Gateway Load Balancer(GWLB)를 이용한 Architecture 사례와 장단점

장점

1. Application(App) 플랫폼의 중앙검출(transparent)설정을 단순화할 수 있습니다.

• 작업 부하 분산 아키텍처인 Producer(Security GWLB)/Consumer(App) 구조로 구성되어 있을 경우, Consumer의 입장에서는 request와 response의 유입은 그림과 같이 Gateway Load Balancer endpoint가 접점이 되며 Security 측면의 복잡한 설정을 하지 않아도 3rd party (F5 BIG-IP, PaloAlto, Fortinet, etc..) 어플라이언스와 연결 됩니다.

GWLB 3rd party F5 BIG-IP 설정 예시[3]

2. 거버넌스 측면, 어플라이언스(security),App(consumer)계정 분리가 가능합니다.

• GWLB는 어플라이언스 통합, 일관된 보안 정책, 작업자 오류 감소, 트래픽 소스 또는 대상을 변경하거나 NAT를 변환할 필요가 없는 원활한 트래픽 검사를 지원하고, 모든 트래픽이 오가는 단일 지점으로 중앙집중 관리가 가능합니다.[1]

3. HA구성에서 간단한 비대칭 라우팅 문제를 해결할 수 있습니다.

• GWLB의 어플라이언스는 GENEVE 캡슐화를 사용하여 서로 애플리케이션 트래픽을 교환하고, GWLB가 원래 트래픽의 내용을 보존할 수 있도록 합니다. 또한, 하이브리드 아키텍처에서 AWS Transit Gateway 를 사용하는 경우 멀티 AZ구성에서 특정 AZ에 존재하는 어플리케이션의 접근에 사용하는 경우에 멀티 AZ(HA구성)에 대한 정보 흐름 대칭을 유지할 수 있습니다.[2]

4. 어플라이언스 부하분산이 가능합니다.

• 어플리케이션에 유입되는 요청수가 급하게 증가하는 경우 중앙 집중 보안 영역을 거쳐 검사되는 정보들은 어플라이언스들에 병목을 발생시킬 수 있습니다. 이런 경우, GWLB는 어플라이언스의 스케일링을 가능하게 합니다. 다만, 사용하시려는 어플라이언스의 라이센스 정책에 따라서 오토스케일링 기능의 여부에 대한 고려가 필요합니다.

제한사항

• GWLB를 구성하는 어플라이언스들은 3rd Party 솔루션 앱입니다. 각 솔루션마다 공식 적용 문서 제공이 미흡하고 한번 결정한 3rd Party 솔루션에 종속될 수 있습니다.

References

[1]. https://aws.amazon.com/ko/blogs/korea/introducing-aws-gateway-load-balancer-easy-deployment-scalability-and-high-availability-for-partner-appliances.
[2]. https://aws.amazon.com/ko/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway.
[3]. https://community.f5.com/t5/technical-articles/big-ip-integration-with-aws-gateway-load-balancer-overview/ta-p/290821