Direct connect Gateway에 등록하는 allowed prefix 에 대한 문의드립니다.

문의하신 것 처럼, DGW 설정시 입력하는 allowed prefixes 는 연결하는 대상이 VGW와 TGW에 따라 아주 다른 의미입니다. 먼저, VGW 경우에는 DGW에 전달할 수 있는 prefix는 VGW가 속해있는 VPC CIDR에 국한됩니다. 즉 VPC CIDR 이외에 다른 네트워크 CIDR을 DGW는 전달할 수 없습니다. 그리고 이 경우 allowed prefixes에 등록한 prefix 는 마치 filter 역할로 동작합니다. 즉 기본적으로 VGW가 속해있는 VPC의 모든 CIDR을 전달하려고 하는데, 여기에 등록된 prefix 정보가 filter 역할로 일부를 차단한다고 보시면 됩니다. 따라서 만약에 0.0.0.0/0 을 입력하면, VPC의 CIDR 이 모두 전달됩니다. TGW 경우, TGW는 VGW와 같이 특정 VPC에 포함되는 리소스가 아니기 때문에, VGW 경우처럼 allowed prefixes가 filter 처럼 동작하지 않고, 등록한 CIDR 만을 그대로 전달합니다. 즉, TGW에 어떤 VPC가 연결되었고, 또 어떤 라우팅 테블 정보를 가지고 있는지와 무관하게 등록된 prefix 정보를 그대로 BGP를 통해 on-prem으로 전달합니다. 따라서 0.0.0.0/0 을 입력하면, DGW는 default route인 0.0.0.0/0을 그대로 전달 합니다. 따라서 DGW와 VGW와 TGW를 연결할 때 allowed prefixes를 잘 관리해서 원하지 않는 라우팅 prefix가 BGP를 통해서 on-prem에 전달되지 않도록 해야 합니다. 관련한 aws 문서 문서입니다. https://docs.aws.amazon.com/ko_kr/directconnect/latest/UserGuide/allowed-to-prefixes.html