Transit Gateway를 사용하여 Direct Connect 및 VPN 장애 조치를 구성하려면 어떻게 해야 합니까?

해결 방법

Transit Gateway 생성 및 Amazon VPC, VPN, Direct Connect 연결

다음 단계를 완료하십시오.

1. Transit Gateway를 생성합니다.
2. 사용자의 Amazon Virtual Private Cloud(Amazon VPC)를 Transit Gateway에 연결합니다.
   참고: 이후 단계에서 사용할 연결의 ID를 기록해 두십시오.
3. AWS Site-to-Site VPN 연결을 생성합니다.
   참고: 고정 VPN의 경우 Border Gateway Patrol(BGP) 전파 경로보다 CIDR이 더 넓은 고정 경로를 사용하십시오. 자세한 내용은 경로 평가 순서를 참조하십시오.
4. AWS Direct Connect를 Transit Gateway와 연결합니다.
   참고: 각 VPC 연결의 경우 Direct Connect 게이트웨이에 허용되는 접두사 상호 작용에 Amazon VPC CIDR 범위를 추가해야 합니다. 그런 다음 AWS는 전송 가상 인터페이스를 통해 원격 측에 접두사를 광고합니다.

참고: 전송 가상 인터페이스에서는 AWS에서 온프레미스 네트워크로 각 전송 게이트웨이에 대해 최대 200개의 접두사를 광고할 수 있습니다. 200개 이상의 CIDR 접두사를 광고하려면 경로를 서비스 할당량에 따라 CIDR 접두사 200개 이하로 요약하십시오. 경로를 요약한 후 허용 접두사 상호 작용 섹션에 추가합니다. 자세한 내용은 AWS Direct Connect 할당량을 참조하십시오.

(선택 사항) VPN 경로가 더 구체적일 때 비대칭 라우팅 방지

Transit Gateway VPN 라우팅 테이블에서 광고하는 VPC CIDR은 전송 가상 인터페이스를 통해 광고하는 CIDR보다 더 구체적입니다. 그 결과 고객 게이트웨이는 Direct Connect보다 Site-to-Site VPN을 우선시하고 비대칭 라우팅을 발생시킬 수 있습니다.

참고: Direct Connect Gateway 허용 접두사 필드에 Amazon VPC CIDR에 대한 요약된 경로를 생성할 때, 온프레미스 네트워크에 대한 AWS VPN이 Amazon VPC CIDR을 광고합니다.

비대칭 라우팅을 해결하려면 다음 단계를 완료하십시오.

1. Direct Connect 게이트웨이와 연결한 요약 경로를 Transit Gateway 라우팅 테이블에 연결한 Site-to-Site VPN 연결에 추가합니다. 라우팅 테이블의 대상 연결에 대해 CIDR이 있는 Amazon VPC를 선택합니다. CIDR은 Site-to-Site VPN 연결 Transit Gateway 라우팅 테이블에 대한 요약된 경로의 일부여야 합니다. Site-to-Site VPN을 통해 요약된 경로와 특정 경로를 광고해야 합니다.
2. Site-to-Site VPN 고객 게이트웨이에서 VPN을 통해 더욱 구체적인 CIDR 접두사를 광고하는 경로를 필터링하십시오. 고객 게이트웨이는 두 연결에 대해 같은 요약된 경로를 가져야 합니다. 게이트웨이는 AWS Direct Connect 연결을 선호합니다.

Transit Gateway 라우팅 테이블 생성 및 라우팅 전파 구성

참고: Direct Connect 전송 가상 인터페이스와 VPN에서 BGP 세션을 통해 같은 접두사 세트를 광고하십시오.

다음 단계를 완료하십시오.

1. Amazon VPC 콘솔을 엽니다.
2. 탐색 창에서 Transit Gateways(Transit Gateway)를 선택합니다.
3. Default association route table(기본 연결 라우팅 테이블)이 False로 설정되어 있는지 확인합니다. True인 경우 다음 단계로 진행합니다.
4. Transit gateway route tables(Transit Gateway 라우팅 테이블)를 선택합니다.
5. Create transit gateway route table(Transit Gateway 라우팅 테이블 생성)을 선택합니다.
6. Name tag(이름 태그)에 라우팅 테이블 A를 입력합니다.
7. Transit Gateway ID에 전송 게이트웨이 ID를 선택합니다.
8. Create transit gateway route table(Transit Gateway 라우팅 테이블 생성)을 선택합니다.
9. 라우팅 테이블 A 또는 사용자 전송 게이트웨이의 기본 라우팅 테이블을 선택한 다음, Associations(연결)를 선택합니다.
10. Create Association(연결 생성)을 선택합니다.
11. Choose attachment to associate(연결할 연결 선택)에서 사용자 Amazon VPC의 연결 ID를 선택한 다음, Create Association(연결 생성)을 선택합니다.
    참고: Direct Connect 게이트웨이, VPN, Amazon VPC가 모두 Association(연결)에 표시될 때까지 이전 단계를 반복합니다.
12. Route table propagation(라우팅 테이블 전파)을 선택합니다.
13. Propagation(전파)을 선택합니다.
14. Choose attachment to propagate(전파할 연결 선택)에서 사용자의 Direct Connect 게이트웨이, VPN, Amazon VPC를 선택합니다.

Amazon VPC 서브넷 라우팅 테이블 업데이트

다음 단계를 완료하십시오.

1. Amazon VPC 콘솔을 엽니다.
2. 탐색 창에서 Route tables(라우팅 테이블)을 선택합니다.
3. 연결 서브넷에 연결된 라우팅 테이블을 선택합니다.
4. Routes(경로) 탭을 선택한 다음, Edit Routes(경로 편집)를 선택합니다.
5. Add Route(경로 추가) 탭을 선택합니다.
6. Destination(대상)에 대해 온프레미스 네트워크의 서브넷을 선택합니다.
7. Target에 대해 사용자의 Transit Gateway를 선택합니다.
8. **Save routes(경로 저장)**를 선택하세요.

참고: 라우팅 업데이트 이벤트를 보려면 Transit Gateway Network Manager를 활성화합니다. 자세한 내용은 라우팅 업데이트 이벤트를 참조하십시오.

장애 조치 테스트

Resiliency Toolkit의 Direct Connect 장애 조치 테스트를 사용하여 장애 조치를 테스트합니다.

관련 정보

AWS Transit Gateway에 대한 하이브리드 연결