VPC Peering: AWS 네트워크 연결

이번 글에서는
"VPC Peering에 대해서 좀 더 상세하게 알아보고자 합니다."

1. VPC Peering 개요 및 특징

• 정의:
  • VPC Peering은 두 VPC 간에 프라이빗 네트워크 연결을 제공하며, VPC 간 트래픽이 인터넷, VPN, AWS Direct Connect를 통과하지 않고 AWS 네트워크 내에서 전달됩니다.
  • 두 VPC가 동일한 네트워크에 속한 것처럼 통신할 수 있도록 설계되었습니다.
• 특징:
  • 프라이빗 IPv4/IPv6 주소 사용:
    • 두 VPC 간의 직접 네트워크 라우팅 지원
  • AWS 리전 간 연결:
    • 동일한 리전뿐 아니라 상이한 AWS 리전에 있는 VPC도 연결 가능
    • 가용 영역(AZ) 내 데이터 전송은 무료
    • AZ 간 또는 리전 간 전송은 표준 데이터 전송 요금이 부과됨
  • 보안성:
    • VPC 경계를 넘어 안전하게 리소스를 공유하는 방법
  • 트래픽 경로:
    • 트래픽은 AWS 네트워크를 통해 전달되며, 외부 네트워크(인터넷, VPN, Direct Connect)를 거치지 않음
    • Peering 연결은 Point-to-Point 연결로, 다중 VPC 간 중계 역할 불가
• 트래픽 요금
  • 가용 영역 내 전송: 무료
  • 가용 영역(AZ) 간 전송: 표준 리전 내 데이터 전송 요금 부과
  • 리전 간 전송: 표준 리전 간 데이터 전송 요금 부과

---

2. VPC Peering 한계와 관리

2.1 트랜짓 라우팅 한계

• VPC Peering은 전이적(트랜짓) 라우팅을 지원하지 않습니다.
• 예시:
  • VPC A와 VPC B가 연결(Peering), VPC A와 VPC C가 연결(Peering)되어도,
  • VPC B는 VPC A를 통해 VPC C에 연결할 수 없음 → VPC B와 VPC C 간 직접적인 Peering 연결이 필요

2.2 할당량 제한

• 피어링 연결 수 증가:
  • VPC가 수십 또는 수백 개로 증가하면, 각 VPC 간 피어링 연결이 필요.
  • 예시:
    • 100개의 VPC를 풀 메시(Peering Mesh)로 연결하려면,
    • n(n−1)/2=4950n(n-1)/2 = 4950n(n−1)/2=4950개의 피어링 연결 필요
• 관리 제한:
  • VPC 두 개 사이에 동시에 두 개 이상의 VPC 피어링 연결을 보유할 수 없음 
  • 기본적으로 VPC당 최대 50개의 활성 피어링 연결이 가능
    • 요청을 통해 최대 125개까지 증가 가능

2.3 CIDR 블록 중첩 불가

• 피어링하려는 VPC 간에 IPv4 또는 IPv6 CIDR 블록이 중첩되거나 겹치는 경우, VPC 피어링 연결을 생성할 수 없음
• 여러 개의 IPv4 CIDR 블록이 있는 경우에도, 겹치지 않는 CIDR 블록만 사용하더라도 전체 CIDR 블록이 겹치면 피어링 연결이 불가능
  • 예시)

2.4 인터넷 및 VPN 엣지 간 라우팅 제한

• VPC A에 인터넷 게이트웨이가 있더라도, 피어링된 VPC B의 리소스는 VPC A의 인터넷 게이트웨이를 통해 인터넷에 액세스할 수 없음
• VPC A에 설정된 VPN 연결을 VPC B의 리소스가 사용할 수 없음(VPC 간에 엣지 간 라우팅 미지원)

2-5. DNS 제한 사항

• Amazon DNS 서버에 직접 연결하거나 쿼리할 수 없음
  • 필요시 VPC 피어링 연결에서 **DNS 확인(DNS resolution)**을 활성화 설정 필
• VPC의 IPv4 CIDR 블록이 RFC 1918에 지정된 프라이빗 IPv4 주소 범위를 벗어나는 경우, 해당 VPC의 프라이빗 DNS 호스트 이름을 프라이빗 IP 주소로 확인할 수 없음

2-6. 유니캐스트 역경(Unicast RPF)로 전송 미지원

 

• 요청이 A → B로 갔다고 해서 반드시 응답이 B → A로 동일한 경로를 따라 반환된다는 보장이 없음
• 라우팅 테이블에 따라 응답 트래픽이 다른 경로로 반환될 수 있음을 의미
  • 트래픽 손실 또는 연결 실패 발생 가능

 

---

유니캐스트 역경로 전송(Unicast RPF)란?

• 네트워크에서 응답 트래픽이 요청 트래픽이 온 동일한 경로로 반환되는지 확인하는 메커니즘
• 보안 및 경로 검증을 위해 많이 사용됨
  • 패킷 A가 경로 X를 통해 왔다면, 응답 패킷도 경로 X를 통해 돌아가야 함.

---

3. VPC Peering의 활용 사례

2.1 리소스 공유 및 협업

• 설명:
  • 조직의 경계를 넘어 다중 VPC 아키텍처에서 리소스를 공유할 수 있습니다.
  • 예) 데이터베이스 서버를 한 VPC에 두고, 애플리케이션 서버를 다른 VPC에 배치
• 장점:
  • AWS 네트워크를 통해 저지연 통신 가능
  • 단순한 설정으로 리소스 접근 제어 가능

2.2 활용 사례

• 적합한 시나리오:
  • 두 VPC 간의 리소스 통신 필요
  • 연결할 VPC의 수가 10개 미만인 소규모 네트워크
  • 높은 성능과 저비용이 중요한 환경
    • VPC Peering은 다른 연결 옵션보다 비용이 낮고 성능이 높음
    • 2021년 5월 1일부터, 가용 영역(AZ) 내에 유지되는 VPC 피어링 연결을 통한 모든 데이터 전송은 무료(참고)
• 부적합한 시나리오:
  • 대규모 네트워크(수십~수백 개의 VPC)에서 풀 메시 연결이 필요한 경우
  • 다중 VPC 간 트래픽 중계가 필요한 경우(VPC Peering은 트랜짓 라우팅 불가)

4. VPC Peering vs 다른 옵션

항목	VPC Peering	Transit Gateway	VPC Lattice
최적 사용 사례	소규모 VPC 간 간단한 연결	대규모 네트워크	애플리케이션 계증 연결
트랜짓 라우팅	지원하지 않음	지원	지원
확장성	제한적(VPC당 최대 125개)	고확장성(수백 개 VPC 연결)	고확장성
비용	저비용	비교적 높음	트래픽에 따라 다름

 

출처

https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/vpc-peering-basics.html#vpc-peering-limitations

https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/vpc-peering-connection-quotas.html?utm_source=chatgpt.com

계정의 VPC 피어링 연결 할당량 - Amazon Virtual Private Cloud

https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/vpc-peering-dns.html