본문 바로가기
Infra, Cloud/AWS

[AWS] Transit Gateway Blackhole 사용하기

by J4J 2023. 7. 25.
300x250
반응형

안녕하세요. J4J입니다.

 

이번 포스팅은 Transit Gateway Blackhole 사용하는 방법에 대해 적어보는 시간을 가져보려고 합니다.

 

 

 

이전 글

 

[AWS] VPC 피어링 연결하기

[AWS] Transit Gateway 사용하기

 

 

반응형

 

 

Blackhole이란?

 

Transit Gateway에서 Blackhole은 특정 대역을 통신할 수 없게 만들려고 사용됩니다.

 

예를 들면 Routes 설정에 10.0.1.0/24 대역이 연결 및 전파되도록 설정했는데 10.0.1.184/32 대역에 대해서만 통신을 불가하게 만들고 싶다면 Blackhole을 활용해 볼 수 있습니다.

 

이처럼 Blackhole을 활용한다면 통신이 가능한 대역들을 하나씩 등록해주지 않고 더 큰 범위의 대역을 등록해줬다가 통신이 불가능해야 하는 대역만 따로 설정하여 보다 편리하게 클라우드 관리를 할 수 있습니다.

 

 

 

또한 반대의 경우도 생각해볼 수 있습니다.

 

Routes 설정에 10.0.1.0/24에 해당되는 대역들은 통신을 불가하게 만들어야 하는데 10.0.1.184/32 대역에만 통신을 가능하고 싶게 할 수도 있습니다.

 

이럴 때도 Blackhole을 활용해 볼 수 있습니다.

 

 

 

 

Blackhole 연결 방법

 

이전 글을 참고해보면 다음 구조대로 AWS 설정이 이미 이루어져 있습니다.

 

이전 글 AWS 구조

 

VPC 구성

 

Private Subnet 구성

 

인스턴스 구성

 

vpc-01-instance 구성

 

vpc-02-instance 구성

 

 

 

그래서 Transit Gateway를 통해 VPC 간 통신이 이루어지기 때문에 다음과 같이 vpc-01-instance에서 vpc-02-instance 접근이 가능한 것을 볼 수 있습니다.

 

vpc-02-instance 접근 확인

 

 

 

현재 상황에서 vpc-02-instance에 해당되는 CIDR에 대해서만 blackhole을 설정하여 통신이 이루어지지 않게 해 보겠습니다.

 

 

 

 

[ 1. VPC 접속 ]

 

VPC 접속

 

 

 

[ 2. Transit Gateway 라우팅 테이블 Blackhole Routes 생성 ]

 

왼쪽에서 Transit Gateway 라우팅 테이블 메뉴를 선택한 뒤 이미 생성해 놓은 라우팅 테이블을 선택합니다.

 

그리고 오른쪽에 있는 정적 경로 생성 버튼을 클릭합니다.

 

Transit Gateway 라우팅 테이블 목록

 

Transit Gateway 라우팅 테이블 Routes 생성

 

 

 

vpc-02-instance에는 접근할 수 없게 다음과 같이 blackhole 설정을 해볼 수 있습니다.

 

blackhole 설정

 

 

 

[ 3. 테스트 ]

 

Blackhole 설정이 완료되면 한번 더 vpc-01-instance에서 vpc-02-instance에 접근해 보겠습니다.

 

blackhole 설정 후 vpc-02-instnace 접근 확인

 

 

 

그러면 이전과 달리 vpc-02-instance에 접근할 수 없는 것을 확인할 수 있습니다.

 

 

 

 

Blackhole 안에 특정 대역만 통신하는 방법

 

이번엔 상황을 바꿔보겠습니다.

 

위에서 얘기한 것처럼 10.0.1.0/24 대역은 모두 통신이 불가능해야 하지만 10.0.1.184/32에만 통신이 가능하도록 해보겠습니다.

 

설정은 위에서 해둔 설정을 기반으로 다음 순서대로 진행하면 됩니다.

 

 

 

[ 1. Blackhole Routes 생성 ]

 

Transit Gateway 라우팅 테이블에서 정적 경로 생성 버튼을 클릭합니다.

 

Transit Gateway 라우팅 테이블 정적 경로 생성

 

 

 

10.0.1.0/24에 해당되는 Routes는 현재 연결 및 전파를 통해 자동 생성된거기 때문에 정적 경로를 다음과 같이 새롭게 만들어주면 됩니다.

 

Blackhole Routes 생성

 

 

 

[ 2. 활성 Routes 수정 ]

 

이번엔 Blackhole이 설정되어 있던 10.0.1.184/32에 해당되는 CIDR을 활성화가 되도록 변경해 주면 됩니다.

 

해당 CIDR을 선택한 뒤 "정적 경로 대체"를 클릭합니다.

 

Transit Gateway 라우팅 테이블 정적 경로 대체

 

 

 

그리고 다음과 같이 유형은 "활성" 연결 선택은 "CIDR이 속한 VPC 연결"을 선택해 주시면 됩니다.

 

활성 Routes 대체

 

 

 

[ 3. 테스트 ]

 

이번에도 한번 더 vpc-01-instance에서 vpc-02-instance에 접근해 보겠습니다.

 

특정 대역 대체 후 vpc-02-instance 접근 확인

 

 

 

그러면 이전과 달리 vpc-02-instance에 정상적으로 접근되는 것을 확인할 수 있습니다.

 

 

 

 

 

 

 

 

이상으로 Transit Gateway Blackhole 사용하는 방법에 대해 간단하게 알아보는 시간이었습니다.

 

읽어주셔서 감사합니다.

 

 

 

728x90
반응형

댓글