라우팅 옵션 예 - Amazon Virtual Private Cloud

라우팅 옵션 예

다음 주제에서는 VPC의 특정 게이트웨이 또는 연결을 위한 라우팅을 설명합니다.

인터넷 게이트웨이로 라우팅

서브넷 라우팅 테이블의 라우팅을 인터넷 게이트웨이에 추가하여 서브넷을 퍼블릭 서브넷으로 만들 수 있습니다. 이렇게 하려면 인터넷 게이트웨이를 생성하여 VPC에 연결한 다음, IPv4 트래픽에 대한 대상 주소가 0.0.0.0/0인 라우팅이나 IPv6 트래픽에 대한 대상 주소가 ::/0인 라우팅을 추가하고, 인터넷 게이트웨이 ID(igw-xxxxxxxxxxxxxxxxx)의 대상을 추가합니다.

대상 대상
0.0.0.0/0 igw-id
::/0 igw-id

자세한 내용은 인터넷 게이트웨이 단원을 참조하십시오.

NAT 디바이스로 라우팅

프라이빗 서브넷의 인스턴스가 인터넷에 연결되도록 하려면 NAT 게이트웨이를 생성하거나 퍼블릭 서브넷에서 NAT 인스턴스를 시작할 수 있습니다. 그런 다음 IPv4 인터넷 트래픽(0.0.0.0/0)을 NAT 디바이스로 라우팅하는 프라이빗 서브넷의 라우팅 테이블에 대한 라우팅을 추가합니다.

대상 대상
0.0.0.0/0 nat-gateway-id

또한 NAT 게이트웨이 사용에 대한 불필요한 데이터 처리 비용을 피하거나 특정 트래픽을 비공개로 라우팅하기 위해 다른 대상에 대한 보다 구체적인 라우팅을 생성할 수 있습니다. 다음 예에서 Amazon S3 트래픽(pl-xxxxxxx, Amazon S3의 특정 IP 주소 범위)은 게이트웨이 VPC 엔드포인트로 라우팅되고 10.25.0.0/16 트래픽은 VPC 피어링 연결로 라우팅됩니다. IP 주소 범위가 pl-xxxxxxxx 및 10.25.0.0/16인 경우 0.0.0.0/0보다 구체적입니다. 인스턴스가 Amazon S3 또는 피어 VPC로 트래픽을 보내면 트래픽이 게이트웨이 VPC 엔드포인트 또는 VPC 피어링 연결로 전송됩니다. 다른 모든 트래픽은 NAT 게이트웨이로 전송됩니다.

대상 대상
0.0.0.0/0 nat-gateway-id
pl-xxxxxxxx vpce-id
10.25.0.0/16 pcx-id

자세한 내용은 NAT 게이트웨이NAT 인스턴스 단원을 참조하십시오. NAT 디바이스는 IPv6 트래픽에는 사용할 수 없습니다.

가상 프라이빗 게이트웨이로 라우팅

AWS Site-to-Site VPN 연결을 사용하여 VPC의 인스턴스를 사용자의 네트워크와 통신하도록 할 수 있습니다. 이렇게 하려면 가상 프라이빗 게이트웨이를 생성하여 VPC에 연결합니다. 그런 다음 네트워크 대상 및 가상 프라이빗 게이트웨이(vgw-xxxxxxxxxxxxxxxxx)의 대상이 있는 서브넷 라우팅 테이블에 라우팅을 추가합니다.

대상 대상
10.0.0.0/16 vgw-id

그런 다음 Site-to-Site VPN 연결을 만들고 구성할 수 있습니다. 자세한 내용은 AWS Site-to-Site VPN 사용 설명서AWS Site-to-Site VPN란 무엇입니까?라우팅 테이블 및 VPN 라우팅 우선 순위를 참조하십시오.

