 게이트웨이 생성 (p. 17)• 전송 게이트웨이 보기 (p. 17)• 전송 게이트웨이에 대한 태그 추가 또는 편집 (p. 18)• 전송 게이트웨이 공유 (p. 18)• 리소스 공유 수락 (p. 19)• 공유 연결 수락 (p. 19)• 전송 게이트웨이 삭제 (p. 19)
16
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 생성
전송 게이트웨이 생성transit gateway를 생성할 때 기본 transit gateway 라우팅 테이블을 만들어 기본 연결 라우팅 테이블과 기본전파 라우팅 테이블로 사용합니다.
콘솔을 사용하여 transit gateway를 생성하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateways(전송 게이트웨이)를 선택합니다.3. Create Transit Gateway(전송 게이트웨이 생성)를 선택합니다.4. Name tag(이름 태그)에 transit gateway의 이름을 입력합니다. 이름 태그를 사용하면 게이트웨이 목록에
서 특정 게이트웨이를 쉽게 식별할 수 있습니다. Name tag(이름 태그)를 추가하면 키가 이름이고 입력한값과 동일한 값을 가진 태그가 생성됩니다.
5. 선택적으로 설명에 transit gateway에 대한 설명을 입력합니다.6. Amazon 측 ASN의 경우 기본 ASN(Autonomous System Number)을 사용하도록 기본값을 그대로 두거
나 transit gateway용 프라이빗 ASN을 입력합니다. 이 ASN은 BGP(Border Gateway Protocol) 세션의AWS 측에 대한 ASN이어야 합니다.
16비트 ASN의 경우 범위는 64512 ~ 65534입니다.
32비트 ASN의 경우 범위는 4200000000 ~ 4294967294입니다.
다중 리전 배포가 있는 경우 각 transit gateways에 고유의 ASN을 사용하는 것이 좋습니다.7. DNS 지원의 경우 transit gateway에 연결된 다른 VPC의 인스턴스에서 쿼리할 때 퍼블릭 IPv4 DNS 호스
트 이름을 프라이빗 IPv4 주소로 확인하기 위해 VPC가 필요한 경우 enable(활성화)을 선택합니다.8. VPN 터널 간에 ECMP(Equal Cost Multipath) 라우팅 지원이 필요한 경우 VPN ECMP 지원에서 활성
화를 선택합니다. 연결에서 동일한 CIDR을 공고하는 경우 해당 트래픽은 이러한 CIDR 간에 균등하게분산됩니다.
이 옵션을 선택하는 경우, 보급된 BGP ASN, AS 경로 등의 BGP 속성, 기본 설정 커뮤니티가 동일해야합니다.
9. Default route table association(기본 라우팅 테이블 연결)의 경우 transit gateway의 기본 라우팅 테이블이 있는 transit gateway 연결에 자동으로 연결하려면 enable(활성화)을 선택합니다.
10. Default route table propagation(기본 라우팅 테이블 전파)의 경우 transit gateway의 기본 라우팅 테이블이 있는 transit gateway 연결에 자동으로 전파하려면 enable(활성화)을 선택합니다.
11. (선택 사항) transit gateway를 멀티캐스트 트래픽의 라우터로 사용하려면 Multicast support(멀티캐스트지원)를 선택합니다.
12. Auto accept shared attachments(자동 공유 연결 허용)에서 enable(활성화)을 선택하면 교차 계정 연결을 자동으로 수락합니다.
13. Create Transit Gateway(전송 게이트웨이 생성)를 선택합니다.14. Create Transit Gateway request succeeded(전송 게이트웨이 요청 생성 성공) 메시지가 나타나면 닫
기를 선택합니다.
AWS CLI를 사용하여 transit gateway를 생성하려면
create-transit-gateway 명령을 사용합니다.
전송 게이트웨이 보기콘솔을 사용하여 transit gateways를 보려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.
17
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이에 대한 태그 추가 또는 편집
2. 탐색 창에서 Transit Gateways(전송 게이트웨이)를 선택합니다. transit gateway의 세부 정보는 페이지의 게이트웨이 목록 아래에 표시됩니다.
AWS CLI를 사용하여 transit gateways를 보려면
describe-transit-gateways 명령을 사용합니다.
전송 게이트웨이에 대한 태그 추가 또는 편집리소스에 태그를 추가하면 용도, 소유자 또는 환경과 같은 기준으로 태그를 구성하고 식별할 수 있습니다. 각transit gateway에 태그를 여러 개 추가할 수 있습니다. 태그 키는 각 transit gateway마다 고유해야 합니다.transit gateway에 이미 연결된 키를 통해 태그를 추가하면 해당 태그의 값이 업데이트됩니다. 자세한 내용은Amazon EC2 리소스에 태그 지정 단원을 참조하십시오.
콘솔을 사용하여 transit gateway에 태그 추가
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateways(전송 게이트웨이)를 선택합니다.3. 태그를 추가 또는 편집할 transit gateway를 선택합니다.4. 페이지 아래쪽에서 태그 탭을 선택합니다.5. 태그 추가/편집을 선택합니다.6. 태그 생성을 선택합니다.7. 해당 태그의 키와 값을 입력합니다.8. 저장을 선택합니다.
전송 게이트웨이 공유AWS Resource Access Manager(RAM)를 사용하여 AWS Organizations에서 계정 전체 또는 조직 전체에서transit gateway를 공유 (p. 50)할 수 있습니다. 소유하고 있는 transit gateway를 공유하려면 다음 절차에따르십시오.
해당 조직의 마스터 계정에서 리소스 공유를 활성화해야 합니다. 리소스 공유 활성화에 대한 자세한 정보는AWS RAM 사용 설명서의 AWS Organizations를 사용하여 공유 활성화를 참조하십시오.
transit gateway를 공유하려면
1. https://console.aws.amazon.com/ram/에서 AWS Resource Access Manager 콘솔을 엽니다.2. Create a resource share(리소스 공유 생성)를 선택합니다.3. 설명 아래의 이름에서 리소스 공유에 대한 서술형 이름을 입력합니다.4. 리소스 유형 선택에서 Transit Gateways(전송 게이트웨이)를 선택합니다. transit gateway를 선택합니
다.5. (선택 사항) 보안 주체에서 리소스 공유에 보안 주체를 추가합니다. 각 AWS 계정, OU 또는 조직에 대해
ID를 지정하고 추가를 선택합니다.
Allow external accounts(외부 계정 허용)에서 조직 외부의 AWS 계정과 이 리소스를 공유할지 여부를 선택합니다.
6. (선택 사항) 태그 아래에 각 태그에 대한 태그 키와 태그 값 페어를 입력합니다. 이러한 태그는 리소스 공유에는 적용되지만 transit gateway에는 적용되지 않습니다.
7. Create resource share(리소스 공유 생성)를 선택합니다.
18
Amazon Virtual Private Cloud 전송 게이트웨이리소스 공유 수락
리소스 공유 수락리소스 공유에 추가되면 해당 리소스 공유에 가입하라는 초대가 발송됩니다. 공유 리소스에 액세스하려면 먼저 리소스 공유를 수락해야 합니다.
리소스 공유를 수락하려면
1. https://console.aws.amazon.com/ram/에서 AWS Resource Access Manager 콘솔을 엽니다.2. 탐색 창에서 나와 공유됨, Resource shares(리소스 공유)를 선택합니다.3. 리소스 공유를 선택합니다.4. Accept resource share(리소스 공유 수락)를 선택합니다.5. 공유 transit gateway를 보려면 Amazon VPC 콘솔에서 Transit Gateways(전송 게이트웨이) 페이지를 엽
니다.
공유 연결 수락transit gateway를 생성할 때 Auto accept shared attachments(공유 연결 자동 수락) 기능을 활성화하지 않은경우 교차 계정(공유) 연결을 수동으로 수락해야 합니다.
공유 연결을 수동으로 수락하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. 수락 보류 중인 transit gateway 연결을 선택합니다.4. 작업, 수락을 선택합니다.
AWS CLI를 사용하여 공유 연결을 수락하려면
accept-transit-gateway-vpc-attachment 명령을 사용합니다.
전송 게이트웨이 삭제기존 연결이 있는 transit gateway는 삭제할 수 없습니다. transit gateway를 삭제하려면 먼저 모든 연결을 삭제해야 합니다.
콘솔을 사용하여 transit gateway를 삭제하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 삭제할 transit gateway를 선택합니다.3. 작업, 삭제를 선택한 다음 삭제를 선택하여 삭제를 확인합니다.
AWS CLI를 사용하여 transit gateway를 삭제하려면
delete-transit-gateway 명령을 사용합니다.
VPC에 대한 전송 게이트웨이 연결VPC를 transit gateway에 연결하는 경우 트래픽을 라우팅하기 위해 transit gateway에서 사용할 각 가용 영역의 서브넷을 하나 지정해야 합니다. 가용 영역에서 하나의 서브넷을 지정하면 해당 가용 영역의 모든 서브넷에 있는 리소스에 트래픽이 도달할 수 있습니다.
19
Amazon Virtual Private Cloud 전송 게이트웨이VPC에 대한 전송 게이트웨이 연결 생성
제한
VPC를 transit gateway에 연결하면 전송 게이트웨이 연결이 없는 가용 영역의 리소스는 전송 게이트웨이에도달할 수 없습니다. 서브넷 라우팅 테이블에 transit gateway에 대한 경로가 있는 경우 동일한 가용 영역의서브넷에 transit gateway의 연결이 있을 때만 트래픽이 transit gateway에 전달됩니다.
transit gateway에 연결된 VPC의 리소스는 동일한 전송 게이트웨이에 연결된 다른 VPC의 보안 그룹에 액세스할 수 없습니다.
전송 게이트웨이는 Amazon Route 53에서 프라이빗 호스팅 영역을 사용하여 설정된 연결된 VPC의 사용자지정 DNS 이름에 대한 DNS 확인을 지원하지 않습니다. 전송 게이트웨이에 연결된 모든 VPC의 프라이빗 호스팅 영역에 대한 이름 확인을 구성하려면 Amazon Route 53 및 AWS Transit Gateway를 사용한 하이브리드클라우드의 중앙 집중식 DNS 관리를 참조하십시오.
VPC에 대한 전송 게이트웨이 연결 생성콘솔을 사용하여 VPC 연결을 생성하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. Create Transit Gateway Attachment(전송 게이트웨이 연결 생성)를 선택합니다.4. Transit Gateway ID(전송 게이트웨이 ID)에서 연결에 대한 transit gateway를 선택합니다. 내가 소유한
transit gateway 또는 나와 공유된 transit gateway를 선택할 수 있습니다.5. Attachment type(연결 유형)에서 VPC를 선택합니다.6. 선택적으로 VPC Attachment(VPC 연결)에서 Attachment name tag(연결 이름 태그)에 대한 이름을 입력
합니다.7. DNS 지원 및 IPv6 지원을 활성화할지 선택합니다.8. VPC ID에서 transit gateway에 연결할 VPC를 선택합니다.
이 VPC에는 적어도 하나의 서브넷이 연결되어 있어야 합니다.9. Subnet IDs(서브넷 ID)에서, 트래픽을 라우팅하기 위해 transit gateway에서 사용할 각 가용 영역에 대해
하나의 서브넷을 선택합니다. 하나 이상의 서브넷을 선택해야 합니다. 가용 영역당 서브넷 한 개만 선택할 수 있습니다.
10. Create attachment(연결 생성)를 선택합니다.
AWS CLI를 사용하여 VPC 연결을 생성하려면
create-transit-gateway-vpc-attachment 명령을 사용합니다.
VPC 연결 수정콘솔을 사용하여 VPC 연결을 수정하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. VPC 연결을 선택한 다음 Actions(작업), Modify(수정)를 선택합니다.4. DNS 지원을 활성화하려면 DNS support(DNS 지원)를 선택합니다.5. 서브넷을 연결에 추가하려면 서브넷 옆에 있는 확인란을 선택합니다.6. Modify attachment(연결 수정)를 선택합니다.
AWS CLI를 사용하여 VPC 연결을 수정하려면
modify-transit-gateway-vpc-attachment 명령을 사용합니다.
20
Amazon Virtual Private Cloud 전송 게이트웨이VPC 연결 태그 수정
VPC 연결 태그 수정콘솔을 사용하여 VPC 연결 태그를 수정하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. VPC 연결을 선택한 다음 Actions(작업), Add/Edit tags(추가/편집)를 선택합니다.4. [태그 추가] 태그 추가를 선택하고 다음을 수행합니다.
• 키에 키 이름을 입력합니다.• 값에 키 값을 입력합니다.
5. [태그 제거] 태그 옆에 있는 삭제("X")를 선택합니다.6. Modify attachment(연결 수정)를 선택합니다.
VPC 연결 보기콘솔을 사용하여 VPC 연결을 보려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. 검색 창을 선택하고 메뉴에서 리소스 유형을 선택한 다음 VPC를 선택합니다.4. VPC 연결이 표시됩니다. 세부 정보를 볼 연결을 선택합니다.
AWS CLI를 사용하여 VPC 연결을 보려면
describe-transit-gateway-vpc-attachments 명령을 사용합니다.
VPC 연결 삭제콘솔을 사용하여 VPC 연결을 삭제하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. VPC 연결을 선택합니다.4. 작업, 삭제를 선택합니다.5. 확인 메시지가 나타나면 삭제를 선택합니다.
AWS CLI를 사용하여 VPC 연결을 삭제하려면
delete-transit-gateway-vpc-attachment 명령을 사용합니다.
Direct Connect 게이트웨이에 전송 게이트웨이 연결전송 가상 인터페이스를 사용하여 transit gateway를 Direct Connect 게이트웨이에 연결합니다. 이 구성을 사용하면 다음과 같은 이점이 있습니다. 다음을 할 수 있습니다.
• 동일한 리전에 있는 여러 VPC 또는 VPN에 대한 단일 연결을 관리합니다.• 온프레미스에서 AWS로, AWS에서 온프레미스로 접두사를 공급합니다.
21
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 VPN 연결
다음 다이어그램에서는 Direct Connect 게이트웨이를 사용하여 모든 VPC에서 사용할 수 있는 DirectConnect 연결에 대한 단일 연결을 만드는 방법을 보여줍니다.
이 솔루션에는 다음 구성 요소가 포함됩니다.
• transit gateway• Direct Connect 게이트웨이• Direct Connect 게이트웨이와 transit gateway 간의 연결• Direct Connect 게이트웨이에 연결되는 전송 가상 인터페이스
Direct Connect 게이트웨이와 transit gateway 구성에 대한 자세한 내용은 AWS Direct Connect 사용 설명서의 전송 게이트웨이 연결을 참조하십시오.
전송 게이트웨이 VPN 연결transit gateway에 VPN 연결을 수행하려면 고객 게이트웨이를 지정해야 합니다. 고객 게이트웨이 요구 사항에 대한 자세한 정보는 AWS Site-to-Site VPN 사용 설명서의 고객 게이트웨이 요구 사항을 참조하십시오.
정적 VPN의 경우 transit gateway 라우팅 테이블에 정적 라우팅을 추가합니다.
VPN에 대한 전송 게이트웨이 연결 생성콘솔을 사용하여 VPN 연결을 생성하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. Create Transit Gateway Attachment(전송 게이트웨이 연결 생성)를 선택합니다.4. Transit Gateway ID(전송 게이트웨이 ID)에서 연결에 대한 transit gateway를 선택합니다. 자신이 소유하
고 있는 transit gateway를 선택할 수 있습니다.5. Attachment type(연결 유형)에서 VPN을 선택합니다.6. 고객 게이트웨이에서 다음 중 하나를 수행합니다.
• 기존 고객 게이트웨이를 사용하려면 기존을 선택한 다음 사용할 게이트웨이를 선택합니다.
고객 게이트웨이가 NAT-T(NAT traversal)를 지원하는 NAT(Network Address Translation) 디바이스뒤에 상주하는 경우 NAT 디바이스의 퍼블릭 IP 주소를 사용하고 UDP 포트 4500 차단을 해제하도록 방화벽 규칙을 수정합니다.
• 고객 게이트웨이를 생성하려면 새로 만들기를 선택한 다음 IP Address(IP 주소)에 대해 정적 퍼블릭IP 주소 및 BGP ASN을 입력합니다.
라우팅 옵션에서 동적 또는 정적을 선택합니다. 자세한 내용은 AWS Site-to-Site VPN 사용 설명서의 사이트 간 VPN 라우팅 옵션을 참조하십시오.
7. 터널 옵션에 대해서는 AWS Site-to-Site VPN 사용 설명서의 Site-to-Site VPN 연결에 대한 Site-to-SiteVPN 터널 옵션을 참조하십시오.
8. Create attachment(연결 생성)를 선택합니다.
22
Amazon Virtual Private Cloud 전송 게이트웨이VPN 연결 보기
AWS CLI를 사용하여 VPN 연결을 생성하려면
create-vpn-connection 명령을 사용합니다.
VPN 연결 보기콘솔을 사용하여 VPN 연결을 보려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. 검색 창을 선택하고 메뉴에서 리소스 유형을 선택한 다음 VPN을 선택합니다.4. VPN 연결이 표시됩니다. 세부 정보를 보거나 태그를 추가할 연결을 선택합니다.
AWS CLI를 사용하여 VPN 연결을 보려면
describe-transit-gateway-attachments 명령을 사용합니다.
전송 게이트웨이 피어링 연결두 transit gateway를 피어링하고, 둘 사이에서 IPv4와 IPv6 트래픽을 포함한 트래픽을 라우팅할 수 있습니다.이렇게 하려면 transit gateway에서 피어링 연결을 생성하고 다른 AWS 리전에서 transit gateway를 지정합니다. 피어 transit gateway는 사용자 계정 또는 다른 AWS 계정에 있을 수 있습니다.
피어링 연결 요청을 생성한 후에는 피어 전송 게이트웨이의 소유자(수락자 전송 게이트웨이라고도 함)가 요청을 수락해야 합니다. transit gateway 간에 트래픽을 라우팅하려면 transit gateway 피어링 첨부 파일을 가리키는transit gateway 라우팅 테이블에 정적 라우팅을 추가합니다.
향후 라우팅 전파 기능을 활용하려면 피어링된 transit gateway에 고유한 ASN을 사용하는 것이 좋습니다.
전송 게이트웨이 교차 리전 피어링은 전송 게이트웨이 피어링 첨부 파일의 양쪽에 있는 VPC에서 퍼블릭IPv4 DNS 호스트 이름을 프라이빗 IPv4 주소로 확인하는 것을 지원하지 않습니다.
전송 게이트웨이 피어링 연결은 AWS 리전(아시아 태평양(홍콩), 아시아 태평양(오사카-로컬) 및 중동(바레인))에서 지원되지 않습니다.
피어링 연결 생성시작하기 전에 연결할 transit gateway의 ID가 있는지 확인합니다. transit gateway가 다른 AWS 계정에 있는경우 transit gateway 소유자의 AWS 계정 ID가 있어야 합니다.
피어링 연결을 생성한 후 수락자 transit gateway의 소유자가 연결 요청을 수락해야 합니다.
콘솔을 사용하여 피어링 연결을 생성하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. Create Transit Gateway Attachment(전송 게이트웨이 연결 생성)를 선택합니다.4. Transit Gateway ID(전송 게이트웨이 ID)에서 연결에 대한 transit gateway를 선택합니다. 내가 소유한
transit gateway 또는 나와 공유된 transit gateway를 선택할 수 있습니다.5. Attachment type(연결 유형)에서 피어링 연결을 선택합니다.6. 선택적으로 연결에 대한 이름 태그를 입력합니다.7. 계정에서 다음 중 하나를 수행합니다.
23
Amazon Virtual Private Cloud 전송 게이트웨이피어링 연결 요청 수락 또는 거부
• transit gateway가 계정에 있는 경우 내 계정을 선택합니다.• transit gateway가 다른 AWS 계정에 있는 경우 Other account(다른 계정)를 선택합니다. 계정 ID에
AWS 계정 ID를 입력합니다.8. 리전에서 transit gateway가 위치한 리전을 선택합니다.9. Transit gateway ID (accepter)(전송 게이트웨이 ID(수락자))에 연결할 전송 게이트웨이의 ID를 입력합니
다.10. Create attachment(연결 생성)를 선택합니다.
AWS CLI를 사용하여 피어링 연결을 생성하려면
create-transit-gateway-peering-attachment 명령을 사용합니다.
