3.3 MultiAccount VPC 트래픽제어

Update: 2020-02-26

MultiAccount VPC 트래픽 확인

"3.2 RAM기반의 MultiAccount TGW 구성"에서 모든 TGW연결 구성을 완료했으며, TGW에서 Routing Table도 업데이트를 완료했습니다. 1.이제 다시 Z OCTANK Private Subnet에 생성되어 있는 EC2 인스턴스에서 네트워크 트래픽을 확인하여 봅니다.

aws ssm start-session --target i-0a5f69553f56db9bc
[ec2-user@ip-10-5-14-100 TGW_CF]$ ./pingshell.sh
Sat Feb 29 15:46:35 UTC 2020
node www.aws.com is up
node ITSVR-A is down
node ITSVR-B is down
node ASVR-A is down
node ASVR-B is down
node BSVR-A is down
node BSVR-B is down
node CSVR-A is down
node CSVR-B is down
node DSVR-A is down
node DSVR-B is down
node FSVR-A is down
node FSVR-B is down
node ZSVR-A is up
node ZSVR-B is up

앞서 테스트한 결과와 다르지 않음을 확인 할 수 있습니다. Green Table에 Z OCTAN를 연결하고 Route Table을 업데이트 했음에도 불구하고 여전히 Green Table에 연결되어 있는 IT OCTANK(VPC), D OCTANK(VPN)의 EC2 인스턴스들과는 통신되지 않습니다.

이러한 이유는 Z OCTANK의 Private Route Table에 경로 문제입니다.

2.실제 [그림 3.3.1]에서 ZOCTANK Private Route Table을 보면, 10.0.0.0/8로 향하기 위해서는 NAT G.W로 향하게 되어 있으므로 통신되지 않습니다. [Z OCTANK VPC] - [Route Table]

[그림 3.3.1 Z OCTANK Private Route Table]

3.Z OCTANK에서 10.0.0.0/8에 대한 경로를 추가해 주면, Green Route Table로 목적지를 바라보게 되고 정상적으로 통신이 이뤄집니다. [Z OCTANK VPC] - [Route Table] - [Edit Routes]

[그림 3.3.2 Z OCTANK Private Route Table 추가]

4.Route Table이 추가되었기 때문에 이제 TGW Green Route Table에 속해 있는 VPC들의 EC2 인스턴스들과 정상적인 통신이 이뤄집니다.

[ec2-user@ip-10-5-14-100 TGW_CF]$ ./pingshell.sh
Sat Feb 29 15:57:38 UTC 2020
node www.aws.com is up
node ITSVR-A is up
node ITSVR-B is up
node ASVR-A is down
node ASVR-B is down
node BSVR-A is down
node BSVR-B is down
node CSVR-A is down
node CSVR-B is down
node DSVR-A is up
node DSVR-B is up
node FSVR-A is down
node FSVR-B is down
node ZSVR-A is up
node ZSVR-B is up

MultiAccount VPC 트래픽 제어

만약 Z OCTANK에서 필요에 의해서 A,B,C OCTANK로 통신이 필요한 경우에는 어떻게 해야 할까요?

모든 VPC에서의 10.0.0.0/8에 대한 목적지를 TGW로 향하게 되어 있기 때문에, A,B OCTANK가 속해 있는 Red Route Table과 C OCTANK가 속해 있는 Blue Route Table에 Z OCTANK 경로만 추가해 주면 됩니다.

1.먼저 Red Route Table에 Z OCTANK VPC CIDR 의 경로를 추가해 줍니다.

[VPC] - [ Transit Gateway ] - [Transit Gateway Route Table] - [ Blue Route Table] - [Create Route]

[그림 3.3.3 Transit Gateway - Blue Route Table에 라우팅 추가1]

[그림 3.3.4 Transit Gateway - Blue Route Table에 라우팅 추가2]

2.Red Route Table에 Z OCTANK VPC CIDR 의 경로를 추가해 줍니다.

[VPC] - [ Transit Gateway ] - [Transit Gateway Route Table] - [ Red Route Table] - [Create Route]

[그림 3.3.5 Transit Gateway - Red Route Table에 라우팅 추가1]

[그림 3.3.6 Transit Gateway - Red Route Table에 라우팅 추가2]

3. 추가한 이후 각각의 Route Table에서 Static Route Table이 정상적으로 추가 되었는지 확인합니다.

[그림 3.3.7 Transit Gateway Route Table 확인]

4. 이제 Z OCTANK EC2 인스턴스에서 정상적으로 트래픽이 처리되는지 확인합니다.

[ec2-user@ip-10-5-14-100 TGW_CF]$ ./pingshell.sh
Sat Feb 29 16:13:17 UTC 2020
node www.aws.com is up
node ITSVR-A is up
node ITSVR-B is up
node ASVR-A is up
node ASVR-B is up
node BSVR-A is up
node BSVR-B is up
node CSVR-A is up
node CSVR-B is up
node DSVR-A is up
node DSVR-B is up
node FSVR-A is down
node FSVR-B is down
node ZSVR-A is up
node ZSVR-B is up

랩에서의 Z OCTANK의 최종적인 목적은 IT OCTANK와 D OCTANK 자원간의 통신만 허락하는 것입니다.

5."3.3. MultiAccount VPC 트래픽제어" 에서 추가된 TGW Red Route Table, Blue Route Table은 다시 제거합니다.

	인터넷 NAT GW	IT OCTANK Private EC2	A OCTANK Private EC2	B OCTANK Private EC2	C OCTANK Private EC2	D OCTANK Private EC2	ZOCTANK Private EC2
인터넷 NAT GW		Permit	Permit	Permit	Permit	자체 IGW	자체 IGW
IT OCTANK Private EC2	Permit		Permit	Permit	Permit	Permit	Permit
A OCTANK Private EC2	Permit	Permit		Permit	Deny	Deny	Deny
B OCTANK Private EC2	Permit	Permit	Permit		Deny	Deny	Deny
C OCTANK Private EC2	Permit	Permit	Deny	Deny		Deny	Permit

"3. MultiAccount 연동" 랩이 모두 완성되면 아래와 같은 구성도가 완료됩니다.

[3.3.9 MulitiAccount VPC 구성]