4. AWS Direct Connect는?
고객
AWS Cloud
S3 등의 Public
서비스
Amazon VPC
DX 로케이션
(크로스 커넥션)
전용선
서비스
AWS와 고객의 설비(데이터 센터 사무실 또는 코 로케이션)
사이에 전용선을 이용한 Private 접속을 제공하는 서비스입니다.
5. Direct Connect 연결 예시
AWS장비
서울리전
고객 또는
사업자 장비
고객사
고객의 Dark Fiber
또는 ISP 전용선
DX Location
포트연결
(1Gbps or 10Gbps)
AWS 연결
6. Direct Connect 로케이션
Region Location
US East(Virginia) CoreSite NY1 & NY2
Equinix DC1 – DC6 & DC10
EU (Frankfurt) Equinix FR5
EU (Ireland) Eircom Clonshaugh
TelecityGroup, London Docklands’
Asia Pacific (Singapore) Equinix SG2
Asia Pasific (Sydney) Equinix SY3
Global Switch
Asia Pasific (Tokyo) Equinix TY2
Asia Pasfic (Seoul) KINX, Seoul, Korea
서울시 금천구
가산동
https://aws.amazon.com/ko/directconnect/faqs/
8. 다른 AWS계정에 VIF 연결 (Hosted Connection)
Connection
Virtual Interface
Connection을 가진 AWS계정에서 다른 AWS계정에 Virtual Interface(VIF)를
제공하는 것이 가능
IT부서
AWSID:123456789012
협력사 A
AWSID:999999999999
IT부서
AWSID:123456789012
개발팀
AWSID:000000000000
협력사 A 네트워크
개발팀 네트워크
Production 네트워크
Virtual Interface
Virtual Interface
9. AWS Direct Connect 도입의 이점
대역폭 및 성능 향상
일관된 성능 및 지연(Latency)
Traffic 비용 절감 (Data Transfer Out)
$0.041 $0.041 $0.041 $0.041
$0.126 $0.122 $0.117
$0.108
$0.020
$0.040
$0.060
$0.080
$0.100
$0.120
$0.140
First
10TB
Next
40TB
Next
100TB
Next
350TB
Direct Connect
Internet
* 서울리전 가격
2015년 2월10일 기준
데이터 전송요금(Out)
10. 과금체계
AWS Direct Connect 월 이용료
① 포트 사용료
+
② 데이터 전송료
데이터 전송 요금
Virtual Interface를 이용하고 있는 VPC 소유 계정에 과금
퍼블릭 접속의 경우 퍼블릭 서비스의 소유 계정에 과금
12. 두가지 연결 옵션 (Private VIF / Public VIF)
전용선
서비스
고객
AWS Cloud
EC2, S3등의
Public 서비스
Amazon VPC
Direct Connect
로케이션
13. Private 연결
사무실/데이터 센터
VPC subnet
VPC subnet192.168.0.0/24
10.0.0.0/16
BGP 라우팅
192.168.0.0/24 대역에 대한
Target을 VGW로 설정
192.168.0.0/24를 광고
10.0.0.0/16의
VPC CIDR을 광고
Virtual
Gateway
14. Public 연결(자체 공인 IP이용)
사무실/데이터 센터
203.0.113.0/28
BGP라우팅
퍼블릭 IP
203.0.113.240/28을 광고
접속 리전의 AWS클라우드
서비스 대역을 광고
192.168.0.0/24
AWS와의 통신은 퍼블릭
통신을 위해 NATing 필요
15. 퍼블릭 IP인
203.0.113.100/31를 광고
접속 리전의 AWS클라우드
서비스 대역을 광고
192.168.0.0/24
AWS와의 통신은 퍼블릭
통신을 위해 NATing 필요
Public 연결 ( AWS로부터 공인 IP할당)
사무실/데이터 센터
BGP라우팅
16. VPC 1
Private Virtual Interface 1
VLAN Tag 101
BGP ASN 7224
BGP Announce 10.1.0.0/16
Interface IP 169.254.251.5/30
10.1.0.0/16
VGW 1
Multiple VPCs Over AWS Direct Connect
Customer
Switch + Router
Customer Interface 0/1.101
VLAN Tag 101
BGP ASN 65001
BGP Announce Customer Internal
Interface IP 169.254.251.6/30
VLAN 101
VLAN 102
VLAN 103
VLAN 104
VPC 2
10.2.0.0/16
VGW 2
VPC 3
10.3.0.0/16
VGW 3
VPC 4
10.4.0.0/16
VGW 4
Private Virtual Interface 2
VLAN Tag 102
BGP ASN 7224
BGP Announce 10.2.0.0/16
Interface IP 169.254.251.9/30
Customer Interface 0/1.102
VLAN Tag 102
BGP ASN 65002
BGP Announce Customer Internal
Interface IP 169.254.251.10/30
Customer Interface 0/1.103
VLAN Tag 103
BGP ASN 65003
BGP Announce Customer Internal
Interface IP 169.254.251.14/30
Private Virtual Interface 3
VLAN Tag 103
BGP ASN 7224
BGP Announce 10.3.0.0/16
Interface IP 169.254.251.13/30
Private Virtual Interface 4
VLAN Tag 104
BGP ASN 7224
BGP Announce 10.4.0.0/16
Interface IP 169.254.251.17/30
Customer Interface 0/1.104
VLAN Tag 104
BGP ASN 65004
BGP Announce Customer Internal
Interface IP 169.254.251.18/30
Route Table
Destination Target
10.1.0.0/16 PVI 1
10.2.0.0/16 PVI 2
10.3.0.0/16 PVI 3
10.4.0.0/16 PVI 4
Customer Internal
Network
논리적 구성
17. Customer Internal
Network
VPC 1
Public Virtual Interface 1
VLAN Tag 501
BGP ASN 7224
BGP Announce AWS Regional
Public CIDRs
Interface IP Public /30 Provided
10.1.0.0/16
VGW 1
Public AWS + VPCs Over AWS Direct Connect
Customer
Switch +
Router
Customer Interface 0/1.501
VLAN Tag 501
BGP ASN 65501 (or Public)
