3.3 MultiAccount VPC 트래픽제어

Update: 2020-02-26

MultiAccount VPC 트래픽 확인

"3.2 RAM기반의 MultiAccount TGW 구성"에서 모든 TGW연결 구성을 완료했으며, TGW에서 Routing Table도 업데이트를 완료했습니다. 1.이제 다시 Z OCTANK Private Subnet에 생성되어 있는 EC2 인스턴스에서 네트워크 트래픽을 확인하여 봅니다.

aws ssm start-session --target i-0a5f69553f56db9bc
[ec2-user@ip-10-5-14-100 TGW_CF]$ ./pingshell.sh
Sat Feb 29 15:46:35 UTC 2020
node www.aws.com is up
node ITSVR-A is down
node ITSVR-B is down
node ASVR-A is down
node ASVR-B is down
node BSVR-A is down
node BSVR-B is down
node CSVR-A is down
node CSVR-B is down
node DSVR-A is down
node DSVR-B is down
node FSVR-A is down
node FSVR-B is down
node ZSVR-A is up
node ZSVR-B is up

앞서 테스트한 결과와 다르지 않음을 확인 할 수 있습니다. Green Table에 Z OCTAN를 연결하고 Route Table을 업데이트 했음에도 불구하고 여전히 Green Table에 연결되어 있는 IT OCTANK(VPC), D OCTANK(VPN)의 EC2 인스턴스들과는 통신되지 않습니다.

이러한 이유는 Z OCTANK의 Private Route Table에 경로 문제입니다.

2.실제 [그림 3.3.1]에서 ZOCTANK Private Route Table을 보면, 10.0.0.0/8로 향하기 위해서는 NAT G.W로 향하게 되어 있으므로 통신되지 않습니다. [Z OCTANK VPC] - [Route Table]

3.Z OCTANK에서 10.0.0.0/8에 대한 경로를 추가해 주면, Green Route Table로 목적지를 바라보게 되고 정상적으로 통신이 이뤄집니다. [Z OCTANK VPC] - [Route Table] - [Edit Routes]

4.Route Table이 추가되었기 때문에 이제 TGW Green Route Table에 속해 있는 VPC들의 EC2 인스턴스들과 정상적인 통신이 이뤄집니다.

[ec2-user@ip-10-5-14-100 TGW_CF]$ ./pingshell.sh
Sat Feb 29 15:57:38 UTC 2020
node www.aws.com is up
node ITSVR-A is up
node ITSVR-B is up
node ASVR-A is down
node ASVR-B is down
node BSVR-A is down
node BSVR-B is down
node CSVR-A is down
node CSVR-B is down
node DSVR-A is up
node DSVR-B is up
node FSVR-A is down
node FSVR-B is down
node ZSVR-A is up
node ZSVR-B is up

MultiAccount VPC 트래픽 제어

만약 Z OCTANK에서 필요에 의해서 A,B,C OCTANK로 통신이 필요한 경우에는 어떻게 해야 할까요?

모든 VPC에서의 10.0.0.0/8에 대한 목적지를 TGW로 향하게 되어 있기 때문에, A,B OCTANK가 속해 있는 Red Route Table과 C OCTANK가 속해 있는 Blue Route Table에 Z OCTANK 경로만 추가해 주면 됩니다.

1.먼저 Red Route Table에 Z OCTANK VPC CIDR 의 경로를 추가해 줍니다.

[VPC] - [ Transit Gateway ] - [Transit Gateway Route Table] - [ Blue Route Table] - [Create Route]

2.Red Route Table에 Z OCTANK VPC CIDR 의 경로를 추가해 줍니다.

[VPC] - [ Transit Gateway ] - [Transit Gateway Route Table] - [ Red Route Table] - [Create Route]

3. 추가한 이후 각각의 Route Table에서 Static Route Table이 정상적으로 추가 되었는지 확인합니다.

4. 이제 Z OCTANK EC2 인스턴스에서 정상적으로 트래픽이 처리되는지 확인합니다.

[ec2-user@ip-10-5-14-100 TGW_CF]$ ./pingshell.sh
Sat Feb 29 16:13:17 UTC 2020
node www.aws.com is up
node ITSVR-A is up
node ITSVR-B is up
node ASVR-A is up
node ASVR-B is up
node BSVR-A is up
node BSVR-B is up
node CSVR-A is up
node CSVR-B is up
node DSVR-A is up
node DSVR-B is up
node FSVR-A is down
node FSVR-B is down
node ZSVR-A is up
node ZSVR-B is up

랩에서의 Z OCTANK의 최종적인 목적은 IT OCTANK와 D OCTANK 자원간의 통신만 허락하는 것입니다.

5."3.3. MultiAccount VPC 트래픽제어" 에서 추가된 TGW Red Route Table, Blue Route Table은 다시 제거합니다.

"3. MultiAccount 연동" 랩이 모두 완성되면 아래와 같은 구성도가 완료됩니다.

Previous3.2 RAM기반의 MultiAccount TGW 구성Next4.MultiRegion TGW 구성

Last updated