피어링 연결 요청 수락 또는 거부피어링 연결을 활성화하려면 수락자 전송 게이트웨이의 소유자가 피어링 연결 요청을 수락해야 합니다. 두 전송 게이트웨이가 동일한 계정에 있는 경우에도 이 작업이 필요합니다. 피어링 연결은pendingAcceptance 상태에 있어야 합니다. 수락자 전송 게이트웨이가 있는 리전의 피어링 연결 요청을수락합니다.
또는 pendingAcceptance 상태로 받은 피어링 연결 요청을 거부할 수 있습니다. 수락자 전송 게이트웨이가 있는 리전에서 요청을 거부해야 합니다.
콘솔을 사용하여 피어링 연결 요청을 수락하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. 수락 보류 중인 transit gateway 피어링 연결을 선택합니다.4. 작업, 수락을 선택합니다.5. transit gateway 라우팅 테이블에 정적 라우팅을 추가합니다. 자세한 내용은 the section called “고정 라
우팅 생성” (p. 28) 단원을 참조하십시오.
콘솔을 사용하여 피어링 연결 요청을 거부하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. 수락 보류 중인 transit gateway 피어링 연결을 선택합니다.4. 작업, 거부를 선택합니다.
AWS CLI를 사용하여 피어링 연결을 수락하거나 거부하려면
accept-transit-gateway-peering-attachment 및 reject-transit-gateway-peering-attachment 명령을 사용합니다.
전송 게이트웨이 라우팅 테이블에 라우팅 추가피어링된 전송 게이트웨이 간에 트래픽을 라우팅하려면 전송 게이트웨이 피어링 첨부 파일을 가리키는 전송게이트웨이 라우팅 테이블에 정적 라우팅을 추가해야 합니다. 수락자 transit gateway의 소유자는 전송 게이트웨이의 라우팅 테이블에 정적 라우팅도 추가해야 합니다.
콘솔을 사용하여 고정 라우팅을 생성하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.
24
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 피어링 연결 보기
2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 경로를 생성할 라우팅 테이블을 선택합니다.4. Actions(작업), Create route(라우팅 생성)을 선택합니다.5. Create route(라우팅 생성) 페이지에 라우팅을 생성할 CIDR 블록을 입력합니다. 예를 들어 피어 전송 게
이트웨이에 연결된 VPC의 CIDR 블록을 지정합니다.6. 해당 라우팅에 대한 피어링 첨부 파일을 선택합니다.7. Create Route(라우팅 생성)를 선택합니다.
AWS CLI을 사용하여 고정 라우팅을 생성하려면
create-transit-gateway-route 명령을 사용합니다.
라우팅을 생성한 후 transit gateway 라우팅 테이블을 transit gateway 피어링 연결과 연결합니다. 자세한 내용은 the section called “전송 게이트웨이 라우팅 테이블 연결” (p. 26) 단원을 참조하십시오.
전송 게이트웨이 피어링 연결 보기전송 게이트웨이 피어링 연결 및 해당 연결에 대한 정보를 볼 수 있습니다.
콘솔을 사용하여 피어링 연결을 보려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. 검색 창을 선택하고 메뉴에서 리소스 유형을 선택한 다음 피어링을 선택합니다.4. 피어링 연결이 표시됩니다. 세부 정보를 볼 연결을 선택합니다.
AWS CLI를 사용하여 전송 게이트웨이 피어링 연결을 보려면
describe-transit-gateway-peering-attachments 명령을 사용합니다.
피어링 연결 삭제transit gateway 피어링 연결을 삭제할 수 있습니다. 전송 게이트웨이의 소유자가 연결을 삭제할 수 있습니다.
콘솔을 사용하여 피어링 연결을 삭제하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Attachments(전송 게이트웨이 연결)를 선택합니다.3. transit gateway 피어링 연결을 선택합니다.4. 작업, 삭제를 선택합니다.5. 확인 메시지가 나타나면 삭제를 선택합니다.
AWS CLI를 사용하여 피어링 연결을 삭제하려면
delete-transit-gateway-peering-attachment 명령을 사용합니다.
전송 게이트웨이 라우팅 테이블transit gateway 라우팅 테이블을 사용하여 transit gateway 연결에 대한 라우팅을 구성합니다.
25
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 라우팅 테이블 생성
전송 게이트웨이 라우팅 테이블 생성콘솔을 사용하여 transit gateway 라우팅 테이블을 생성하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. Create Transit Gateway Route Table(전송 게이트웨이 라우팅 테이블 생성)을 선택합니다.4. (선택 사항) Name tag(이름 태그)에 transit gateway 라우팅 테이블에 대한 이름을 입력합니다. 태그 키
"이름"이 있는 태그가 생성됩니다. 여기서 태그 값은 지정한 이름입니다.5. Transit Gateway ID(전송 게이트웨이 ID)에서 라우팅 테이블에 대한 transit gateway를 선택합니다.6. Create Transit Gateway Route Table(전송 게이트웨이 라우팅 테이블 생성)을 선택합니다.
AWS CLI를 사용하여 transit gateway 라우팅 테이블을 생성하려면
create-transit-gateway-route-table 명령을 사용합니다.
전송 게이트웨이 라우팅 테이블 연결transit gateway 연결을 transit gateway 라우팅 테이블과 연결할 수 있습니다.
콘솔을 사용하여 transit gateway 라우팅 테이블을 연결하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 라우팅 테이블을 선택합니다.4. 페이지의 하단에서 연결 탭을 선택합니다.5. 연결 생성을 선택합니다.6. 원하는 연결을 선택하고 연결 생성을 선택합니다.
AWS CLI를 사용하여 transit gateway 라우팅 테이블을 연결하려면
associate-transit-gateway-route-table 명령을 사용합니다.
전송 게이트웨이 라우팅 테이블에 대한 연결 삭제transit gateway 연결에서 transit gateway 라우팅 테이블의 연결을 해제할 수 있습니다.
콘솔을 사용하여 transit gateway 라우팅 테이블을 연결 해제하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 라우팅 테이블을 선택합니다.4. 페이지의 하단에서 연결 탭을 선택합니다.5. 해제할 연결을 선택하고 연결 삭제를 선택합니다.6. 확인 메시지가 나타나면 연결 삭제를 선택합니다.
AWS CLI를 사용하여 transit gateway 라우팅 테이블을 연결 해제하려면
disassociate-transit-gateway-route-table 명령을 사용합니다.
26
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 라우팅 테이블 보기
전송 게이트웨이 라우팅 테이블 보기콘솔을 사용하여 transit gateway 라우팅 테이블을 보려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 특정 라우팅 테이블 또는 테이블 집합을 찾으려면 필터 필드에 이름, 키워드 또는 속성의 전체 또는 일부
를 입력합니다.
설정을 표시할 라우팅 테이블을 선택합니다.
AWS CLI를 사용하여 transit gateway 라우팅 테이블을 보려면
describe-transit-gateway-route-tables 명령을 사용합니다.
전송 게이트웨이 라우팅 테이블에 라우팅 전파라우팅 전파를 사용하여 라우팅 테이블에서 연결에 대한 라우팅을 추가합니다.
transit gateway 연결 라우팅 테이블로 연결을 전파하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 전파를 생성할 라우팅 테이블을 선택합니다.4. 작업, Create propagation(전파 생성)을 선택합니다.5. Create propagation(전파 생성) 페이지에서 연결을 선택합니다.6. Create propagation(전파 생성)을 선택합니다.7. 닫기를 선택합니다.
AWS CLI를 사용하여 라우팅 전파를 활성화하려면
enable-transit-gateway-route-table-propagation 명령을 사용합니다.
경로 전파 비활성화라우팅 테이블 연결에서 전파된 라우팅을 제거합니다.
콘솔을 사용하여 라우팅 전파를 비활성화하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 전파를 삭제할 라우팅 테이블을 선택합니다.4. 페이지의 하단에서 Propagations(전파) 탭을 선택합니다.5. 연결을 선택한 다음 Delete propagation(전파 삭제)을 선택합니다.6. 확인 메시지가 나타나면 Delete propagation(전파 삭제)을 선택합니다.
AWS CLI를 사용하여 라우팅 전파를 비활성화하려면
disable-transit-gateway-route-table-propagation 명령을 사용합니다.
27
Amazon Virtual Private Cloud 전송 게이트웨이라우팅 테이블 전파 보기
라우팅 테이블 전파 보기콘솔을 사용하여 라우팅 전파를 보려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 전파를 볼 라우팅 테이블을 선택합니다.4. 페이지의 하단에서 Propagations(전파) 탭을 선택합니다.
AWS CLI를 사용하여 라우팅 전파를 보려면
get-transit-gateway-route-table-propagations 명령을 사용합니다.
고정 라우팅 생성VPC, VPN 또는 전송 게이트웨이 피어링 첨부 파일에 대한 고정 라우팅을 생성하거나 해당 라우팅과 일치하는 트래픽을 삭제하는 블랙홀 라우팅을 생성할 수 있습니다.
콘솔을 사용하여 고정 라우팅을 생성하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 경로를 생성할 라우팅 테이블을 선택합니다.4. Actions(작업), Create route(라우팅 생성)을 선택합니다.5. Create route(라우팅 생성) 페이지에 라우팅을 생성할 CIDR 블록을 입력합니다.6. 라우팅에 대한 연결을 선택합니다.7. Create Route(라우팅 생성)를 선택합니다.
콘솔을 사용하여 블랙홀 라우팅을 생성하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 경로를 생성할 라우팅 테이블을 선택합니다.4. Actions(작업), Create route(라우팅 생성)을 선택합니다.5. Create route(라우팅 생성) 페이지에 라우팅을 생성할 CIDR 블록을 입력한 다음 Blackhole(블랙홀)을 선
택합니다.6. Create Route(라우팅 생성)를 선택합니다.
AWS CLI를 사용하여 고정 라우팅 또는 블랙홀 라우팅을 생성하려면
create-transit-gateway-route 명령을 사용합니다.
고정 경로 삭제연결된 VPC 또는 VPN 연결에 대한 고정 라우팅을 생성하거나, 라우팅과 일치하는 트래픽을 드롭하는 블랙홀 라우팅을 생성할 수 있습니다.
콘솔을 사용하여 고정 라우팅을 삭제하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.
28
Amazon Virtual Private Cloud 전송 게이트웨이Amazon S3에 라우팅 테이블 내보내기
2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 라우팅을 삭제할 라우팅 테이블을 선택하고 Routes(라우팅)을 선택합니다.4. 삭제할 라우팅을 선택합니다.5. Delete route(라우팅 삭제)를 선택합니다.6. 확인 상자에서 Delete route(라우팅 삭제)를 선택합니다.
AWS CLI를 사용하여 고정 라우팅을 삭제하려면
delete-transit-gateway-route 명령을 사용합니다.
Amazon S3에 라우팅 테이블 내보내기전송 게이트웨이 라우팅 테이블의 라우팅을 Amazon S3 버킷으로 내보낼 수 있습니다. 라우팅은 JSON 파일의 지정된 Amazon S3 버킷에 저장됩니다.
콘솔을 사용하여 transit gateway 라우팅 테이블을 내보내려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 내보낼 라우팅이 포함된 라우팅 테이블을 선택합니다.4. 작업, Export routes(라우팅 내보내기)를 선택합니다.5. Export routes(라우팅 내보내기) 페이지에서 S3 버킷 이름에 대해 S3 버킷의 이름을 입력합니다.6. 내보낸 라우팅을 필터링하려면 페이지의 필터 섹션에서 필터 파라미터를 지정합니다.7. Export routes(라우팅 내보내기)를 선택합니다.
내보낸 라우팅에 액세스하려면 https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 열고 지정한 버킷으로 이동합니다. 파일 이름에는 AWS 계정 ID, AWS 리전, 라우팅 테이블 ID 및 타임스탬프가 포함됩니다.파일을 선택하고 다운로드를 선택합니다. 다음은 VPC 첨부 파일에 대해 전파된 두 라우팅에 대한 정보가 포함된 JSON 파일의 예입니다.
{ "filter": [ { "name": "route-search.subnet-of-match", "values": [ "0.0.0.0/0", "::/0" ] } ], "routes": [ { "destinationCidrBlock": "10.0.0.0/16", "transitGatewayAttachments": [ { "resourceId": "vpc-0123456abcd123456", "transitGatewayAttachmentId": "tgw-attach-1122334455aabbcc1", "resourceType": "vpc" } ], "type": "propagated", "state": "active" }, { "destinationCidrBlock": "10.2.0.0/16", "transitGatewayAttachments": [
29
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 라우팅 테이블 삭제
{ "resourceId": "vpc-abcabc123123abca", "transitGatewayAttachmentId": "tgw-attach-6677889900aabbcc7", "resourceType": "vpc" } ], "type": "propagated", "state": "active" } ]}
전송 게이트웨이 라우팅 테이블 삭제콘솔을 사용하여 transit gateway 라우팅 테이블을 삭제하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Route Tables(전송 게이트웨이 라우팅 테이블)를 선택합니다.3. 삭제할 라우팅 테이블을 선택합니다.4. 작업, 라우팅 테이블 삭제를 차례로 선택합니다.5. 삭제를 다시 선택하여 삭제를 확인합니다.
AWS CLI를 사용하여 transit gateway 라우팅 테이블을 삭제하려면
delete-transit-gateway-route-table 명령을 사용합니다.
전송 게이트웨이의 멀티캐스트멀티캐스트는 데이터의 단일 스트림을 여러 수신 컴퓨터에 동시에 전달하는 데 사용되는 통신 프로토콜입니다. 전송 게이트웨이는 연결된 VPC의 서브넷 간에 멀티캐스트 트래픽 라우팅을 지원하며 여러 수신 인스턴스로 향하는 트래픽을 보내는 인스턴스에 대한 멀티캐스트 라우터 역할을 합니다.
멀티캐스트 개념다음은 멀티캐스트의 핵심 개념입니다.
• 멀티캐스트 도메인 — 멀티캐스트 도메인을 사용하면 멀티캐스트 네트워크를 여러 도메인으로 분할할 수있으며 transit gateway를 여러 멀티캐스트 라우터로 사용할 수 있습니다. 서브넷 수준에서 멀티캐스트 도메인 멤버십을 정의합니다.
• 멀티캐스트 그룹 — 멀티캐스트 그룹은 동일한 멀티캐스트 트래픽을 보내고 받을 소스 및 수신자 세트를식별하는 데 사용됩니다. 멀티캐스트 그룹은 그룹 IP 주소로 식별됩니다. 소스는 그룹 주소를 데이터 패킷의 IP 대상 주소로 사용합니다. 수신자는 이 그룹 주소를 사용하여 해당 그룹에 전송된 패킷을 수신하는 데관심이 있음을 네트워크에 알립니다. 전송 게이트웨이 멀티캐스트 그룹 멤버십은 EC2 인스턴스에 연결된개별 탄력적 네트워크 인터페이스에 의해 정의됩니다.
• 멀티캐스트 소스 — 멀티캐스트 트래픽을 전송하는, 지원되는 EC2 인스턴스와 연결된 탄력적 네트워크 인터페이스입니다.
• 멀티캐스트 그룹 멤버 — 멀티캐스트 트래픽을 수신하는, 지원되는 EC2 인스턴스와 연결된 탄력적 네트워크 인터페이스입니다. 멀티캐스트 그룹에는 여러 그룹 멤버가 있습니다.
고려 사항• 멀티캐스트를 사용하려면 새 transit gateway를 생성해야 합니다.
30
Amazon Virtual Private Cloud 전송 게이트웨이멀티캐스트 라우팅
• 멀티캐스트가 활성화된 transit gateways를 다른 계정과 공유할 수 없습니다(AWS Resource AccessManager 사용).
• 멀티캐스트 그룹 멤버십은 Amazon VPC 콘솔 또는 AWS CLI를 사용하여 관리합니다.• 그룹 멤버십 관리를 위한 IGMP(Internet Group Management 프로토콜) 지원은 향후 제공될 예정입니다.• 서브넷은 하나의 멀티캐스트 도메인에만 있을 수 있습니다.• Nitro 인스턴스가 아닌 인스턴스를 사용하는 경우 소스/대상 확인을 비활성화해야 합니다. 확인 비활성화
에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 원본 또는 대상 확인 변경을 참조하십시오.
• Nitro 인스턴스가 아닌 인스턴스는 멀티캐스트 발신자가 될 수 없습니다.
멀티캐스트 라우팅라우팅 테이블, 네트워크 ACL 및 보안 그룹이 멀티캐스트 트래픽을 처리하는 방법을 알아봅니다.
transit gateway에서 멀티캐스트를 활성화한 경우 멀티캐스트 라우터의 역할을 합니다. 서브넷을 멀티캐스트도메인에 추가할 때 해당 멀티캐스트 도메인과 연결된 transit gateway로 모든 멀티캐스트 트래픽을 보냅니다.
네트워크 ACLtransit gateways가 서브넷 외부에 있기 때문에 네트워크 ACL 규칙은 서브넷 수준에서 작동하며 멀티캐스트트래픽에 적용됩니다. 네트워크 ACL에 대한 자세한 내용은 Amazon VPC 사용 설명서의 네트워크 ACL을 참조하십시오.
멀티캐스트 트래픽을 제어하기 위해 허용 및 거부 규칙을 생성할 수 있습니다. 예를 들어 아웃바운드 멀티캐스트 트래픽을 허용하려면 콘솔 또는 CLI를 사용하여 다음과 같은 아웃바운드 규칙을 생성합니다.
• Rule number - 규칙 번호(예: 100).• CIDR block - 멀티캐스트 그룹의 CIDR 블록(예: 224.0.0.0/24).• Protocol - 멀티캐스트 애플리케이션이 사용하는 프로토콜.• Action - Allow로 설정합니다.• Description - 규칙에 대한 설명(예: "모든 아웃바운드 멀티캐스트 트래픽 허용").
보안 그룹보안 그룹 규칙은 인스턴스 수준에서 작동하며 인바운드 및 아웃바운드 멀티캐스트 트래픽 모두에 적용될 수있습니다. 이 동작은 유니캐스트 트래픽과 동일합니다. 모든 그룹 멤버 인스턴스에 대해 그룹 소스로부터의인바운드 트래픽을 허용해야 합니다. 보안 그룹에 대한 자세한 내용은 Amazon VPC 사용 설명서의 보안 그룹을 참조하십시오.
멀티캐스트 트래픽의 보안 그룹에 인바운드 규칙을 추가하여 멀티캐스트 소스가 전송할 수 있는 트래픽을 제어할 수 있습니다. 파라미터에 대해 다음 값을 사용합니다.
• Type - 멀티캐스트 애플리케이션이 사용하는 트래픽 유형.• Port range - 멀티캐스트 애플리케이션이 사용하는 포트.• Protocol - 멀티캐스트 애플리케이션이 사용하는 프로토콜.• Source - 멀티캐스트 발신자 IP 주소 또는 CIDR. 소스에서는 보안 그룹을 사용할 수 없습니다.• Description - 규칙에 대한 설명(예: "모든 인바운드 멀티캐스트 트래픽 허용").
예를 들어, CIDR이 10.0.0.0/16인 VPC의 모든 멀티캐스트 발신자로부터 포트 143의 멀티캐스트 UDP 트래픽을 수신할 수 있도록 하려면 보안 그룹을 생성한 후 다음과 같은 인바운드 규칙을 추가합니다.
31
Amazon Virtual Private Cloud 전송 게이트웨이멀티캐스트 작업
Type Protocol Source Port Range Description
사용자 지정 UDP 규칙 UDP 사용자 지정
10.0.0.0/16
143 UDP 포트 143 규칙
멀티캐스트 작업Amazon VPC 콘솔 또는 AWS CLI를 사용하여 transit gateways에서 멀티캐스트를 구성할 수 있습니다.
목차• 전송 게이트웨이 멀티캐스트 도메인 생성 (p. 32)• VPC 연결 및 서브넷을 전송 게이트웨이 멀티캐스트 도메인과 연결 (p. 32)• 멀티캐스트 그룹에 소스 등록 (p. 33)• 멀티캐스트 그룹에 멤버 등록 (p. 33)• 멀티캐스트 그룹에서 소스 등록 취소 (p. 34)• 멀티캐스트 그룹에서 멤버 등록 취소 (p. 34)• 전송 게이트웨이 멀티캐스트 도메인에서 서브넷 연결 해제 (p. 34)• 멀티캐스트 그룹 보기 (p. 35)• 전송 게이트웨이 멀티캐스트 도메인 연결 보기 (p. 35)• 전송 게이트웨이 멀티캐스트 도메인에 대한 태그 추가 또는 제거 (p. 35)• 전송 게이트웨이 멀티캐스트 도메인 삭제 (p. 36)
전송 게이트웨이 멀티캐스트 도메인 생성transit gateway에서 멀티캐스트 사용을 시작하려면 transit gateway 멀티캐스트 도메인을 생성합니다.