가상 프라이빗 게이트웨이의 Site-to-Site VPN 연결은 IPv6 트래픽을 지원하지 않습니다. 그러나 가상 프라이빗 게이트웨이를 통해 AWS Direct Connect 연결로 라우팅되는 IPv6 트래픽은 지원합니다. 자세한 정보는 AWS Direct Connect 사용 설명서를 참조하십시오.

AWS Outposts 로컬 게이트웨이로 라우팅

AWS Outposts와 연결된 VPC에 있는 서브넷은 로컬 게이트웨이의 추가 대상 유형을 가질 수 있습니다. 대상 주소가 192.168.10.0/24인 로컬 게이트웨이 트래픽을 고객 네트워크로 라우팅하려는 경우를 생각해 보십시오. 이렇게 하려면 대상 네트워크와 로컬 게이트웨이(lgw-xxxx)의 대상을 사용하여 다음 라우팅을 추가합니다.

대상 대상
192.168.10.0/24 lgw-id
2002:bc9:1234:1a00::/56 igw-id

A Wavelength Zone 통신 사업자 게이트웨이로 라우팅

Wavelength Zone에 있는 서브넷은 추가 대상 유형의 통신 사업자 게이트웨이를 가질 수 있습니다. 통신 사업자 게이트웨이가 트래픽을 라우팅하여 VPC가 아닌 모든 트래픽을 통신 사업자 네트워크로 라우팅하도록 하려는 경우를 고려하시기 바랍니다. 이렇게 하려면 통신 사업자 게이트웨이를 생성하여 VPC에 연결한 후 다음 경로를 추가합니다.

대상 주소 대상
0.0.0.0/0 cagw-id
::/0 cagw-id

VPC 피어링 연결로 라우팅

VPC 피어링 연결은 프라이빗 IPv4 주소를 사용하여 두 VPC 간에 트래픽을 라우팅할 수 있게 해주는 두 VPC 사이의 네트워킹 연결입니다. 동일한 네트워크에 속하는 경우와 같이 VPC의 인스턴스가 서로 통신할 수 있습니다.

VPC 피어링 연결에서 VPC 간 트래픽 라우팅을 활성화하려면 VPC 피어링 연결을 가리키는 하나 이상의 서브넷 라우팅 테이블에 라우팅을 추가해야 합니다. 이렇게 하면 피어링 연결에서 다른 VPC의 CIDR 블록 전체 또는 일부에 액세스할 수 있습니다. 마찬가지로, 다른 VPC의 소유자는 트래픽을 다시 사용자의 VPC로 라우팅하기 위해 소유자 자신의 서브넷 라우팅 테이블에 라우팅을 추가해야 합니다.

예를 들어 다음과 같은 정보를 가진 두 VPC 사이에 VPC 피어링 연결(pcx-11223344556677889)이 있다고 합시다.

  • VPC A: CIDR 블록은 10.0.0.0/16

  • VPC B: CIDR 블록은 172.31.0.0/16

VPC 간에 트래픽을 활성화하고 어느 한 VPC의 전체 IPv4 CIDR 블록에 대한 액세스를 허용하기 위해 VPC A의 라우팅 테이블은 다음과 같이 구성됩니다.

대상 주소 대상
10.0.0.0/16 로컬
172.31.0.0/16 pcx-11223344556677889

VPC B의 라우팅 테이블은 다음과 같이 구성됩니다.

대상 주소 대상
172.31.0.0/16 로컬
10.0.0.0/16 pcx-11223344556677889

VPC와 인스턴스가 IPv6 통신을 할 수 있는 경우, VPC 피어링 연결은 VPC의 인스턴스 간 IPv6 통신도 지원할 수 있습니다. 자세한 내용은 VPC 및 서브넷 단원을 참조하십시오. VPC 간 IPv6 트래픽을 라우팅할 수 있게 하려면, VPC 피어링 연결을 가리키는 라우팅 테이블에 대한 경로를 추가하여 피어 VPC의 IPv6 CIDR 블록 전부 또는 일부에 액세스해야 합니다.

