[re:Invent 2024] 복잡한 네트워크?? 서비스 연결로 간단히, 가시성과 안전함을 곁들인 (VPC Lattice & PrivateLink)

작성자 이 정대 작성일 1월 20, 2025 조회수 90

 1. 들어가기

 흑백요리사의 무조림 편을 인상 깊게 보며, 무와 들기름의 관계에 대해 생각하게 되었습니다. 무조림은 누구나 아는 평범한 음식이지만, 곁들여진 들기름 덕분에 차별점이 생겼다고 생각합니다.

 소개드릴 VPC Lattice와 PrivateLink의 관계도 이와 비슷합니다. VPC Lattice는 서비스 네트워크를 통해 네트워크를 연결하는 기본 기능을 제공하며, 여기에 간소화와 안전성을 더한 PrivateLink가 곁들여져 차별점을 만듭니다.

 2023년에 정식 출시된 VPC Lattice는 2024년 AWS re:Invent에서 발표된 PrivateLink 추가기능과 결합되어, VPC와 계정, 그리고 온프레미스 환경까지 일관된 방식으로 서비스 간 통신을 연결할 수 있도록 확장되었습니다. 이러한 업데이트는 AWS VPC 서비스 콘솔에서도 확인할 수 있습니다.

 이번 포스팅에서는 VPC Lattice와 PrivateLink의 추가기능의 출시 배경과 구성요소를 살펴보고, 어떻게 활용될 수 있는지 알아보겠습니다.

VPC 서비스에 업데이트된 항목들

 2. 출시 배경

 

AWS re:Invent 2024에서 발표된 해당 서비스의 주제는 다음과 같습니다:
“Simplify cross-VPC resource access with PrivateLink and VPC Lattice”
직역하면 “PrivateLink와 VPC Lattice로 VPC 간 리소스 접근을 간소화”라는 뜻입니다.

 기존에는 VPC 간 리소스를 공유하는 것이 간단하지 않았습니다. TGW(Transit Gateway), VPC Peering, VPN 등을 통해 네트워크 연결이 가능했지만, 라우팅 테이블과 같은 IP 기반의 네트워크 요소들을 설정과 관리 하는 과정이 복잡했습니다.
 

 이번에 출시된 서비스의 핵심 키워드는 바로 Simplify(간소화)입니다. VPC Lattice와 PrivateLink의 결합은 네트워크 연결 및 관리의 복잡성을 줄이고, 보다 효율적이고 일관된 서비스 연결을 제공합니다.

3. VPC Lattice와 PrivateLink 돌아보기 

 VPC Lattice와 PrivateLink의 결합된 서비스를 소개하기에 앞서, 기존에 출시된 서비스들이 제공하는 기능을 먼저 살펴보겠습니다.

3.1 VPC Lattice란?

 VPC Lattice는 서비스 간 통신을 연결하고, 보안 및 모니터링을 간소화하는 애플리케이션 네트워킹 서비스입니다.

 이 서비스는 2022년 AWS re:Invent에서 평가판으로 처음 공개된 후, 2023년 일부 리전에 출시되었고, 2024년 8월 서울 리전에서 정식 출시되었습니다.

 많은 분들에게 익숙한 TGW(Transit Gateway)와의 주요 특징을 비교하며, VPC Lattice의 기능을 더 쉽게 이해해 보겠습니다.

1. 네트워킹 서비스
   • VPC Lattice와 TGW 모두 격리된 네트워크(VPC)를 연결하는 네트워킹 서비스를 제공합니다.
   • 트래픽을 안전하게 관리하고 연결성을 제공하는 역할은 비슷합니다.
     
     
2. 온프레미스 지원
   • VPC Lattice: 기존에는 Direct Connect(DX)만 지원했지만, PrivateLink와 결합하여 온프레미스 지원을 제공합니다.
   • TGW: DX 및 Site-to-Site VPN을 직접 연결하여 강력한 온프레미스 지원을 제공합니다.
     
