안녕하세요.
오늘은 Vnet Peering에 대해 확인해보겠습니다.
# Vnet Peering 이란?
Vnet은 하나의 독립된 사설 네트워크 공간이기 때문에 애저 내 다른 사설 대역과는 통신이 불가능한데요.
이를 가능하게 해주는 것이 Vnet Peering 입니다.
피어링을 통해 각 VNet에 배포된 리소스들(VM, DB 등)이 마치 같은 네트워크에 있는 것처럼 사설 IP로 직접 통신할 수 있게 됩니다.
# Peering 생성하기
생성 방법은 되게 간단한데요.
생성하고 싶은 Vnet에 들어와 설정에 피어링 부분에 들어가 "추가"를 누릅니다.
피어링 추가를 들어가면 아래와 같이 원격 가상 네트워크를 설정하는 부분이 나오는데요.
이건 말 그대로 원격 네트워크를 설정하는 부분입니다.
즉, 연결할 Vnet의 대한 정보를 넣는 곳입니다.
원격 가상 네트워크 피어링 설정은 이따 따로 확인해보겠습니다.
그 후 로컬 가상 네트워크를 설정하면 준비는 모두 끝납니다.
생성하면 이런 식으로 두 개가 생성되는데요.
하나는 로컬 vnet에 생성되는 peering이고 나머지는 원격 vnet에 생성되는 peering입니다.
아래와 같이 각 vnet에 피어링이 생성되어 있는 것을 확인가능합니다.
# Peering 옵션
이제 앞서 설정하는 과정에 있던 Peering 옵션에 대해 알아보겠습니다.
'vnet-spoke'에서 'vnet-hub'에 액세스 허용
➡️ 해당 옵션은 말 그대로 연결되어 있는 vnet과 통신을 허용하느냐를 묻는 것입니다.
당연히 체크를 해야 vnet간의 정상 통신이 가능합니다.
'vnet-spoke'에서 'vnet-hub'이(가) 전달한 트래픽 수신 허용
➡️ 말이 좀 애매해서 헷갈릴 수도 있는데요. 이 옵션은 vnet-hub를 경유하여 vnet-spoke로 가는 트래픽을 헝요할 것이냐를 묻는 것입니다.
아래 그림을 보시면 이해가 되실 겁니다.
아래와 같은 아키텍쳐에서 spoke1에서 spoke2로 통신을 해야할 때 spoke1에서는 직접 연결이 되어 있지 않기 때문에
vnet-hub를 경유해서 통신이 이루어져야 합니다.
즉, source ip가 peering된 vnet이 아닌 다른 대역의 ip여도 통신을 허할 것인지를 묻는 옵션입니다.
Hub & Spoke 환경에서 많이 쓰이는 옵션으로 중간에 방화벽을 거쳐 통신해야하는 경우 많이 사용 되는 옵션입니다.
'vnet-hub' 게이트웨이 또는 경로 서버가 트래픽을 'vnet-spoke'에게 전달하도록 허용
➡️ 아래 그림을 보며 설명드리겠습니다.
"vnet-hub에 연결되어 있는 vpn에서 들어오는 통신을 vnet-spoke에 보낼거야?" 라고 묻는 옵션입니다.
즉, vnet-spoke와 aws vpc간 정상 통신이 이루어지기 위해서는 해당 옵션이 필요합니다.
단 해당 옵션만으로는 아래와 같은 환경에서 정상적으로 통신이 이루어지지 않고 앞으로 말씀드릴 옵션도 허용을 해야합니다.
'vnet-spoke'이(가) 'vnet-hub'의 원격 게이트웨이 또는 경로 서버를 사용하도록 설정
➡️ 'vnet-hub' 게이트웨이 또는 경로 서버가 트래픽을 'vnet-spoke'에게 전달하도록 허용 옵션이 Hub에서 설정해주어야 하는 옵 션이였다면 'vnet-hub' 게이트웨이 또는 경로 서버가 트래픽을 'vnet-spoke'에게 전달하도록 허용 옵션은 spoke에서 설정해 야하는 옵션으로 위 두 옵션을 모두 허용해주어야 정상적으로 통신이 가능합니다.
즉, spoke vnet에서 vpn으로 넘어온 대역과 통신을 하려면 두 옵션을 모두 켜야합니다.
만약 해당 옵션을 끄고 vnet-spoke의 vm의 유효 경로를 확인해보면 경로에 aws vpc 대역이 없는 걸 확인할 수 있습니다.
해당 옵션을 키면 aws 대역이 가상 네트워크 게이트웨이 경로로 잡혀있는 것을 확인 가능합니다.
감사합니다.