[AWS] LandingZone - VPC Design

VPC Design

• 리전별 CIDR 할당량 정의(가능한 크게, 12bit 이상)
• 계정당 표준 VPC 수 결정
  • Egress, East-West, 보안 장비 등

 

Transit Gateway 에 대한 Quota 참고 -Transit Gateway에 대한 할당량: https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/transit-gateway-quotas.htm)

 

Decision Point

• Network VPC 구성 정의
  • VPN 등 기타 보안장비를 위한 별도 VPC 구성 여부
    • 단일 VPC로 구성 시
      • VPC 개수가 줄어듬(단일 VPC내에 모두 제어)
      • VPN의 경우 다른 VPC에서 들어오는 트래픽도 NFW을 거치게 하고 싶은 경우 subnet 분리 필요
      • VPC 내의 라우팅 테이블 구성이 복잡하며 인입될 장비 유형에 따라 라우팅 테이블 및 추가 subnet segmentation 가능성 있음
    • VPC 분리하여 구성 시
      • Egress와 NFW VPC의 라우팅 룰은 한번 변경 후 변경될 일이 없음(규칙 일관성)
      • 기타 보안장비용 VPC를 통해 Egress와 NFW을 거칠지 안 거칠지를 Egress. FW VPC의 라우팅 테이블을을 수정하지 않고 가능
      • TGW Attachment 비용 증가
  • Endpoint VPC 구성 여부
    • endpoint VPC 중앙화할 경우 route53 룰 설정 필요(엔드포인트별 private hosted zone 생성) → 비용 효율적이나 관리가 복잡할 수 있음
  • Network VPC 의 분리 구성 유무에 따라 CIDR 정의 필요(현재 미정)
• VPN CIDR 정의
  • VPC CIDR 와 겹치지 않도록 정의 (예_ 192.168.0.0/16 등)
  • 최소 /22 이상, /12 이하
• TGW CIDR 정의

 

 

Sample Refrence Architecture

 

 

Transit Gateway 구성 가이드

모범 사례

• 각 TGW 서브넷에 대해 별도의 서브넷 사용(/28 의 작은 서브넷 권장)
  • East-West 트래픽에 대한 별도의 라우팅 테이블 및 ACL 관리 요잉
• 네트워크 ACL → Inspection VPC 를 통해 중앙화 한 경우 불필요
• 각 리전에 단일 Transit Gateway 사용 권장

 

라우팅

• 가용 영역
  • TGW 어플라이언스 모드 사용(Centralized Inspection VPC 사용 경우 필수)
    • East-West 간 트래픽 검사 시, 서로 다른 AZ간 통신이 방화벽을 경유하여 발생할 경우 In/Out 트래픽 Flow가 서로다른 방화벽 endpoint를 거치게 되며 이를 방화벽단에서 같은 flow로 인지하지 못해 통신 이슈 발생 할 수 있어 반드시 설정 필요 → 멀티 세션 프로토콜(FTP 등)에는 정상 사용 불가, 데몬 설정 변경 등을 통해 해결
• 라우팅 테이블 연결(Association)
  • 각 라우팅 테이블은 0개 이상의 transit gateway attachment와 연결
• 경로 전파(Propagation)
  • transit gateway attachment 를 라우팅 테이블에 전파되면 해당 VPC의 경로가 라우팅 테이블에 설치
• 라우팅 우선 순위
  • 정적 경로
  • VPC 전파 경로

 

기타 참고 링크

• Centralized inspection architecture with AWS Gateway Load Balancer and AWS Transit Gateway