[AWS] Transit Gateway란 ?

Transit Gateway란 ?

가상 사설 클라우드(Virtual Private Cloud)와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브를 말한다. 
클라우드 인프라가 전 세계적으로 확장됨에 따라 리전 간 피어링은 AWS 글로벌 백본 인프라를 사용하여 Transit Gateway를 함께 연결한다.
이때 데이터는 자동으로 암호화된다.
 
Transit Gateway를 이해하기 위해서 먼저 VPC Peering을 알 필요가 있다.
 
VPC Peering이란 ?

• 리전 내, 리전 간 VPC를 1:1로 연결하는 것을 말한다.
• 다른 AWS Account의 VPC와도 Peering이 가능하다.
• VPC Peering 시에 Transit(트래픽 경유) 연결은 불가하다.
  • ex) VPC A, B, C가 있을 때 A <-> B, B <-> C 간 연결되어 있어도 A <-> C 간 통신은 불가함 

AWS 계정 내에 통신이 필요한 VPC가 2개 또는 3개라면 VPC Peering을 통해 간단하게 VPC를 연결하여 하나의 네트워크처럼 통신이 가능하다.
 
하지만, VPC가 여러개인 경우 상황이 달라진다.
예를 들어 N개의 VPC가 있고 모든 VPC 간에 통신이 필요하다면 N(N-1)/2 개의 피어링 연결이 필요하다.
VPC가 4개만 되어도 6개의 피어링 연결이 필요하게 된다. 하나의 계정에 허용되는 최대 피어링 연결 수는 50개이다. (추가 요청을 통해 최대 125개까지 조정 가능)
즉, VPC가 17개 이상일 때부터 모든 VPC 간의 피어링 연결이 불가해진다.
 
Transit Gateway는 복잡한 피어링 구조를 Hub & Spoke 구조로 단순화할 수 있는 서비스이다.

• 리전 내 가상 라우터 역할
  • 허브 & 스포크 스타일의 토폴로지
  • VPC Peering의 transit 제약을 극복
• TGW는 네트워크 트래픽 양에 따라 탄력적으로 확장
• 다양한 환경에서 연결을 단순화
  • 하나 이상의 VPC
  • Connect SD-WAN/서드 파티 네트워크 어플라이언스
  • AWS Direct Connect 게이트웨이
  • 다른 Transit Gateway와의 피어링 연결
  • Transit Gateway에 대한 VPN 연결

 
 

VPC Peering VS Transit Gateway 

	VPC Peering	Transit Gateway
VPC 연결 비용	없음	시간당 0.07$
VPC 데이터 전송 비용	GB당 0.02$	GB당 0.02$

 
만약 여기에 추가로 Site-to-Site VPN을 통해 온프레미스와 연결한다고 해보자
피어링 연결 방식은 모든 VPC 각각이 Site-to-Site VPN과 연결 맺어야 하므로 N개의 VPC의 경우 N개의 연결이 발생한다.

	VPC Peering + Site-to-Site VPN	Transit Gateway
VPC 연결 비용	없음	시간당 0.07$
VPC 데이터 전송 비용	GB 당 0.02$	GB 당 0.02$
VPN 연결 비용	시간당 0.05$	시간당 0.05$
VPN 데이터 전송 비용	GB 당 0.126$	GB 당 0.126$
Transit Gateway VPN 비용	없음	시간당 0.07$

(참고로 동일 AZ 하에서의 Transit Gateway 비용은 무료이다.)
 

Transit Gateway 정리

• 중앙 집중식 관리 : 여러 VPC와 온프레미스 네트워크를 하나의 지점에서 관리 가능하여 네트워크를 단순화하여 쉽게 관리 가능
• 확장성 : Transit Gateway는 수백개, 수천개의 VPC 연결을 지원하므로, 큰 규모의 네트워크 환경에서도 유용하다.
• 보안 : 보안 그룹과 NACL 등을 사용하여 트래픽을 세밀하게 제어 가능
• VPN 및 DX 지원 : 온프레미스 네트워크와의 연결도 지원한다. 이를 통해 기존 데이터 센터와 AWS 클라우드 간에 안전한 통신이 가능하다.

 
 
참고

https://junhyeong-jang.tistory.com/25