멀티캐스트 도메인을 생성하기 전에 멀티캐스트가 활성화된 새 transit gateway를 생성합니다. 자세한 내용은 the section called “전송 게이트웨이 생성” (p. 17) 단원을 참조하십시오.
콘솔을 사용하여 transit gateway 멀티캐스트 도메인을 생성하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. Create Transit Gateway Multicast domain(전송 게이트웨이 멀티캐스트 도메인 생성)을 선택합니다.4. (선택 사항) Name 태그에 도메인을 식별할 이름을 입력합니다.5. Transit Gateway ID(전송 게이트웨이 ID)에서 멀티캐스트 트래픽을 처리하는 transit gateway를 선택합
니다.6. Create Transit Gateway multicast(전송 게이트웨이 멀티캐스트 생성) 도메인을 선택합니다.
AWS CLI를 사용하여 transit gateway 멀티캐스트 도메인을 생성하려면
create-transit-gateway-multicast-domain 명령을 사용합니다.
VPC 연결 및 서브넷을 전송 게이트웨이 멀티캐스트 도메인과 연결VPC 연결을 멀티캐스트 도메인과 연결하려면 다음 절차를 따르십시오. 연결을 생성할 때 멀티캐스트 도메인에 포함할 서브넷을 선택할 수 있습니다.
32
Amazon Virtual Private Cloud 전송 게이트웨이멀티캐스트 작업
콘솔을 사용하여 VPC 연결을 transit gateway 멀티캐스트 도메인과 연결하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. transit gateway 멀티캐스트 도메인을 선택한 다음 작업, 연결 생성을 선택합니다.4. Transit Gateway ID(전송 게이트웨이 ID)에 대해 transit gateway 연결을 선택합니다.5. Choose subnets to associate(연결할 서브넷 선택)에서 도메인에 포함할 서브넷을 선택합니다.6. 연결 생성을 선택합니다.
AWS CLI를 사용하여 VPC 연결을 transit gateway 멀티캐스트 도메인과 연결하려면
associate-transit-gateway-multicast-domain 명령을 사용합니다.
멀티캐스트 그룹에 소스 등록멀티캐스트 그룹에 소스를 등록하려면 다음 절차를 따르십시오. 소스는 멀티캐스트 트래픽을 전송하는 네트워크 인터페이스입니다.
소스를 추가하려면 다음 정보가 필요합니다.
• transit gateway 멀티캐스트 도메인의 ID• 소스 네트워크 인터페이스의 ID• 멀티캐스트 그룹 IP 주소
콘솔을 사용하여 소스를 등록하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. transit gateway 멀티캐스트 도메인을 선택한 다음 작업, Add group sources(그룹 소스 추가)를 선택합니
다.4. Group IP address(그룹 IP 주소)에 멀티캐스트 도메인에 할당할 IPv4 CIDR 블록 또는 IPv6 CIDR 블록
을 입력합니다.5. Choose network interfaces(네트워크 인터페이스 선택)에서 멀티캐스트 발신자의 네트워크 인터페이스
를 선택합니다.6. Add sources(소스 추가)를 선택합니다.
AWS CLI를 사용하여 소스를 등록하려면
register-transit-gateway-multicast-group-sources 명령을 사용합니다.
멀티캐스트 그룹에 멤버 등록멀티캐스트 그룹에 그룹 멤버를 등록하려면 다음 절차를 따르십시오. 멤버는 멀티캐스트 트래픽을 수신하는네트워크 인터페이스입니다.
멤버를 추가하려면 다음 정보가 필요합니다.
• transit gateway 멀티캐스트 도메인의 ID• 그룹 멤버의 네트워크 인터페이스 ID• 멀티캐스트 그룹 IP 주소
33
Amazon Virtual Private Cloud 전송 게이트웨이멀티캐스트 작업
콘솔을 사용하여 멤버를 등록하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. transit gateway 멀티캐스트 도메인을 선택한 다음 작업, Add group members(그룹 멤버 추가)를 선택합
니다.4. Group IP address(그룹 IP 주소)에 멀티캐스트 도메인에 할당할 IPv4 CIDR 블록 또는 IPv6 CIDR 블록
을 입력합니다.5. Choose network interfaces(네트워크 인터페이스 선택)에서 멀티캐스트 수신자의 네트워크 인터페이스
를 선택합니다.6. Add members(멤버 추가)를 선택합니다.
AWS CLI를 사용하여 멤버를 등록하려면
register-transit-gateway-multicast-group-sources 명령을 사용합니다.
멀티캐스트 그룹에서 소스 등록 취소멀티캐스트 그룹에서 소스를 제거하려면 다음 절차를 따르십시오.
콘솔을 사용하여 소스를 제거하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. transit gateway 멀티캐스트 도메인을 선택합니다.4. 그룹 탭을 선택합니다.5. 소스를 선택한 다음 Remove source(소스 제거)를 선택합니다.
AWS CLI를 사용하여 소스를 제거하려면
deregister-transit-gateway-multicast-group-sources 명령을 사용합니다.
멀티캐스트 그룹에서 멤버 등록 취소멀티캐스트 그룹에서 멤버의 등록을 취소하려면 다음 절차를 따르십시오.
콘솔을 사용하여 멤버의 등록을 취소하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. transit gateway 멀티캐스트 도메인을 선택합니다.4. 그룹 탭을 선택합니다.5. 멤버를 선택한 다음 Remove member(멤버 제거)를 선택합니다.
AWS CLI를 사용하여 멤버의 등록을 취소하려면
deregister-transit-gateway-multicast-group-members 명령을 사용합니다.
전송 게이트웨이 멀티캐스트 도메인에서 서브넷 연결 해제transit gateway 멀티캐스트 도메인에서 서브넷을 연결 해제하려면 다음 절차를 따르십시오.
34
Amazon Virtual Private Cloud 전송 게이트웨이멀티캐스트 작업
콘솔을 사용하여 서브넷의 연결을 해제하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. transit gateway 멀티캐스트 도메인을 선택합니다.4. 연결 탭을 선택합니다.5. 서브넷을 선택한 다음 Remove association(연결 제거)을 선택합니다.
AWS CLI를 사용하여 서브넷의 연결을 해제하려면
disassociate-transit-gateway-multicast-domain 명령을 사용합니다.
멀티캐스트 그룹 보기멀티캐스트 그룹을 보려면 다음 절차를 따르십시오.
콘솔을 사용하여 멀티캐스트 그룹을 보려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. transit gateway 멀티캐스트 도메인을 선택합니다.4. 그룹 탭을 선택합니다.
AWS CLI를 사용하여 멀티캐스트 그룹을 보려면
view multicast groups 명령을 사용합니다.
전송 게이트웨이 멀티캐스트 도메인 연결 보기transit gateway 멀티캐스트 도메인을 보고 사용 가능 여부와 적절한 서브넷 및 연결이 포함되어 있는지를 확인할 수 있습니다.
콘솔을 사용하여 transit gateway 멀티캐스트 도메인을 보려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. transit gateway 멀티캐스트 도메인을 선택합니다.
AWS CLI를 사용하여 transit gateway 멀티캐스트 도메인을 보려면
describe-transit-gateway-multicast-domains 명령을 사용합니다.
전송 게이트웨이 멀티캐스트 도메인에 대한 태그 추가 또는 제거리소스에 태그를 추가하면 용도, 소유자 또는 환경과 같은 기준으로 태그를 구성하고 식별할 수 있습니다. 각transit gateway 멀티캐스트 도메인에 여러 태그를 추가할 수 있습니다. 태그 키는 각 transit gateway 멀티캐스트 도메인에 대해 고유해야 합니다. transit gateway 멀티캐스트 도메인에 이미 연결된 키를 통해 태그를 추가하면 해당 태그의 값이 업데이트됩니다. 자세한 내용은 Amazon EC2 리소스에 태그 지정 단원을 참조하십시오.
콘솔을 사용하여 transit gateway에 태그 추가
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.
35
Amazon Virtual Private Cloud 전송 게이트웨이멀티캐스트 작업
2. 탐색 창에서 Transit Gateways Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. 태그를 추가하거나 편집할 transit gateway 멀티캐스트 도메인을 선택합니다.4. 페이지 아래쪽에서 태그 탭을 선택합니다.5. 태그 추가/편집을 선택합니다.6. 태그 생성을 선택합니다.7. 해당 태그의 키와 값을 입력합니다.8. 저장을 선택합니다.
전송 게이트웨이 멀티캐스트 도메인 삭제전송 게이트웨이 멀티캐스트 도메인을 삭제하려면 다음 절차를 따르십시오.
콘솔을 사용하여 transit gateway 멀티캐스트 도메인을 삭제하려면
1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 Transit Gateway Multicast(전송 게이트웨이 멀티캐스트)를 선택합니다.3. transit gateway 멀티캐스트 도메인을 선택한 다음 작업, Delete multicast domain(멀티캐스트 도메인 삭
제)을 선택합니다.4. 삭제를 선택합니다.
AWS CLI를 사용하여 transit gateway 멀티캐스트 도메인을 삭제하려면
delete-transit-gateway-multicast-domain 명령을 사용합니다.
36
Amazon Virtual Private Cloud 전송 게이트웨이CloudWatch 지표
전송 게이트웨이 모니터링다음 기능을 사용하여 transit gateways를 모니터링하고 트래픽 패턴을 분석하며 transit gateways의 문제를해결할 수 있습니다.
CloudWatch 지표
Amazon CloudWatch를 사용하면 transit gateways의 데이터 요소에 대한 통계를 정렬된 시계열 데이터집합(지표)으로 검색할 수 있습니다. 이러한 지표를 사용하여 시스템이 예상대로 수행되고 있는지 확인할 수 있습니다. 자세한 내용은 전송 게이트웨이용 CloudWatch 지표 (p. 37) 단원을 참조하십시오.
VPC 흐름 로그
VPC 흐름 로그를 사용하여 transit gateways에 연결된 VPC로 들어오고 나가는 트래픽에 대한 세부 정보를 캡처할 수 있습니다. 자세한 정보는 Amazon VPC 사용 설명서에서 VPC 흐름 로그를 참조하십시오.
CloudTrail 로그
AWS CloudTrail을 사용하여 transit gateway API에 보낸 호출에 대한 세부 정보를 캡처하고 AmazonS3에 로그 파일로 저장할 수 있습니다. 이러한 CloudTrail 로그를 사용하여 어떤 요청이 이루어졌는지,어떤 소스 IP 주소에서 요청을 했는지, 누가 언제 요청했는지 등을 확인할 수 있습니다. 자세한 내용은AWS CloudTrail을 사용하여 전송 게이트웨이에 대한 API 호출 로깅 (p. 38) 단원을 참조하십시오.
전송 게이트웨이용 CloudWatch 지표Amazon VPC는 Amazon CloudWatch에 transit gateways 및 transit gateway 연결의 데이터 요소를 게시합니다. CloudWatch를 사용하면 데이터 요소에 대한 통계를 정렬된 시계열 데이터 집합(지표)으로 검색할 수 있습니다. 지표를 모니터링할 변수로 생각하면 데이터 요소는 시간에 따른 변수의 값을 나타냅니다. 각 데이터포인트에는 연결된 타임스탬프와 측정 단위(선택 사항)가 있습니다.
지표를 사용하여 시스템이 예상대로 수행되고 있는지 확인할 수 있습니다. 예를 들어 CloudWatch 경보를 생성하여 지정된 지표를 모니터링할 수 있으며, 지표가 허용 범위를 벗어난다고 간주되는 경우 작업(예: 이메일주소로 알림 전송)를 시작할 수 있습니다.
Amazon VPC는 60분 간격으로 지표를 측정하고 CloudWatch에 전송합니다.
자세한 내용은 Amazon CloudWatch 사용 설명서를 참조하십시오.
목차• 전송 게이트웨이 지표 (p. 37)• 전송 게이트웨이의 지표 차원 (p. 38)
전송 게이트웨이 지표AWS/TransitGateway 네임스페이스에는 다음 지표가 포함되어 있습니다.
지표 설명
BytesIn transit gateway에서 수신된 바이트 수입니다.
37
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이의 지표 차원
지표 설명
BytesOut transit gateway에서 전송된 바이트 수입니다.
PacketsIn transit gateway에서 수신된 패킷 수입니다.
PacketsOut transit gateway에서 전송된 패킷 수입니다.
PacketDropCountBlackholeblackhole 경로와 일치하여 삭제된 패킷 수입니다.
PacketDropCountNoRoute 경로와 일치하지 않아 삭제된 패킷 수입니다.
연결 수준 지표전송 게이트웨이 연결에 사용할 수 있는 지표는 다음과 같습니다. 모든 연결 유형 (p. 2)이 지원됩니다. 모든연결 지표는 transit gateway 소유자의 계정에 게시됩니다. 개별 연결 지표는 연결 소유자의 계정에도 게시됩니다. 연결 소유자는 연결의 지표만 볼 수 있습니다.
지표 설명
BytesIn 연결에서 transit gateway에 의해 수신된 바이트 수입니다.
BytesOut transit gateway에서 연결로 전송된 바이트 수입니다.
PacketsIn 연결에서 transit gateway에 의해 수신된 패킷 수입니다.
PacketsOut transit gateway에서 연결로 전송된 패킷 수입니다.
PacketDropCountBlackhole전송 게이트웨이 연결의 blackhole 경로와 일치하여 삭제된 패킷 수입니다.
PacketDropCountNoRoute 전송 게이트웨이 연결의 경로와 일치하지 않아 삭제된 패킷 수입니다.
전송 게이트웨이의 지표 차원transit gateways 지표를 필터링하려면 다음 차원을 사용하십시오.
차원 설명
TransitGateway transit gateway를 기준으로 지표 데이터를 필터링합니다.
TransitGatewayAttachmenttransit gateway 연결을 기준으로 지표 데이터를 필터링합니다.
AWS CloudTrail을 사용하여 전송 게이트웨이에 대한 API 호출 로깅
AWS CloudTrail은 사용자, 역할 또는 AWS 제품이 수행한 작업에 대한 레코드를 제공하는 서비스입니다.CloudTrail은 모든 transit gateway API 호출을 이벤트로 캡처합니다. 캡처되는 호출에는 AWS Management콘솔의 호출과 transit gateway API 작업에 대한 코드 호출이 포함됩니다. 추적을 생성하면 transit gateways이벤트를 비롯한 CloudTrail 이벤트를 Amazon S3 버킷으로 지속적으로 배포할 수 있습니다. 추적을 구성하지 않은 경우 이벤트 기록에서 CloudTrail 콘솔의 최신 이벤트를 볼 수도 있습니다. CloudTrail에서 수집하는
38
Amazon Virtual Private Cloud 전송 게이트웨이CloudTrail의 전송 게이트웨이 정보
정보를 사용하여 transit gateway API에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.
전송 게이트웨이 API에 대한 자세한 내용은 Amazon EC2 API Reference의 전송 게이트웨이 섹션을 참조하십시오.
CloudTrail에 대한 자세한 내용은 AWS CloudTrail User Guide 단원을 참조하십시오.
CloudTrail의 전송 게이트웨이 정보CloudTrail은 계정 생성 시 AWS 계정에서 활성화됩니다. 활동이 transit gateway API를 통해 발생하면 해당활동이 Event history(이벤트 기록)에 있는 다른 AWS 제품 이벤트와 함께 CloudTrail 이벤트에 기록됩니다.AWS 계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기 단원을 참조하십시오.
transit gateway API의 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려는 경우 추적을 생성합니다. 추적은 CloudTrail이 Amazon S3 버킷으로 로그 파일을 전송할 수 있도록 합니다. 콘솔에서 추적을생성하면 기본적으로 모든 AWS 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 리전의 이벤트를 로깅하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또는 CloudTrail 로그에서 수집된 이벤트데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 정보는 다음을 참조하십시오.
• 추적 생성 개요• CloudTrail 지원 서비스 및 통합• CloudTrail에 대한 Amazon SNS 알림 구성• 여러 리전에서 CloudTrail 로그 파일 받기 및 여러 계정에서 CloudTrail 로그 파일 받기
transit gateway 작업에 대한 모든 호출은 CloudTrail에 의해 로깅됩니다. 예를 들어,CreateTransitGateway 작업을 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.
모든 이벤트 또는 로그 항목에는 요청을 생성한 사용자에 대한 정보가 들어 있습니다. 자격 증명 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.
• 요청을 루트로 했는지 아니면 AWS Identity and Access Management(IAM) 사용자 자격 증명으로 했는지여부
• 역할 또는 연합된 사용자에 대한 임시 보안 자격 증명을 사용하여 요청이 생성되었는지 여부.• 다른 AWS 서비스에서 요청했는지 여부.
자세한 내용은 CloudTrail userIdentity 요소를 참조하십시오.
전송 게이트웨이 로그 파일 항목 이해추적은 지정한 Amazon S3 버킷에 이벤트를 로그 파일로 제공할 수 있도록 해 주는 구성입니다. CloudTrail로그 파일에는 하나 이상의 로그 항목이 포함됩니다. 이벤트는 어떤 소스로부터의 단일 요청을 나타내며 요청된 작업, 작업 날짜와 시간, 요청 파라미터 등에 대한 정보가 포함되어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 호출의 주문 스택 추적이 아니므로 특정 순서로 표시되지 않습니다.
로그 파일에는 transit gateway API 호출 외에 AWS 계정의 모든 AWS API 호출 이벤트가 포함되어 있습니다. ec2.amazonaws.com 값이 있는 eventSource 요소를 확인하여 transit gateway API에 대한 호출의 위치를 찾을 수 있습니다. CreateTransitGateway 같은 특정 작업에 대한 레코드를 보려면 작업 이름이 있는 eventName 요소를 확인합니다.
다음은 콘솔을 사용하여 transit gateway를 생성한 사용자의 transit gateway API에 대한 CloudTrail 로그 레코드의 예입니다. userAgent 요소를 사용하여 콘솔을 식별할 수 있습니다. eventName 요소를 사용하여
39
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 로그 파일 항목 이해
요청된 API 호출을 식별할 수 있습니다. 그리고 사용자(Alice)에 대한 정보는 userIdentity 요소를 보면알 수 있습니다.
Example 예: CreateTransitGateway
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "123456789012", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2018-11-15T05:25:50Z", "eventSource": "ec2.amazonaws.com", "eventName": "CreateTransitGateway", "awsRegion": "us-west-2", "sourceIPAddress": "198.51.100.1", "userAgent": "console.ec2.amazonaws.com", "requestParameters": { "CreateTransitGatewayRequest": { "Options": { "DefaultRouteTablePropagation": "enable", "AutoAcceptSharedAttachments": "disable", "DefaultRouteTableAssociation": "enable", "VpnEcmpSupport": "enable", "DnsSupport": "enable" }, "TagSpecification": { "ResourceType": "transit-gateway", "tag": 1, "Tag": { "Value": "my-tgw", "tag": 1, "Key": "Name" } } } }, "responseElements": { "CreateTransitGatewayResponse": { "xmlns": "http://ec2.amazonaws.com/doc/2016-11-15/", "requestId": "a07c1edf-c201-4e44-bffb-3ce90EXAMPLE", "transitGateway": { "tagSet": { "item": { "value": "my-tgw", "key": "Name" } }, "creationTime": "2018-11-15T05:25:50.000Z", "transitGatewayId": "tgw-0a13743bd6c1f5fcb", "options": { "propagationDefaultRouteTableId": "tgw-rtb-0123cd602be10b00a", "amazonSideAsn": 64512, "defaultRouteTablePropagation": "enable", "vpnEcmpSupport": "enable", "autoAcceptSharedAttachments": "disable", "defaultRouteTableAssociation": "enable", "dnsSupport": "enable", "associationDefaultRouteTableId": "tgw-rtb-0123cd602be10b00a" }, "state": "pending",
40
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 로그 파일 항목 이해
"ownerId": 123456789012 } } }, "requestID": "a07c1edf-c201-4e44-bffb-3ce90EXAMPLE", "eventID": "e8fa575f-4964-4ab9-8ca4-6b5b4EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}
41
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이를 관리하는 정책의 예
전송 게이트웨이의 인증 및 액세스 제어
AWS는 보안 자격 증명을 사용하여 사용자를 식별하고 AWS 리소스에 대한 액세스 권한을 부여합니다.AWS Identity and Access Management(IAM) 의 기능을 사용하면 보안 자격 증명을 공유하지 않고도 다른 사용자, 서비스 및 애플리케이션이 AWS 리소스를 완전히 또는 제한된 방식으로 사용할 수 있습니다.