예를 들어 VPC가 위와 같이 동일한 VPC 피어링 연결(pcx-11223344556677889)을 사용하여 다음과 같은 정보를 갖고 있다고 가정합시다.

  • VPC A: IPv6 CIDR 블록은 2001:db8:1234:1a00::/56입니다.

  • VPC B: IPv6 CIDR 블록은 2001:db8:5678:2b00::/56입니다.

VPC 피어링 연결을 통해 IPv6 통신을 할 수 있도록 하려면 VPC A에 대한 서브넷 라우팅 테이블에 다음 라우팅을 추가합니다.

대상 대상
10.0.0.0/16 로컬
172.31.0.0/16 pcx-11223344556677889
2001:db8:5678:2b00::/56 pcx-11223344556677889

다음 라우팅을 VPC B에 대한 라우팅 테이블에 추가합니다.

대상 대상
172.31.0.0/16 로컬
10.0.0.0/16 pcx-11223344556677889
2001:db8:1234:1a00::/56 pcx-11223344556677889

VPC 피어링 연결에 대한 자세한 정보는 Amazon VPC Peering Guide를 참조하십시오.

ClassicLink는 EC2-Classic 인스턴스를 VPC에 연결함으로써 프라이빗 IPv4 주소를 사용하여 EC2-Classic 인스턴스와 VPC의 인스턴스 간의 통신을 허용하는 기능입니다. For more information about ClassicLink, see ClassicLink.

VPC에서 ClassicLink를 활성화하면 모든 서브넷 라우팅 테이블에 대상 주소가 10.0.0.0/8, 대상이 local인 라우팅이 추가됩니다. 따라서 VPC의 인스턴스와 VPC에 링크된 EC2-Classic 인스턴스 간에 통신이 가능합니다. ClassicLink 가능 VPC에 다른 라우팅 테이블을 추가하면 VPC는 대상 주소가 10.0.0.0/8, 대상이 local인 경로를 자동으로 수신합니다. VPC에 대해 ClassicLink를 비활성화하면 이 라우팅이 모든 서브넷 라우팅 테이블에서 자동으로 삭제됩니다.

서브넷 라우팅 테이블 중 아무 테이블에나 10.0.0.0/8 CIDR 이내의 주소 범위에 대한 기존 라우팅이 있는 경우에는 ClassicLink에 대해 VPC를 사용할 수 없습니다. 여기에는 10.0.0.0/1610.1.0.0/16 IP 주소 범위의 VPC에 대한 로컬 경로가 포함되지 않습니다.

VPC에서 ClassicLink를 이미 활성화한 경우 10.0.0.0/8 IP 주소 범위에 대해 더 구체적인 경로를 라우팅 테이블에 추가할 수 없습니다.

VPC의 인스턴스와 피어 VPC에 연결된 EC2-Classic 인스턴스 간에 통신할 수 있도록 VPC 피어링 연결을 수정하면, 대상 주소가 10.0.0.0/8이고 대상이 local인 라우팅 테이블에 고정 경로가 자동으로 추가됩니다. VPC에 연결된 로컬 EC2-Classic 인스턴스와 피어 VPC의 인스턴스 간에 통신할 수 있도록 VPC 피어링 연결을 수정하는 경우, 대상 주소가 피어 VPC CIDR 블록이고 대상이 VPC 피어링 연결인 기본 라우팅 테이블에 경로를 수동으로 추가해야 합니다. EC2-Classic 인스턴스는 피어 VPC로 라우팅하는 데 기본 라우팅 테이블을 사용합니다. 자세한 정보는 Amazon VPC Peering GuideClassicLink로 구성을 참조하십시오.