BGP Announce Customer Public
Interface IP Public /30 Provided
VLAN 101
VLAN 102
VLAN 103
VLAN 501
VPC 2
10.2.0.0/16
VGW 2
VPC 3
10.3.0.0/16
VGW 3
Public AWS
Region
Route Table
Destination Target
10.1.0.0/16 PVI 1
10.2.0.0/16 PVI 2
10.3.0.0/16 PVI 3
10.4.0.0/16 PVI 4
Public AWS PVI 5
NAT / PAT
Security Layer
논리적 구성
18. 물리적 연결 구성도
라우터
Patch Panel
Patch Panel
Patch Panel
라우터
Patch Panel
크로스 커넥트
Direct Connect 로케이션
AWS 랙파트너/고객 랙 Meet-Me Room
고객 데이터센터
AWS
고객/
파트너
각각의 리전
19. APN 파트너를통한 Direct Connect 서비스
Direct Connect 파트너는 DX로케이션에 네트워크 장비(포트) 보유
50Mbps, 100Mbps등 1Gbps미만의 연결제공
고객이 지정하는 장소에서 DX로케이션 까지 연결 제공
광역 WAN의 복수 거점에서 AWS접속
20. APN 파트너 제공 서비스(점유형, 공유형)
Direct Connect(점유형) : 1Gbps / 10Gbps
Connection을 고객에게 제공
Virtual Interface는 고객측에서 자유롭게 설정 가능
Direct Connect(공유형) : 50/100/200/300/400/500Mbps
Connection은 파트너의 계정으로 가짐
Virtual Interface는 고객의 신청을 받아 파트너가 설정
22. Direct Connect 신청 절차 (Connection 생성)
사용자 AWS
APN 파트너
DX 로케이션
①사용신청
②사용신청 확인메일 발송
④LOA-CFA 전달
⑤LOA-CFA전달・물리 회선 신청
⑥회선설치 완료 통지
AWS 포트설정
DX파트너 회선 설치
Virtual Interface
설정
23. ① Direct Connect사용 신청
1. AWS관리 콘솔에 로그인하고,“Seoul“리전 선택.
2. [Services]-[Networking]-[Direct Connect] 클릭
3. “Connections”의 ”Create Connection”클릭
24. 필요 항목을 입력하고 “Create” 클릭
Connection Name: 커넥션 이름(임의의 문자열)
Location: KINX Gasan, Seoul, Korea
Port Speed: 1Gbps or 10Gbps (원하는 포트 대역폭)
① Direct Connect사용 신청(계속)
25. Connections 리스트에 새롭게 생성한 Connection이 표시됨
“Status 는 requested”
① Direct Connect사용 신청(계속)
26. ② 사용신청 확인 ③사용신청 확인 응답
Subject: [aws-xxxx-0001] Welcome to AWS Direct Connect
Body:
Dear AWS Customer,
You recently ordered a connection (dxcon-abcdefgh) using the AWS Direct Connect Console.
We need additional information to help process your request. Please email us the data center