기본적으로 IAM 사용자는 AWS 리소스를 생성, 확인 또는 수정할 수 있는 권한이 없습니다. IAM 사용자가transit gateway 같은 리소스에 액세스하여 작업을 수행하도록 허용하려면 IAM 사용자에게 필요한 특정 리소스 및 API 작업을 사용할 권한을 부여하는 IAM 정책을 생성한 후 IAM 사용자나 IAM 사용자가 속한 그룹에정책을 연결해야 합니다. 사용자 또는 사용자 그룹에 정책을 연결하면 지정된 리소스에 대해 지정된 작업을수행할 권한이 허용되거나 거부됩니다.
예를 들어 transit gateway의 경우 다음 AWS 관리형 정책 중 하나가 적합할 수 있습니다.
• PowerUserAccess• ReadOnlyAccess• AmazonEC2FullAccess• AmazonEC2ReadOnlyAccess
자세한 내용은 Amazon EC2 사용 설명서의 Amazon EC2에 대한 IAM 정책 단원을 참조하십시오.
전송 게이트웨이를 관리하는 정책의 예다음은 전송 게이트웨이 작업에 대한 IAM 정책의 예입니다.
태그가 지정된 전송 게이트웨이 생성
다음 예제에서는 사용자가 전송 게이트웨이를 생성할 수 있도록 합니다. aws:RequestTag 조건 키를 사용하려면 사용자가 stack=prod 태그를 사용하여 전송 게이트웨이에 태그를 지정해야 합니다.aws:TagKeys 조건 키는 ForAllValues 한정자를 사용하여 요청에 stack 키만 허용됨을 나타냅니다(다른 어떤 태그도 지정할 수 없음). 사용자가 전송 게이트웨이를 생성할 때 이 태그를 전달하지 않거나 태그를전혀 지정하지 않으면 요청이 실패합니다.
두 번째 문은 ec2:CreateAction 조건 키를 사용하여 사용자가 CreateTransitGateway의 컨텍스트에서만 태그를 생성하도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": {
42
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이를 관리하는 정책의 예
"aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ]}
전송 게이트웨이 라우팅 테이블 작업
다음 예제에서는 사용자가 특정 전송 게이트웨이(tgw-11223344556677889)에 대해서만 전송 게이트웨이라우팅 테이블을 생성하고 삭제할 수 있도록 합니다. 또한 사용자는 모든 전송 게이트웨이 라우팅 테이블에서 라우팅을 생성하고 바꿀 수 있지만 network=new-york-office 태그가 있는 연결에 대해서만 가능합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ]
43
Amazon Virtual Private Cloud 전송 게이트웨이서비스 연결 역할
}
전송 게이트웨이 서비스 연결 역할Amazon VPC는 다른 AWS 제품을 자동으로 호출하는 데 필요한 권한에 서비스 연결 역할을 사용합니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 사용을 참조하십시오.
서비스 연결 역할에 의해 부여된 권한Amazon VPC는 transit gateway에서 작업할 때 AWSServiceRoleForVPCTransitGateway라는 서비스 연결역할을 사용하여 자동으로 다음 작업을 호출합니다.
• ec2:CreateNetworkInterface
• ec2:DescribeNetworkInterface
• ec2:ModifyNetworkInterfaceAttribute
• ec2:DeleteNetworkInterface
• ec2:CreateNetworkInterfacePermission
AWSServiceRoleForVPCTransitGateway는 역할을 맡을 transitgateway.amazonaws.com 서비스를 신뢰합니다.
서비스 연결 역할 생성AWSServiceRoleForVPCTransitGateway 역할을 수동으로 생성할 필요는 없습니다. 사용자가 계정의 VPC를 transit gateway에 연결할 때 Amazon VPC가 이 역할을 생성합니다.
Amazon VPC가 서비스 연결 역할을 자동으로 생성하는 경우 사용자에게 필수 권한이 있어야 합니다. 자세한내용은 IAM 사용 설명서의 서비스 연결 역할 권한 단원을 참조하십시오.
서비스 연결 역할 편집IAM을 사용하여 AWSServiceRoleForVPCTransitGateway의 설명을 편집할 수 있습니다. 자세한 내용은 IAM사용 설명서의 서비스 연결 역할 편집을 참조하십시오.
서비스 연결 역할 삭제transit gateways를 더 이상 사용할 필요가 없다면 AWSServiceRoleForVPCTransitGateway를 삭제하는 것이 좋습니다.
이 서비스 연결 역할은 AWS 계정에서 모든 transit gateway VPC 연결을 삭제한 후에만 삭제할 수 있습니다.이렇게 하면 VPC 연결에 대한 액세스 권한을 실수로 제거할 수 없습니다.
IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 서비스 연결 역할을 삭제할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스에 연결 역할 삭제 단원을 참조하십시오.
AWSServiceRoleForVPCTransitGateway를 삭제한 후 계정에 있는 VPC를 transit gateway에 연결하면Amazon VPC가 다시 역할을 만듭니다.
44
Amazon Virtual Private Cloud 전송 게이트웨이
전송 게이트웨이 설계 모범 사례다음은 transit gateway 설계에 대한 모범 사례입니다.
• 각 전송 게이트웨이 VPC 첨부 파일에 대해 별도의 서브넷을 사용합니다. 서브넷별로 작은 CIDR(예: /28)을 사용하여 EC2 리소스를 위한 주소를 더 많이 확보하십시오. 별도의 서브넷을 사용하는 경우 다음을 구성할 수 있습니다.• transit gateway 서브넷과 연결된 인바운드 및 아웃바운드 NACL을 그대로 열어 둡니다.• 트래픽 흐름에 따라 NACL을 워크로드 서브넷에 적용할 수 있습니다.
• 하나의 네트워크 ACL을 만들어 transit gateway에 연결된 모든 서브넷과 연결합니다. 인바운드 및 아웃바운드 방향 모두에서 네트워크 ACL을 열어 둡니다.
• 네트워크 설계에 여러 VPC 라우팅 테이블(예: 여러 NAT 게이트웨이를 통해 트래픽을 라우팅하는 중간 상자 VPC)이 필요한 경우를 제외하고 동일한 VPC 라우팅 테이블을 transit gateway에 연결된 모든 서브넷과연결합니다.
• BGP(Border Gateway Protocol) Site-to-Site VPN 연결을 사용합니다. 연결을 위한 고객 게이트웨이 디바이스 또는 방화벽이 다중 경로를 지원하는 경우 이 기능을 활성화합니다.
• AWS Direct Connect 게이트웨이 첨부 파일 및 BGP Site-to-Site VPN 첨부 파일에 대한 라우팅 전파를 활성화합니다.
• transit gateways는 설계에 사용할 수 있으므로 고가용성을 위해 추가 transit gateways가 필요하지 않습니다.
• 설계에 여러 개의 transit gateway 라우팅 테이블이 필요하지 않은 경우 transit gateway 라우팅 테이블 수를 제한합니다.
• 여러 리전 배포의 경우 각 transit gateways에 대해 고유한 자율 시스템 번호(아마존 측 ASN)를 사용하는것이 좋습니다.
45
Amazon Virtual Private Cloud 전송 게이트웨이EC2 네트워크 인터페이스 워크로드 및
transit gateway 연결에 대한 동일한 서브넷
네트워크 ACL과 transit gateways를함께 사용하는 방법
네트워크 액세스 제어 목록(NACL)은 선택적 보안 계층입니다.
네트워크 액세스 제어 목록(NACL) 규칙은 시나리오에 따라 다르게 적용됩니다.
• EC2 네트워크 인터페이스 워크로드 및 transit gateway 연결에 대해 동일한 서브넷을 가지고 경우• EC2 네트워크 인터페이스 워크로드 및 transit gateway 연결에 대해 다른 서브넷을 가지고 있는 경우
EC2 네트워크 인터페이스 워크로드 및 transitgateway 연결에 대한 동일한 서브넷
동일한 서브넷을 가진 EC2 네트워크 인터페이스 워크로드 및 transit gateway 연결이 있는 구성을 고려합니다. 아웃바운드 트래픽 및 인바운드 트래픽 모두에 동일한 라우팅 테이블이 사용됩니다. 즉, 개별 EC2 인스턴스에서 transit gateway로의 트래픽 및 transit gateway를 통해 VPC로 들어오는 트래픽입니다.
NACL 규칙은 개별 EC2 인스턴스에서 transit gateway로의 트래픽에 대해 다음과 같은 방식으로 적용됩니다.
• 아웃바운드 규칙은 평가를 위해 대상 IP 주소를 사용합니다.• 인바운드 규칙은 평가를 위해 소스 IP 주소를 사용합니다.
NACL 규칙은 transit gateway에서 VPC로의 트래픽에 대해 다음과 같은 방식으로 적용됩니다.
• 인바운드 규칙 및 아웃바운드 규칙은 평가되지 않습니다.
EC2 네트워크 인터페이스 워크로드 및 transitgateway 연결에 대한 다른 서브넷
다른 서브넷을 가진 EC2 네트워크 인터페이스 워크로드 및 transit gateway 연결이 있는 구성을 고려합니다.이 구성에서 각 서브넷은 다른 NACL과 연결됩니다.
NACL 규칙은 개별 EC2 인스턴스에서 transit gateway로의 트래픽에 대해 다음과 같은 방식으로 적용됩니다.
• EC2 인스턴스 서브넷의 아웃바운드 규칙은 평가를 위해 대상 IP 주소를 사용합니다.• transit gateway 서브넷의 인바운드 규칙은 평가를 위해 소스 IP 주소를 사용합니다.• transit gateway 서브넷의 아웃바운드 규칙은 평가되지 않습니다.
NACL 규칙은 transit gateway에서 VPC로의 트래픽에 대해 다음과 같은 방식으로 적용됩니다.
• transit gateway 서브넷의 아웃바운드 규칙은 평가를 위해 대상 IP 주소를 사용합니다.• transit gateway 서브넷의 인바운드 규칙은 평가되지 않습니다.
46
Amazon Virtual Private Cloud 전송 게이트웨이모범 사례
• EC2 인스턴스 서브넷의 인바운드 규칙은 평가를 위해 소스 IP 주소를 사용합니다.
모범 사례각 전송 게이트웨이 VPC 첨부 파일에 대해 별도의 서브넷을 사용합니다. 서브넷별로 작은 CIDR(예: /28)을사용하여 EC2 리소스를 위한 주소를 더 많이 확보하십시오. 별도의 서브넷을 사용하는 경우 다음을 구성할수 있습니다.
• transit gateway 서브넷과 연결된 인바운드 및 아웃바운드 NACL을 그대로 열어 둡니다.• 트래픽 흐름에 따라 NACL을 워크로드 서브넷에 적용할 수 있습니다.
47
Amazon Virtual Private Cloud 전송 게이트웨이일반
전송 게이트웨이에 대한 할당량AWS 계정에는 transit gateways에 관련된 다음과 같은 서비스 할당량(이전에는 제한이라고 함)이 있습니다. 달리 명시되지 않는 한 할당량에 대한 증가를 요청할 수 있습니다. 서비스 할당량에 대한 자세한 내용은Amazon Web Services 일반 참조의 AWS 서비스 할당량을 참조하십시오.
일반• 계정 하나의 리전당 transit gateways 수: 5
라우팅• transit gateway당 transit gateway 라우팅 테이블 수: 20• transit gateway당 라우팅 수: 10,000
VPC 라우팅 테이블 할당량에 대한 자세한 내용은 Amazon VPC 사용 설명서의 Amazon VPC 할당량을 참조하십시오.
전송 게이트웨이 연결• transit gateway당 총 transit gateway 연결 수: 5,000• VPC당 transit gateway 연결 수: 5
이 값은 늘릴 수 없습니다.• transit gateway당 transit gateway 피어링 연결 수: 50• 대기 중인 transit gateway 피어링 연결 transit gateway 수: 10
대역폭• VPC 연결당 최대 대역폭(순간 최대 성능): 50Gbps• VPN 터널당 최대 대역폭: 1.25Gbps
하드 값입니다. ECMP를 사용하면 여러 개의 VPN 터널을 집계하여 더 높은 VPN 대역폭을 얻을 수 있습니다.
AWS Direct Connect 게이트웨이• transit gateway당 AWS Direct Connect 게이트웨이 수: 20
이 값은 늘릴 수 없습니다.• AWS Direct Connect 게이트웨이당 전송 게이트웨이: 3
이 값은 늘릴 수 없습니다.
48
Amazon Virtual Private Cloud 전송 게이트웨이MTU
MTU• 네트워크 연결의 MTU(최대 전송 단위)는 연결을 통해 전달할 수 있는 허용되는 최대 크기의 패킷 크기(바
이트)입니다. 연결 MTU가 클수록 더 많은 데이터가 단일 패킷으로 전달될 수 있습니다. 전송 게이트웨이는 VPC, Direct Connect 및 피어링 연결 간의 트래픽에 대해 8500바이트의 MTU를 지원합니다. VPN 연결을 통한 트래픽은 1500바이트의 MTU를 가질 수 있습니다.
• 8500바이트보다 큰 크기의 패킷이 transit gateway에 도착하면 삭제됩니다.• transit gateway에서 FRAG_NEEDEDICMP 패킷을 생성하지 않으므로 경로 MTU 검색(PMTUD)이 지원되
지 않습니다.• transit gateway는 모든 패킷에 대해 MSS(최대 세그먼트 크기) 클램핑을 적용합니다. 자세한 내용은
RFC879를 참조하십시오.
멀티캐스트• transit gateway당 멀티캐스트 도메인 수: 20• transit gateway당 멀티캐스트 그룹 멤버 및 소스 수: 1000• transit gateway 멀티캐스트 그룹당 멤버 수: 100• VPC당 멀티캐스트 도메인 연결 수: 20• transit gateway 멀티캐스트 그룹당 소스 수: 1
추가 할당량 리소스Site-to-Site VPN 연결에 적용되는 할당량에 대한 자세한 내용은 AWS Site-to-Site VPN 사용 설명서의 사이트 간 VPN 할당량을 참조하십시오.
VPC 연결에 적용되는 할당량에 대한 자세한 내용은 Amazon VPC 사용 설명서의 Amazon VPC 할당량을 참조하십시오.
Direct Connect 게이트웨이 연결에 적용되는 할당량에 대한 자세한 내용은 AWS Direct Connect 사용 설명서의 AWS Direct Connect 할당량을 참조하십시오.
Transit Gateway Network Manager 서비스 할당량에 대한 자세한 내용은 Network Manager 할당량 (p. 54) 단원을 참조하십시오.
49
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 공유 해제
전송 게이트웨이 공유 고려 사항AWS Resource Access Manager(RAM)를 사용하여 AWS Organizations에서 VPC 연결용 transit gateway를계정 전체 또는 조직 전체에서 공유할 수 있습니다. transit gateway를 공유하고자 할 때 다음 사항을 고려하십시오.
AWS Site-to-Site VPN 연결은 transit gateway를 소유한 AWS 계정에서 생성되어야 합니다.
Direct Connect 게이트웨이 연결이 전송 게이트웨이 연결을 사용하고, Direct Connect 게이트웨이와 동일한AWS 계정 또는 Direct Connect 게이트웨이와 다른 AWS 계정에 있을 수 있습니다.
기본적으로 IAM 사용자는 AWS RAM 리소스를 생성 또는 수정할 수 있는 권한이 없습니다. IAM 사용자에게리소스 생성 또는 수정 및 작업 수행을 허용하려면 특정 리소스 및 API 작업을 사용할 권한을 부여하는 IAM정책을 생성해야 합니다. 그런 다음 해당 권한이 필요한 IAM 사용자 또는 그룹에 이러한 정책을 연결합니다.
리소스 소유자만 다음 작업을 수행할 수 있습니다.
• 리소스 공유를 생성할 수 있습니다.• 리소스 공유를 업데이트할 수 있습니다.• 리소스 공유를 볼 수 있습니다.• 귀하의 계정이 공유한 리소스를 모든 리소스 공유에 걸쳐 볼 수 있습니다.• 귀하와 리소스를 공유 중인 보안 주체를 모든 리소스 공유에 걸쳐 볼 수 있습니다. 귀하와 공유 중인 보안
주체를 볼 수 있다면 귀하의 공유 리소스에 누가 액세스할 수 있는지 확인할 수도 있습니다.• 리소스 공유를 삭제할 수 있습니다.• 모든 transit gateway, transit gateway 연결, transit gateway 라우팅 테이블 API를 실행할 수 있습니다.
공유되는 리소스에 대해 다음 작업을 수행할 수 있습니다.
• 리소스 공유 초대를 수락하거나 거부할 수 있습니다.• 리소스 공유를 볼 수 있습니다.• 액세스 가능한 공유 리소스를 볼 수 있습니다.• 귀하와 리소스를 공유 중인 모든 보안 주체의 목록을 볼 수 있습니다. 귀하와 보안 주체가 공유한 리소스와
리소스 공유를 볼 수 있습니다.• DescribeTransitGateways API를 실행할 수 있습니다.• VPC에서 연결을 생성 및 설명하는 API(예: CreateTransitGatewayVpcAttachment 및DescribeTransitGatewayVpcAttachments)를 실행할 수 있습니다.
• 리소스 공유를 나갈 수 있습니다.
transit gateway가 공유되면 transit gateway 라우팅 테이블 또는 transit gateway 라우팅 테이블 전파 및 연관을 생성, 수정 또는 삭제할 수 없습니다. 공유된 transit gateway를 허용하는 계정은 transit gateway 라우팅 테이블 또는 transit gateway 라우팅 테이블 전파 및 연결을 생성, 수정 또는 삭제할 수 없습니다.
transit gateway를 생성할 때 transit gateway는 계정에 매핑된 가용 영역에 생성되며, 다른 계정과는 별도입니다. transit gateway와 연결 개체가 서로 다른 계정에 있는 경우에는 가용 영역 ID를 사용하여 인터페이스엔드포인트 가용 영역을 고유하고 지속적으로 식별합니다. 예를 들어 use1-az1은 us-east-1 리전의 AZ ID이고, 모든 AWS 계정에서 동일한 위치에 매핑됩니다.
전송 게이트웨이 공유 해제공유 소유자가 transit gateway를 공유 해제할 때 다음 규칙이 적용됩니다.
50
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 공유 해제
• transit gateway 연결은 계속 작동합니다.• 공유 계정은 transit gateway를 설명할 수 없습니다.• transit gateway 소유자와 공유 소유자는 transit gateway 연결을 삭제할 수 있습니다.
51
Amazon Virtual Private Cloud 전송 게이트웨이Network Manager 개념
Transit Gateway Network ManagerTransit Gateway Network Manager(Network Manager)를 사용하면 전송 게이트웨이를 중심으로 구축된 네트워크를 중앙에서 관리할 수 있습니다. AWS 리전 및 온프레미스 위치에서 글로벌 네트워크를 시각화하고모니터링할 수 있습니다.
Network Manager 개념다음은 Network Manager의 핵심 개념입니다.
• 글로벌 네트워크 — 네트워크 객체의 상위 수준 컨테이너 역할을 하는 단일 프라이빗 네트워크입니다.• 디바이스 — IPsec 터널(VPN 연결)을 통해 transit gateway에 연결하는 물리적 또는 가상 어플라이언스를
나타냅니다.• 링크 — 사이트로부터의 단일 인터넷 연결을 나타냅니다.• 사이트 — 물리적 온프레미스 위치를 나타냅니다. 지점, 사무실, 매장, 캠퍼스 또는 데이터 센터가 될 수 있
습니다.
요금Network Manager 사용에 대한 추가 요금은 없습니다. 글로벌 네트워크(예: 전송 게이트웨이)에서 관리하는네트워크 리소스에 대한 표준 요금이 부과됩니다.
Transit Gateway Network Manager 작동 방식Transit Gateway Network Manager(Network Manager)를 사용하려면 네트워크를 나타내는 글로벌 네트워크를 생성합니다. 처음에는 글로벌 네트워크가 비어 있습니다. 그런 다음 글로벌 네트워크에서 기존 전송 게이트웨이를 등록하고 온프레미스 리소스를 정의합니다. 이를 통해 AWS 리소스와 온프레미스 네트워크를 시각화하고 모니터링할 수 있습니다.