게이트웨이 VPC 엔드포인트로 라우팅

게이트웨이 VPC 엔드포인트를 사용하면 VPC와 다른 AWS 서비스 사이에 프라이빗 연결을 생성할 수 있습니다. 게이트웨이 엔드포인트를 생성할 때 VPC에서 게이트웨이 엔드포인트에서 사용하는 서브넷 라우팅 테이블을 지정합니다. 경로는 각각의 라우팅 테이블에 자동으로 추가되며 이때 서비스의 접두사 목록 ID(pl-xxxxxxxx)를 지정하는 목적지 및 엔드포인트 ID(vpce-xxxxxxxxxxxxxxxxx)를 포함한 대상도 함께 추가됩니다. 엔드포인트 경로를 명시적으로 삭제하거나 수정할 수는 없지만, 엔드포인트에서 사용되는 라우팅 테이블을 변경할 수는 있습니다.

엔드포인트에 대한 라우팅과 AWS 서비스로의 경로에 대한 의미를 자세히 알아보려면 게이트웨이 엔드포인트의 라우팅 단원을 참조하십시오.

외부 전용 인터넷 게이트웨이로 라우팅

VPC에 외부 전용 인터넷 게이트웨이를 생성하여 프라이빗 서브넷의 인스턴스가 인터넷에 대한 아웃바운드 통신을 시작하도록 하되 인터넷에서 해당 인스턴스와의 연결을 시작하지 못하도록 할 수 있습니다. 외부 전용 인터넷 게이트웨이는 IPv6 트래픽에만 사용됩니다. 외부 전용 인터넷 게이트웨이에 대한 라우팅을 구성하려면 IPv6 인터넷 트래픽(::/0)을 외부 전용 인터넷 게이트웨이로 라우팅하는 프라이빗 서브넷 라우팅 테이블에 대한 라우팅을 추가해야 합니다.

대상 대상
::/0 eigw-id

자세한 내용은 외부 전용 인터넷 게이트웨이 단원을 참조하십시오.

전송 게이트웨이에 대한 라우팅

transit gateway에 VPC를 연결할 때 transit gateway를 통해 라우팅할 트래픽을 위해 서브넷 라우팅 테이블에 대한 라우팅을 추가해야 합니다.

transit gateway에 연결된 3개의 VPC가 있는 다음 시나리오를 고려하십시오. 이 시나리오에서는 모든 연결이 transit gateway 라우팅 테이블과 연결되어 transit gateway 라우팅 테이블에 전파됩니다. 따라서 모든 연결은 패킷을 서로 라우팅할 수 있으며 transit gateway는 단순한 계층 3 IP 허브 역할을 합니다.

예를 들어, 다음과 같은 정보를 가진 두 VPC가 있다고 가정합니다.

  • VPC A: 10.1.0.0/16, 연결 ID tgw-attach-11111111111111111

  • VPC B: 10.2.0.0/16, 연결 ID tgw-attach-22222222222222222

VPC 간에 트래픽을 활성화하고 transit gateway에 대한 액세스를 허용하기 위해, VPC A의 라우팅 테이블은 다음과 같이 구성됩니다.

대상 주소 대상

10.1.0.0/16

로컬

10.0.0.0/8

tgw-id

다음은 VPC 연결에 대한 transit gateway 라우팅 테이블 항목의 예입니다.

대상 대상

10.1.0.0/16

tgw-attach-11111111111111111

10.2.0.0/16

tgw-attach-22222222222222222

transit gateway 라우팅 테이블에 대한 자세한 내용은 Amazon VPC 전송 게이트웨이라우팅을 참조하십시오.

VPC에서 미들박스 어플라이언스에 대한 라우팅

인터넷 게이트웨이 또는 가상 프라이빗 게이트웨이를 통해 VPC로 들어오는 트래픽을 VPC의 미들박스 어플라이언스로 전송하여 가로챌 수 있습니다. 필요에 맞게 어플라이언스를 구성할 수 있습니다. 예를 들어 모든 트래픽을 차단하는 보안 어플라이언스 또는 WAN 가속 어플라이언스를 구성할 수 있습니다. 어플라이언스는 VPC의 서브넷에 Amazon EC2 인스턴스로 배포되며 서브넷의 탄력적 네트워크 인터페이스(네트워크 인터페이스)로 표시됩니다.

