작성자 : gasida.cloudnet@, 업데이트 : 2020.07.26

• 참고 링크
• 용어표 - [AWS 용어집 참고](용어표 - AWS 용어집 참고)

1. VPC Ingress Routing

1.1 VPC Ingress Routing 필요 배경

• VPC 로 트래픽이 들어오고 나갈때 보안 어플라이언스(예 : 방화벽) 인스턴스를 경유하려고 합니다.

• VPC Ingress Routing 기능이 나오기 전의 경우에는 구성 및 관리의 복잡성이 있었습니다.

  

  [그림 1-1] 보안 어플라이언스(미들박스)를 배치하여 VPC 내외부 통신 구성 시

  • 위 처럼 내부 서비스에 외부로 접속이 필요할 때 미들박스 eni0 에 보조 프라이빗 IP를 다중으로 입력하고 탄력적IP를 연결합니다
    • 네트워크 인터페이스 당 입력 할 수 있는 IP 갯수는 인스턴스 유형에 따라 다릅니다. 참고링크1 참고링크2
  • 프라이빗 서브넷에 웹서버를 외부에서 접속 시 IP 변환(NAT)을 2번 동작하게 됩니다 - 인터넷 게이트웨이, 미들박스
    • 웹서버와 외부 접속 사용자간의 트래픽 흐름을 추적할 때 IP 변환 지점 2곳을 확인하고 분석해야 합니다
    • AWS 시스템에서는 미들박스에서 동작하는 NAT를 알 수 없기 때문에 AWS의 관리 및 모니터링에서 확인하기 어렵습니다
    • 외부 서비스하는 탄력적IP가 미들박스가 소유하기 때문에 미들박스 장애나 문제 시 직접적인 영향도가 있습니다

1.2 VPC Ingress Routing 동작

• 미들박스에서 NAT를 수행하지 않고 라우팅으로 전달하여 미들박스 내부에 존재하는 서버에 연결합니다

• 이를 위해서 인터넷 게이트웨이에서 NAT를 수행 후 프라이빗 IP 대역에 대해서 미들박스의 eni0 으로 보낼 수 있게 됩니다

  • 인터넷 게이트웨이에 '게이트웨이 라우팅 테이블' 을 통하여 특정 대역을 특정 eni 로 보낼 수 있게 되었습니다

• 결과적으로 미들박스 내부에 있는 인스턴스가 탄력적IP나 퍼블릭IP를 소유(연동) 할 수 있게 되었습니다.

• 이로 인해 NAT는 1번만 수행하게 되고 AWS 관리 모니터링 및 운영에 용이하게 되었습니다

  

  [그림 1-2] VPC Ingress Routing 을 사용하여 보안 어플라이언스(미들박스)를 배치하여 통신 구성 시

• 인터넷 게이트웨이 이외에도 가상 프라이빗 게이트웨이에도 적용이 가능합니다.

  • AWS VPN(가상 프라이빗 게이트웨이)을 통한 VPN 통신 시에도 미들박스를 통한 보안 통제 관리가 가능합니다.

• 설정 시 고려 사항

  • 미들박스는 트래픽을 라우팅 동작을 해야되어, '원본/대상 확인을 비활성화' 하여야 합니다.
  • 별도의 라우팅테이블을 생성 후 인터넷 게이트웨이 혹은 가상 프라이빗 게이트웨이에 연결합니다.