2.3 TGW 기반 CGW 트래픽제어

Update : 2020-02-25

TGW 기반 CGW연동 이해

앞서 "2.2 VGW-CGW 연결구성" 에서 Transit Gateway에 D OCTANK CGW 연결구성을 완료했습니다. 1.D OCTANK Private Subnet에 위치한 EC2 인스턴스에서 네트워크를 점검해 보면 아래와 같습니다.

[ec2-user@ip-10-1-8-100 TGW_CF]$ ./pingshell.sh
Fri Feb 28 02:05:11 UTC 2020
node www.aws.com is up
node ITSVR-A is down
node ITSVR-B is down
node ASVR-A is down
node ASVR-B is down
node BSVR-A is down
node BSVR-B is down
node CSVR-A is down
node CSVR-B is down
node DSVR-A is up
node DSVR-B is up
node FSVR-A is down
node FSVR-B is down
node ZSVR-A is down
node ZSVR-B is down

외부 네트워크와 내부 Private Subnet EC2 간의 네트워크를 제외하고는 정상적으로 통신이 이뤄지지 않는 것을 확인할 수 있습니다. 외부 네트워크는 NAT Gateway를 통해, Internet Gateway를 사용하기 때문에 TGW와는 관계가 없습니다.

아래 구성을 보면 쉽게 이해할 수 있습니다.

[그림 2.3.1 IT OCTANK , D OCTANK, Transit Gateway 라우팅 토폴로지]

[그림 2.3.1] Transit Gateway Green Route Table에는 10.1.0.0/16에 대한 라우팅 테이블이 없습니다. 이렇게 되면 IT OCTANK EC2는 D OCTANK의 라우팅 경로를 알 수 없습니다.

2.[VPC] - [Transit Gateway] - [Transit Gateway Route Tables] - [Green Route Table]을 선택하여 , D OCTANK VPC CIDR 주소를 추가합니다.

[그림 2.3.2 Green Route Table에 D OCTANK CIDR 추가]

[그림 2.3.3 Green Route Table 확인]

3.이제 다시 DC OCTANK EC2 Instance에서 네트워크를 확인합니다. 정상적으로 IT OCTANK EC2 인스턴스로 통신이 되는 지 확인 할 수 있습니다.

[ec2-user@ip-10-1-8-100 TGW_CF]$ ./pingshell.sh
Fri Feb 28 02:38:47 UTC 2020
node www.aws.com is up
node ITSVR-A is up
node ITSVR-B is up
node ASVR-A is down
node ASVR-B is down
node BSVR-A is down
node BSVR-B is down
node CSVR-A is down
node CSVR-B is down
node DSVR-A is up
node DSVR-B is up
node FSVR-A is down
node FSVR-B is down
node ZSVR-A is down
node ZSVR-B is down

TGW 기반 Traffic 제어

2.3 TGW 기반 Traffic 제어까지 구성이 되면 아래와 같은 네트워크 경로와 Route Table이 완성됩니다.

[그림 2.3.4 네트워크 구성도]

현재까지 구성에서는 VPN으로 OCTANK 망으로 접속되는 D OCTANK는 A,B,C OCTANK와 접속이 불가능합니다. 그 이유는 A,B OCTANK와 연결된 TGW Red Rout Table과 C OCTANK Blue Route Table에 라우팅 경로가 없기 때문입니다.

이 랩에서는 Red Route Table, Blue Route Table에 경로를 추가하고, IT OCTANK EC2, A,B,C OCTANK EC2에서 네트워크 통신이 되는지 확인해 보고, 다시 Route Table을 제거한 이후 정상적으로 경로가 차단되는지를 확인합니다.

1.먼저 Red Route Table, Blue Route Table에 D OCTANK VPC CIDR 주소를 추가합니다.

[그림 2.3.5 TGW Red Route Table에 D OCTANK 추가]

[그림 2.3.6 TGW Blue Route Table에 D OCTANK 추가]

2.TGW Red,Blue Route Table에 D OCTANK Route Table을 전파하게 되면 아래와 같이 D OCTANK EC2는 모두 네트워크 통신이 됩니다.

