Introduction

트랜짓 게이트웨이(Transit Gateway, TGW)는 대규모 네트워크 환경을 위한 중앙 집중형 허브입니다. 수천 개의 VPC, VPN, 다이렉트 연결을 하나의 게이트웨이에 연결하여 전이적 라우팅과 정책 기반 트래픽 격리를 제공합니다. 이 글에서는 TGW의 허브 앤 스포크 아키텍처, 라우팅 도메인 분리, 비용 구조, 그리고 Cloud WAN까지의 진화를 살펴봅니다.

허브 앤 스포크 모델

트랜짓 게이트웨이(TGW)는 대규모 네트워크의 복잡성을 해결하기 위한 중앙 집중형 허브다. 하나의 TGW에 수천 개의 VPC, VPN 연결, 다이렉트 연결를 연결하여 허브 앤 스포크(hub-and-spoke) 토폴로지를 구성한다.

전이적 라우팅

VPC 피어링과 달리 TGW는 전이적 라우팅transitive routing을 지원한다. VPC-A와 VPC-C가 모두 TGW에 연결되어 있으면, A ↔ TGW ↔ C 경로로 통신이 가능하다. 새로운 VPC를 추가할 때도 TGW에 연결하기만 하면 기존의 모든 VPC와 자동으로 통신할 수 있다.

라우팅 도메인 분리

TGW의 강력한 기능 중 하나는 라우팅 테이블을 분리하여 트래픽 격리segmentation를 구현할 수 있다는 점이다.

이 구성에서 Production VPC들은 서로 통신할 수 있지만 Development VPC와는 격리된다. Shared Services VPC는 양쪽 모두와 통신할 수 있다. 이를 통해 환경 간 격리를 유지하면서도 공통 서비스는 공유하는 아키텍처가 가능해진다.

TGW 비용 구조

항목비용 (us-east-1 기준)
VPC 연결(Attachment)0.05/시간(0.05/시간 (≈ 36/월)
데이터 처리$0.02/GB

10개의 VPC를 연결하고 월 1TB의 트래픽이 TGW를 통과하면, 월 비용은 약 380(380(360 연결 + $20 처리)이다. VPC 피어링은 연결 비용이 없으므로, 트래픽이 많은 소수의 VPC 쌍에는 VPC 피어링이 비용 면에서 유리하고, 다수의 VPC를 효율적으로 관리해야 하는 경우에는 TGW가 적합하다.

Cloud WAN

최근 도입된 AWS Cloud WAN은 여러 리전의 TGW와 온프레미스 연결을 글로벌 네트워크라는 단일 정책으로 통합 관리하는 서비스다. 기존에는 리전별로 TGW를 생성하고, 이들을 다시 피어링하며, 라우팅을 수동으로 관리해야 했다.

Cloud WAN은 세그먼트(segment)라는 논리적 그룹을 정의하고 정책을 적용하면, 전 세계 리전에 자동으로 설정이 전파된다. 글로벌 규모에서 수십 개의 리전과 수천 개의 VPC를 운영하는 대규모 엔터프라이즈에 적합하며, TGW의 상위 추상화 계층이라 할 수 있다.

세그먼트와 정책 기반 네트워크

Cloud WAN의 핵심 추상화인 세그먼트segment는 TGW의 라우팅 도메인 분리를 글로벌 수준으로 확장한다. 예를 들어 production, development, shared-services라는 세 개의 세그먼트를 정의하면, 각 세그먼트에 속한 VPC는 동일 세그먼트 내에서만 통신할 수 있다. 세그먼트 간 통신이 필요한 경우 명시적인 세그먼트 공유segment sharing 정책을 선언해야 한다.

이 모든 구성은 JSON 기반의 네트워크 정책network policy 문서 하나로 관리된다. 정책을 업데이트하면 Cloud WAN이 관련된 모든 리전의 TGW와 라우팅 테이블을 자동으로 프로비저닝하고 동기화한다. 이는 수동으로 리전별 TGW를 피어링하고 라우팅을 관리하던 기존 방식 대비 운영 복잡성을 크게 줄인다.

TGW 할당량

리소스기본 한도비고
리전당 TGW 수5할당량 조정 가능
TGW당 연결(Attachment) 수5,000
TGW당 라우팅 테이블 수20
라우팅 테이블당 경로 수10,000 (정적) / 5,000 (동적 전파)
VPC Peering 연결 수 (리전당)50할당량 조정 가능

출처