Direct Connect 사용하는 이유, AWS Direct Connect 구성 방법
< aws direct connect : google nano-banana 이용해서 생성함 >
Direct Connect 란 무엇인가?
Direct Connect 는 쉽게 말해서, 위의 그림과 같습니다. (이해를 돕기 위한 AI 생성 이미지임.)
우리는 인터넷(Inter-network)을 사용하고 있으며, 상대방과 통신 할 때 나의 인터넷 패킷은 매우 많은 네트워크 장비들을 거치게 됩니다.
그렇기 때문에, 인터넷 공유기, 연결된 라우터, 통신사 상위 네트워크 장비 등 어느 하나라도 고장 나면 당신은 인터넷을 할 수 없게 됩니다.
예전의 물리서버(온프레미스 서버) 운용 환경에서는, IDC에 서버를 입고하면, 서버마다 1개의 공인 IP가 부여되었고 서버 to 서버 는 이 공인IP를 사용해서 통신했었습니다.
이는 다수의 중간 네트워크 장비를 거치는 통신이기 때문에, 보안문제, 회선점유 문제가 있었고, 추가 요금을 지불하고 스위칭허브를 임대하여 사설IP 환경을 구성하고 사설IP끼리 통신하도록 설정하여 문제를 해결했었습니다. (즉, 다수의 라우터를 통하지 않도록.)
요즘은 기본적으로 VPC 사설IP를 사용하는데, 이것을 사용하는 이유와 Direct Connect 를 사용하는 이유는 비슷하다고 볼 수 있습니다.
(동일 네트워크, 또는 네트워크간 경로(홉)를 짧게 구성할 수록 안전함!)
당신의 인터넷 패킷이 이동하는 경로를 확인하는 방법
# mtr aws.amazon.com -z --report
나와 서버 사이에 이렇게나 많은 장비가 있구나! 라는 것만 확인하시면 됩니다.
Direct Connect 사용하는 이유
여러가지 이유가 있는데, 요약하자면 저 많은 네트워크 장비들을 신뢰하지 않아서 입니다.
요즘은 Zero Trust 가 기본이기 때문에(즉, 기본값이 안전하지 않음 인 것임), 최대한 비 신뢰 구간을 줄일 수 있는 것이 좋습니다.
사무실과 AWS 간에 길다란 랜선을 연결한다고 생각하면 됩니다.
랜선은 내가 설치하는 것이 아니며, 이미 지하에 많은 회선이 깔려 있으며, 회선 사업자 라인을 임대해서 사용하는 것입니다.
- A지역 <-> A지역과 가까운 비어있는 라인 연결 : 신규 설치
- B지역 <-> B지역과 가까운 비어있는 라인 연결 : 신규 설치
- A지역과 연결된 곳 <-> B지역과 연결된 곳 : 이미 라인이 구성되어 있음. (상위국 / 하위국 이라고 부름)
장점
1. 안정적인 전용 네트워크 연결
- 온프레미스(사무실) ↔ AWS 간에 나만 점유하는 라인을 사용하기 때문에, 외부 영향을 받지 않고 안정적입니다.
- 인터넷을 통해 구축되는 VPN/IPSec에 비해 지연시간이 낮고, 변동성이 적습니다.
- 대규모 데이터 전송이나 실시간 애플리케이션에 유리합니다. (내가 회선의 busy 여부를 제어할 수 있기 때문)
2. 보안 및 규제 대응
- 나만 점유하는 전용 장비만 사용하기 때문에 트래픽 도청/가로채기 위험이 감소합니다. (임대회선 라인이 잘 관리되고 있다면, 스니핑은 불가능)
- 금융, 의료, 공공기관의 컴플라이언스 요건 충족에 필요할 수 있습니다.
- AWS Private IP 주소 공간과 직접 연결하기 때문에 보안 그룹/라우팅 제어가 강화됩니다.
