Direct connect Gateway에 등록하는 allowed prefix 에 대한 문의드립니다.

0

Direct connect GateWay(DGW)에 Virtual private GateWay(VGW)를 연결해서 DX를 사용하고 있었는데, 이번에 Transit GateWay(TGW) 를 생성해서, DGW에 연동을 검토하고 있습니다. 질문내용은, DGW 설정시 association settings에서 나와 있는 "Allowed prefixes"에 등록하는 prefix 가 기존에 VGW 연결시에 입력한 prefix의 의미와 TGW를 연결시에 prefix 와 의미가 다른것으로 나와 있습니다. 구체적으로 어떻게 다른지 설명 부탁드립니다.

Minj
질문됨 3달 전164회 조회
1개 답변
0
수락된 답변

문의하신 것 처럼, DGW 설정시 입력하는 allowed prefixes 는 연결하는 대상이 VGW와 TGW에 따라 아주 다른 의미입니다. 먼저, VGW 경우에는 DGW에 전달할 수 있는 prefix는 VGW가 속해있는 VPC CIDR에 국한됩니다. 즉 VPC CIDR 이외에 다른 네트워크 CIDR을 DGW는 전달할 수 없습니다. 그리고 이 경우 allowed prefixes에 등록한 prefix 는 마치 filter 역할로 동작합니다. 즉 기본적으로 VGW가 속해있는 VPC의 모든 CIDR을 전달하려고 하는데, 여기에 등록된 prefix 정보가 filter 역할로 일부를 차단한다고 보시면 됩니다. 따라서 만약에 0.0.0.0/0 을 입력하면, VPC의 CIDR 이 모두 전달됩니다. TGW 경우, TGW는 VGW와 같이 특정 VPC에 포함되는 리소스가 아니기 때문에, VGW 경우처럼 allowed prefixes가 filter 처럼 동작하지 않고, 등록한 CIDR 만을 그대로 전달합니다. 즉, TGW에 어떤 VPC가 연결되었고, 또 어떤 라우팅 테블 정보를 가지고 있는지와 무관하게 등록된 prefix 정보를 그대로 BGP를 통해 on-prem으로 전달합니다. 따라서 0.0.0.0/0 을 입력하면, DGW는 default route인 0.0.0.0/0을 그대로 전달 합니다. 따라서 DGW와 VGW와 TGW를 연결할 때 allowed prefixes를 잘 관리해서 원하지 않는 라우팅 prefix가 BGP를 통해서 on-prem에 전달되지 않도록 해야 합니다. 관련한 aws 문서 문서입니다. https://docs.aws.amazon.com/ko_kr/directconnect/latest/UserGuide/allowed-to-prefixes.html

Sungro
답변함 3달 전

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인