where you have equipment or, if apporopriate, network provider you are using to connect.
실제 사용 의사를 확인하기 위해, AWS관리 콘솔의 이메일 주소로 다음과 같은 메일이
발송됩니다.
Direct Connect 로케이션에 직접 상면임대 를 통해 접속 할때는 해당 로케이션의
이름(KINX)을 입력하고, DX 파트너의 회선을 이용할 경우 해당 파트너의 이름을 기재 후
회신하세요.
27. ④물리회선 정보 (LOA-CFA) 송부
⑤LOA-CFA전달・물리회선 설치 의뢰
AWS Direct Connect 로케이션의의 물리 배선 정보:LOA-CFA
(Letter of Authorization and Connecting Facility Assignment)가 송부됩니다.
LOA-CFA 정보를 파트너 혹은 Direct Conenct 로케이션 사업자에 전달하고 물리회선
연결을 의뢰하세요.
28. ⑥회선 설치 완료
회선 설치가 완료되면 AWS관리콘솔의 [Direct Connect]- [Connections]에서 상태를
확인하실 수 있습니다. [available]
29. Virtual Interface 구성 (Private VIF)
Private VIF 생성 (VPC 연결용)
VIF가 연결될 VGW(VPC선택)
VIF가 사용할 사용되지 않은 VLAN 임의 지정 (1~4094)
VIF명칭설정
VIF가 사용할 Connection 선택
임의의 사설 BGP AS 넘버 입력(64512 ~ 65535)/공인AS 보유시 사용가능
MD5 암호설정(체크시 임의설정)
고객 IDC 우터와 AWS 우터간 네트워크 IP 주소 임의 할당 (BGP Peering용)
31. Virtual Interface 구성 (Public VIF)
Public VIF 생성 (S3, Glacier등의 Non-VPC 서비스 연결용)
VIF명칭설정
VIF가 사용할 Connection 선택
VIF가 사용할 사용되지 않은 VLAN 임의 지정 (1~4094)
임의의 사설 BGP AS 넘버 입력(64512 ~ 65535)/공인AS 보유시 사용가능
BGP를 통해 광고할 고객 네트워크 대역입력 (콤마로 분리)
(BGP Peering에 사용된 공인 IP대역도 반드시 포함)
/31 대역의 공인 IP 주소 입력 예) 8.18.144.1/31 ( 별도 공인 IP대역 필요시 AWS Ticket Open
8.18.144.2/31
32. 58
Virtual Interface 구성 (Public VIF) – Config 다운로드
Public VIF 생성시 입력한 IP / ASN에 대한 검증을 위해 최대 72시간까지
소요될수 있음
34. VPC의 Route Table설정
연결되는 온-프리미스 네트워크 대역에 대해
VGW를 Target으로 하는 라우팅 엔트리 추가
“Propagate”를 설정 함으로써 VGW에서
수신한경로를 자동으로 반영
35. 다른 AWS 계정에서 Virtual Interface 이용
Virtual Interface 생성
할당받은 VIF를 연결할 VGW(VPC)선택
“Connections”를 가진 계정
“Virtual Interface”를 이용하는 계정
계정 로그인후 Direct Connect확인
Accept 선택하여 논리적인 연결수
다른 AWS 계정에 VIF할당
해당 계정번호
입력(숫자 12자리)
36. 고객 우팅 장비의 요건
BGP 지원 라우터/스위치 (Cisco/Juniper Config 기본제공)
MD5 지원
IEEE 802.1q VLAN 지원
RFC 3021 (/31 서브넷)
퍼블릭 접속으로 AWS의 퍼블릭 IP주소를 이용할 때만
37. 참고 : BGP란?