글로벌 네트워크를 생성한 후에는 Network Manager 콘솔의 대시보드를 통해 네트워크를 모니터링할 수 있습니다. Amazon CloudWatch 지표 및 Amazon CloudWatch Events를 사용하여 네트워크 활동 및 상태를 볼수 있습니다. Network Manager 콘솔을 사용하면 네트워크의 문제가 AWS 리소스, 온프레미스 리소스 또는이들 간의 연결로 인해 발생하는지 확인할 수 있습니다.
Network Manager는 전송 게이트웨이 및 해당 연결을 생성, 수정 또는 삭제하지 않습니다. 전송 게이트웨이를 사용하려면 Amazon VPC 콘솔과 Amazon EC2 API를 사용합니다.
주제• 전송 게이트웨이 등록 (p. 52)• 온프레미스 네트워크 정의 및 연결 (p. 54)• Network Manager 할당량 (p. 54)
전송 게이트웨이 등록글로벌 네트워크와 동일한 AWS 계정에 있는 전송 게이트웨이를 등록할 수 있습니다. 전송 게이트웨이를 등록하면 다음 전송 게이트웨이 연결이 글로벌 네트워크에 자동으로 포함됩니다.
52
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 등록
• VPC• Site-to-Site VPN 연결• AWS Direct Connect 게이트웨이• 전송 게이트웨이 피어링 연결
피어링 연결이 있는 전송 게이트웨이를 등록하면 글로벌 네트워크에서 피어 전송 게이트웨이를 볼 수 있지만해당 연결은 볼 수 없습니다. 피어 전송 게이트웨이를 소유한 경우 글로벌 네트워크에 등록하여 해당 연결을볼 수 있습니다.
전송 게이트웨이를 삭제하면 글로벌 네트워크에서 자동으로 등록 취소됩니다.
다중 리전 네트워크여러 AWS 리전의 전송 게이트웨이를 포함하는 글로벌 네트워크를 생성할 수 있습니다. 이를 통해 AWS 네트워크의 글로벌 상태를 모니터링할 수 있습니다. 다음 다이어그램에서 글로벌 네트워크는 us-east-2 리전의 전송 게이트웨이와 us-west-2 리전의 전송 게이트웨이를 포함합니다. 각 전송 게이트웨이에는 VPC및 VPN 연결이 있습니다. Network Manager 콘솔을 사용하여 전송 게이트웨이와 해당 연결을 모두 보고 모니터링할 수 있습니다.
53
Amazon Virtual Private Cloud 전송 게이트웨이온프레미스 네트워크 정의 및 연결
온프레미스 네트워크 정의 및 연결온프레미스 네트워크를 나타내려면 디바이스, 링크 및 사이트를 글로벌 네트워크에 추가합니다. 사이트는 지점, 사무실, 매장, 캠퍼스, 데이터 센터 등의 물리적 위치를 나타냅니다. 사이트를 추가할 때 실제 주소 및 좌표를 포함한 위치 정보를 지정할 수 있습니다.
디바이스는 IPsec 터널을 통해 전송 게이트웨이와 연결을 설정하는 물리적 또는 가상 어플라이언스를 나타냅니다. 링크는 디바이스에서 사용하는 단일 아웃바운드 인터넷 연결(예: 20Mbps 광대역 연결)을 나타냅니다.
디바이스를 생성할 때 디바이스의 물리적 위치와 해당 디바이스가 위치한 사이트를 지정할 수 있습니다. 디바이스는 캠퍼스의 건물이나 건물의 바닥과 같이 사이트보다 더 구체적인 위치를 가질 수 있습니다. 링크를생성할 때 특정 사이트에 대한 링크를 만듭니다. 그런 다음 디바이스를 링크에 연결할 수 있습니다.
온프레미스 네트워크를 AWS 리소스에 연결하려면 글로벌 네트워크에 있는 고객 게이트웨이를 디바이스와연결합니다. 다음 다이어그램에서 온프레미스 네트워크는 Site-to-Site VPN 연결을 통해 전송 게이트웨이에연결됩니다.
사이트에 여러 디바이스를 포함할 수 있으며 디바이스를 여러 링크와 연결할 수 있습니다. 예제는 TransitGateway Network Manager에 대한 시나리오 (p. 56)을 참조하십시오.
AWS 파트너 네트워크(APN)의 파트너와 협력하여 온프레미스 네트워크를 프로비저닝하고 연결할 수 있습니다. 자세한 내용은 Transit Gateway Network Manager 단원을 참조하십시오.
Network Manager 할당량AWS 계정에는 Network Manager와 관련하여 다음과 같은 할당량이 있습니다.
54
Amazon Virtual Private Cloud 전송 게이트웨이시작하기
• AWS 계정당 글로벌 네트워크 수: 5• 글로벌 네트워크당 디바이스 수: 200• 글로벌 네트워크당 링크 수: 200• 글로벌 네트워크당 사이트 수: 200
Service Quotas 콘솔은 Network Manager 할당량에 대한 정보를 제공합니다. Service Quotas 콘솔을 사용하여 조정 가능한 할당량에 대한 기본 할당량 및 요청 할당량 증가를 볼 수 있습니다.
Site-to-Site VPN 할당량에 대한 자세한 내용은 AWS Site-to-Site VPN 사용 설명서의 Site-to-Site VPN 할당량을 참조하십시오.
Transit Gateway Network Manager 시작하기다음 작업은 Transit Gateway Network Manager(Network Manager)에 익숙해지는 데 도움이 됩니다.
이 예에서는 글로벌 네트워크를 생성하고 transit gateway를 글로벌 네트워크에 등록합니다. 온프레미스 네트워크 리소스를 정의하고 글로벌 네트워크와 연결할 수도 있습니다.
작업• 사전 조건 (p. 55)• 1단계: 글로벌 네트워크 생성 (p. 55)• 2단계: 전송 게이트웨이 등록 (p. 55)• 3단계: (선택 사항) 온프레미스 네트워크 리소스 정의 및 연결 (p. 56)• 4단계: 글로벌 네트워크 보기 및 모니터링 (p. 56)
사전 조건시작하기 전에 계정에 연결이 있는 transit gateway가 있는지 확인하십시오. 자세한 내용은 전송 게이트웨이시작하기를 참조하십시오.
transit gateway는 글로벌 네트워크와 동일한 AWS 계정에 있어야 합니다.
1단계: 글로벌 네트워크 생성전송 게이트웨이의 컨테이너로 글로벌 네트워크를 생성합니다.
글로벌 네트워크를 생성하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. Create global network(글로벌 네트워크 생성)를 선택합니다.4. 글로벌 네트워크의 이름과 설명을 입력하고 Create global network(글로벌 네트워크 생성)를 선택합니
다.
2단계: 전송 게이트웨이 등록transit gateway를 글로벌 네트워크에 등록합니다.
55
Amazon Virtual Private Cloud 전송 게이트웨이3단계: (선택 사항) 온프레미스 네트워크 리소스 정의 및 연결
전송 게이트웨이를 등록하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 Transit Gateways(전송 게이트웨이)를 선택합니다. Register transit gateway(전송 게이트웨
이 등록)를 선택합니다.5. 목록에서 전송 게이트웨이를 선택하고 Register transit gateway(전송 게이트웨이 등록)를 선택합니다.
3단계: (선택 사항) 온프레미스 네트워크 리소스 정의및 연결네트워크의 객체를 나타내는 사이트, 링크 및 디바이스를 생성하여 온프레미스 네트워크를 정의할 수 있습니다. 자세한 내용은 다음 절차를 참조하십시오.
• 사이트 생성 (p. 65)• 링크 생성 (p. 66)• 디바이스 생성 (p. 68)
디바이스를 특정 사이트 및 하나 이상의 링크와 연결합니다. 자세한 내용은 디바이스 연결 (p. 69) 단원을참조하십시오.
마지막으로, 전송 게이트웨이에 Site-to-Site VPN 연결을 생성하고 고객 게이트웨이를 디바이스에 연결합니다. 자세한 내용은 고객 게이트웨이 연결 (p. 70) 단원을 참조하십시오.
AWS 파트너 네트워크(APN)의 파트너와 협력하여 온프레미스 네트워크를 프로비저닝하고 연결할 수도 있습니다. 자세한 내용은 Transit Gateway Network Manager 단원을 참조하십시오.
4단계: 글로벌 네트워크 보기 및 모니터링Network Manager 콘솔은 글로벌 네트워크의 네트워크 객체를 보고 모니터링할 수 있는 대시보드를 제공합니다.
글로벌 네트워크의 대시보드에 액세스하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 개요 페이지는 글로벌 네트워크의 객체 인벤토리를 제공합니다. 대시보드의 페이지에 대한 자세한 내용
은 Network Manager 콘솔을 사용하여 글로벌 네트워크 시각화 및 모니터링 (p. 72) 단원을 참조하십시오.
Transit Gateway Network Manager에 대한 시나리오다음은 Network Manager에 대한 일반적인 사용 사례 및 시나리오입니다.
주제• AWS 전용 글로벌 네트워크 (p. 57)• 단일 VPN 연결을 사용하는 단일 디바이스 (p. 57)• 여러 VPN 연결을 사용하는 디바이스 (p. 58)
56
Amazon Virtual Private Cloud 전송 게이트웨이AWS 전용 글로벌 네트워크
• 다중 디바이스 및 다중 링크 사이트 (p. 59)• AWS에 연결하는 SD-WAN (p. 60)
AWS 전용 글로벌 네트워크이 시나리오에서 AWS 네트워크는 세 개의 전송 게이트웨이로 구성됩니다. 전송 게이트웨이 tgw-1및 tgw-3을 소유하고 있습니다. 전송 게이트웨이 tgw-1에는 다른 AWS 계정에 있는 전송 게이트웨이tgw-2와의 피어링 연결이 있습니다. 전체 네트워크가 AWS 내에 있으며 온프레미스 리소스로 구성되어 있지 않습니다.
이 시나리오의 경우 Network Manager에서 다음을 수행합니다.
• 글로벌 네트워크를 생성합니다. 자세한 내용은 글로벌 네트워크 생성 (p. 62) 단원을 참조하십시오.• 전송 게이트웨이 tgw-1 및 tgw-3을 글로벌 네트워크에 등록합니다. 자세한 내용은 전송 게이트웨이 등
록 (p. 64) 단원을 참조하십시오.
tgw-1을 등록하면 전송 게이트웨이 피어링 연결이 글로벌 네트워크에 포함되어 tgw-2에 대한 정보를 볼수 있습니다. 그러나 tgw-2에 대한 연결은 글로벌 네트워크에 포함되지 않습니다.
단일 VPN 연결을 사용하는 단일 디바이스다음 시나리오에서 글로벌 네트워크는 단일 디바이스 및 링크가 있는 단일 사이트로 구성됩니다. 사이트는전송 게이트웨이의 Site-to-Site VPN 연결을 통해 AWS 네트워크에 연결됩니다. 또한 전송 게이트웨이에는두 개의 VPC 연결이 있습니다.
57
Amazon Virtual Private Cloud 전송 게이트웨이여러 VPN 연결을 사용하는 디바이스
이 시나리오의 경우 Network Manager에서 다음을 수행합니다.
• 글로벌 네트워크를 생성합니다. 자세한 내용은 글로벌 네트워크 생성 (p. 62) 단원을 참조하십시오.• 전송 게이트웨이를 등록합니다. 자세한 내용은 전송 게이트웨이 등록 (p. 64) 단원을 참조하십시오.• 사이트, 디바이스 및 링크를 생성합니다. 자세한 내용은 사이트 작업 (p. 65), 디바이스 작업 (p. 68),
링크 작업 (p. 66) 단원을 참조하십시오.• 디바이스를 사이트 및 링크와 연결합니다. 자세한 내용은 디바이스 연결 (p. 69) 단원을 참조하십시오.• 고객 게이트웨이(전송 게이트웨이 Site-to-Site VPN 연결용)를 디바이스 및 링크(선택 사항)와 연결합니다.
자세한 내용은 고객 게이트웨이 연결 (p. 70) 단원을 참조하십시오.
여러 VPN 연결을 사용하는 디바이스다음 시나리오에서 온프레미스 네트워크는 AWS에 대한 두 개의 Site-to-Site VPN 연결이 있는 디바이스로구성됩니다. 디바이스는 서로 다른 두 개의 전송 게이트웨이에 있는 두 개의 고객 게이트웨이와 연결되어 있습니다. 각 VPN 연결은 별도의 링크를 사용합니다. 어떤 링크가 어떤 VPN 연결에 적용되는지 나타내려면 고객 게이트웨이를 디바이스 및 해당 링크와 연결합니다.
58
Amazon Virtual Private Cloud 전송 게이트웨이다중 디바이스 및 다중 링크 사이트
이 시나리오의 경우 Network Manager에서 다음을 수행합니다.
• 글로벌 네트워크를 생성합니다. 자세한 내용은 글로벌 네트워크 생성 (p. 62) 단원을 참조하십시오.• 전송 게이트웨이를 등록합니다. 자세한 내용은 전송 게이트웨이 등록 (p. 64) 단원을 참조하십시오.• 사이트, 디바이스 및 링크를 생성합니다. 자세한 내용은 사이트 작업 (p. 65), 디바이스 작업 (p. 68),
링크 작업 (p. 66) 단원을 참조하십시오.• 디바이스를 사이트 및 두 링크와 연결합니다. 자세한 내용은 디바이스 연결 (p. 69) 단원을 참조하십시
오.• 각 고객 게이트웨이를 디바이스 및 해당 링크에 연결합니다. 자세한 내용은 고객 게이트웨이 연
결 (p. 70) 단원을 참조하십시오.
다중 디바이스 및 다중 링크 사이트다음 시나리오에서 온프레미스 네트워크는 두 개의 디바이스와 AWS에 대한 두 개의 개별 Site-to-Site VPN연결이 있는 사이트로 구성됩니다. 예를 들어, 단일 건물이나 캠퍼스에서 AWS 리소스에 연결된 디바이스가여러 개 있을 수 있습니다. 각 디바이스는 전송 게이트웨이에 연결된 고객 게이트웨이와 연결됩니다.
59
Amazon Virtual Private Cloud 전송 게이트웨이AWS에 연결하는 SD-WAN
또한 AWS 네트워크는 전송 게이트웨이의 연결인 AWS Direct Connect 게이트웨이를 통해 온프레미스 네트워크에 연결됩니다.
이 시나리오의 경우 Network Manager에서 다음을 수행합니다.
• 글로벌 네트워크를 생성합니다. 자세한 내용은 글로벌 네트워크 생성 (p. 62) 단원을 참조하십시오.• 전송 게이트웨이를 등록합니다. 자세한 내용은 전송 게이트웨이 등록 (p. 64) 단원을 참조하십시오.• 하나의 사이트, 두 개의 디바이스 및 두 개의 링크를 생성합니다. 자세한 내용은 사이트 작업 (p. 65), 디
바이스 작업 (p. 68), 링크 작업 (p. 66) 단원을 참조하십시오.• 각 디바이스를 해당 링크와 연결합니다. 자세한 내용은 디바이스 연결 (p. 69) 단원을 참조하십시오.• 각 고객 게이트웨이를 해당 디바이스 및 링크에 연결합니다. 자세한 내용은 고객 게이트웨이 연
결 (p. 70) 단원을 참조하십시오.
AWS에 연결하는 SD-WAN다음 예에서 온프레미스 네트워크는 두 개의 사이트로 구성됩니다. 시카고 사이트에는 두 개의 디바이스가있고 뉴욕 사이트에는 하나의 디바이스가 있습니다. AWS 네트워크는 두 개의 전송 게이트웨이로 구성됩니다. 모든 디바이스는 두 전송 게이트웨이의 고객 게이트웨이(Site-to-Site VPN 연결)와 연결됩니다.
60
Amazon Virtual Private Cloud 전송 게이트웨이AWS에 연결하는 SD-WAN
온프레미스 네트워크는 SD-WAN을 사용하여 관리됩니다. SD-WAN 컨트롤러는 전송 게이트웨이에 대한Site-to-Site VPN 연결을 생성하고 Network Manager에서 디바이스, 사이트 및 링크 리소스를 생성합니다. 이렇게 하면 연결이 자동화되며 Network Manager에서 네트워크를 전체적으로 볼 수 있습니다. SD-WAN 컨트롤러는 Network Manager 이벤트 및 지표를 사용하여 대시보드를 향상시킬 수도 있습니다.
Site-to-Site VPN 연결 설정에 도움을 줄 수 있는 파트너에 대한 자세한 내용은 Transit Gateway NetworkManager 단원을 참조하십시오.
61
Amazon Virtual Private Cloud 전송 게이트웨이Network Manager 리소스 작업
Network Manager 리소스 작업Network Manager 콘솔 또는 AWS CLI를 사용하여 Network Manager에서 작업할 수 있습니다.
목차• 글로벌 네트워크 (p. 62)• 전송 게이트웨이 등록 (p. 63)• 온프레미스 네트워크 (p. 65)
글로벌 네트워크글로벌 네트워크는 네트워크 객체를 위한 컨테이너입니다. 생성된 글로벌 네트워크는 처음에 비어 있습니다.생성한 후에는 전송 게이트웨이를 등록하고 글로벌 네트워크에서 온프레미스 네트워크를 정의할 수 있습니다.
주제• 글로벌 네트워크 생성 (p. 62)• 글로벌 네트워크 보기 (p. 62)• 글로벌 네트워크 업데이트 (p. 63)• 글로벌 네트워크 삭제 (p. 63)
글로벌 네트워크 생성글로벌 네트워크를 생성합니다.
글로벌 네트워크를 생성하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. Create global network(글로벌 네트워크 생성)를 선택합니다.4. 글로벌 네트워크의 이름과 설명을 입력합니다.5. (선택 사항) 추가 설정을 확장합니다. 태그를 추가하려면 키와 값을 입력하고 태그 추가를 선택합니다.6. Create global network(글로벌 네트워크 생성)를 선택합니다.
AWS CLI를 사용하여 글로벌 네트워크를 생성하려면
create-global-network 명령을 사용합니다.
글로벌 네트워크 보기글로벌 네트워크에 대한 세부 정보와 글로벌 네트워크에 있는 네트워크 객체에 대한 정보를 볼 수 있습니다.
글로벌 네트워크 정보를 보려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 개요 페이지에는 글로벌 네트워크의 네트워크 객체에 대한 정보가 포함되어 있습니다. 글로벌 네트워크
리소스(예: ARN)에 대한 세부 정보를 보려면 세부 정보를 선택합니다. 대시보드의 다른 페이지에 대한
62
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 등록
자세한 내용은 Network Manager 콘솔을 사용하여 글로벌 네트워크 시각화 및 모니터링 (p. 72) 단원을 참조하십시오.
AWS CLI를 사용하여 글로벌 네트워크 세부 정보를 보려면
describe-global-networks 명령을 사용합니다.
글로벌 네트워크 업데이트글로벌 네트워크에 대한 설명이나 태그를 수정할 수 있습니다.
글로벌 네트워크를 업데이트하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크를 선택하고 편집을 선택합니다.4. 설명에 글로벌 네트워크에 대한 새 설명을 입력합니다.5. 태그에서 태그 제거를 선택하여 기존 태그를 제거하거나 태그 추가를 선택하여 새 태그를 추가합니다.6. Edit global network(글로벌 네트워크 편집)를 선택합니다.
AWS CLI를 사용하여 글로벌 네트워크를 업데이트하려면
update-global-network 명령을 사용하여 설명을 업데이트합니다. tag-resource 및 untag-resource 명령을 사용하여 태그를 업데이트합니다.
글로벌 네트워크 삭제글로벌 네트워크에 전송 게이트웨이, 링크, 디바이스 및 사이트를 비롯한 네트워크 객체가 있는 경우 글로벌네트워크를 삭제할 수 없습니다. 먼저 네트워크 객체를 등록 취소하거나 삭제해야 합니다.
글로벌 네트워크를 삭제하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크를 선택하고 삭제를 선택합니다.4. 확인 대화 상자에서 삭제를 선택합니다.
AWS CLI를 사용하여 글로벌 네트워크를 삭제하려면
delete-global-network 명령을 사용합니다.
전송 게이트웨이 등록기존 전송 게이트웨이를 글로벌 네트워크에 등록할 수 있습니다. 모든 전송 게이트웨이 연결(예: VPC, VPN연결 및 AWS Direct Connect 게이트웨이)은 글로벌 네트워크에 자동으로 포함됩니다.
