VPC Peering

VPC peering

VPC 피어링 연결은 프라이빗 IPv4 주소 또는 IPv6 주소를 사용하여 두 VPC 간에 트래픽을 라우팅할 수 있도록 하기 위한 두 VPC 사이의 네트워킹 연결이다.

동일한 네트워크에 속하는 경우와 같이 VPC의 인스턴스가 서로 통신할 수 있다.

사용자의 자체 VPC 또는 다른 AWS 계정의 VPC와 VPC 피어링 연결을 만들 수 있다.

VPC는 다른 리전에 있을 수 있다. (리전 간 VPC 피어링 연결이라고도 함)

-> 간단히 말해, VPC peering은 '두 지점간 내부적인 연결' 이라고 할 수 있다.

 

VPC peering

 

VPC peering을 위한 새로운 인스턴스를 생성해보자.

왼쪽 목록에서 VPC 선택

인스턴스 시작 클릭

 

단계 1)

Amazon Linux 2 AMI 선택

 

단계 2)

t2.micro

 

단계 3)

 

네트워크: VPC 기본값 선택

서브넷: ap-northeast-2c 선택

 

단계 4)

변경사항 없음

 

단계 5)

키: Name

값: TEST

 

단계 6)

기존 보안그룹 선택하면 SG-WEB이 보이지 않는다.

-> 지금은 VPC-WEB이 아닌 VPC 기본값이므로 보이지 않는다.

그러므로 새 보안그룹 생성

보안 그룹 이름: SG-TEST

설명: SG-TEST

 

규칙추가: 유형: 모든 ICMP-IPv4, 소스: 위치무관

지금 생성하는 인스턴스는 웹페이지를 만들기 위한 인스턴스가 아닌, VCP 피어링이 무엇인지 테스트 하기 위한

ping테스트 인스턴스이므로 HTTP를 생성하지 않고 ICMP만 생성한다.

 

단계 7)

검토 및 기존 키페어 사용

 

인스턴스 생성 완료!!

 

 

 

인스턴스 WEBSERVER만 체크 후 보안->보안그룹 sg-0~~~(SG-WEB)클릭

인바운드 규칙 편집 클릭

규칙 추가 클릭

위 그림과 같이 설정.

(유형: 모든 ICMP-IPv4, 소스: 위치 무관)

 

규칙 저장

 

 

왼쪽 메뉴에서 인스턴스 클릭

TEST 체크박스 체크 -> 세부 정보의 퍼블릭 IP복사 -> MobaXterm에서 'ping 아이피' 입력하면 ping이 나가는 모습을 볼수 있다.

 

 

참고: 기본 vpc ip 범위: 172.31.0.0/16 

참고: 아직 peering connection이 세팅되어있지 않기 때문에 라우팅 편집에서 피어링 연결을 하려고 해도 할 수 없다.

 

 

왼쪽 목록에서 피어링 연결 선택

 

피어링 연결 생성 선택

 

이름태그: MY-PEERING

VPC(요청자): MY-VPC

VPC(수락자): 디폴트 VPC

 

작업 -> 요청 수락 을 클릭해야 아래와 같이 상태가 활성으로 변경된다.

피어링 연결 설명 부분의 수락자 VPC CIDR 172.31.0.0/16  : 기본 VPC 

 

피어링 연결 완료!!

 

 

 

 

왼쪽 메뉴에서 라우팅 테이블 클릭

 

PUBLIC 체크 박스에 체크 후 아래 라우팅 클릭

라우팅 편집 클릭

라우팅 추가 

- 172.31.0.0/16, peering connection 선택

기본 VPC CIDR 블록은 172.31.0.0/16이므로 같은 IP대역으로 추가

 

이제 목록에 peering connection이 뜨는 것을 볼 수 있다.