BGP(Border Gateway Protocol)이란, 인터넷상에서 프로바이더 간의 상호 연결에서
서로의 경로 정보를 교환하는 데 사용되는 라우팅 프로토콜의 하나입니다.
ISP-A ISP-B
네트워크 P 네트워크 Q
네트워크 P대역을 광고
네트워크 Q대역을 광고
AS65000 AS65001
HTTP/2 uses SSL/TLS connections by default
28% of SSL top 1000 sites have SPDY or HTTP/2 support
Browser and application libraries only support HTTP/2 over a secure SSL/TLS connection
US Gov. and other sites mandate use of HTTPS for new sites
Mozilla browser will focus new development on HTTPS
Chrome proposed marking HTTP as non-secure
Our customers live in the Editor and Tools -it’s where they make their products. A poor workflow directly translates to missed opportunity, and a great workflow can be a force multiplier. We’re working on several areas in the Editor & Tools to ensure that Lumberyard enables our customers to do more, faster.
A game IDE is like a blank canvas, and developers can fall into bad patterns without guidance. We have built a system that we call “Gems” that provides a clear interface for developers to build engine modules against, and help avoid strongly coupling their code with other systems. For designers, we provide an Entity & Component framework that allows them to build game objects through flat composition of simple structures rather than fragile inheritance trees.
3D artists will find the new 3-step export workflow to be an accelerator, and we have an importer-based workflow in the pipeline. The enhanced Particle System and new 2D/GUI tools combined with the FlowGraph visual scripting system will let content creators realize their vision without overly-depending on engineering resources.
We’re also introducing an asset pipeline that will allow the Editor to live update game resources running on consoles and other devices, without needing to restart, rebuild, and deploy game builds.
This sample image is low-fidelity. Let’s take a look at what’s possible…
To create environments like these
With characters like this
1 VPC to 1 VGW to 1 PVI
VLAN tags configured on physical port connection of customer side switch – all tags, sub interfaces
VLANs can extend on into customer network
on AWS side, VLAN ends at the Virtual interface
Traffic is NOT routed between VPCs on the AWS end – it must come down into your network and be routed back out according to your policies.
Showing link local Ips for interfaces, but you can assign your own internal network private Ips if you want
BGP ASNs also don’t have to be unique on your end – you are only connecting to the 1 BGP neighbor.
AWS would advertise out via BGP all Public CIDR blocks for the Region
This would include all services like:
S3
and even
Amazon.com
On your end, treat this connection like the internet – because it IS.
So security, firewalling should be the same as any public network.
AWS also doesn’t provide a NAT / PAT functionality on the Public interface, so for internal corporate networks to reach AWS you will need to do this
Make sure and consider latency along this path to determine optimum path to S3 from a VPC