Network Manager 콘솔 또는 API를 사용하여 전송 게이트웨이 및 연결을 생성, 삭제 또는 수정할 수 없습니다. 전송 게이트웨이를 사용하려면 Amazon VPC 콘솔 또는 Amazon EC2 API를 사용합니다.
하나의 글로벌 네트워크에만 전송 게이트웨이를 등록할 수 있습니다. 글로벌 네트워크와 동일한 AWS 계정에 있는 전송 게이트웨이를 등록할 수 있습니다.
주제• 전송 게이트웨이 등록 (p. 64)
63
Amazon Virtual Private Cloud 전송 게이트웨이전송 게이트웨이 등록
• 등록된 전송 게이트웨이 보기 (p. 64)• 전송 게이트웨이 등록 취소 (p. 64)
전송 게이트웨이 등록글로벌 네트워크에 transit gateway를 등록합니다. 둘 이상의 글로벌 네트워크에 전송 게이트웨이를 등록할수 없습니다.
transit gateway를 등록하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 Transit Gateways(전송 게이트웨이)를 선택합니다. Register transit gateway(전송 게이트웨
이 등록)를 선택합니다.5. 목록에서 전송 게이트웨이를 선택하고 Register transit gateway(전송 게이트웨이 등록)를 선택합니다.
AWS CLI를 사용하여 전송 게이트웨이를 등록하려면
register-transit-gateway 명령을 사용합니다.
등록된 전송 게이트웨이 보기글로벌 네트워크에서 등록된 transit gateway를 봅니다.
등록된 transit gateway를 보려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 Transit Gateways(전송 게이트웨이)를 선택합니다.5. Transit gateways(전송 게이트웨이) 페이지에는 등록된 전송 게이트웨이가 나열됩니다. 세부 정보를 보
려면 전송 게이트웨이의 ID를 선택합니다.
AWS CLI를 사용하여 등록된 전송 게이트웨이를 보려면
get-transit-gateway-registrations 명령을 사용합니다.
전송 게이트웨이 등록 취소글로벌 네트워크에서 transit gateway 등록을 취소합니다.
transit gateway의 등록을 취소하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 Transit Gateways(전송 게이트웨이)를 선택합니다.5. 전송 게이트웨이를 선택하고 등록 취소를 선택합니다.
AWS CLI를 사용하여 전송 게이트웨이의 등록을 취소하려면
64
Amazon Virtual Private Cloud 전송 게이트웨이온프레미스 네트워크
deregister-transit-gateway 명령을 사용합니다.
온프레미스 네트워크사이트, 디바이스 및 링크를 통해 글로벌 네트워크의 온프레미스 네트워크를 나타낼 수 있습니다. 자세한 내용은 온프레미스 네트워크 정의 및 연결 (p. 54) 단원을 참조하십시오. 그런 다음 디바이스를 사이트 및 하나 이상의 링크와 연결합니다.
글로벌 네트워크에 온프레미스 네트워크를 추가하려면 고객 게이트웨이를 디바이스와 연결합니다.
모든 사이트, 디바이스 및 링크는 특정 글로벌 네트워크에 대해 생성되며 다른 글로벌 네트워크와 공유할 수없습니다.
주제• 사이트 작업 (p. 65)• 링크 작업 (p. 66)• 디바이스 작업 (p. 68)• 디바이스 연결 (p. 69)• 고객 게이트웨이 연결 (p. 70)
사이트 작업다음 절차에서는 사이트를 생성, 업데이트 및 삭제하는 방법을 보여줍니다.
주제• 사이트 생성 (p. 65)• 사이트 업데이트 (p. 66)• 사이트 삭제 (p. 66)
사이트 생성
네트워크의 물리적 위치를 나타내는 사이트를 생성합니다. 위치 정보는 Network Manager 콘솔의 시각화에사용됩니다.
사이트를 생성하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 사이트를 선택합니다. Create site(사이트 생성)를 선택합니다.5. 이름 및 설명에 사이트에 대한 이름과 설명을 입력합니다.6. 주소에 사이트의 실제 주소(예: New York, NY 10004)를 입력합니다.7. Latitude(위도)에 사이트의 위도 좌표(예: 40.7128)를 입력합니다.8. Longitude(경도)에 사이트의 경도 좌표(예: -74.0060)를 입력합니다.9. Create site(사이트 생성)를 선택합니다.
AWS CLI를 사용하여 사이트 생성 및 보기
다음 명령을 사용합니다.
• 사이트를 생성하려면: create-site
65
Amazon Virtual Private Cloud 전송 게이트웨이온프레미스 네트워크
• 사이트를 보려면: get-sites
사이트 업데이트
설명, 주소, 위도 및 경도를 포함하여 사이트의 세부 정보를 업데이트할 수 있습니다.
사이트를 업데이트하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 사이트를 선택하고 사이트를 선택합니다.5. [Edit]를 선택합니다.6. 필요에 따라 설명, 주소, 위도, 경도 및 태그를 업데이트합니다.7. Edit site(사이트 편집)를 선택합니다.
AWS CLI를 사용하여 사이트 업데이트
update-site 명령을 사용합니다.
사이트 삭제
사이트가 더 이상 필요하지 않으면 삭제할 수 있습니다. 먼저 모든 디바이스에서 사이트의 연결을 해제하고사이트에 대한 링크를 삭제해야 합니다.
사이트를 삭제하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 사이트를 선택합니다.5. 사이트를 선택하고 삭제를 선택합니다.6. 확인 대화 상자에서 삭제를 선택합니다.
AWS CLI를 사용하여 사이트 삭제
delete-site 명령을 사용합니다.
링크 작업다음 절차에서는 링크를 생성, 업데이트 및 삭제하는 방법을 보여줍니다.
주제• 링크 생성 (p. 66)• 링크 업데이트 (p. 67)• 링크 삭제 (p. 67)
링크 생성
디바이스에서 인터넷 연결을 나타내는 링크를 생성합니다. 링크는 특정 사이트에 대해 생성되므로 링크를 생성하기 전에 사이트를 만들어야 합니다.
66
Amazon Virtual Private Cloud 전송 게이트웨이온프레미스 네트워크
링크를 생성하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 사이트를 선택합니다. 링크를 생성할 사이트의 ID를 선택하고 링크를 선택합니다.5. Create link(링크 생성)를 선택합니다.6. 이름 및 설명에 링크에 대한 이름과 설명을 입력합니다.7. Upload speed(업로드 속도)에 업로드 속도(Mbps)를 입력합니다.8. Download speed(다운로드 속도)에 다운로드 속도(Mbps)를 입력합니다.9. 공급자에 서비스 공급자의 이름을 입력합니다.10. 유형에 링크의 유형(예: broadband)을 입력합니다.11. Create link(링크 생성)를 선택합니다.
AWS CLI를 사용하여 링크 생성 및 보기
다음 명령을 사용합니다.
• 링크를 생성하려면: create-link• 링크를 보려면: get-link
링크 업데이트
대역폭 정보, 설명, 공급자 및 유형을 포함하여 링크의 세부 정보를 업데이트할 수 있습니다.
링크를 업데이트하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 사이트를 선택하고 사이트의 ID를 선택합니다. 링크를 선택합니다.5. 링크를 선택하고 편집을 선택합니다.6. 필요에 따라 링크 세부 정보를 업데이트한 다음 Edit link(링크 편집)를 선택합니다.
AWS CLI를 사용하여 링크 업데이트
update-link 명령을 사용합니다.
링크 삭제
링크가 더 이상 필요하지 않으면 삭제할 수 있습니다. 먼저 모든 디바이스 및 고객 게이트웨이에서 링크 연결을 해제해야 합니다.
링크를 삭제하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 사이트를 선택하고 사이트의 ID를 선택합니다. 링크를 선택합니다.5. 링크를 선택하고 삭제를 선택합니다.6. 확인 대화 상자에서 삭제를 선택합니다.
67
Amazon Virtual Private Cloud 전송 게이트웨이온프레미스 네트워크
AWS CLI를 사용하여 링크 삭제
delete-link 명령을 사용합니다.
디바이스 작업다음 절차에서는 디바이스를 생성, 업데이트 및 삭제하는 방법을 보여줍니다.
주제• 디바이스 생성 (p. 68)• 디바이스 업데이트 (p. 68)• 디바이스 삭제 (p. 69)
디바이스 생성
물리적 또는 가상 어플라이언스를 나타내는 디바이스를 생성합니다.
디바이스를 생성하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 디바이스를 선택합니다. Create device(디바이스 생성)를 선택합니다.5. 이름 및 설명에 디바이스에 대한 이름과 설명을 입력합니다.6. 모델에 디바이스 모델 번호를 입력합니다.7. 일련 번호에 디바이스의 일련 번호를 입력합니다.8. 유형에 디바이스 유형을 입력합니다.9. 공급업체에 공급업체 이름(예: Cisco)을 입력합니다.10. 주소에 사이트의 실제 주소(예: New York, NY 10004)를 입력합니다.11. Latitude(위도)에 사이트의 위도 좌표(예: 40.7128)를 입력합니다.12. Longitude(경도)에 사이트의 경도 좌표(예: -74.0060)를 입력합니다.13. Create device(디바이스 생성)를 선택합니다.
AWS CLI를 사용하여 디바이스 생성 및 보기
다음 명령을 사용합니다.
• 디바이스를 생성하려면: create-device• 디바이스를 보려면: get-devices
디바이스 업데이트
설명, 모델, 일련 번호, 유형, 공급업체 및 위치 정보를 포함하여 디바이스의 세부 정보를 업데이트할 수 있습니다.
디바이스를 업데이트하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 디바이스를 선택하고 디바이스를 선택합니다.
68
Amazon Virtual Private Cloud 전송 게이트웨이온프레미스 네트워크
5. [Edit]를 선택합니다.6. 필요에 따라 디바이스 세부 정보를 업데이트한 다음 Edit device(디바이스 편집)를 선택합니다.
AWS CLI를 사용하여 디바이스 업데이트
update-device 명령을 사용합니다.
디바이스 삭제디바이스가 더 이상 필요하지 않으면 삭제할 수 있습니다. 먼저 사이트, 링크 및 고객 게이트웨이와 디바이스의 연결을 해제해야 합니다.
디바이스를 삭제하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 디바이스를 선택합니다.5. 사이트를 선택하고 삭제를 선택합니다.6. 확인 대화 상자에서 삭제를 선택합니다.
AWS CLI를 사용하여 디바이스 삭제
delete-device 명령을 사용합니다.
디바이스 연결디바이스를 사이트와 연결하거나 하나 이상의 링크와 연결할 수 있습니다.
주제• 디바이스와 사이트 연결 (p. 69)• 디바이스와 링크 연결 (p. 70)
디바이스와 사이트 연결한 사이트에 여러 디바이스를 연결할 수 있지만 한 디바이스는 단일 사이트에만 연결할 수 있습니다.
디바이스와 사이트를 연결하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 디바이스를 선택하고 디바이스의 ID를 선택합니다.5. Associate site(사이트 연결)를 선택합니다.6. 사이트의 목록에서 사이트 이름을 선택합니다.7. Edit site association(사이트 연결 편집)을 선택합니다.
디바이스와 사이트 간의 연결을 제거할 수 있습니다.
디바이스와 사이트의 연결을 해제하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.
69
Amazon Virtual Private Cloud 전송 게이트웨이온프레미스 네트워크
2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 디바이스를 선택하고 디바이스의 ID를 선택합니다.5. Disassociate site(사이트 연결 해제)를 선택합니다.
AWS CLI를 사용하여 디바이스와 사이트 연결 작업
create-device AWS CLI 명령을 사용하여 새 디바이스를 생성할 때 디바이스와 연결할 사이트를 지정할 수있습니다. 기존 디바이스의 경우 update-device AWS CLI 명령을 사용하여 사이트를 연결하거나 연결을 해제할 수 있습니다.
디바이스와 링크 연결
링크는 둘 이상의 디바이스와 연결될 수 있습니다. 디바이스가 사이트와 연결되어 있어야 합니다.
링크와 디바이스를 연결하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 디바이스를 선택하고 디바이스의 ID를 선택합니다.5. 링크를 선택합니다.6. Associate link(링크 연결)를 선택합니다.7. 연결할 링크를 선택한 다음 Associate link(링크 연결)를 선택합니다.
링크와 디바이스 간의 연결을 제거할 수 있습니다.
링크와 디바이스의 연결을 해제하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 디바이스를 선택하고 디바이스의 ID를 선택합니다.5. 링크를 선택합니다.6. 링크를 선택하고 연결 해제를 선택합니다.
AWS CLI를 사용하여 디바이스와 링크 연결 작업
다음 명령을 사용하여 디바이스 연결 작업을 수행할 수 있습니다.
• 링크와 디바이스를 연결하려면: associate-link• 링크 연결을 보려면: get-link-associations• 디바이스에서 링크의 연결을 해제하려면: disassociate-link
고객 게이트웨이 연결고객 게이트웨이를 디바이스 및 링크(선택 사항)와 연결하여 온프레미스 네트워크에 연결할 수 있습니다. 고객 게이트웨이는 이미 전송 게이트웨이에 있는 VPN 연결의 일부로 글로벌 네트워크에 있어야 합니다. 링크를 지정하는 경우 지정된 디바이스와 이미 연결되어 있어야 합니다.
70
Amazon Virtual Private Cloud 전송 게이트웨이온프레미스 네트워크
고객 게이트웨이 생성에 대한 자세한 내용은 AWS Site-to-Site VPN 사용 설명서의 고객 게이트웨이 생성을참조하십시오. 전송 게이트웨이에 대한 VPN 연결을 생성하는 방법에 대한 자세한 내용은 Amazon VPC 전송 게이트웨이의 전송 게이트웨이 VPN 연결을 참조하십시오.
다음 방법 중 하나로 고객 게이트웨이를 디바이스 및 링크와 연결할 수 있습니다.
• Transit gateways(전송 게이트웨이) 페이지에서• 디바이스 페이지에서
Transit gateways page
전송 게이트웨이 페이지를 사용하여 고객 게이트웨이를 연결하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 Transit gateways(전송 게이트웨이)를 선택한 다음 전송 게이트웨이의 ID를 선택합니
다.5. On-premises associations(온프레미스 연결)를 선택합니다.6. 고객 게이트웨이를 선택하고 연결을 선택합니다.7. 디바이스에서 연결할 디바이스의 ID를 선택합니다. 링크에서 연결할 링크의 ID를 선택합니다.8. Edit on-premises association(온프레미스 연결 편집)을 선택합니다.
Devices page
디바이스 페이지를 사용하여 고객 게이트웨이를 연결하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 디바이스를 선택하고 디바이스의 ID를 선택합니다.5. On-premises associations(온프레미스 연결)를 선택합니다.6. 연결을 선택합니다.7. 고객 게이트웨이에서 연결할 고객 게이트웨이의 ID를 선택합니다. 링크에서 연결할 링크의 ID를 선
택합니다.8. Create on-premises association(온프레미스 연결 생성)을 선택합니다.
다음 방법 중 하나로 디바이스 또는 링크에서 고객 게이트웨이의 연결을 해제할 수 있습니다.
• Transit gateways(전송 게이트웨이) 페이지에서• 디바이스 페이지에서
Transit gateways page
전송 게이트웨이 페이지를 사용하여 고객 게이트웨이의 연결을 해제하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.
71
Amazon Virtual Private Cloud 전송 게이트웨이글로벌 네트워크 시각화 및 모니터링
3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 Transit gateways(전송 게이트웨이)를 선택한 다음 On-premises associations(온프레
미스 연결)를 선택합니다.5. 고객 게이트웨이를 선택하고 연결 해제를 선택합니다.
Devices page
디바이스 페이지를 사용하여 고객 게이트웨이의 연결을 해제하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택합니다.3. 글로벌 네트워크의 ID를 선택합니다.4. 탐색 창에서 디바이스를 선택하고 디바이스의 ID를 선택합니다.5. On-premises associations(온프레미스 연결)를 선택합니다.6. 고객 게이트웨이를 선택하고 연결 해제를 선택합니다.
AWS CLI를 사용하여 고객 게이트웨이 연결 작업
다음 명령을 사용하여 고객 게이트웨이 연결 작업을 수행할 수 있습니다.
• 고객 게이트웨이와 디바이스 및 링크를 연결하려면: associate-customer-gateway• 고객 게이트웨이 연결을 보려면: get-customer-gateway-associations• 디바이스 및 링크에서 고객 게이트웨이의 연결을 해제하려면: disassociate-customer-gateway
Network Manager 콘솔을 사용하여 글로벌 네트워크시각화 및 모니터링
Network Manager 콘솔에는 글로벌 네트워크를 시각화하고 모니터링할 수 있는 대시보드가 제공됩니다. 여기에는 글로벌 네트워크의 리소스, 해당 리소스의 지리적 위치, 네트워크 토폴로지, Amazon CloudWatch 지표 및 이벤트에 대한 정보가 포함되며 라우팅 분석을 수행할 수 있습니다.
글로벌 네트워크의 대시보드에 액세스하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 글로벌 네트워크의 ID를 선택합니다.
주제• 개요 (p. 73)• 세부 정보 (p. 74)• 지리적 위치 (p. 75)• 토폴리지 (p. 76)• 이벤트 (p. 77)• 모니터링 (p. 77)• 라우팅 분석기 (p. 77)
72
Amazon Virtual Private Cloud 전송 게이트웨이개요
개요
73
Amazon Virtual Private Cloud 전송 게이트웨이세부 정보
개요 페이지에서 다음 정보를 볼 수 있습니다.
• 글로벌 네트워크의 인벤토리• 글로벌 네트워크에 등록된 전송 게이트웨이 목록 및 해당 전송 게이트웨이에 대한 VPN 연결의 전체 상
태. 개별 전송 게이트웨이를 시각화하고 모니터링하려면 전송 게이트웨이 ID를 선택하거나 탐색 창에서Transit gateways(전송 게이트웨이)를 선택합니다.
• 네트워크 이벤트 요약(예: 글로벌 네트워크의 토폴로지 변경)
세부 정보세부 정보 페이지에서 다음을 포함하여 글로벌 네트워크 리소스에 대한 정보를 볼 수 있습니다.
• Amazon 리소스 이름(ARN)• 이름과 설명• 상태• AWS 계정 ID• 할당된 태그
74
Amazon Virtual Private Cloud 전송 게이트웨이지리적 위치
지리적 위치
Geographic(지리적 위치) 페이지의 맵에서 글로벌 네트워크에 등록된 리소스의 위치를 볼 수 있습니다. 맵의선은 리소스 간의 연결을 나타내며 선 색상은 연결 유형과 상태를 나타냅니다. 위치 지점을 선택하여 해당 위치의 리소스에 대한 정보를 볼 수 있습니다.
75
Amazon Virtual Private Cloud 전송 게이트웨이토폴리지
토폴리지
76
Amazon Virtual Private Cloud 전송 게이트웨이이벤트
Topology(토폴로지) 페이지에서 글로벌 네트워크의 네트워크 트리를 볼 수 있습니다. 기본적으로 페이지에는 글로벌 네트워크의 모든 리소스와 리소스 간의 논리적 관계가 표시됩니다. 리소스 유형별로 네트워크 트리를 필터링할 수 있으며 노드 중 하나를 선택하여 해당 노드가 나타내는 특정 리소스에 대한 정보를 볼 수있습니다. 선 색상은 AWS와 온프레미스 리소스 간의 관계 상태를 나타냅니다.
이벤트이벤트 페이지에서 글로벌 네트워크의 변경 사항을 설명하는 시스템 이벤트를 볼 수 있습니다. 자세한 내용은 CloudWatch 이벤트를 사용한 글로벌 네트워크 모니터링 (p. 79) 단원을 참조하십시오.
모니터링모니터링 페이지에서 글로벌 네트워크의 전송 게이트웨이, VPN 연결 및 온프레미스 리소스에 대한CloudWatch 지표를 볼 수 있습니다. 자세한 내용은 Amazon CloudWatch 지표를 사용한 글로벌 네트워크 모니터링 (p. 77) 단원을 참조하십시오.
라우팅 분석기Route Analyzer(라우팅 분석기) 페이지에서 전송 게이트웨이 라우팅 테이블의 라우팅을 분석할 수 있습니다.이렇게 하면 라우팅 경로를 시각화하고 라우팅 관련 연결 문제를 해결할 수 있습니다. 자세한 내용은 RouteAnalyzer (p. 83) 단원을 참조하십시오.
