본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

AWS Ambassador

AWS Accelerated Site-to-Site VPN을 활용한 해외 사업장 통신 품질 개선

2024.08.30

INTRO

AWS 클라우드는 33개 지리적 리전 내에 105개의 가용 영역을 보유하고 있습니다. 최근 발표에 따르면 AWS는 말레이시아, 멕시코, 뉴질랜드, 사우디아라비아, 태국, 대만 및 AWS European Sovereign Cloud에 21개의 가용 영역과 7개의 AWS 리전을 추가할 계획입니다. AWS 글로벌 클라우드 인프라는 광범위하고 안정적인 클라우드 플랫폼으로, 전 세계 데이터 센터를 통해 최적의 기능을 갖춘 200개 이상의 서비스를 제공하고 있습니다.

이러한 서비스 중에서 AWS Accelerated Site-to-Site VPN(Virtual Private Network, 가상 사설망, 데이터를 암호화하고 IP 주소를 마스킹해 사용자를 보호하는 것) 기능은 AWS 글로벌 네트워크와 AWS 엣지 로케이션을 통해 트래픽을 지능적으로 라우팅 합니다.

[그림 1] 엣지 로케이션

이전에는 트래픽이 여러 퍼블릭 네트워크를(Public Network, 불특정 다수의 사용자를 대상으로 통신 사업자나 통신 주관청이 제공하는 교환 접속형 전기 통신망) 통해 AWS의 VPN 엔드포인트(컴퓨터 네트워크에 연결되는 모든 장치) 로 전송될 때 VPN 연결에서 성능이 일정하지 않은 문제가 발생하기도 했습니다. 게다가 공용 인터넷과 같은 퍼블릭 네트워크는 품질이 안정적이지 않고, 퍼블릭 네트워크 간 또는 네트워크 내에서 홉(Hop, 컴퓨터 네트워크에서 출발지와 목적지 사이에 위치한 경로의 한 부분)을 거칠 때마다 성능 위험이 발생할 수도 있습니다.

하지만 AWS Transit Gateway로의 AWS Site-to-Site VPN 연결을 생성할 때 가속화 기능을 활성화하는 AWS Accelerated Site-to-Site VPN을 활용한다면 AWS 글로벌 네트워크를 기반으로 이전의 Pain Point를 개선할 수 있습니다. 고객 Gateway 디바이스의 트래픽은 가장 가까운 AWS 엣지 로케이션을 통해 라우팅되며, 보다 안정적인 이중화 AWS 글로벌 네트워크를 통해 AWS의 VPN 엔드포인트에 도달하게 됩니다.

[그림 2]

이번 글에서는 국제 인터넷을 통한 단순 IPSec(장치 간 연결을 보호하기 위한 포로토콜 그룹) VPN 연결 시 발생하는 품질, 이슈 상황 관리 문제와 개선 사례를 소개해드리겠습니다. 온프레미스(On-Premise, 기업이 자체 시설에서 보유하고 직접 유지 관리하는 프라이빗 데이터 센터)망과 통신하면서 품질 이슈 발생 시 관리의 어려움을 겪고 있었던 해외 사업장이 AWS Accelerated Site-to-Site VPN 기능을 활용하여 개선한 사례입니다. 그리고 실제 AWS Accelerated Site-to-Site VPN 설정 방법과 통신 구조에 대해서도 살펴보겠습니다.


1. 해외 사업장 통신 구성

1) 구성

베트남에 해외 사업장이 있는 경우를 예로 들겠습니다. Middle Mile(기업과 기업 간의 물류단계) 구간은 국제 인터넷보다 안정적인 AWS의 백본망(Backbone network, 중추망, 다양한 네트워크를 상호 연결하는 컴퓨터 네트워크의 일부)을 사용하는 것이 구성의 핵심입니다. Last Mile(배송 상품이 도착하기 전 마지막 단계)의 경우 국내 온프레미스와 AWS의 전용 네트워크 연결 서비스를 사용해 가장 안정적인 통신 품질을 확보하도록 구성합니다.

해외 사업장은 인터넷을 통해 AWS의 가장 가까운 엣지 로케이션으로 연결해 최적의 경로로 통신할 수 있도록 구성해야 합니다. 단순히 인터넷을 통한 최적의 경로로 통신하도록 하는 것이 아니라, 인터넷 구간의 보안 취약점을 보완하고 경로상 이점을 얻기 위해 AWS의 Accelerated Site-to-Site VPN 기능을 기반으로 [그림 3]과 같이 구성할 수 있습니다.

