문제

A multinational investment bank has a hybrid cloud architecture that uses a single 1 Gbps AWS Direct Connect connection to integrate their on-premises network to AWS Cloud. The bank has a total of 10 VPCs which are all connected to their on-premises data center via the same Direct Connect connection that you manage. Based on the recent IT audit, the existing network setup has a single point of failure which needs to be addressed immediately. Which of the following is the MOST cost-effective solution that you should implement in order to improve the connection redundancy of your hybrid network? 다국적 투자 은행에는 단일 1Gbps AWS Direct Connect 연결을 사용하여 온프레미스 네트워크를 AWS 클라우드에 통합하는 하이브리드 클라우드 아키텍처가 있습니다. 은행에는 관리하는 것과 동일한 Direct Connect 연결을 통해 모두 온프레미스 데이터 센터에 연결된 총 10개의 VPC가 있습니다. 최근 IT 감사에 따르면 기존 네트워크 설정에는 즉시 해결해야 하는 단일 장애 지점이 있습니다. 다음 중 하이브리드 네트워크의 연결 중복성을 개선하기 위해 구현해야 하는 가장 비용 효율적인 솔루션은 무엇입니까?

1. Establish VPN tunnels from your on-premises data center to each of the 10 VPCs. Terminate each VPN tunnel connection at the virtual private gateway (VGW) of the respective VPC. Configure BGP for route management.
2. Establish a new point-to-point Multiprotocol Label Switching (MPLS) connection to all of your 10 VPCs. Configure BGP to use this new connection with an active/passive routing.
3. Establish another 1 Gbps AWS Direct Connect connection using a public Virtual Interface (VIF). Prepare a VPN tunnel that will terminate on the virtual private gateway (VGW) of the respective VPC using the public VIF. Handle the failover to the VPN connection through the use of BGP.
4. Establish another 1 Gbps AWS Direct Connect connection with corresponding private Virtual Interfaces (VIFs) to connect all of the 10 VPCs individually. Set up a Border Gateway Protocol (BGP) peering session for all of the VIFs.

풀이 및 공부

하이브리드 네트워크를 구성하는 2가지 방법

AWS Direct Connect vs VPN

1. vpn as backup

1. direct connect for high availability

1. Direct Connect + VPN

AWS 리소스는 Public VIF와 통신하고 VPC와는 IPSec VPN과 통신합니다. 이러한 구성으로 종단간 보안 IPSec 연결의 장점과 Direct Connect의 대역폭을 결합하여 일반 회선을 사용하는 것 보다 향상된 네트워크 경험을 제공합니다.

3번은 문제에서 얘기한 connection redundancy와는 크게 상관은 없다.

1번

Terminate each VPN tunnel connection at the virtual private gateway (VGW) of the respective VPC

위 이부분이 이해가 잘 안되는데… 아래 것과 관련이 있으려나..?

2번

문제와 큰 상관은 없지만… 이것도 간단히 보자

MPLS? 멀티 프로토콜 라벨 스위칭(Multi-Protocol Label Switching, MPLS)

데이터 패킷에 IP 주소가 아닌 별도의 라벨을 붙여 스위칭하고 라우팅하는 기술

라벨에 대해 간단히 이해해보기 위해서 아래 두 사진 첨부

일반적으로는 ip로 보이는데

mpls 설정을하면 ip대신 label로… 대충 이런가보다~

3, 4번

you can’t directly connect to your Multiprotocol Label Switching (MPLS) to AWS. To integrate your MPLS infrastructure, you need to set up a colocation with Direct Connect by placing the CGW in the same physical facility as the Direct Connect location, which will facilitate a local cross-connect between the CGW and AWS devices.

참고

• https://www.youtube.com/watch?v=lqu7foVB5mA
• https://docs.aws.amazon.com/ko_kr/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect.html
• https://dev.classmethod.jp/articles/what-is-differnce-aws-dx-ans-vpn-kr/
• https://www.youtube.com/watch?v=_JgNnmOfxLE&t=810s
• https://www.stormit.cloud/blog/comparison-aws-direct-connect-vs-vpn/
• https://orkadocs.macstadium.com/docs/aws-tunnel-side
• https://repost.aws/knowledge-center/direct-connect-gateway-primary-connection