하이브리드 클라우드 네트워킹

기존의 AWS환경의 VPC는 온프레미스와 인터넷 연결을 중심으로 상호작용했다면, 기업 데이터센터의 경우 하이브리드 클라우드 네트워킹을 통해 인터넷과도 연결성이 없으며, 프라이빗 속성을 가지고 상호작용한다.
DC, VPN,Transit Gateway 세가지가 있다.

💡 AWS-AWS, 온프레미스-온프레미스 연결이 아닌 반드시 온프레미스 - AWS환경의 연결이어야 한다.

DC(Direct Connect)

대용량의 데이터를 저지연으로 마이그레이션 해주는 것으로, 온프레미스와 AWS를 지정된 Private Network를 통해 연결하여 데이터를 전송한다.

• 인터넷을 우회해서 접속하기 때문에 퍼블릭 인터넷을 사용하지 않는다.
  -> 문제 발생 가능성을 낮추고 광대역 인터넷을 사용할 수 있게 해준다.
• 법규에 의해 인터넷으로 전송하면 안될 때 사용하기도 한다.
• 대량의 데이터, 실시간 데이터를 전송할 때 유용하다.

DC Gateway

만약 AWS환경의 여러 리전에 속한 VPC와 온프레미스환경을 DC를 이용해서 연결하고 한다면 DC Gateway를 통해 연결한다.

DC encryption

DC는 전송중의 암호화를 지원하지 않지만 온프레미스와 DC연결 사이에 VPN연결을 사용한다면, 온프레미스의 클라이언트가 AWS환경에 데이터를 전송할 때 VPN의 암호화 기능을 통해 암호화 후 AWS로 마이그레이션 한다.

DC 복원력

DC의 연결수에 따라 복원력이 결정할 수 있다.

• 높은 복원력

  각 온프레미스에 DC연결을 한개만 한 경우
  

• 최대 복원력

  각 온프레미스에 DC연결을 두개씩 한 경우
  

VPN

VPC와 온프레미스가 어떠한 암호화 장치없이 통신한다면 매우 위험할 것이다. 이것을 해결해주는 것이 VPN(Virtual Private Network)다.

Site-to-Site VPN Connections

일반적으로 VPN은 Site-to-site VPN연결을 한다.

AWS환경의 VPC는 VPG(Virtual Private Gateway)라는 VPC리소스를 구성한다. 온프레미스측에서는 라우터 OR 방화벽 등 고객 게이트웨이를 구성한다. VPG는 암호화기능을 지원하는 AES256비트 OR AES 128비트 암호를 지원한다. VPG와 고객 게이트웨이를 설치하면 이를 통해 암호화 VPN터널이 형성이 되고 VPN연결이 완성된다.
💡 반드시 VPC내 서브넷의 라우팅테이블 설정을 통해 VPG를 가르키게 하여 VPG로 Route Propagation이 가능하게 한다.
💡 온프레미스측은 Public IP를 고객 게이트웨이에 연결해야 한다.

단점

만일 온프레미스와 여러개의 VPC를 연결하려 한다면 각 연결마다 VPG와 암호화 VPN터널을 생성해야 할 것이다.
-> VPC는 하나의 연결이 다른 요소와의 연결로 확장되는 전이 라우팅(Transitive Routing)을 지원하지 않기 때문에

만약 대량의 VPC에 VPN을 연결하려 한다면 엄청난 수작업과 실수가 발생할 것이고 , 따라서 이때는 Transit Gateway를 사용해야 할 것이다.

Transit Gateway

여러 VPC를 온프레미스와 연결할 때 사용하는 기술이다.
VGP를 사용하지 않고 , 대신 온프레미스의 고객 게이트웨이는 VPN연결을 종료하고 BGP를 통해 라우트 정보를 넘겨받는다. 이 라우트 정보는 Transit Gateway의 라우트 테이블에 보관되고 vpc와 연결된 라우트 정보 또한 보관된다. 이와 같이 동적으로 라우트 테이블에서 라우트를 학습하고 저장하는 과정을 Route Propagation이라 한다.
-> 이 과정으로 대량의 VPC를 일일이 VPN연결을 할 필요없이 온프레미스와 VPN연결이 가능해진다.

격리 VPC

Transit Gateway에 연결된 여러 VPC들이 온프레미스와는 연결성을 유지하면서 VPC간에는 서로 격리성을 유지하려 할 때 사용된다.

Transit Gateway ECMP(Equal-cost multi-path)

기존의 Transit Gateway연결에서 VPN연결을 하나 더 추가하는 방식으로 AWS의 VPC들과의 연결에 대역폭을 증가시킬 수 있다.

Transit Gateway와 DC의 활용

만일 여러 계정의 각 VPC와 온프레미스를 연결할 때 DC연결을 하고싶다면, VPC여러개를 Transit Gateway에 연결 후 DC Gateway에 트래픽을 보내면 DC를 통해 온프레미스와 연결할 수 있다.

Snow Family

대표적인 마이그레이션 서비스로
AWS -> 온프레미스 , 온프레미스 -> AWS 로 데이터를 운반해준다.

• 오프라인 기기를 이용해서 마이그레이션을 한다.
• 최종 목적지인 S3에 데이터를 운반한다.
• 운송중에 데이터를 암호화 한 후 S3버킷에 저장한다.
• 전송하는 데이터 용량에 따라 Snowcone, Snowball, Snowmobile로 나누어진다.

💡 인터넷 연결 없이 대용량의 데이터를 빠르게 전송하고 싶을때 사용한다.

Edge Computing

'달리는 차', '바다위의 배' , '지하 광산' 처럼 인터넷이 없는 혹독한 환경을 edge location이라 하는데 이러한 환경에서 데이터를 마이그레이션 해주는 서비스가 Edge Computing이다.
📌 요즘에는 Snow Family랑 Edge Computing을 결합해서 사용한다.

Snowcone

보통 8TB용량 까지 데이터를 전송할 때 사용한다.

Snowball

Snowball Edge Storage Optimized

42TB까지의 데이터를 전송하고 싶을 때 사용한다.

Snowball Edge Compute optimized

80TB까지의 데이터를 전송하고 싶을 때 사용하낟.

Snowmobile

Smowmobile기기 하나 당 100PB까지 전송할 수 있으며, 병렬적으로 사용해서 최대 1000PB까지 전송 가능하다.
💡 만약 10PB이상의 데이터를 전송한다면 Snowball보다는 Snowmobile을 이용하는 것이 효율적이다.

DC vs SnowFamily vs VPN

• 인터넷 연결이 있지만 대용량의 데이터를 인터넷을 통해서 보내는 것은 대부분의 경우 매우 느리다.
  이때 사용하는 것이 DC, SnowFamily이다.
  보내고자 하는 데이터양과 전송속도를 알 수 있을 때
  데이터양 / 전송속도를 계산해서 1주일 이상이 걸린다면 SnowFamily를 이용하고 1주일 이하가 걸린다면 DC를 이용한다.
• 드문 경우지만, 만약 기존의 인터넷이 매우 빠르다면 대용량의 데이터를 굳이 DC나 SnowFamily를 이용하지 않고 VPN연결로 데이터를 전송하는 것이 유리하다.
  -> VPN은 매우싸며, 암호화 기능도 있기때문에 프라이빗하게 전송이 가능하다.
• DC는 전송중 암호화 X

💡 SnowFamily는 배송까지 7일 이하가 걸린다.
💡 DC는 우회하기위한 새로운 네트워크망을 구축하는 Setup기간이 오래걸린다.