2.3 TGW 기반 CGW 트래픽제어

Update : 2020-02-25

TGW 기반 CGW연동 이해

앞서 "2.2 VGW-CGW 연결구성" 에서 Transit Gateway에 D OCTANK CGW 연결구성을 완료했습니다. 1.D OCTANK Private Subnet에 위치한 EC2 인스턴스에서 네트워크를 점검해 보면 아래와 같습니다.

[ec2-user@ip-10-1-8-100 TGW_CF]$ ./pingshell.sh
Fri Feb 28 02:05:11 UTC 2020
node www.aws.com is up
node ITSVR-A is down
node ITSVR-B is down
node ASVR-A is down
node ASVR-B is down
node BSVR-A is down
node BSVR-B is down
node CSVR-A is down
node CSVR-B is down
node DSVR-A is up
node DSVR-B is up
node FSVR-A is down
node FSVR-B is down
node ZSVR-A is down
node ZSVR-B is down

외부 네트워크와 내부 Private Subnet EC2 간의 네트워크를 제외하고는 정상적으로 통신이 이뤄지지 않는 것을 확인할 수 있습니다. 외부 네트워크는 NAT Gateway를 통해, Internet Gateway를 사용하기 때문에 TGW와는 관계가 없습니다.

아래 구성을 보면 쉽게 이해할 수 있습니다.

[그림 2.3.1] Transit Gateway Green Route Table에는 10.1.0.0/16에 대한 라우팅 테이블이 없습니다. 이렇게 되면 IT OCTANK EC2는 D OCTANK의 라우팅 경로를 알 수 없습니다.

2.[VPC] - [Transit Gateway] - [Transit Gateway Route Tables] - [Green Route Table]을 선택하여 , D OCTANK VPC CIDR 주소를 추가합니다.

3.이제 다시 DC OCTANK EC2 Instance에서 네트워크를 확인합니다. 정상적으로 IT OCTANK EC2 인스턴스로 통신이 되는 지 확인 할 수 있습니다.

[ec2-user@ip-10-1-8-100 TGW_CF]$ ./pingshell.sh
Fri Feb 28 02:38:47 UTC 2020
node www.aws.com is up
node ITSVR-A is up
node ITSVR-B is up
node ASVR-A is down
node ASVR-B is down
node BSVR-A is down
node BSVR-B is down
node CSVR-A is down
node CSVR-B is down
node DSVR-A is up
node DSVR-B is up
node FSVR-A is down
node FSVR-B is down
node ZSVR-A is down
node ZSVR-B is down

TGW 기반 Traffic 제어

2.3 TGW 기반 Traffic 제어까지 구성이 되면 아래와 같은 네트워크 경로와 Route Table이 완성됩니다.

현재까지 구성에서는 VPN으로 OCTANK 망으로 접속되는 D OCTANK는 A,B,C OCTANK와 접속이 불가능합니다. 그 이유는 A,B OCTANK와 연결된 TGW Red Rout Table과 C OCTANK Blue Route Table에 라우팅 경로가 없기 때문입니다.

이 랩에서는 Red Route Table, Blue Route Table에 경로를 추가하고, IT OCTANK EC2, A,B,C OCTANK EC2에서 네트워크 통신이 되는지 확인해 보고, 다시 Route Table을 제거한 이후 정상적으로 경로가 차단되는지를 확인합니다.

1.먼저 Red Route Table, Blue Route Table에 D OCTANK VPC CIDR 주소를 추가합니다.

2.TGW Red,Blue Route Table에 D OCTANK Route Table을 전파하게 되면 아래와 같이 D OCTANK EC2는 모두 네트워크 통신이 됩니다.

[ec2-user@ip-10-0-14-100 ~]$ ./pingshell.sh
Fri Feb 28 04:20:41 UTC 2020
target www.aws.com is up
target ITSVR-A is up
target ITSVR-B is up
target ASVR-A is up
target ASVR-B is up
target BSVR-A is up
target BSVR-B is up
target CSVR-A is up
target CSVR-B is up
target DSVR-A is up
target DSVR-B is up

3.이제 [그림 2.3.5], [그림 2.3.6]에서 등록한 Route Table 전파하는 과정을 다시 삭제합니다.

그리고 다시 네트워크를 점검하게 되면 최종적으로 우리가 목표로 하는 트래픽 제어는 완성됩니다.

아래표는 지금까지 완성된 랩의 네트워크 제어 관련 테이블입니다.

해당 웹사이트는 크롬, 파이어폭스, 사파리 웹 브라우저에 최적화되어 있습니다. 인터넷 익스플로러에서는 원할하게 보이지 않을 수 있습니다.

Last updated