[aws] VPC Peering(PCX)

안녕하세요 🙂

오늘은 다른 VPC와의 연결, VPC Peering에 대해 알아보려 합니다.

---

VPC Peering(PCX)

AWS 내부의 서로 다른 VPC 간 연결을 피어링이라 하고, 피어링을 지원하는 서비스를 피어링 연결(PCX)라고 합니다.
자신의 VPC와 연결 가능한 상대측 VPC는 계정과 리전 모두 지원하며, 자신의 VPC CIDR과 겹치지만 않으면 모든 VPC와 연결할 수 있습니다.
피어링이 형성되더라도, 서브넷 라우팅(라우팅 테이블)을 지정해야 비로소 네트워킹이 가능해집니다.

---

VPC Peering 실습

(사전 준비) 연결하고자 하는 상대측 VPC의 계정 번호, VPC ID, 리전 코드

요청자 계정 - 피어링 연결 생성

[VPC] - Peering Connection을 클릭합니다.

자신의 VPC를 선택하고,
연결하고자 하는 VPC의 계정 번호 - 리전 - VPC ID를 입력한 후 피어링 연결을 생성합니다.

피어링 연결이 생성되었습니다.

소스 VPC를 요청자(Requester) VPC라고 하고 연결을 수락한 VPC를 수락자(Accepter) VPC라 합니다.

어떤 계정이 요청했냐의 차이지, 피어링 연결이 활성화되고 나면 요청자 수락자에 대한 구분은 없습니다.
즉, 두 VPC 간에 서로 다른 PCX를 생성할 수 없습니다. VPC 사이 PCX는 1개로 유일합니다.

아래 사진을 보면 수락자 계정에서 피어링 연결을 허용하지 않았기 때문에, Status에 허락을 기다리고 있다는 문구가 보입니다.

 

수락자 계정 - 피어링 연결 허락

수락자 계정의 피어링 연결 서비스 콘솔로 가보면, 위에서 만든 피어링 연결을 확인할 수 있습니다.

피어링 연결 선택 후, Actions - Accept request를 클릭합니다.

최종 확인 후, 요청을 수락합니다.

 

요청자 계정 - 라우팅 테이블 수정

수락자 계정의 VPC CIDR을 라우팅 테이블에 추가 등록합니다.
172.16.2.0/24 대역으로 트래픽을 요청하려 할 때, 피어링 연결로 전달합니다.

 

수락자 계정 - 라우팅 테이블 수정

요청자 계정의 VPC CIDR을 라우팅 테이블에 추가 등록합니다.
10.0.0.0/16 대역으로 트래픽을 요청하려 할 때, 피어링 연결로 전달합니다.

 

---

VPC Peering 결론

• VPC 피어링 가능한 대상 VPC의 위치는 계정 및 리전과 무관합니다.
• PCX는 두 VPC만을 위한 전용 통로이므로, 다른 VPC의 트래픽이 PCX를 통과하지 못합니다. 다른 VPC와의 통신을 위해서는 또다른 PCX를 생성해야 합니다.
• 요청자와 수락자 모두 PCX를 삭제할 수 있습니다. 한 쪽에서 PCX를 삭제하면 그 피어링은 더 이상 유효하지 않습니다.
• 피어링이 형성되더라도 서브넷 라우팅을 지정해야 비로소 네트워킹이 가능합니다.

(참고)
PCX는 단순하게 설정할 수 있어 쉽다는 점이 장점이지만, 네트워킹할 VPC가 많아질수록 Full-mesh 형태를 가져야해서 구성이 복잡해집니다. 예를 들어, N개의 서로다른 VPC를 피어링 연결을 생성해주게 되면 N(N-1)/2의 PCX가 필요합니다.
이 단점을 보완하고자, AWS는 TGW를 출시하였고 TGW는 연결할 VPC 개수만큼만 필요합니다.
TGW는 아래의 글을 참조해주시기 바랍니다.

[aws] Transit Gateway란?

 

---

참고) Amazon VPC 네트워킹 원리와 보안

Amazon VPC 네트워킹 원리와 보안 - YES24