     
3. 통신 계층
   • VPC Lattice: 애플리케이션 계층(L7)에서 통신을 제공합니다.
     • URL 경로 기반 라우팅 활용 (R53 Private hosted zone).
   • TGW: 네트워크 계층(L3)에서 통신을 제공합니다.
     • IP 기반 라우팅 활용.(라우팅 테이블)
       
       
4. 서비스 중심 관리
   • VPC Lattice는 서비스 중심으로 설계되어, Service Network를 통해 서비스 간 연결을 자동화하고 넓은 의미의 서비스 메쉬로 분류됩니다.
   • TGW는 네트워크 중심으로 관리되며, 수동으로 각 네트워크의 라우팅을 설정해야 합니다.
     
     
5. VPC Lattice와 TGW의 통합
   • PrivateLink의 기능을 활용하여 각기 다른 장점을 가진 두 네트워킹 서비스를 함께 통합할 수 있습니다.
   • 기존에 TGW를 사용 중인 환경에서도 VPC Lattice 및 PrivateLink를 도입하여 네트워크를 확장하거나, 특정 구간의 네트워크 연결을 간소화할 수 있습니다.
     

VPC Lattice 구성 예시

 3.2 PrivateLink란?

 AWS PrivateLink는 인터넷을 경유하지 않고 AWS 네트워크 내부에서 프라이빗하게 통신할 수 있는 엔드포인트(Endpoint)를 활용하여 보안성과 데이터 프라이버시를 제공하는 서비스 입니다.

 기존에는 주로 S3, DynamoDB, EC2, Kinesis 등의 AWS 서비스나 AWS Marketplace의 SaaS 서비스와의 연결에 사용되었지만,
신규 엔드포인트 출시 및 AWS Lattice와의 결합하여 사용자 VPC 내부의 서비스 및 리소스까지 안전하게 공유할 수 있게 되었습니다.

PrivateLink S3 구성 예시

4.  Cross-VPC Resource Access (VPC Lattice & PrivateLink 활용 사례)

 드디어 이번 re:Invent2024를 통해 소개된 Cross-VPC Resource Access 구성 예시를 소개드릴 차례입니다!! 

 기존에는 다른 VPC와 리소스를 공유하기 위해 네트워크 연결과 라우팅 작업이 필요했지만, 이제는 PrivateLink의 Endpoint를 활용해 서비스 형태로 리소스를 공유할 수 있고, VPC Lattice로 구성된 Service Network를 대상으로도 엔드포인트와 연결 가능합니다.

 즉, 새롭게 출시된 VPC 서비스를 통해 VPC 리소스를 보다 간편하고 안전하게 다른 계정, 다수의 VPC에서 사용할 수 있게 되었습니다.

 해당 서비스를 통해 어떤 VPC 리소스가 공유가능한지 확인하고, 구성 예시를 살펴보겠습니다.

4.1 지원하는 VPC 리소스 항목

• Instance: EC2 Instance
• Cluster: ECS, EKS, Kafka Cluster, Cache Cluster 등
• Database: RDS, Aurora Cluster 등
• Application: ALB/NLB 로드 밸런서를 통해 제공되는 서비스
• On-premise Resource: Site-to-site VPN으로 연결된 온프레미스 리소스
• 연결된 VPC Resource: TGW를 통해 연결된 다른 VPC 리소스
  
  

 위 항목들을 통해 형태에 상관 없이 VPC 내부에 IP를 가지고 있는 거의 모든 리소스를 대상으로 공유가 가능한 것을 확인 할 수 있습니다.

 다음으로는 서비스가 실제로 어떻게 구성되는지 리소스 제공자와 리소스 소비자 입장으로 나누어 구성 예시를 살펴 보겠습니다.

4.2 리소스 제공자 측면의 구성

1. Resource Gateway 생성: 공유할 리소스가 있는 VPC에서 Resource Gateway를 생성합니다.
2. Resource Configuration 설정: 공유할 리소스를 Resource Configuration에 명시합니다.
3. RAM(Resource Access Manager): Resource Configuration을 RAM을 통해 공유하여, 소비자 계정이 리소스를 활용할 수 있도록 설정합니다.
   