글로벌 네트워크에서 Amazon CloudWatch 지표 및이벤트 사용
AWS는 글로벌 네트워크의 리소스를 관찰하고, 문제가 있을 경우 보고하고, 적절한 경우 자동 조치를 취할수 있도록 다음과 같은 모니터링 도구를 제공합니다.
• Amazon CloudWatch은(는) AWS 리소스와 AWS에서 실시간으로 실행되는 애플리케이션을 모니터링합니다. 지표를 수집 및 추적하고, 사용자 지정 대시보드를 생성할 수 있으며, 지정된 지표가 지정한 임계값에 도달하면 사용자에게 알리거나 조치를 취하도록 경보를 설정할 수 있습니다. 자세한 정보는 AmazonCloudWatch 사용 설명서를 참조하십시오.
• Amazon CloudWatch Events는 AWS 리소스의 변경 사항을 설명하는 시스템 이벤트의 스트림을 거의 실시간으로 전달합니다. CloudWatch 이벤트는 자동 이벤트 기반 컴퓨팅을 활성화하기 때문에, 특정 이벤트를 감시하고 이러한 이벤트가 발생하면 다른 AWS 서비스에서 자동 조치를 트리거하는 규칙을 생성할 수있습니다. 자세한 내용은 Amazon CloudWatch Events 사용 설명서 단원을 참조하십시오.
Amazon CloudWatch 지표를 사용한 글로벌 네트워크모니터링CloudWatch를 통해 원시 데이터를 수집하고 이 데이터를 거의 실시간으로 읽을 수 있는 지표로 처리하여Network Manager를 모니터링할 수 있습니다. 이러한 통계는 15개월간 보관되므로 기록 정보에 액세스하고웹 애플리케이션 또는 서비스가 어떻게 실행되고 있는지 전체적으로 더 잘 파악할 수 있습니다. 특정 임계값을 주시하다가 해당 임계값이 충족될 때 알림을 전송하거나 조치를 취하도록 경보를 설정할 수도 있습니다.자세한 내용은 Amazon CloudWatch 사용 설명서 단원을 참조하십시오.
등록된 전송 게이트웨이, 연결된 Site-to-Site VPN 연결 및 온프레미스 리소스에 대한 글로벌 네트워크의CloudWatch 지표를 볼 수 있습니다. 글로벌 네트워크마다 전송 게이트웨이별 및 전송 게이트웨이 연결별 지표를 볼 수 있습니다.
77
Amazon Virtual Private Cloud 전송 게이트웨이CloudWatch 지표로 모니터링
지원되는 지표에 대한 자세한 내용은 다음 주제를 참조하십시오.
• 전송 게이트웨이용 CloudWatch 지표• Amazon CloudWatch를 사용하여 VPN 터널 모니터링• 온프레미스 리소스에 대한 CloudWatch 지표 (p. 78)
경보를 생성하는 더 많은 예를 보려면 Amazon CloudWatch 사용 설명서의 Amazon CloudWatch 경보 생성을 참조하십시오.
온프레미스 리소스에 대한 CloudWatch 지표Network Manager에서는 디바이스 및 링크를 비롯한 온프레미스 리소스를 위해 Amazon CloudWatch에 대한 데이터 요소를 게시합니다. CloudWatch를 사용하면 이러한 데이터 요소에 대한 통계를 정렬된 시계열 데이터 세트로 검색할 수 있습니다. 이러한 통계를 지표라고 합니다. 각 데이터 포인트에는 연결된 타임스탬프와 측정 단위(선택 사항)가 있습니다.
지표를 사용하여 시스템이 예상대로 수행되고 있는지 확인할 수 있습니다. 예를 들어 CloudWatch 경보를 생성하여 지정된 지표를 모니터링할 수 있으며, 지표가 허용 범위를 벗어난다고 간주되는 경우 작업(예: 이메일주소로 알림 전송)를 시작할 수 있습니다.
디바이스 지표
AWS/NetworkManager 네임스페이스에는 디바이스에 대한 다음 지표가 포함되어 있습니다.
지표 설명
BytesIn 디바이스에서 수신된 바이트 수입니다.
BytesOut 디바이스에서 보낸 바이트 수입니다.
VpnTunnelsDown 디바이스에서 작동 중지 상태인 VPN 터널 수입니다. 작동 중지 상태인 정적 VPN 터널과 설정됨 이외의 상태인 BGP VPN 터널이 포함됩니다.
디바이스에 대한 지표 차원
디바이스에 대한 지표를 필터링하려면 다음 차원을 사용하십시오.
차원 설명
DeviceId 디바이스별로 지표 데이터를 필터링합니다.
링크 지표
AWS/NetworkManager 네임스페이스에는 링크에 대한 다음 지표가 포함됩니다.
지표 설명
BytesIn 이 링크를 사용하여 온프레미스 네트워크에서 수신한 바이트 수입니다.
78
Amazon Virtual Private Cloud 전송 게이트웨이CloudWatch 이벤트를 사용하여 모니터링
지표 설명
BytesOut 이 링크를 사용하여 온프레미스 네트워크에서 보낸바이트 수입니다.
링크에 대한 지표 차원
링크에 대한 지표를 필터링하려면 다음 차원을 사용하십시오.
차원 설명
LinkId 링크를 기준으로 지표 데이터를 필터링합니다.
글로벌 네트워크 CloudWatch 지표 보기글로벌 네트워크의 CloudWatch 지표를 보는 데는 다음을 비롯하여 다양한 옵션이 있습니다.
• 글로벌 네트워크에 대한 지표 보기 및 전송 게이트웨이별 필터링• 특정 전송 게이트웨이 및 해당 연결에 대한 지표 보기
글로벌 네트워크에 대한 지표를 보고 전송 게이트웨이별로 필터링하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택하고 글로벌 네트워크의 ID를 선택합니다.3. [Monitoring]을 선택합니다. 이 페이지에서 전송 게이트웨이별로 필터링하여 해당 전송 게이트웨이에 대
한 지표를 볼 수 있습니다.
특정 전송 게이트웨이 및 해당 연결에 대한 지표를 보려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.2. 탐색 창에서 Global networks(글로벌 네트워크)를 선택하고 글로벌 네트워크의 ID를 선택합니다.3. 탐색 창에서 Transit gateways(전송 게이트웨이)를 선택하고 전송 게이트웨이의 ID를 선택합니다.4. [Monitoring]을 선택합니다. 이 페이지에서 전송 게이트웨이에 대한 지표를 볼 수 있습니다. 연결별로 필
터링하여 해당 연결의 지표를 볼 수 있습니다.
Note
모니터링 페이지에서 대시보드에 추가 옵션은 등록된 전송 게이트웨이가 미국 서부(오레곤) 리전에있는 경우에만 작동합니다.
CloudWatch 이벤트를 사용한 글로벌 네트워크 모니터링CloudWatch 이벤트는 리소스의 변경 사항을 설명하는 시스템 이벤트의 스트림을 거의 실시간으로 제공합니다. 신속하게 설정할 수 있는 단순 규칙을 사용하여 일치하는 이벤트를 검색하고 하나 이상의 대상 함수 또는스트림으로 이를 라우팅할 수 있습니다. 자세한 내용은 Amazon CloudWatch Events 사용 설명서 단원을 참조하십시오.
Transit Gateway Network Manager는 다음 유형의 이벤트를 CloudWatch 이벤트에 보냅니다.
79
Amazon Virtual Private Cloud 전송 게이트웨이CloudWatch 이벤트를 사용하여 모니터링
• 토폴로지 변경 사항• 라우팅 업데이트• 상태 업데이트
시작하기글로벌 네트워크의 이벤트를 보려면 먼저 CloudWatch Logs Insights에 온보드가 있어야 합니다. NetworkManager 콘솔에서 글로벌 네트워크의 ID를 선택합니다. Network events summary(네트워크 이벤트 요약)섹션에서 Onboard to CloudWatch Log Insights(CloudWatch Log Insights에 온보드)를 선택합니다..
IAM 사용자 등 계정의 IAM 보안 주체에게는 CloudWatch Logs Insights에 온보드할 수 있는 충분한 권한이있어야 합니다. IAM 정책에 다음 권한이 포함되어 있는지 확인합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:PutTargets", "events:DescribeRule", "logs:PutResourcePolicy", "logs:DescribeLogGroups", "logs:DescribeResourcePolicies", "events:PutRule", "logs:CreateLogGroup" ], "Resource": "*" } ]}
이전 정책은 Network Manager 리소스를 작성, 수정 또는 삭제할 수 있는 권한을 부여하지 않습니다.Network Manager와 작업하기 위한 IAM 정책에 대한 자세한 내용은 Transit Gateway Network Manager의Identity and Access Management (p. 88) 단원을 참조하십시오.
CloudWatch Logs Insights에 온보드하면 다음과 같은 현상이 발생합니다.
• 이름이 DON_NOT_DELETE_networkmanager_rule인 CloudWatch 이벤트 규칙이 미국 서부(오레곤) 리전 에 생성됩니다.
• 이름이 /aws/events/networkmanagerloggroup인 CloudWatch Logs 로그 그룹이 미국 서부(오레곤)리전에 생성됩니다.
• CloudWatch 이벤트 규칙은 대상으로의 CloudWatch Logs 로그 그룹으로 구성됩니다.• 이름이 DON_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents인 CloudWatch 리소
스 정책이 미국 서부(오레곤) 리전에 생성됩니다. 이 정책을 보려면 다음 AWS CLI 명령을 사용합니다(예:aws logs describe-resource-policies --region us-west-2).
Network Manager 콘솔에서 글로벌 네트워크에 대한 이벤트를 보려면 글로벌 네트워크의 ID를 선택하고 이벤트를 선택합니다.
토폴로지 변경 이벤트토폴로지 변경 이벤트는 글로벌 네트워크의 리소스가 변경된 경우 발생합니다. 이러한 이벤트에는 다음이 포함됩니다.
• 글로벌 네트워크에 전송 게이트웨이가 등록되었습니다.
80
Amazon Virtual Private Cloud 전송 게이트웨이CloudWatch 이벤트를 사용하여 모니터링
• 전송 게이트웨이가 글로벌 네트워크에서 등록 취소되었습니다.• 글로벌 네트워크에서 전송 게이트웨이가 삭제되었습니다.• 전송 게이트웨이에 대한 VPN 연결이 생성되었습니다.• 전송 게이트웨이에서 VPN 연결이 삭제되었습니다.• VPN 연결에 대한 고객 게이트웨이가 변경되었습니다.• VPN 연결의 대상 게이트웨이가 변경되었습니다.• VPC가 전송 게이트웨이에 연결되었습니다.• VPC가 전송 게이트웨이에서 분리되었습니다.• AWS Direct Connect 게이트웨이가 전송 게이트웨이에 연결되었습니다.• AWS Direct Connect 게이트웨이가 전송 게이트웨이에서 분리되었습니다.• 전송 게이트웨이 피어링 연결이 생성되었습니다.• 전송 게이트웨이 피어링 연결이 삭제되었습니다.
다음은 전송 게이트웨이 VPC 연결이 삭제된 이벤트의 예입니다(VPC가 전송 게이트웨이에서 분리됨).
{ "account": "123456789012", "region": "us-west-2", "detail-type": "Network Manager Topology Change", "source": "aws.networkmanager", "version": "0", "time": "2019-06-30T23:18:50Z", "id": "fb1d3015-c091-4bf9-95e2-d9example", "resources": [ "arn:aws:networkmanager::123456789012:global-network/global-network-08eb4a99cb6example", "arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11111111111122222" ], "detail": { "change-type": "VPC-ATTACHMENT-DELETED", "change-description": "A VPC attachment has been deleted.", "region": "us-east-1", "transit-gateway-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11111111111122222", "transit-gateway-attachment-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway-attachment/tgw-attach-012345678abc12345", "vpc-arn": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-11223344556677aab" }}
라우팅 업데이트 이벤트라우팅 업데이트 이벤트는 글로벌 네트워크에서 전송 게이트웨이 라우팅 테이블이 변경된 경우에 발생합니다. 이러한 이벤트에는 다음이 포함됩니다.
• 전송 게이트웨이 연결의 라우팅 테이블 연결이 변경되었습니다.• 전송 게이트웨이 라우팅 테이블에 라우팅이 생성되었습니다.• 전송 게이트웨이 라우팅 테이블에서 라우팅이 삭제되었습니다.
다음은 전송 게이트웨이 라우팅 테이블이 연결된 이벤트의 예입니다.
{ "account": "123456789012",
81
Amazon Virtual Private Cloud 전송 게이트웨이CloudWatch 이벤트를 사용하여 모니터링
"region": "us-west-2", "detail-type": "Network Manager Routing Update", "source": "aws.networkmanager", "version": "0", "time": "2019-06-30T23:18:50Z", "id": "fb1d3015-c091-4bf9-95e2-d9852example", "resources": [ "arn:aws:networkmanager::123456789012:global-network/global-network-08eb4a99cb6example", "arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11111111111122222" ], "detail": { "change-type": "TGW-ROUTE-TABLE-ASSOCIATED", "change-description": "A Transit Gateway attachment has been associated to a route table.", "region": "us-east-1", "transit-gateway-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11111111111122222", "transit-gateway-attachment-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway-attachment/tgw-attach-012345678abc12345", "transit-gateway-route-table-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway-route-table/tgw-rtb--123abc123abc123ab" }}
상태 업데이트 이벤트상태 업데이트 이벤트는 글로벌 네트워크에서 VPN 연결의 연결 상태가 변경된 경우에 발생합니다. 이러한이벤트에는 다음이 포함됩니다.
• VPN 터널의 IPsec 세션이 중단되었습니다.• VPN 터널의 IPsec 세션이 시작되었습니다(중단 후).• VPN 터널의 BGP 세션이 중단되었습니다.• VPN 터널의 BGP 세션이 시작되었습니다(중단 후).
다음은 VPN 터널의 IPsec 세션이 시작된 이벤트의 예입니다.
{ "account": "123456789012", "region": "us-west-2", "detail-type": "Network Manager Status Update", "source": "aws.networkmanager", "version": "0", "time": "2019-06-30T23:18:50Z", "id": "fb1d3015-c091-4bf9-95e2-d98example", "resources": [ "arn:aws:networkmanager::123456789012:global-network/global-network-08eb4a99cb6example", "arn:aws:ec2:us-east-1:123456789012:vpn-connection/vpn-33333333333344444" ], "detail": { "status-change": "VPN-CONNECTION-IPSEC-UP", "change-description": "IPsec for a VPN connection has come up.", "region": "us-east-1", "transit-gateway-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11111111111122222", "transit-gateway-attachment-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway-attachment/tgw-attach-1122334455aaaaaaa", "vpn-connection-arn": "arn:aws:ec2:us-east-1:123456789012:vpn-connection/vpn-33333333333344444", "outside-ip-address": "198.51.100.3"
82
Amazon Virtual Private Cloud 전송 게이트웨이Route Analyzer
}}
Route Analyzer글로벌 네트워크에서 Route Analyzer를 사용하여 전송 게이트웨이 라우팅 테이블의 라우팅 분석을 수행할수 있습니다. Route Analyzer는 지정된 소스와 대상 간의 라우팅 경로를 분석하고 구성 요소 간 연결에 대한정보를 반환합니다. Route Analyzer를 사용하여 다음을 수행할 수 있습니다.
• 트래픽 전송을 시작하기 전에 전송 게이트웨이 라우팅 테이블 구성이 예상대로 작동하는지 확인합니다.• 기존 라우팅 구성의 유효성을 검사합니다.• 글로벌 네트워크에서 트래픽 중단을 일으키는 라우팅 관련 문제를 진단합니다.
주제• Route Analyzer 기본 사항 (p. 83)• 라우팅 분석 수행 (p. 83)• 예: 피어링된 전송 게이트웨이에 대한 라우팅 분석 (p. 84)• 예: 미들박스 구성을 사용한 라우팅 분석 (p. 86)
Route Analyzer 기본 사항Route Analyzer를 사용하려면 소스에서 대상으로의 트래픽 경로를 나타냅니다. 소스의 경우 전송 게이트웨이, 트래픽이 시작되는 전송 게이트웨이 연결 및 소스 IPv4 또는 IPv6 주소를 지정합니다. Route Analyzer는연결된 전송 게이트웨이 라우팅 테이블에서 전송 게이트웨이 연결에 대한 라우팅을 분석합니다. 대상의 경우대상 IPv4 또는 IPv6 주소와 대상 전송 게이트웨이 및 전송 게이트웨이 연결을 지정합니다.
VPC에 미들박스 어플라이언스를 구성한 경우 라우팅 분석에서 해당 어플라이언스의 위치를 나타낼 수 있습니다. 이렇게 하면 소스와 대상 사이의 라우팅에 여러 네트워크 홉을 지정하여 트래픽의 라우팅을 분석할 수있습니다.
지정된 대상에서 다시 소스로의 트래픽에 대한 반환 경로를 분석할 수도 있습니다.
Route Analyzer를 사용할 때는 다음 규칙이 적용됩니다.
• Route Analyzer는 전송 게이트웨이 라우팅 테이블의 라우팅만 분석합니다. VPC 라우팅 테이블 또는 고객게이트웨이 디바이스의 라우팅은 분석하지 않습니다.
• 전송 게이트웨이는 글로벌 네트워크에 등록되어 있어야 합니다.• Route Analyzer는 보안 그룹 규칙 또는 네트워크 ACL 규칙을 분석하지 않습니다. VPC에서 허용된 IP 트
래픽 및 거부된 IP 트래픽에 대한 정보를 캡처하려면 VPC 흐름 로그를 사용하면 됩니다.• Route Analyzer는 전달 경로에 대한 정보를 성공적으로 반환할 수 있는 경우에만 반환 경로에 대한 정보를
반환합니다.
라우팅 분석 수행Route Analyzer를 사용하려면 Network Manager 콘솔을 사용해야 합니다.
라우팅을 분석하려면
1. https://console.aws.amazon.com/networkmanager/에서 Network Manager 콘솔을 엽니다.
83
Amazon Virtual Private Cloud 전송 게이트웨이예: 피어링된 전송 게이트웨이에 대한 라우팅 분석
2. 글로벌 네트워크의 ID를 선택한 다음 Route Analyzer(라우팅 분석기)를 선택합니다.3. 소스 아래에서 다음을 수행합니다.
• 전송 게이트웨이 및 전송 게이트웨이 연결을 선택합니다.• IP 주소에 소스 IPv4 또는 IPv6 주소를 입력합니다.
4. 대상 아래에서 다음을 수행합니다.
• 전송 게이트웨이 및 전송 게이트웨이 연결을 선택합니다.• IP 주소에 대상 IPv4 또는 IPv6 주소를 입력합니다.
5. (선택 사항) 반환 경로를 분석하려면 Include return path in results(결과에 반환 경로 포함)를 활성화해야합니다. 이 옵션을 활성화하는 경우 소스 아래에 IP 주소를 지정해야 합니다.
6. 라우팅 경로에서 미들박스 어플라이언스를 지정하려면 Middlebox appliance?(미들박스 어플라이언스?)를 선택합니다.
7. Run route analysis(라우팅 분석 실행)를 선택합니다.8. 결과는 Results of route analysis(라우팅 분석 결과) 아래에 표시됩니다. 6단계에서 Middlebox
appliance?(미들박스 어플라이언스?)를 선택한 경우 각 연결에 대해 예 또는 아니요를 선택하여 어플라이언스 위치를 나타내고 라우팅 분석을 완료합니다.
경로에 있는 리소스의 ID를 선택하여 리소스에 대한 자세한 정보를 볼 수 있습니다.
예: 피어링된 전송 게이트웨이에 대한 라우팅 분석다음 예에서 전송 게이트웨이 1에는 VPC 연결 두 개와 전송 게이트웨이 2에 대한 피어링 연결 한 개가 있습니다. 전송 게이트웨이 2에는 온프레미스 네트워크에 대한 Site-to-Site VPN 연결 한 개가 있습니다. RouteAnalyzer를 사용하여 VPC와 Site-to-Site VPN 연결이 전송 게이트웨이를 통해 서로 트래픽을 라우팅할 수 있도록 하려고 합니다.
Route Analyzer에서 다음을 수행합니다.
1. 소스에서 전송 게이트웨이 1 및 VPC A에 대한 전송 게이트웨이 연결을 지정합니다. VPC A의 CIDR 블록에서 IP 주소를 지정합니다(예: 10.0.0.7).