인바운드 VPC 트래픽을 어플라이언스로 라우팅하려면 라우팅 테이블을 인터넷 게이트웨이 또는 가상 프라이빗 게이트웨이와 연결하고 어플라이언스의 네트워크 인터페이스를 VPC 트래픽의 대상으로 지정합니다. 자세한 내용은 게이트웨이 라우팅 테이블 단원을 참조하십시오. 서브넷에서 다른 서브넷의 미들박스 어플라이언스로 아웃바운드 트래픽을 라우팅할 수도 있습니다.

참고

대상 서브넷 라우팅 테이블에 대해 라우팅 전파를 활성화한 경우 라우팅 우선 순위를 알고 있어야 합니다. 가장 구체적인 라우팅에 대해 우선 순위를 두며 라우팅이 일치하면 전파된 라우팅보다 정적 라우팅에 우순 순위를 둡니다. 라우팅을 검토하여 트래픽이 올바르게 라우팅되고 라우팅 전파를 활성화 또는 비활성화할 경우 의도하지 않은 결과가 없는지 확인합니다(예: 점보 프레임을 지원하는 AWS Direct Connect 연결에 대해 라우팅 전파가 필요함).

어플라이언스 고려 사항

AWS Marketplace에서 타사 어플라이언스를 선택하거나 직접 어플라이언스를 구성할 수 있습니다. 어플라이언스를 생성하거나 구성할 때 다음 사항에 유의하십시오.

  • 어플라이언스는 원본 또는 대상 트래픽과 별도의 서브넷에 구성되어야 합니다.

  • 어플라이언스에서 원본/대상 확인을 비활성화해야 합니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서에서 원본 또는 대상 확인 변경을 참조하십시오.

  • 서비스 체인은 지원되지 않습니다.

  • 어플라이언스를 통해 동일한 서브넷에 있는 호스트 간에 트래픽을 라우팅할 수 없습니다.

  • 어플라이언스를 통해 서브넷 간에 트래픽을 라우팅할 수 없습니다.

  • 어플라이언스는 NAT(네트워크 주소 변환)를 수행할 필요가 없습니다.

  • IPv6 트래픽을 가로채려면 IPv6용 VPC, 서브넷 및 어플라이언스를 구성해야 합니다. 자세한 내용은 VPC 및 서브넷 관련 작업 단원을 참조하십시오. 가상 프라이빗 게이트웨이는 IPv6 트래픽을 지원하지 않습니다.

어플라이언스 라우팅 구성

인바운드 트래픽을 어플라이언스로 라우팅하려면 라우팅 테이블을 생성하고 서브넷으로 향하는 트래픽을 어플라이언스의 네트워크 인터페이스를 가리키는 라우팅에 추가합니다. 이 라우팅은 라우팅 테이블의 로컬 라우팅보다 더 구체적입니다. 이 라우팅 테이블을 인터넷 게이트웨이 또는 가상 프라이빗 게이트웨이와 연결합니다. 다음 라우팅 테이블은 서브넷으로 향하는 IPv4 트래픽을 어플라이언스의 네트워크 인터페이스로 라우팅합니다.

대상 대상
10.0.0.0/16 로컬
10.0.1.0/24 eni-id

또는 로컬 라우팅의 대상을 어플라이언스의 네트워크 인터페이스로 대체할 수 있습니다. 이렇게 하면 나중에 VPC에 추가하는 서브넷으로 향하는 트래픽을 포함하여 모든 트래픽이 해당 어플라이언스로 자동 라우팅됩니다.