   

리소스 제공자 구성 예시

 단순한 몇가지 구성요소만 설정하여 VPC 리소스를 제공할 준비가 끝났습니다. 다음은 소비자 측면에서 공유된 Resource Configuration를 통해 구성하는 사례를 알아보겠습니다.

4.3 리소스 소비자 측면의 구성

방식 1. PrivateLink 방식을 통한 리소스 공유

 PrivateLink의 기존 방식과 동일하게 Endpoint를 사용하여 공유된 리소스와 연결합니다. 다만, Resource 타입의 신규 Endpoint를 구성해야 합니다.

 구성 사례 : 단일 리소스(ex. RDS)를 여러 VPC와 공유할 경우 적합합니다.

방식 1. PrivateLink 방식을 통한 리소스 공유

방식 2. VPC Lattice – Service Network VPC Association

1. VPC Lattice의 Service Network에 Resource Configuration을 포함시킵니다.
   (Service Network를 소비자 계정에서 생성하거나, 제공자 계정에서 RAM을 통해 공유 받을 수 있습니다.)
2. Service network에서 VPC Association 기능을 활용하여 소비자 VPC를 연결합니다.

 구성 사례 : 단일 Service Network를 활용하고, 온프레미스 접근이 필요하지 않은 환경에 적합합니다.

방식 2. Service Network와 VPC Association을 활용하여 연결

방식 3. VPC Lattice – Service Network Endpoint

1. VPC Lattice의 Service Network에 Resource Configuration을 포함시킵니다.
   (Service Network를 소비자 계정에서 생성하거나, 제공자 계정에서 RAM을 통해 공유 받을 수 있습니다.)
2. Service Network와 소비자 VPC를 연결하기 위해 Endpoint를 구성합니다. 신규 출시된 Service Network 타입의 신규 Endpoint를 활용합니다.

 구성 사례: Service Network를 다수 운용하며, 온프레미스 연결이 필요한 경우 적합합니다.

방식 3. Service Network와 Service Network Endpoint를 활용하여 연결

 5. 정리하기

 이번 re:Invent에서 발표된 VPC Lattice와 PrivateLink의 신규 서비스를 통해 안전하게 VPC 리소스를 공유 할수 있는 방법을 알아보았습니다.
고객사 상황에 맞추어 구성 가능한 다양한 옵션들을 정리하면 아래와 같습니다.

 단일 리소스를 간단히 공유하고 싶다면 Resource Enpoint를 활용하고,
하나의 Service Network를 여러 VPC와 공유하고 싶다면 VPC Association,
여러 Serivce Network를 공유하거나 온프레미스 접근이 필요하다면 Service Network Endpoint를 활용할 수 있습니다.
나아가 이미 TGW를 활용하여 연결된 네트워크들을 대상으로도 리소스 공유 구성을 추가할 수 있습니다.

 이러한 구성등을 통해 B2B 간 AWS 서비스 공유가 필요한 경우, TGW나 VPN 같은 IP 기반 네트워크 연결 없이도 서비스를 제공할 수 있다는 장점이 있습니다. 즉, 간단한 설정만으로 인터넷을 경유하지 않고 보안 요건을 충족할 수 있다는 뜻입니다.
re:Invent 영상에서 언급된 것 처럼 예시 외에도 고객 사례에 따라 새로운 아키텍처로 확장 가능해 앞으로의 발전이 더욱 기대되는 서비스라고 할 수 있습니다.

감사합니다.

 참고 자료

[1] AWS re:Invent 2024 – Simplify cross-VPC resource access with PrivateLink and VPC Lattice
[2] AWS News Blog – Securely share AWS resources across VPC and account boundaries with PrivateLink, VPC Lattice, EventBridge, and Step Functions
[3] AWS User Guide – What is Amazon VPC Lattice?
[4] AWS User Guide – What is AWS PrivateLink?
[5] AWS Architecture Diagrams – VPC Lattice Reference Architectures