AWS Direct Connect 연동하기

AWS Direct Connect를 사용하고 있는 환경이며,
동일 랜딩존에 신규 Account가 생성 되었을 때 기존 AWS Direct Connect에 연결하기 위한 실습입니다.

Direct Connect 정보 확인

KINX/LG - 메인/백업 회선의 역할이며 1G로 이중화 되어 연결 되어 있다.

AWS Resource Access Manager(RAM)를 통해 Account 공유

DX의 TGW를 Shared resources로 선택하고 이에 필요한 Managed Permission을 할당해주었다.
Shared principals 에서 공유하고자 하는 신규 Account Number를 추가해주면 된다.

Managed Permission 상세

공유 된 자원 신규 Account에서 확인

공유 된 자원은 RAM에서 확인 가능하다.

Transit G/W Attachment 생성

공유된 TGW를 대상으로 Attachment를 만듭니다.
TGW Attachment를 붙일 서브넷을 지정해주는데요. 해당 서브넷은 TGW가 위치할 서브넷입니다.

신규 Account의 Route table 추가

새로 붙인 TGW를 타고 통신할 대상을 추가해주면 됩니다.
제가 추가한 1,2번 대역은 회사 데이터센터에서 광고 받고 있는 대역입니다. AWS > 데이터센터로 TGW를 타고 트래픽이 흐를 수 있게 하기 위한 작업입니다.

(Private Subnet에는 모두 적용해주었습니다.)

TGW Route table 생성

TGW의 Route table은 총 2개를 만들게 됩니다.

• Direct Connect 용 RT
• 신규 Account 용 RT

제 계정은 이미 DX를 사용하고 있었기 때문에 DX RT은 만들어져 있습니다.

Direct Connect 용 RT 상세

Associations에는 DX GW를 붙여줍니다.

propagations에서는 전파된 VPC 목록과 DX G/W 목록을 확인할 수 있습니다.
(해당 대역들은 데이터센터에서 DX로 광고한 목록들 입니다.)

신규 Account 용 RT 생성

DX-TGW를 대상으로 한 TGW RT을 생성합니다.

신규 RT에는 신규 Account의 VPC가 연결시켜 주고,

Propagation을 확인해보면 DX G/W가 전파되어 있을 것 입니다.

Multi Account 간 통신 설정 (Option)

해당 설정은 optional한 설정입니다.
저는 Account A와 Account B가 서로 통신이 되어야 했기 때문에 RT에 전파를 추가하였습니다.

 dev-rt에 prod attachment를 전파해주었습니다.
 dev 계정 > prod 계정으로 통신이 되기 위함입니다. 다만, prod > dev로는 통신이 되지 않는 단방향 설정입니다.

Transit gateway associations 설정

허용되는 접두사 목록에 통신할 VPC 대역을 추가합니다.
입력된 허용된 접두사는 같거나 더 작은 CIDR을 허용하는 필터 역할을 합니다.