Architectural patterns & best practices #2 VMware Transit Connect

AWS의 Solutions Architect인 Arthi Raju가 AWS re:Invent 2020 온라인 행사에서 발표한

'Architectural patterns & best practices for workloads on VMware Cloud on AWS'에 대해 정리해 봅니다.

 

---------------------------------------------------

1편. AWS Network Architecture

2편. VMware Transit Connect (이번글)

3편. Data Storage 

---------------------------------------------------

 

다수의 VPN을 사용할 경우 HA를 해결할 수는 있지만,

앞으로의 확장성까지 고려한다면, VMware Transit Connect(VMware managed TGW)가 올바른 선택입니다.

 

VMware Transit Connect는 AWS의 Transit Gateway를 기반으로 사용되며, SDDC Group이라는 개념을 사용합니다.

SDDC 그룹에는 사용자는 서로간에 통신이 필요한 경우 어떠한 SDDC라도 선택하여 포함시킬수 있습니다.

별다른 생성절차 없이, SDDC를 선택하여 SDDC 그룹에 포함시키면 바로 VTC가 생성됩니다.

여러개의 SDDC를 그룹으로 만들면, VTC가 생성되고, SDDC는 VTC에 연결되며, SDDC 내에서 통신이 이루어집니다.

 

생성된 VTC가 구동되면, 복잡한 VPN 연결 없이 native VPC 및 On-premise와도 연결할 수 있습니다.

ENI 연결 모델의 경우 1:1 연결로 다수의 VPC를 연결할 수 없었으나,

VTC를 이용한다면, 사용자가 소유한 다수의 VPC를 50개던, 100개던 상관없이 다 연결할 수 있습니다.

즉, VTC는 SDDC간 통신뿐만 아니라, On-premise와 SDDC간의 통신, SDDC와 VPC간의 통신도 해결할 수 있습니다.

 

 

VTC는 AWS 계정들에게 공유되며, SDDC와 통신을 원하는 공유된 계정의 다수의 VPC들과 모든 연결이 가능합니다.

즉, VTC는 SDDC쪽 네트워크와 native VPC 간에 연결을 제공합니다.

여기서 주의할 점은, VTC가 native VPC 간 트래픽에 대해서는 통신을 허용하지 않기 때문에,

native VPC간의 통신을 위해서는 여전히 별도의 Transit Gateway가 필요하다는 점입니다.

 

하지만 VTC를 이용하면, 다수의 1:1 연결이나 VPN에 대한 걱정 없이, 확장성에 대한 고민을 해결할 수 있습니다.

또한, VTC는 VMware에 의해 관리되기 때문에, 사용자가 임의로 경로를 변경하거나 업데이트할 필요가 없습니다.

 

VTC나 AWS의 Transit Gateway는 모두 Region에 속한 서비스입니다.

즉 Region을 벗어나서 동작할 수 없으며, SDDC 그룹에 속한 SDDC 들은 모두 같은 Region에 구성되어야 합니다.

 

 

이와 같은 사항을 바탕으로 SDDC를 구축해보겠습니다.

먼저 Region 별로 SDDC를 구축하고, SDDC 그룹을 만들어 VTC로 연결했습니다.

그리고 워크로드가 있는 native VPC와 VTC를 연결했고, VPC간의 통신을 위해 Trangit Gateway도 구성했습니다.

On-premise와의 연동을 위해 2곳의 DX location을 이용하여 DX를 연결하였습니다.

이를 위해 가상의 인터페이스를 가진 Direct Connect Gateway를 생성했고,

DX Gateway를 VTC 및 AWS Transit Gateway와 연결했습니다.

 

이제 On-premise에서 VPC간, VPC와 VPC간, VPC와 SDDC간, SDDC와 SDDC간을 포함한 

모든 구간의 네트워크 연결을 제공할 수 있습니다.