IT OCTANK EC2

[ec2-user@ip-10-0-14-100 ~]$ ./pingshell.sh
Fri Feb 28 04:20:41 UTC 2020
target www.aws.com is up
target ITSVR-A is up
target ITSVR-B is up
target ASVR-A is up
target ASVR-B is up
target BSVR-A is up
target BSVR-B is up
target CSVR-A is up
target CSVR-B is up
target DSVR-A is up
target DSVR-B is up

A OCTANK EC2

[ec2-user@ip-10-11-14-100 ~]$ ./pingshell.sh
Fri Feb 28 04:22:12 UTC 2020
target www.aws.com is up
target ITSVR-A is up
target ITSVR-B is up
target ASVR-A is up
target ASVR-B is up
target BSVR-A is up
target BSVR-B is up
target CSVR-A is down
target CSVR-B is down
target DSVR-A is up
target DSVR-B is up
### CSRV가 응답하지 않는 이유는 "1.4 TGW 기반 VPC 트래픽제어"에서 이미 Blackhole 처리

B OCTANK EC2

[ec2-user@ip-10-12-14-100 ~]$ ./pingshell.sh
Fri Feb 28 04:26:53 UTC 2020
target www.aws.com is up
target ITSVR-A is up
target ITSVR-B is up
target ASVR-A is up
target ASVR-B is up
target BSVR-A is up
target BSVR-B is up
target CSVR-A is down
target CSVR-B is down
target DSVR-A is up
target DSVR-B is up
### CSRV가 응답하지 않는 이유는 "1.4 TGW 기반 VPC 트래픽제어"에서 이미 Blackhole 처리

C OCTANK EC2

[ec2-user@ip-10-21-14-100 ~]$ ./pingshell.sh
Fri Feb 28 04:28:38 UTC 2020
target www.aws.com is up
target ITSVR-A is up
target ITSVR-B is up
target ASVR-A is down
target ASVR-B is down
target BSVR-A is down
target BSVR-B is down
target CSVR-A is up
target CSVR-B is up
target DSVR-A is up
target DSVR-B is up
### CSRV가 응답하지 않는 이유는 "1.4 TGW 기반 VPC 트래픽제어"에서 이미 Blackhole 처리

[ec2-user@ip-10-1-8-100 TGW_CF]$ ./pingshell.sh
Fri Feb 28 04:18:40 UTC 2020
node www.aws.com is up
node ITSVR-A is up
node ITSVR-B is up
node ASVR-A is up
node ASVR-B is up
node BSVR-A is up
node BSVR-B is up
node CSVR-A is up
node CSVR-B is up
node DSVR-A is up
node DSVR-B is up

3.이제 [그림 2.3.5], [그림 2.3.6]에서 등록한 Route Table 전파하는 과정을 다시 삭제합니다.

그리고 다시 네트워크를 점검하게 되면 최종적으로 우리가 목표로 하는 트래픽 제어는 완성됩니다.

아래표는 지금까지 완성된 랩의 네트워크 제어 관련 테이블입니다.

	인터넷 NAT GW	IT OCTANK Private EC2	A OCTANK Private EC2	B OCTANK Private EC2	C OCTANK Private EC2	D OCTANK Private EC2
인터넷 NAT GW		Permit	Permit	Permit	Permit	자체 IGW
IT OCTANK Private EC2	Permit		Permit	Permit	Permit	Permit
A OCTANK Private EC2	Permit	Permit		Permit	Deny	Deny
B OCTANK Private EC2	Permit	Permit	Permit		Deny	Deny
C OCTANK Private EC2	Permit	Permit	Deny	Deny		Deny

해당 웹사이트는 크롬, 파이어폭스, 사파리 웹 브라우저에 최적화되어 있습니다. 인터넷 익스플로러에서는 원할하게 보이지 않을 수 있습니다.