[AWS] VPC 피어링, 한 번에 이해하기

https://docs.aws.amazon.com/prescriptive-guidance/latest/integrate-third-party-services/architecture-2.html

VPC 피어링 개념

두 개의 VPC 간에 프라이빗 IP 주소를 통해 통신할 수 있도록 직접 연결을 구성하는 방식이다.

 

• 인터넷 게이트웨이, NAT, VPN 없이도 VPC 간 트래픽을 AWS 내부망을 통해 주고받을 수 있음
• 같은 리전 또는 다른 리전 간(Inter-Region Peering) 모두 가능

 

VPC 피어링 특징

• AWS 내부 전용망을 통한 프라이빗 직접 연결 제공
• 동일 리전 및 리전 간 모두 지원
• 라우팅 테이블(Route Table)을 통해 명시적 경로 설정 필요
• 보안 그룹에서 상대 VPC IP 허용 설정 필요
• 기본적으로 암호화되지 않은 AWS 내부망 사용
• 트래픽당 요금 부과, 특히 리전 간 전송 요금 주의
• 전이적 라우팅(transitive routing) 미지원 (A-B, B-C 연결돼도 A-C는 불가)

 

VPC 피어링 사용 사례

• 서로 다른 AWS 계정 간 VPC 연결
• 리전 간 복제 트래픽을 위한 안전한 경로 구성 (예: RDS, DynamoDB, S3)
• 개발용/운영용 VPC 분리 구성 후 내부 연동
• 온프레미스와 연결된 Transit VPC를 통해 여러 업무 VPC 연동

---

 

예제 문제

한 회사가 us-east-1 리전의 Amazon EC2 인스턴스에 웹사이트를 호스팅하고 있습니다. 이 회사는 웹사이트를 eu-central-1 리전으로 확장하려고 준비 중이지만, 데이터베이스는 us-east-1 리전에만 유지해야 합니다. 배포 후 eu-central-1의 EC2 인스턴스가 us-east-1의 데이터베이스에 연결할 수 없습니다.
이 연결 문제를 해결하는 가장 운영 효율적인 솔루션은 무엇입니까?

• A. 두 리전 간에 VPC 피어링 연결을 생성합니다. 인스턴스의 개인 IP 주소 범위를 데이터베이스 보안 그룹의 인바운드 규칙에 추가합니다.
• B. 두 리전 간에 VPC 피어링 연결을 생성합니다. eu-central-1 인스턴스의 보안 그룹을 데이터베이스 보안 그룹의 아웃바운드 규칙에 추가합니다.
• C. 두 지역 간에 VPN 연결을 생성합니다. 인스턴스의 개인 IP 주소 범위를 데이터베이스 보안 그룹의 아웃바운드 규칙에 추가합니다.
• D. 두 지역 간에 VPN 연결을 생성합니다. eu-central-1 인스턴스의 보안 그룹을 데이터베이스 보안 그룹의 인바운드 규칙에 추가합니다.

답 : A

이유 : 리전 간 VPC 피어링 생성 후 보안 그룹 인바운드 정책을 수정해 주면 된다.

VPN의 경우, 인터넷 위에 가상 프라이빗망이 구축되는 것인데 VPC를 이용하면 애초에 AWS 내부 네트워크를 통해 통신하므로 더 효율적이다.