2. 대상에서 전송 게이트웨이 2 및 VPN 연결을 지정합니다. 온프레미스 네트워크 범위에서 IP 주소를 지정합니다(예: 172.31.0.8).
3. Include return path in results(결과에 반환 경로 포함)가 선택되어 있는지 확인합니다.4. 라우팅 분석을 실행합니다. 결과에서 소스와 대상 사이의 경로를 확인합니다. 예를 들어 다음 결과는 전송
게이트웨이 1에서 전송 게이트웨이 2까지의 전달 경로가 있지만 반환 경로는 없음을 나타냅니다. 라우팅테이블에서 전송 게이트웨이 2를 확인하고 피어링 연결을 가리키는 정적 라우팅이 있는지 확인합니다.
84
Amazon Virtual Private Cloud 전송 게이트웨이예: 피어링된 전송 게이트웨이에 대한 라우팅 분석
85
Amazon Virtual Private Cloud 전송 게이트웨이예: 미들박스 구성을 사용한 라우팅 분석
5. VPC B와 VPN 연결 간의 분석을 실행하려면 소스 아래의 정보를 수정합니다. VPC B에 대한 전송 게이트웨이 연결을 선택하고 VPC B의 CIDR 블록에서 IP 주소를 지정합니다(예: 10.2.0.9).
6. 결과를 다시 로드하고 소스와 대상 사이의 경로를 확인합니다.
이 시나리오의 라우팅 구성에 대한 자세한 내용은 전송 게이트웨이 피어링 예 (p. 13)를 참조하십시오.
예: 미들박스 구성을 사용한 라우팅 분석네트워크의 다른 부분으로 흐르는 트래픽을 검사하기 위한 미들박스 어플라이언스로 작동하도록 VPC를 구성한 경우 라우팅 분석에서 어플라이언스의 위치를 나타낼 수 있습니다. 다음 예에서 전송 게이트웨이에는VPC 연결 두 개와 VPN 연결 한 개가 있습니다. VPC A는 VPN 연결과 VPC B 사이에 흐르는 트래픽을 검사하는 방화벽 어플라이언스(미들박스)를 실행합니다.
Route Analyzer에서 다음과 같이 미들박스 어플라이언스의 위치를 지정할 수 있습니다.
1. 소스에서 전송 게이트웨이 및 VPN 연결을 지정합니다. 온프레미스 네트워크 범위에서 IP 주소를 지정합니다(예: 10.0.0.7).
2. 대상에서 전송 게이트웨이 및 VPC B에 대한 연결을 지정합니다. VPC B의 CIDR 블록에서 IP 주소를 지정합니다(예: 172.31.0.8).
3. Middlebox appliance?(미들박스 어플라이언스?)에서 포함을 선택합니다.4. 라우팅 분석을 실행합니다.5. VPC A의 전송 게이트웨이 연결에 대한 Middlebox appliance?(미들박스 어플라이언스?) 섹션에서 예를 선
택합니다.
경로에 있는 리소스의 ID를 선택하여 해당 리소스에 대한 자세한 정보를 볼 수 있습니다.
86
Amazon Virtual Private Cloud 전송 게이트웨이예: 미들박스 구성을 사용한 라우팅 분석
87
Amazon Virtual Private Cloud 전송 게이트웨이Transit Gateway Network Manager의 Identity and Access Management
Transit Gateway Network Manager의 Identity andAccess Management
AWS Identity and Access Management(IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어할 수있도록 지원하는 AWS 서비스입니다. IAM 관리자는 Transit Gateway Network Manager(Network Manager)리소스를 사용하기 위해 인증(로그인) 및 권한 부여(권한 있음)할 수 있는 사람을 제어합니다. IAM은 추가 비용 없이 사용할 수 있는 AWS 서비스입니다. IAM의 기능을 사용하면 보안 자격 증명을 공유하지 않고도 다른사용자, 서비스 및 애플리케이션이 AWS 리소스를 완전히 또는 제한된 방식으로 사용할 수 있습니다.
기본값으로 IAM 사용자는 AWS 리소스를 생성, 확인 또는 수정할 수 있는 권한이 없습니다. IAM 사용자가 글로벌 네트워크와 같은 리소스에 액세스하고 작업을 수행할 수 있도록 하려면 다음을 수행해야 합니다.
• IAM 사용자에게 필요한 API 작업 및 특정 리소스를 사용할 권한을 부여하는 IAM 정책을 생성합니다.• 그런 다음 정책을 IAM 사용자 또는 IAM 사용자가 속한 그룹에 연결합니다.
사용자 또는 사용자 그룹에 정책을 연결하면 해당 정책은 지정된 리소스에서 지정된 작업을 수행할 권한을사용자에게 허용하거나 거부합니다.
주제• Network Manager에서 IAM을 사용하는 방법 (p. 88)• Transit Gateway Network Manager 관리 정책의 예 (p. 89)• Transit Gateway Network Manager 서비스 연결 역할 (p. 92)
Network Manager에서 IAM을 사용하는 방법IAM 자격 증명 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스 및 작업이 허용되거나 거부되는조건을 지정할 수 있습니다. Network Manager는 특정 작업, 리소스 및 조건 키를 지원합니다. 전체 목록은IAM 사용 설명서의 Network Manager에 대한 작업, 리소스 및 조건 키를 참조하십시오.
JSON 정책에서 사용하는 모든 요소에 대해 알아보려면 IAM 사용 설명서의 IAM JSON 정책 요소 참조를 참조하십시오.
ActionsNetwork Manager의 정책 작업은 작업 앞에 networkmanager: 접두사를 사용합니다. 예를 들어 사용자에게 CreateGlobalNetwork API 작업으로 글로벌 네트워크를 생성할 수 있는 권한을 부여하려면 해당 정책에 networkmanager:CreateGlobalNetwork 작업을 포함합니다.
Network Manager 작업 목록에 대해서는 Network Manager API Reference 단원을 참조하십시오.
리소스Resource 요소는 작업이 적용되는 객체를 지정합니다. 명령문에는 Resource 또는 NotResource 요소가 포함되어야 합니다. ARN을 사용하거나 문이 모든 리소스에 적용됨을 표시하는 와일드카드(*)룰 사용하여 리소스를 지정합니다.
글로벌 네트워크 리소스에는 다음과 같은 ARN이 있습니다.
arn:${Partition}:networkmanager::${Account}:global-network/${GlobalNetworkId}
예를 들어 명령문에서 global-network-1122334455aabbccd 글로벌 네트워크를 지정하려면 다음 ARN을 사용합니다.
88
Amazon Virtual Private Cloud 전송 게이트웨이Transit Gateway Network Manager 관리 정책의 예
"Resource": "arn:aws:networkmanager::123456789012:global-network/global-network-1122334455aabbccd"
ARN 형식에 대한 자세한 내용은 Amazon 리소스 이름(ARN) 및 AWS 서비스 네임스페이스를 참조하십시오.
조건 키Condition 요소(또는 Condition 블록)를 사용하면 정책이 발효되는 조건을 지정할 수 있습니다.Condition 요소는 선택 사항입니다. 같음, 미만 등 조건 연산자를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 빌드할 수 있습니다.
한 문에서 여러 Condition 요소를 지정하거나 단일 Condition 요소에서 여러 키를 지정하는 경우 AWS는 논리적 AND 작업을 사용하여 평가합니다. 단일 조건 키의 여러 값을 지정하는 경우 AWS는 논리적 OR 작업을 사용하여 조건을 평가합니다. 문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다.
조건을 지정할 때 자리 표시자 변수를 사용할 수도 있습니다. 예를 들어, IAM 사용자에게 IAM 사용자 이름으로 태그가 지정된 경우에만 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 IAM 사용설명서의 IAM 정책 요소: 변수 및 태그 단원을 참조하십시오.
태그를 Network Manager 리소스에 연결하거나 요청을 통해 태그를 Network Manager에 전달할 수 있습니다. 태그를 기반으로 액세스를 제어하려면 aws:ResourceTag/key-name, aws:RequestTag/key-name또는 aws:TagKeys 조건 키를 사용하여 정책의 조건 요소에 태그 정보를 제공하십시오.
모든 AWS 전역 조건 키를 보려면 IAM 사용 설명서의 AWS 전역 조건 컨텍스트 키를 참조하십시오.
Network Manager에서는 다음 조건 키를 지원합니다.
• networkmanager:tgwArn — 글로벌 네트워크에서 등록 또는 등록 취소할 수 있는 전송 게이트웨이를제어합니다.
• networkmanager:cgwArn — 글로벌 네트워크의 디바이스 및 링크에 연결하거나 연결을 해제할 수 있는 고객 게이트웨이를 제어합니다.
Transit Gateway Network Manager 관리 정책의 예다음은 Network Manager 작업에 대한 IAM 정책의 예입니다.
관리자 액세스
다음 IAM 정책은 Amazon EC2, Network Manager, AWS Direct Connect 및 CloudWatch API에 대한 모든 액세스를 부여합니다. 이를 통해 관리자는 전송 게이트웨이와 해당 연결(예: VPC와 AWS Direct Connect 게이트웨이)을 생성 및 관리하고, Network Manager 리소스를 생성 및 관리하고, CloudWatch 지표와 이벤트를 사용하여 글로벌 네트워크를 모니터링할 수 있습니다. 또한 이 정책은 필요한 서비스 연결 역할을 만들 수 있는권한을 사용자에게 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*" }, { "Effect": "Allow", "Action": "networkmanager:*", "Resource": "*"
89
Amazon Virtual Private Cloud 전송 게이트웨이Transit Gateway Network Manager 관리 정책의 예
}, { "Effect": "Allow", "Action": "cloudwatch:*", "Resource": "*" }, { "Effect": "Allow", "Action": "events:*", "Resource": "*" }, { "Effect": "Allow", "Action": "directconnect:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" } ]}
읽기 전용 액세스
다음 IAM 정책은 Amazon EC2, Network Manager, AWS Direct Connect, CloudWatch 및 CloudWatch 이벤트 API에 대한 읽기 전용 액세스를 부여합니다. 이를 통해 사용자는 Network Manager 콘솔을 사용하여 글로벌 네트워크 및 관련 리소스를 보고 모니터링할 수 있으며 리소스에 대한 지표 및 이벤트를 볼 수 있습니다.사용자는 리소스를 생성하거나 수정할 수 없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:Get*", "ec2:Describe*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "networkmanager:Get*", "networkmanager:Describe*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:List*", "cloudwatch:Get*", "cloudwatch:Describe*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:Describe*", "logs:Get*",
90
Amazon Virtual Private Cloud 전송 게이트웨이Transit Gateway Network Manager 관리 정책의 예
"logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "events:List*", "events:TestEventPattern", "events:Describe*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "directconnect:Describe*", "Resource": "*" } ]}
전송 게이트웨이 및 고객 게이트웨이 사용 제어
다음 IAM 정책을 사용하면 사용자가 Network Manager 리소스로 작업할 수 있지만 다음을 수행할 수 있는 권한이 명시적으로 거부됩니다.
• 글로벌 네트워크에서 특정 전송 게이트웨이(tgw-aabbccdd112233445) 등록 또는 등록 취소• 글로벌 네트워크에서 특정 고객 게이트웨이(cgw-11223344556677abc) 연결 또는 연결 해제
정책에서는 networkmanager:tgwArn 및 networkmanager:cgwArn 조건 키를 사용하여 이러한 조건을적용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "networkmanager:*" ], "Resource": [ "*" ] }, { "Effect": "Deny", "Action": [ "networkmanager:RegisterTransitGateway", "networkmanager:DeregisterTransitGateway" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "networkmanager:tgwArn": "arn:aws:ec2:<region>:<account-id>:transit-gateway/tgw-aabbccdd112233445" } }
91
Amazon Virtual Private Cloud 전송 게이트웨이서비스 연결 역할
}, { "Effect": "Deny", "Action": [ "networkmanager:AssociateCustomerGateway", "networkmanager:DisassociateCustomerGateway" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "networkmanager:cgwArn": "arn:aws:ec2:<region>:<account-id>:customer-gateway/cgw-11223344556677abc" } } } ]}
Transit Gateway Network Manager 서비스 연결 역할Network Manager는 다른 AWS 서비스를 자동으로 호출하는 데 필요한 권한에 서비스 연결 역할을 사용합니다. 서비스 연결 역할에 대한 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 사용을 참조하십시오.
서비스 연결 역할에 의해 부여된 권한Network Manager는 글로벌 네트워크에서 작업할 때 AWSServiceRoleForNetworkManager라는 서비스 연결역할을 사용하여 자동으로 작업을 호출합니다. 다음 IAM 정책은 역할에 연결되어 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "directconnect:DescribeConnections", "directconnect:DescribeDirectConnectGatewayAttachments", "directconnect:DescribeLocations", "directconnect:DescribeVirtualInterfaces", "ec2:DescribeCustomerGateways", "ec2:DescribeTransitGatewayAttachments", "ec2:DescribeTransitGatewayRouteTables", "ec2:DescribeTransitGateways", "ec2:DescribeVpnConnections", "ec2:GetTransitGatewayRouteTableAssociations", "ec2:SearchTransitGatewayRoutes" ], "Effect": "Allow", "Resource": "*" } ]}
서비스 연결 역할 생성AWSServiceRoleForNetworkManager 역할을 수동으로 생성할 필요가 없습니다. 첫 번째 글로벌 네트워크를만들 때 Network Manager에서 이 역할을 자동으로 생성합니다.
Network Manager가 서비스 연결 역할을 자동으로 생성하는 경우 사용자에게 필수 권한이 있어야 합니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 권한 단원을 참조하십시오.
92
Amazon Virtual Private Cloud 전송 게이트웨이Network Manager 리소스에 태그 지정
서비스 연결 역할 편집IAM을 사용하여 AWSServiceRoleForNetworkManager에 대한 설명을 편집할 수 있습니다. 자세한 내용은IAM 사용 설명서의 서비스에 연결 역할 편집을 참조하십시오.
서비스 연결 역할 삭제이제 Network Manager를 사용하지 않는다면 AWSServiceRoleForNetworkManager 역할을 삭제하는 것이좋습니다.
글로벌 네트워크를 삭제한 후에만 이 서비스 연결 역할을 삭제할 수 있습니다.
IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 서비스 연결 역할을 삭제할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스에 연결 역할 삭제 단원을 참조하십시오.
AWSServiceRoleForNetworkManager를 삭제하면 Network Manager에서 새 글로벌 네트워크를 생성할 때역할을 다시 만듭니다.
Network Manager 리소스에 태그 지정태그는 사용자 또는 AWS가 AWS 리소스에 할당하는 메타데이터 레이블입니다. 각 태그는 키와 값으로 구성됩니다. 사용자가 할당하는 태그에 대해 키와 값을 정의합니다. 예를 들어 키를 purpose로 정의하고 리소스하나의 값을 test로 정의할 수 있습니다.
태그는 다음을 지원합니다.
• AWS 리소스를 식별하고 정리합니다. 많은 AWS 서비스가 태그 지정을 지원합니다. 따라서 서로 다른 서비스의 리소스에 동일한 태그를 할당하여 리소스가 서로 관련이 있음을 나타낼 수 있습니다.
• AWS 리소스에 대한 액세스를 제어합니다. 자세한 내용은 IAM 사용 설명서의 태그를 사용한 액세스 제어를 참조하십시오.
지원되는 리소스다음 Network Manager 리소스는 태그 지정을 지원합니다.
• 글로벌 네트워크• 디바이스• 사이트• 링크
태그 지정 제약 조건Network Manager 리소스의 태그에는 다음과 같은 기본 제한이 적용됩니다.
• 리소스에 할당할 수 있는 최대 태그 수: 200• 최대 키 길이: 유니코드 128자• 최대 값 길이: 유니코드 256자• 키 및 값에 사용할 수 있는 문자: a-z, A-Z, 0-9, 공백 및 _ . : / = + - @ 문자• 키와 값은 대/소문자를 구분합니다• 키 접두사로 aws:를 사용하지 마십시오. AWS 사용을 위해 예약되어 있습니다.
93
Amazon Virtual Private Cloud 전송 게이트웨이AWS CloudTrail을 사용하여 Transit
Gateway Network Manager API 호출 로깅
AWS CloudTrail을 사용하여 Transit GatewayNetwork Manager API 호출 로깅
Transit Gateway Network Manager(Network Manager)는 Network Manager에서 사용자, 역할 또는 AWS서비스가 수행한 작업에 대한 레코드를 제공하는 서비스인 AWS CloudTrail과 통합됩니다. CloudTrail은Network Manager에 대한 모든 API 호출을 이벤트로 캡처합니다. 캡처되는 호출에는 Network Manager 콘솔에서 수행한 호출과 Network Manager API 작업에 대한 코드 호출이 포함됩니다. 추적을 생성하면 NetworkManager에 대한 이벤트를 비롯하여 CloudTrail 이벤트를 Amazon S3 버킷으로 지속적으로 전송할 수 있습니다. 추적을 구성하지 않은 경우 이벤트 기록에서 CloudTrail 콘솔의 최신 이벤트를 볼 수도 있습니다.CloudTrail에서 수집한 정보를 사용하여 Network Manager에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.
CloudTrail에 대한 자세한 내용은 AWS CloudTrail User Guide을 참조하십시오.
CloudTrail의 Network Manager 정보CloudTrail은 계정 생성 시 AWS 계정에서 활성화됩니다. Network Manager에서 활동이 수행되면 해당 활동은 Event history(이벤트 기록)에서 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. AWS계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록에서이벤트 보기를 참조하십시오.
Network Manager에 대한 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. 추적은 CloudTrail이 Amazon S3 버킷으로 로그 파일을 전송할 수 있도록 합니다. 콘솔에서 추적을 생성하면 기본적으로 모든 AWS 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 리전의 이벤트를로깅하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또는 CloudTrail 로그에서 수집된 이벤트 데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 정보는 다음을 참조하십시오.
• 추적 생성 개요• CloudTrail 지원 서비스 및 통합• CloudTrail에 대한 Amazon SNS 알림 구성• 여러 리전에서 CloudTrail 로그 파일 받기 및 여러 계정에서 CloudTrail 로그 파일 받기
모든 Network Manager 작업이 CloudTrail에서 로깅되고 Network Manager API Reference에 문서화됩니다.예를 들어, CreateGlobalNetwork 작업을 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.
모든 이벤트 및 로그 항목에는 요청을 생성한 사용자에 대한 정보가 들어 있습니다. 자격 증명 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.
• 요청을 루트 또는 AWS Identity and Access Management(IAM) 사용자 자격 증명으로 했는지 여부• 역할 또는 연합된 사용자에 대한 임시 보안 자격 증명을 사용하여 요청이 생성되었는지 여부• 다른 AWS 서비스에서 요청했는지 여부
자세한 내용은 CloudTrail userIdentity 요소를 참조하십시오.
94
Amazon Virtual Private Cloud 전송 게이트웨이
전송 게이트웨이의 문서 기록다음 표에서는 transit gateways의 릴리스를 설명합니다.
update-history-change update-history-description update-history-date
전송 게이트웨이 연결에 대한CloudWatch 지표
개별 전송 게이트웨이 연결에 대한 CloudWatch 지표를 볼 수 있습니다.
July 6, 2020
Network Manager 라우팅 분석기 글로벌 네트워크의 전송 게이트웨이 라우팅 테이블에 있는 라우팅을 분석할 수 있습니다.
May 4, 2020
피어링 연결 다른 AWS 리전에서 전송 게이트웨이를 사용하여 피어링 연결을생성할 수 있습니다.
December 3, 2019
멀티캐스트 지원 전송 게이트웨이는 연결된 VPC의서브넷 간에 멀티캐스트 트래픽라우팅을 지원하며 여러 수신 인스턴스로 향하는 트래픽을 보내는인스턴스에 대한 멀티캐스트 라우터 역할을 합니다.
December 3, 2019
Transit Gateway NetworkManager
전송 게이트웨이를 중심으로 구축된 글로벌 네트워크를 시각화하고모니터링할 수 있습니다.
December 3, 2019
AWS Direct Connect 지원 AWS Direct Connect 게이트웨이를 사용하여 전송 가상 인터페이스를 통해 전송 게이트웨이에연결된 VPC 또는 VPN에 AWSDirect Connect를 연결할 수 있습니다.
March 27, 2019
최초 릴리스 (p. 95) 이 릴리스에서는 transit gateways를 소개합니다.
November 26, 2018
95