AWS Transit Gateway를 사용하여 AWS Direct Connect와 VPN 장애 조치를 구성하고 싶어요.
해결 방법
1. 트랜짓 게이트웨이를 생성하세요.
2. 사용자의 Amazon Virtual Private Cloud(Amazon VPC)를 트랜짓 게이트웨이에 연결하세요.
3. AWS Site-to-Site VPN을 생성하고 사용자의 트랜짓 게이트웨이에 연결하세요.
**참고:**고정 VPN을 사용하는 경우, 정의된 고정 경로는 BGP 전파 경로보다 덜 구체적인 CIDR을 사용해야 합니다. 같은 CIDR을 사용하는 경로에 대한 경로 평가 순서에 따라Transit Gateway는 BGP 전파 경로 대신 고정 경로를 선호합니다.
4. 사용자의 Direct Connect 게이트웨이를 트랜짓 게이트웨이에 연결하세요. 또한 각 Amazon VPC 연결에 대해 Direct Connect 게이트웨이 허용 접두사 상호 작용에 Amazon VPC CIDR 범위를 추가해야 합니다. 접두사를 추가하면, 그것들은 트랜짓 가상 인터페이스를 통해 원격 측에 알려집니다.
**참고:트랜짓 가상 인터페이스에서는 AWS에서 온프레미스까지 트랜짓 게이트웨이당 최대 200개의 접두사를 광고할 수 있습니다. 200개 이상의 CIDR 접두사를 광고하려면, 경로를 서비스 할당량에 따라 CIDR 접두사 200개 이하로 요약하세요. 경로를 요약한 후, ** 그것들을 허용 접두사 상호 작용 섹션에 추가하세요. 자세한 내용은, AWS Direct Connect quotas(AWS Direct Connect 할당량)를 참조하세요.
5. (선택적임) AWS VPN Transit Gateway 관련 라우팅 테이블에서 광고되는 VPC CIDR은 트랜짓 가상 인터페이스에서 광고되는 CIDR보다 더 구체적입니다. 이에 따라 고객 게이트웨이가 AWS Direct Connect 연결보다 VPN을 우선시하여 비대칭 라우팅이 발생할 수도 있습니다. 이 문제를 해결하려면, 다음 단계를 완료하세요.
참고:“Direct Connect Gateway 허용 접두사” 필드에 Amazon VPC CIDR에 대한 요약된 경로를 생성할 때, AWS VPN에서 온프레미스까지Amazon VPC CIDR을 광고합니다.
- Direct Connect 게이트웨이와 연결된 요약된 경로를 Transit Gateway 라우팅 테이블과 연결된 VPN 연결에 추가하세요. 라우팅 테이블의 대상 연결에 대해 CIDR이 있는 Amazon VPC를 선택하세요. CIDR은 Site-to-Site VPN 연결 Transit Gateway 라우팅 테이블에 대한 요약된 경로의 일부여야 합니다. 요약된 경로와 구체적인 경로는 모두 Site-to-Site VPN을 통해 광고되어야 합니다.
- VPN 고객 게이트웨이에서 Site-to-Site VPN을 통해 더욱 구체적인 CIDR 접두사를 광고하는 경로를 필터링하세요. 고객 게이트웨이는 두 연결에 대해 같은 요약된 경로를 가져야 합니다. 게이트웨이는 AWS Direct Connect 연결을 선호합니다.
6. Transit Gateway 라우팅 테이블을 생성한 다음, 모든 연결에 대해 경로 전파를 켜세요.
**참고:**Direct Connect 트랜짓 가상 인터페이스와 Site-to-Site VPN에서 BGP 세션을 통해 같은 접두사 세트를 광고하세요.
- Amazon VPC 콘솔을 여세요.
- 탐색 창에서, **Transit Gateways(트랜짓 게이트웨이)**를 선택하세요.
- 사용자 트랜짓 게이트웨이의 기본 연결 라우팅 테이블 설정이 False로 설정되었는지 확인하세요. 설정이 True이면, 다음 단계로 진행하세요.
- **Transit Gateway Route Tables(트랜짓 게이트웨이 라우팅 테이블)**를 선택하세요.
- **Create Transit Gateway Route Table(트랜짓 게이트웨이 라우팅 테이블 생성)**을 선택하세요.
- **Name tag(이름 태그)**에 **Route Table A(라우팅 테이블 A)**를 입력하세요.
- **Transit Gateway ID(트랜짓 게이트웨이 ID)**에서 사용자 트랜짓 게이트웨이의 **Transit Gateway ID(트랜짓 게이트웨이 ID)**를 선택하세요.
- **Create Transit Gateway Route Table(트랜짓 게이트웨이 라우팅 테이블 생성)**을 선택하세요.
- Route Table A(라우팅 테이블 A) (또는 사용자 트랜짓 게이트웨이의 기본 라우팅 테이블)를 선택한 다음, **Associations(연결)**를 선택세요.
- 그런 다음, **Create Association(연결 생성)**을 선택하세요.
- **Choose attachment to associate(연결할 첨부 파일 선택)**에서 사용자 Amazon VPC의 연결 ID를 선택한 다음, **Create Association(연결 생성)**을 선택하세요. Direct Connect 게이트웨이, VPN 그리고 Amazon VPC가 모두 **Association(연결)**에 표시될 때까지 이 단계를 반복하세요.
- **Route Table Propagation(라우팅 테이블 전파)**을 선택하세요.
- **Propagation(전파)**을 선택하세요. **Choose attachment to propagate(전파할 첨부 파일 선택)**에서 사용자의 Direct Connect 게이트웨이, VPN 그리고 Amazon VPC를 선택하세요.
7. 사용자의 Amazon VPC 및 연결 서브넷과 연결된 라우팅 테이블을 구성하세요.
- Amazon VPC 콘솔을 여세요.
- 탐색 창에서, **Route Tables(라우팅 테이블)**를 선택하세요.
- 첨부 파일 서브넷에 연결된 라우팅 테이블을 선택하세요.
- **Routes(경로)**탭을 선택한 다음, **Edit Routes(경로 편집)**를 선택하세요.
- Add Route(경로 추가) 탭을 선택하세요.
- **Destination(대상)**에 대해 온프레미스 네트워크의 서브넷을 선택하세요.
- Target에 대해 사용자의 트랜짓 게이트웨이를 선택하세요.
- **Save routes(경로 저장)**를 선택하세요.
**참고:**라우팅 업데이트 이벤트를 더 잘 보려면 Transit Gateway Network Manager를 켜는 것이 제일 좋습니다. 자세한 내용은 Routing update events(라우팅 업데이트 이벤트)를 참조하세요.
8. 환경 반복을 테스트하려면, Direct Connect Failover Test를 사용하여Direct Connect 연결을 끄세요. 자세한 내용은 Testing AWS Direct Connect Resiliency with Resiliency Toolkit – Failover Testing(복원력 툴키트를 사용한 AWS Direct Connect 복원력 테스트 — 시스템 대체 작동 테스트)을 참조하세요.
관련 정보
AWS 트랜짓 게이트웨이에 대한 하이브리드 연결