서브넷 간 트래픽 검사
VPC에 여러 개의 서브넷이 있고 방화벽 어플라이언스를 통해 해당 서브넷 간의 트래픽을 검사하려는 시나리오를 생각해봅시다. VPC에 별도의 서브넷에 있는 EC2 인스턴스에 방화벽 어플라이언스를 구성하고 설치합니다.
다음 다이어그램은 서브넷 C의 EC2 인스턴스에 설치된 방화벽 어플라이언스를 보여줍니다. 해당 어플라이언스는 서브넷 A에서 서브넷 B로(1 참조), 서브넷 B에서 서브넷 A(2 참조)로 이동하는 트래픽을 모두 검사합니다.
VPC 및 미들박스 서브넷에 대한 기본 라우팅 테이블을 사용합니다. 서브넷 A와 B에는 각각 사용자 지정 라우팅 테이블이 있습니다.
미들박스 라우팅 마법사는 다음의 작업을 자동으로 수행합니다.
-
라우팅 테이블을 생성합니다.
-
필요한 경로를 새 라우팅 테이블에 추가합니다.
-
서브넷과 연결된 현재 라우팅 테이블의 연결을 해제합니다.
-
미들박스 라우팅 마법사가 생성하는 라우팅 테이블을 서브넷과 연결합니다.
-
미들박스 라우팅 마법사에 의해 생성되었음을 나타내는 태그와 생성 날짜를 나타내는 태그를 생성합니다.
미들박스 라우팅 마법사는 기존 라우팅 테이블을 수정하지 않습니다. 새 라우팅 테이블을 생성한 다음 게이트웨이 및 서브넷 리소스와 연결합니다. 리소스가 이미 기존 라우팅 테이블과 명시적으로 연결되어 있는 경우 기존 라우팅 테이블의 연결이 우선적으로 해제된 다음 새 라우팅 테이블이 리소스와 연결됩니다. 기존 라우팅 테이블은 삭제되지 않습니다.
미들박스 라우팅 마법사를 사용하지 않는 경우 서브넷과 인터넷 게이트웨이에 라우팅 테이블을 수동으로 구성한 다음 할당해야 합니다.
서브넷 A에 대한 사용자 지정 라우팅 테이블
서브넷 A의 라우팅 테이블에는 다음과 같은 경로가 있습니다.
| 대상 주소 | 대상 | 용도 |
|---|---|---|
VPC CIDR |
로컬 | 로컬 경로 |
서브넷 B CIDR |
appliance-eni |
서브넷 B를 대상으로 하는 트래픽을 미들박스로 라우팅 |
미들박스 라우팅 마법사를 사용하면 다음의 태그가 라우팅 테이블과 연결됩니다.
-
키는 “Origin”이고 값은 “미들박스 마법사”입니다.
-
키는 “date_created”이고 값은 생성 시간입니다(예: “2021-02-18T22:25:49.137Z”)
서브넷 B에 대한 사용자 지정 라우팅 테이블
서브넷 B의 라우팅 테이블에는 다음과 같은 경로가 있습니다.
| 대상 주소 | 대상 | 용도 |
|---|---|---|
VPC CIDR |
로컬 | 로컬 경로 |
서브넷 A CIDR |
appliance-eni |
서브넷 A를 대상으로 하는 트래픽을 미들박스로 라우팅 |
미들박스 라우팅 마법사를 사용하면 다음의 태그가 라우팅 테이블과 연결됩니다.
-
키는 “Origin”이고 값은 “미들박스 마법사”입니다.
-
키는 “date_created”이고 값은 생성 시간입니다(예: “2021-02-18T22:25:49.137Z”)
기본 라우팅 테이블
서브넷 C는 기본 라우팅 테이블을 사용합니다. 기본 라우팅 테이블에는 다음과 같은 경로가 있습니다.
| 대상 주소 | 대상 | 용도 |
|---|---|---|
VPC CIDR |
로컬 | 로컬 경로 |
미들박스 라우팅 마법사를 사용하면 다음의 태그가 라우팅 테이블과 연결됩니다.
-
키는 “Origin”이고 값은 “미들박스 마법사”입니다.
-
키는 “date_created”이고 값은 생성 시간입니다(예: “2021-02-18T22:25:49.137Z”)
