Transit gateway 란?

• 네트워크 연결 허브
• 비쌈(한 두개만 연결할 꺼면 VPC Peering이 더 저렴함 / Peering은 같은 AZ면 비용 X)
• VPC Peering대신 TGW를 통해 관리, 설정 등이 용이함.
• AWS 데이터 센터간 트래픽 / 물리계층에서 암호화

※ 연결 가능 대상

1. 하나 이상의 VPC
2. Connect SD-WAN/서드 파티 네트워크 어플라이언스
3. AWS Direct Connect 게이트웨이
4. 다른 Transit Gateway와의 피어링 연결
5. Transit Gateway에 대한 VPN 연결

참고 : https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/tgw-transit-gateways.html

Transit GateWay 소유 계정 : A
연결 대상 계정 : B

생성 및 연결 방법

TGW(Transit GateWay)

1. VPC -> Transit gateway -> 생성

RAM(Resource Access Manager)

※ TransitGateWay 소유 계정에서 공유

공유 이후 공유 대상 계정에서 "꼭" 수락이 필요하다

수락을 진행했다면, 활성화 되는 것을 확인할 수 있다.

TGW Attachment

- RAM이 원활하게 적용되었다면 A, B에서 모두 Attachment를 생성한다.

1. A에서 먼저 추가한다.(B에서 먼저 추가해도 상관은 없으나, RAM이 공유까지 완료되어야 추가 가능한 점 참고 바란다.)

2. RAM이 완료되면 Attachment를 추가한다.

• 생성할 때, 공유가 되지 않았을 때랑 달리 TGW가 확인되는 것을 볼 수 있다.

• B 계정에서 Attachment를 생성하면 A 계정에서 수락을 해줘야 한다.

Routing

※ Transit GateWay 라우팅은 Attachment가 생성되며 자동 생성된다.
※ 라우팅 설정은 A,B 계정에서 모두 이루어져야한다.
※ 각 서브넷 별 상호간의 라우팅이 필요하다.

• A계정의 서버가 속한 서브넷의 라우팅이다. 10.0.0.0/8 대역(B계정 서브넷) 은 tgw-xxxx로 보내준다.

• B계정의 서버가 속한 서브넷의 라우팅이다. 192.168.0.0/24 대역(A계정 서브넷) 은 tgw-xxxx로 보내준다.

Transit GateWay에는 이미 라우팅이 되어있기 때문에, TGW가 받고 각 계정의 서브넷으로 던져준다.

SG

※ 당연히 SG는 따로 설정필요하며, 필요할 경우 ACL도 적당히 설정해준다.

• 테스트 삼아 B계정에는 A에서의 22포트가 통신될 수 있도록 방화벽을 열고 A에는 방화벽 설정을진행하지 않았다.

TEST

※ A에서 B로는 22 포트가 닿고, B에서는 닿지 않는 것을 확인할 수 있다.