Transit Gateway 설계 모범 사례

다음은 Transit Gateway 설계에 대한 모범 사례입니다.

• 각 Transit Gateway VPC 첨부 파일에 대해 별도의 서브넷을 사용합니다. 서브넷별로 작은 CIDR(예: /28)을 사용하여 EC2 리소스를 위한 주소를 더 많이 확보하세요. 별도의 서브넷을 사용하는 경우 다음을 구성할 수 있습니다.

  • Transit Gateway 서브넷과 연결된 인바운드 및 아웃바운드 네트워크 ACL을 계속 열어 둡니다.

  • 트래픽 흐름에 따라 네트워크 ACL을 워크로드 서브넷에 적용할 수 있습니다.

• 네트워크 ACL 하나를 만들어 Transit Gateway에 연결된 모든 서브넷과 연결합니다. 인바운드 및 아웃바운드 방향 모두에서 네트워크 ACL을 열어 둡니다.

• 네트워크 설계에 여러 VPC 라우팅 테이블(예: 여러 NAT 게이트웨이를 통해 트래픽을 라우팅하는 중간 상자 VPC)이 필요한 경우를 제외하고 동일한 VPC 라우팅 테이블을 Transit Gateway에 연결된 모든 서브넷과 연결합니다.

• BGP(Border Gateway Protocol) Site-to-Site VPN 연결을 사용합니다. 연결을 위한 고객 게이트웨이 디바이스 또는 방화벽이 다중 경로를 지원하는 경우 이 기능을 활성화합니다.

• AWS Direct Connect 게이트웨이 연결 및 BGP Site-to-Site VPN 연결에 대한 라우팅 전파를 활성화합니다.

• 전송 게이트웨이를 사용하기 위해 VPC 피어링에서 마이그레이션할 때 다음을 살펴보세요.

  • 전송 게이트웨이는 보안 그룹 참조를 지원하지 않습니다.

  • VPC 피어링과 Transit Gateway 간에 MTU 크기가 일치하지 않으면 비대칭 트래픽에 대해 일부 패킷이 삭제될 수 있습니다. 크기 불일치로 인해 점보 패킷이 삭제되지 않도록 두 VPC를 동시에 업데이트합니다.

• Transit Gateway는 기본적으로 고가용성이므로 고가용성을 위해 추가 Transit Gateway가 필요하지는 않습니다.

• 설계상 여러 Transit Gateway 라우팅 테이블이 필요할 때를 제외하면 Transit Gateway 라우팅 테이블 수를 제한해야 합니다.

• 중복성을 위해 재해 복구를 위한 각 리전에 단일 전송 게이트웨이를 사용합니다.

• Transit Gateway 여러 개가 있는 배포의 경우 각 Transit Gateway에 대해 고유한 자율 시스템 번호(ASN)를 사용하는 것이 좋습니다. 리전 내 피어링도 사용할 수 있습니다. 자세한 내용은 Building a global network using AWS Transit Gateway Inter-Region peering을 참조하세요.