[그림 3]


2) 설정

• AWS 설정

1. Transit Gateway 설정

AWS Accelerated Site-to-Site VPN 기능 사용을 위해서는 Transit Gateway 자원이 필수이기 때문에 해당 자원을 생성합니다. [그림 4~6]

[그림 4]
[그림 5]
[그림 6]


2. Customer Gateway 설정

AWS Site-to-Site VPN 연결을 위해서는 먼저 해외 사업장의 VPN 장비 설정을 위한 Customer Gateway 자원을 생성해야 합니다. [그림 7~9]

[그림 7]
[그림 8]
[그림 9]


3. Customer Gateway 설정

AWS Site-to-Site VPN 연결을 위한 설정을 진행하겠습니다. 앞서 생성했던 Transit Gateway 및 Customer Gateway를 여기서 사용하게 되는데요. 설정 과정 중에 가속 기능을 Enable 하여 해외 사업장에서 가장 가까운 엣지 로케이션으로 연결하도록 합니다. [그림 10~12]

[그림 10]
[그림 11]
[그림 12]


• 온프레미스 장비 설정

1. AWS에서 생성한 Site-to-Site VPN 연결의 설정 참고

Site-to-Site VPN 상태가 Available로 변경되면, 우측 상단의 “Download configuration”을 클릭합니다. 그런 다음 해외 사업장의 VPN 장비 정보에 맞게 옵션을 선택하고, 해당 가이드를 참고하여 실제 장비 설정을 진행합니다. [그림 13, 14]

[그림 13]
[그림 14]


2. 해외 사업장 VPN 장비 설정 후 VPN 연결 상태 확인

해외 사업장의 실제 VPN 장비 설정이 완료되면, AWS 콘솔에서 터널을 클릭하고 하단의 상세 페이지 정보에서 Status가 Up인지 확인합니다. 또한, Details에서 BGP ROUTES의 개수를 확인합니다. 만약 정상적이지 않다면, 문제 해결을 위한 트러블슈팅을 진행합니다.

[그림 15]

BGP 연동을 포함한 AWS의 Site-to-Site VPN 연결 문제 해결 참고하기


2. 개선 효과

1) 국제 인터넷 구간 최소화

AWS Accelerated Site-to-Site VPN 기능을 사용하여 해외 사업장에서 가장 가까운 엣지 로케이션으로 접근한 후, AWS의 안정적인 글로벌 백본망을 통해 연결을 구성했습니다. 이를 통해 균일하지 않은 통신 품질 및 통신 응답 속도 문제를 발생시킬 수 있는 국제 인터넷 구간을 최소화했습니다.

[그림 16]


2) 응답속도 최적화

기존의 단순 국제 인터넷을 통한 VPN 연결에 비해, 해외 사업장과 한국 간 통신 응답속도(RTT)가 50% 이상 개선됐습니다. [그림 17]의 해외 사업장 내부 라우터 장비에서 국내 시스템과의 통신을 ping으로 테스트한 결과, 통신 응답속도가 기존 평균 223ms에서 102ms로 확연히 개선된 것을 확인할 수 있습니다.

[그림 17]

OUTRO

가트너(미국의 정보 기술 연구 및 자문 회사)에 따르면, 2021년부터 2026년까지 기업의 네트워크 연결 서비스 유형 중 인터넷의 비중이 점점 증가해 2025년에는 모든 기업 사업장의 약 40%가 인터넷을 유일한 광역 네트워크망 전송 방식으로 사용할 것으로 예상됩니다. 특히, 해외에 다수의 사업장을 보유한 글로벌 기업의 경우 그 비중이 더욱 증가할 것으로 보입니다.

또한, 어려운 거시 경제 상황으로 인해 각 기업에서 인프라 비용 절감에 대한 요구가 증가하고 있습니다. 국제 인터넷보다 안정적인 품질을 제공하는 AWS 글로벌 백본망을 활용하고, 사용한 만큼 비용을 지불하는 종량제 비용 체계의 이점을 제공하는 AWS Accelerated Site-to-Site VPN 기능을 활용한 해외 사업장 연결 구성 방식은 충분히 검토해볼 가치가 있습니다.

하지만, 모든 지리적 위치의 해외 사업장에서 획기적인 효과를 얻을 수 있을지는 실제로 적용하기 전까지 알기 어렵습니다. 따라서 AWS의 빠른 프로비저닝(IT인프라를 생성하고 설정하는 프로세스) 기능을 활용하여 사전에 충분한 테스트를 진행하고, 이를 통해 효과를 검토한 후 적용하는 것이 올바른 방향일 것입니다.


[참고문헌]

AWS-AMAZON

AWS-AMAZON

챗봇과 대화를 할 수 있어요