대상 대상
10.0.0.0/16 eni-id

서브넷에서 다른 서브넷의 어플라이언스로 트래픽을 라우팅하려면 트래픽을 어플라이언스의 네트워크 인터페이스로 라우팅하는 라우팅을 서브넷 라우팅 테이블에 추가합니다. 대상은 로컬 라우팅의 대상보다 덜 구체적이어야 합니다. 예를 들어 인터넷으로 향하는 트래픽의 경우 대상에 대해 0.0.0.0/0(모든 IPv4 주소)을 지정합니다.

대상 대상
10.0.0.0/16 로컬
0.0.0.0/0 eni-id

그런 다음 어플라이언스의 서브넷과 연결된 라우팅 테이블에서 트래픽을 인터넷 게이트웨이 또는 가상 프라이빗 게이트웨이로 다시 라우팅하는 라우팅을 추가합니다.

대상 대상
10.0.0.0/16 로컬
0.0.0.0/0 igw-id

IPv6 트래픽에 대해 동일한 라우팅 구성을 적용할 수 있습니다. 예를 들어 게이트웨이 라우팅 테이블에서 IPv4 및 IPv6 로컬 라우팅에 대한 대상을 모두 어플라이언스의 네트워크 인터페이스로 바꿀 수 있습니다.

대상 대상
10.0.0.0/16 eni-id
2001:db8:1234:1a00::/56 eni-id

다음 다이어그램에서 방화벽 어플라이언스는 VPC의 서브넷 A에 있는 Amazon EC2 인스턴스에 설치 및 구성됩니다. 어플라이언스는 인터넷 게이트웨이를 통해 VPC로 들어오고 나가는 모든 트래픽을 검사합니다. 라우팅 테이블 A는 인터넷 게이트웨이와 연결됩니다. 인터넷 게이트웨이를 통해 VPC로 들어가는 서브넷 B로 향하는 트래픽은 어플라이언스의 네트워크 인터페이스(eni-11223344556677889)로 라우팅됩니다. 서브넷 B에서 나가는 모든 트래픽도 어플라이언스의 네트워크 인터페이스로 라우팅됩니다.


                        VPC로의 인바운드 IPv4 라우팅

다음 예제에서는 앞의 예와 동일한 설정을 사용하지만 IPv6 트래픽이 포함되어 있습니다. 인터넷 게이트웨이를 통해 VPC로 들어가는 서브넷 B로 향하는 IPv6 트래픽은 어플라이언스의 네트워크 인터페이스(eni-11223344556677889)로 라우팅됩니다. 서브넷 B를 떠나는 모든 트래픽(IPv4 및 IPv6)도 어플라이언스의 네트워크 인터페이스로 라우팅됩니다.


                        VPC로의 인바운드 IPv4 및 IPv6 라우팅

접두사 목록을 사용한 라우팅

AWS 리소스 전체에서 동일한 CIDR 블록 세트를 자주 참조하는 경우, 고객 관리형 접두사 목록을 생성하여 함께 그룹화할 수 있습니다. 그런 다음 라우팅 테이블 항목의 대상으로 접두사 목록을 지정할 수 있습니다. 나중에 라우팅 테이블을 업데이트할 필요 없이 접두사 목록에 대한 항목을 추가하거나 제거할 수 있습니다.

예를 들어, 여러 VPC 연결이 있는 전송 게이트웨이가 있습니다. VPC는 다음과 같은 CIDR 블록이 있는 두 개의 특정 VPC 연결과 통신할 수 있어야 합니다.

  • 10.0.0.0/16

  • 10.2.0.0/16

두 항목이 모두 포함된 접두사 목록을 만듭니다. 서브넷 라우팅 테이블에서 라우팅을 생성하고 접두사 목록을 대상 주소로 지정한 다음 전송 게이트웨이를 대상으로 지정합니다.

대상 주소 대상
172.31.0.0/16 로컬
pl-123abc123abc123ab tgw-id

접두사 목록의 최대 항목 수는 라우팅 테이블에 있는 항목 수와 같습니다.