- 최신
- 최다 투표
- 가장 많은 댓글
Direct Connect + Transit Gateway + VPC Endpoint를 조합하면 온프레미스에서 AWS 서비스로의 프라이빗 저지연 연결을 구현할 수 있고, TGW Inter-Region Peering으로 멀티 리전 확장도 용이합니다.
전체 구성 단계
- Direct Connect + Transit Gateway 연결
- Direct Connect Location에서 Transit VIF(Virtual Interface)를 생성합니다.
- Direct Connect Gateway를 생성하고 Transit Gateway와 Association합니다.
- 하나의 DX 회선으로 TGW에 연결된 모든 VPC에 접근할 수 있습니다.
- AWS 서비스용 VPC Endpoint 구성
- Network VPC에 Interface VPC Endpoint를 생성합니다. (예: com.amazonaws.ap-northeast-2.bedrock-runtime, com.amazonaws.ap-northeast-2.execute-api)
- Private DNS는 비활성화해야 합니다. 온프레미스에서의 DNS 해석을 별도로 구성해야 하기 때문입니다.
3) DNS 해석 구성 — 이 부분이 핵심입니다
- Network VPC에 Route 53 Resolver Inbound Endpoint를 생성합니다.
- Route 53 Private Hosted Zone을 생성하고, AWS 서비스 도메인에 대한 레코드를 VPC Endpoint DNS로 등록합니다.
- 온프레미스 DNS 서버에 Conditional Forwarder를 설정합니다: bedrock-runtime.ap-northeast-2.amazonaws.com → Resolver Inbound EP IP
- 이렇게 하면 온프레미스에서 AWS 서비스 도메인을 조회하면 VPC Endpoint의 프라이빗 IP가 반환되어, 모든 트래픽이 DX → TGW → VPC Endpoint를 경유합니다.
- 멀티 리전 확장 — TGW Inter-Region Peering
- Primary와 Secondary 리전의 Transit Gateway를 Inter-Region Peering으로 연결합니다.
- Secondary 리전에도 동일하게 Network VPC + VPC Endpoint + Resolver를 구성합니다.
- Primary TGW의 Route Table에 Secondary 리전 Network VPC CIDR을 Peering Attachment로 라우팅합니다.
레이턴시 최적화 팁
- 한국의 경우 서울 DX Location(KINX, LG U+)을 사용하면 물리적 지연을 최소화할 수 있습니다.
- Direct Connect와 TGW 모두 8,500 bytes MTU(Jumbo Frame)를 지원합니다. 대용량 데이터 전송 시 활성화하면 처리량이 향상됩니다.
- DX BGP 세션에 BFD(Bidirectional Forwarding Detection)를 활성화하면 회선 장애 시 수 초 내로 Failover됩니다.
비용 참고
- Direct Connect: 포트 시간당 요금 + Data Transfer Out(GB당)
- VPC Endpoint: 시간당 요금 + 데이터 처리 요금
- TGW: Attachment 시간당 요금 + 데이터 처리 요금
- 가장 크게 영향을 미치는 것은 DX Data Transfer이므로, 트래픽 볼륨을 사전에 추정하고 비용을 시뮬레이션하는 것을 권장합니다.
Direct Connect + Transit Gateway + VPC Endpoint를 조합하여 프라이빗 연결을 구성하고 멀티 리전으로 확장하는 방법을 안내드리겠습니다.
기본 구성 방법:
-
Transit VIF를 통한 Direct Connect Gateway 연결: Transit Virtual Interface(VIF)를 사용하여 Direct Connect Gateway에 연결하고, 이를 Transit Gateway와 연결합니다. 이 방식은 단일 Transit VIF와 BGP 피어링을 통해 여러 AWS 리전과 계정에 걸쳐 수천 개의 VPC에 연결할 수 있는 확장 가능한 구조를 제공합니다.
-
Transit Gateway를 리전별 중앙 라우팅 허브로 활용: Transit Gateway는 같은 리전 내 VPC들을 상호 연결하는 네트워크 중앙 허브 역할을 하며, VPC 라우팅 구성을 한 곳에서 통합 관리할 수 있게 해줍니다. 이를 통해 프라이빗 전용 연결로 네트워크 비용을 절감하고, 대역폭 처리량을 증가시키며, 인터넷 기반 연결보다 일관된 네트워크 경험을 제공할 수 있습니다.
멀티 리전 확장 구조:
여러 리전의 중앙 집중식 라우터를 프라이빗 전용 연결을 통해 연결할 수 있습니다. 각 리전에 Transit Gateway를 배치하고, Direct Connect Gateway를 통해 이들을 온프레미스 네트워크와 연결하는 방식입니다.
관리 권장 사항:
네트워크 관리 경계를 명확히 하기 위해 Network Services 계정을 사용하여 Direct Connect 리소스를 생성하는 것이 좋습니다. Direct Connect 연결, Direct Connect Gateway, Transit Gateway를 모두 Network Services 계정에 배치하고, AWS Resource Access Manager(RAM)를 통해 Transit Gateway를 다른 계정과 공유하여 Direct Connect 연결성을 확장할 수 있습니다.
DNS 해석 관련:
제공된 정보에는 VPC Endpoint와 관련된 DNS 해석의 구체적인 동작 방식이 포함되어 있지 않습니다. 일반적으로 VPC Endpoint를 사용할 때 DNS 설정이 중요한 역할을 하지만, 이 부분에 대한 상세한 구성 방법은 AWS VPC Endpoint 및 Route 53 관련 문서를 별도로 참조하시는 것을 권장드립니다.
이러한 구성을 통해 인터넷을 경유하지 않고 프라이빗하게 AWS 서비스 API를 호출할 수 있으며, 향후 다른 리전으로의 확장도 용이한 구조를 구축할 수 있습니다.
Sources
AWS Direct Connect + AWS Transit Gateway - Amazon Virtual Private Cloud Connectivity Options
Direct Connect - Building a Scalable and Secure Multi-VPC AWS Network Infrastructure
