여러 VPC가 인터넷 요청을 TGW로 전달한 후 아웃바운드 VPC로 전달하는 방법에 대한 참조 아키텍처를 참조하세요(참조https://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/), 아웃바운드 VPC에는 여러 개의 AZ가 있고 각 AZ에는 각각의 서브넷과 NAT 게이트웨이가 있습니다. 제 질문은 TGW가 패킷을 전달할 AZ(다이어그램의 Egress-privateAZ1/Egress-private AZ2)를 어떻게 알 수 있느냐는 것입니다. 라운드로빈인가요? 이 부분을 어떻게 구성하나요? 감사해요
답변1
AWS에서는 일반적으로 실용적인 경우 트래픽이 AZ 내에 유지된다고 말했습니다. 예를 들어 일부 로드 밸런서는 모든 AZ에 대해 라운드 로빈을 수행하므로 이는 엄격한 규칙이 아닙니다.
귀하가 요청한 질문은 이론적이며 아무런 문제가 없습니다. 어떤 문제가 있나요? 성능, 비용 등을 최적화하려고 하시나요?
TGW를 통해 중앙 계정의 IGW로 이동하면 계정 간 트래픽 비용이 발생하고 인터넷으로 나가는 트래픽 비용이 발생하며 응답에도 동일합니다. 각 계정의 인터넷 게이트웨이는 더 저렴하지만 모니터링/제어된 인터넷 수신 또는 송신 중앙 집중화에 대한 기업 요구 사항이 있고 관련 비용이 가치가 있을 수 있습니다.
AWS에는 수신/송신 제어에 대한 훌륭한 엔터프라이즈 스토리가 아직 없으므로 직접 구축해야 합니다. 그들은 re-invent에서 기능을 출시했습니다.인터넷 수신 라우팅, 이는 도움이 될 수 있으며 다음과 같은 문제에 대한 몇 가지 솔루션이 있습니다.인터넷 송신 라우팅.
과거에 제가 사용한 모델은 응답을 포함하여 송신 권한을 수행하는 Squid 또는 F5와 같은 고급 방화벽과 같은 어플라이언스와 함께 송신을 공유하는 것입니다. 이 경우에는 더 저렴하고 빠르며 CloudFront/WAF/Shield/ALB를 통해 충분히 보호할 수 있으므로 계정으로 직접 수신했습니다.