 

라우팅 저장 클릭

 

 

디폴트 VPC 체크박스에 체크하여 라우팅 편집 클릭

라우팅 추가: 10.0.0.0/16, peering connection

라우팅 저장

 

인스턴스로 이동

TEST 인스턴스 체크

퍼블릭 IP주소 복사

MobaXterm열어서 Session 추가

TEST인스턴스의 IP 붙여넣기, 이름: ec2-user, use private key에 key열기

ping 나가는 모습 확인 가능

 

 

 

---

 

Q) 이번에는 DATABASE의 프라이빗 아이피 주소도 ping으로 나갈 수 있게 만들어보자.

 

현재 ping이 나가지 않는 것을 볼 수 있다.

 

 

라우팅 테이블로 이동

라우팅 테이블의 PRIVATE 체크박스 체크

라우팅 편집 클릭

 

라우팅 저장 후 다시 ping 입력하면 ping 나가는 모습을 볼 수 있다.

 

 

---

 

Q) 이번에는 격리되어있는 DATABASE 인스턴스에 SSH로 접속해보자.

단, PRIVATE 라우팅테이블에 인터넷게이트웨이를 넣으면 안된다.

 

 

현재 웹서버 쪽 모습.

웹서버 쪽에서는 DATABASE에 접속할 수 있다.

그러므로 DATABASE의 프라이빗 IP 주소 복사

 

ping 나가는 모습 볼 수 있다.

 

 

 

왼쪽에 업로드 모양(위로 화살표 모양) 눌러서 키 페어를 업로드 해준다.

 

권한 에러 - 퍼미션이 너무 높아서 거절 당함

 

 

chmod 400을 이용하여 권한을 낮춰준다

.

이제 ubuntu@DATABASE의 프라이빗 IP 로 접속 가능하다.

 

 

TEST의 아이피를 확인(**WEBSERVER 쪽 아님)

->172.31.39.181

 

ping이 보내지는지 확인 해 본다.

-> 정상적으로 ping 작동됨.

 

 

이제 TEST 인스턴스는 필요없으므로 삭제

피어링 연결 삭제(MY-PEERING) - 관련 라우팅 테이블 항목 삭제 체크박스도 체크하여 삭제 해주자.

 

---

리전간 VPC 피어링

 

이번엔 리전을 서울에서 도쿄로 변경해보자.

새 창을 열어 EC2로 접속 후 도쿄로 리전 변경

새 창을 열어 VPC로 접속 후 도쿄로 리전 변경

(+ 서울 리전 EC2, 서울 리전 VPC 창으로 총 4개의 웹 브라우저를 띄워둔다)

 

도쿄 VPC 생성

 

VPC 생성 클릭

 

 

이름: TOKYO-VPC

IPv4: 192.168.0.0/26

VPC 생성 클릭

 

 

왼쪽 메뉴에서 서브넷 클릭

서브넷 생성 클릭

 

 

위 그림과 같이 설정 후 서브넷 생성 클릭

 

 

이번에는 프라이빗 서브넷 이므로 인터넷 게이트웨이를 만들지 않고 바로 라우팅 테이블을 만들어 준다.

왼쪽 목록의 라우팅 테이블로 이동

 

다음과 같이 네임태그를 설정해준다.

 

 

도쿄 EC2 창으로 이동하여  인스턴스 생성

단계 1)

Amazon Linux 2 AMI 선택

 

단계 2)

t2.micro

 

단계 3)

네트워크: TOKYO-VPC

나머지는 디폴트값

(퍼블릭 IP 자동 할당이 비활성화로 선택되어있는지 확인)

 

단계 4)

변경 사항 없음

 

단계 5)

키: Name

값: TOKYO-TEST

 

단계 6)

리전이 다르므로 기존 보안 그룹 존재하지 않는다.

새 보안 그룹 생성

보안 그룹 이름: SG-TOKYO

설명: SG-TOKYO

규칙 추가:  모든 ICMP-IPv4, 위치 무관

 

단계 7)

검토 후 새 키패어 생성 및 키페어 다운로드

인스턴스 시작

 

도쿄 리전에서 인스턴스 생성 완료!!

 

 

도쿄리전의 프라이빗 아이피로 ping 입력(우분투에서)

현재 연결되어 있지 않다.