나의 경우 금융기관의 컴플라이언스 요건 때문에 사용하였다. 금융기관의 경우, 인터넷망이 없고, 통신라인이 whitelist 로 관리되기 때문에, 통신을 위해서 반드시 전용선(dx)구성을 해야 한다. (기관마다 정책 다름)
3. 대용량 데이터 전송 비용 절감
- 대규모 트래픽을 인터넷을 통해 AWS와 주고 받으면 많은 비용이 청구될 수 있습니다. Direct Connect는 전용 요금제가 있어서 트래픽당 단가가 더 저렴합니다. (https://aws.amazon.com/ko/directconnect/pricing/)
- AWS 로 들어오는 inbound 트래픽은 인터넷을 사용하든, DX를 사용하든 항상 무료입니다. 다만, Outbound 트래픽은 DX가 인터넷 보다 더 저렴합니다. (약 65% 저렴)
나는, DX 트래픽 요금 또한 비싸다고 생각한다. 트래픽 요금 절감이 목적이라면, 계약을 통한 다른 방법(?)을 검토하기 바란다.(누구나 아는 그 방법으로 절약)
AWS Direct Connect 구성 방법
1. 내가 연결할 AWS Direct Connect location 찾기
AWS Direct Connect location 이란, AWS DX 장비가 있는 위치이다. 이 AWS DX 장비에 선을 연결하여, 모든 AWS 리소스에 접근할 수 있다.
AWS의 IDC위치는 비공개이지만, 아마도 이 DX 위치가 IDC 위치라고 간주하면 얼추 맞을 것이다.
예를 들어, AWS DX 장비가 3층에 있다면, 5층이 IDC 위치 일 것으로 추정하면 된다.
DX 로케이션 링크 : https://docs.aws.amazon.com/directconnect/latest/UserGuide/Colocation.html (링크 클릭 후 seoul 이라고 검색)
2025년 10월 현재 한국의 AWS Direct Connect location (3군데)
- Digital Realty ICN1, Seoul (서울시 마포구 상암동)
- KINX Gasan Data Center, Seoul (서울시 금천구 가산동)
- LG U+ Pyeong-Chon Mega Center, Seoul (안양시 동안구 관양동)
다만, 자체 내부 전용망이 있는 KINX의 경우 On-Ramp location 이라고 해서 2군데 더 운영하고 있다.
- KINX 도곡 (서울시 강남구 도곡동)
- KINX 분당 (성남시 분당구 야탑동)
예를 들어, 내 서버가 송파구에 있다고 가정하면, 가장 가까운 DX로케이션인 가산동까지 연결하기에는 너무 멀기 때문에,
- 송파구에 위치한 My Server -> KINX 도곡 (까지만 전용선 임대)
- KINX 도곡 -> KINX 가산 (KINX 내부 전용망 - 메트로 커넥트라고 부릅니다)
이렇게 중개 On-Ramp 를 통해 연결 할수도 있다.
2. 연결(connection) 생성하기
우선 connection 을 생성해야 합니다. 즉, 물리적으로 선을 연결해야 합니다.
연결은 DX 파트너사가 생성합니다. (DX 파트너가 생성하고, 고객이 수락 하는 방식. VPC피어링 처럼 생성-수락 하는 과정이 있음)
1-1) DX 파트너사 선정하기
파트너사 목록 페이지에 접속해서 파트너사를 선택하세요. (아래 링크 클릭 후, korea 라고 검색)
https://aws.amazon.com/ko/directconnect/partners/
본인의 서버와 AWS DX 로케이션 가까운 곳의 운영사에게 견적 받기를 바랍니다.
1년 이상의 약정이 필요할 수 있음. 비용은 싯가(?) 인 것 같음.
설치비, 세팅비, 회선임대비, 장비임대비를 지불해야 하는데, 가장 비싼 요금인 회선임대 요금은 아래 링크를 참고하여 어느정도 짐작 할 수 있을 것입니다.
https://enterprise.kt.com/pd/P_PD_NW_DL_001.do 이 페이지의 요금을 참고 할 수 있을듯 함.
1-2) DX 파트너와 계약하기
적절한 DX 파트너와 계약하세요. (두 곳 이상의 견적서를 받아보고 저렴한 곳을 선택하기를 바람)
DX 파트너에게 AWS Account No 와, 양쪽의 네트워크 CIDR을 전달해야 합니다.
다음의 논리적 순서로 연결됩니다.
온프레미스 -> 임대 라우터 -> 클라우드 허브 -> DX 라우터 -> AWS
물리 구성이 2주, 논리 구성에 1주 정도 걸리는듯 합니다. (총 3주. 구성원들이 최대로 협조 했을 경우)
3. 연결(connection) 수락하기
DX파트너가 연결을 생성하면, 계약한 AWS Account에게 연결(Connection)이 생성됩니다.
물론, 본인이 직접 저 노란 “연결 생성” 버튼을 눌러서 생성할 수도 있는데, 저 버튼은 단독 장비용도(즉, 1G/10G/100G 고객용)이다.
우리는 AWS DX 장비와 미리 연결된 고성능 장비(Cloud Hub라고 부름)의 포트 하나만 임대해서 사용할 것이다. (dx hosted connection 이라고 부름)
수락 버튼을 클릭해주세요.
4. 가상 인터페이스 생성하기 (Create VIF)
Connection, 즉 선은 꼽혀 있으므로, 이 연결에 대한 랜카드(인터페이스)를 정의해야 한다.
가상 인터페이스(Virtual InterFace)라고 부른다.
가상 인터페이스 유형
- 프라이빗 가상 인터페이스(Private VIF) : 트래픽이 VPC 내부로 향해야 할 때
- 퍼블릭 가상 인터페이스(Public VIF) : 트래픽이 인터넷으로 향해야 할 때
- 전송 가상 인터페이스(Transit VIF) : 트래픽이 Transit Gateway 로 향해야 할 때
대부분의 경우 Private VIF 를 선택할 것이다. (private network <=> private subnet 인 경우가 많기 때문)
5. 상황에 맞는 리소스 설정하기
나의 경우 고객사 시스템과 연동하는 업무를 하였기 때문에,
- Virtual Private Gateway 생성
- VPG와 VPC연결. 라우팅 전파 설정
- Private VIF 설정. (VLAN은 connection vlan과 맞춰주시고, BGP는 65000보다 큰 적절한 숫자를 설정해주세요)
6. 가상 인터페이스 구성 파일을 DX파트너에게 전달
VIF 구성파일을 다운로드 한 후, DX파트너에게 전달해주세요. DX파트너가 IP대역, 시리얼 구성, BGP 설정을 해야 합니다.
7. 구성 완료!
모든 구간의 트래픽 테스트를 해보세요.
8. 유지 관리
DX는 물리적 구성이기 때문에 다음의 사항을 고려해야 합니다.
- AWS 측 DX 장비가 유지보수 기간일 수 있음. 새벽시간(KST)에 4시간 정도 유지보수 하는데, 해당 기간 중 15분 정도 통신이 불안정 할 수 있음. (3개월에 한번)
- 파트너측 DX 장비가 유지보수 할 수 있음.
- 통신사가 유지보수 할 수 있음. (몇년에 한번) (주로, 일요일 0시 ~ 6시에 작업. 3분정도 다운)
기타 사항
- 크로스 커넥트, 메트로 커넥트, 상위국/하위국 용어를 알아두면 좋음.
- DX 또한 이중화가 가능하다. 물론 비용은 두배
- 당연한 이야기 이지만, 전용선을 사용하더라도 장애복원을 구현해 두어야 함.
- DX요금을 아끼려면 DX로케이션이 있는 IDC에 입주를 하는것이 좋음. (즉, origin 와 dx의 거리를 줄이기)