AWS Direct Connect 와 Site-to-Site VPN의 차이에 대하여

AWS site to site VPN 과 Direct Connect 의 차이점을 비교한 글입니다
2021.06.16

안녕하세요 클래스메소드 컨설팅부의 이수재 입니다.
이번 달 6월 30일 오후 7시부터 Developers.IO Korea Online #3 이 개최됩니다.
발표를 위해 먼저 자료를 정리하고자 AWS의 서비스인 AWS VPN과 Direct Connect를 비교한 내용을 써보려 합니다.
(본 블로그에 사용되는 단어는 서비스의 공식 사이트에 따릅니다)

서비스에 대한 간단한 설명

Site to Site VPN

온 프레미스의 네트워크와 AWS 네트워크를 연결하기 위한 서비스입니다.
AWS Site-to-Site VPN은 네트워크와 VPC 또는 Transit Gateway 사이에 암호화된 2개의 터널을 생성하여 사용합니다.
또한 인터넷 프로토콜 보안(IPsec) VPN 연결을 지원합니다.
(이미지는 가장 기본적인 연결 방식이며 다른 방식으로 구성하더라도 AWS 네트워크와 온 프레미스가 바로 연결되는 것은 똑같습니다.)
각 터널은 최대 1.25Gbps의 처리량을 지원합니다.

AWS Direct Connect

온 프레미스의 네트워크와 AWS 네트워크를 연결하기 위한 서비스입니다.
이미지와 같이 Direct Connect Location을 거쳐 AWS 환경으로 연결됩니다.

Location과 온 프레미스 사이에는 전용선으로 통신하게 됩니다.
물리적으로 연결이 완성되면 논리적으로는 VIF를 이용하여 통신하게 됩니다.

구성 방법에 따라 지원되는 속도가 다르며 최소 50Mbps부터 최대 100Gbps까지 지원합니다.

무엇이 다른가

위의 설명과 같이 두 서비스의 용도는 온 프레미스 / 코 로케이션 네트워크와 AWS 네트워크 간에 연결하기 위한 서비스 입니다.
목적은 같아도 조금 다른 점이 있습니다. 항목별로 무엇이 다른지 알아보겠습니다.
이 글에선 편의상 Site to Site VPN 을 VPN으로 부릅니다.

통신

VPN과 Direct Connect는 통신 방식이 꽤나 차이가 있습니다.

VPN
IPSec을 사용하여 인터넷에서 온 프레미스 네트워크와 Amazon VPC 간에 암호화된 네트워크를 형성합니다.
고 가용성을 위해 기본적으로 하나의 연결에 두 개의 터널이 구성됩니다. 라우팅 옵션으로는 동적 및 정적 라우팅을 지원합니다.
하나의 VPN 연결은 하나의 VGW에 연결할 수 있으며 한 리전당 최대 게이트웨이는 5개 입니다.
따라서 5개 이상의 VPC에 연결할 필요가 있다면 대상 VPC들을 Transit Gateway에 연결하고 온 프레미스의 게이트웨이와 연결하면 5개 이상의 VPC과 통신할 수 있습니다.

Direct Connect
인터넷이 필요하지 않으며 대신 온 프레미스 네트워크와 Amazon VPC 간에 전용 프라이빗 네트워크 연결을 사용합니다.
처음 Direct Connect의 구성을 소개한 이미지와 같이 AWS 네트워크와 온 프레미스 네트워크 사이에 DirectConnect Location(이하 거점)이 있으며 이를 경유하여 통신합니다.
라우팅 옵션으로는 BGP만을 제공합니다.
하나의 Direct Connect에 최대 5개의 VGW를 연결할 수 있고 그 이상의 VPC에 연결이 필요하다면 Transit Gateway의 사용을 고려하여야 합니다.

대역폭

VPN보다 Direct Connect가 다양한 대역폭을 선택할 수 있습니다.

VPN
단일 VPN 터널의 최대 대역폭이 1.25Gbps 이며 항상 최대 대역폭을 제공하는 것은 아닙니다.
AWS 측 게이트웨이를 VGW가 아닌 Transit Gateway로 구성하여 최대 50Gbps 까지 대역폭을 확보할 수 있습니다. 간단하게 설명하면 터널을 중첩하여 대역폭을 확보하는 방식입니다.
자세한 내용은 공식 블로그를 참고해주세요.
혹은 [Accelerated Site-to-Site VPN 연결)(https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/accelerated-vpn.html)을 활성화하여 온 프레미스 게이트웨이와 가장 가까운 AWS 엣지 로케이션으로 트래픽을 라우팅하여 네트워크 경험을 향상시킬 수 있습니다.

Direct Connect
온 프레미스와 거점은 전용선으로 연결되어 있으며 이를 이용하여 통신합니다.
연결의 유형과 리전에 따라 최소 50Mbps 부터 최대 100Gbps 까지 대역폭을 지원합니다.
Direct Connect의 여러 전용 연결(Connections)을 집계하여 하나의 단일 연결로 처리하는 LAG를 사용하여 대역폭을 최대 40Gbps 까지 확보할 수 있습니다.

요금

전체적으로 VPN이 Direct Connect 보다 적은 요금이 부과됩니다.

VPN
VPN 연결 시간 댱 요금과 데이터 전송 요금이 부과됩니다.
서울 리전을 기준으로 시간 요금은 시간당 0.05 USD이며 데이터 전송 요금은 EC2의 GB당 데이터 전송 요금과 동일합니다.
Accelerated Site-to-Site VPN을 사용한다면 VPN 연결당 Global Accelerator 2개에 대한 시간당 요금과 데이터 송신(DT-Premium) 요금이 부과됩니다.
공식 사이트

Direct Connect
포트 시간 요금과 데이터 전송 요금이 부과됩니다.
포트 시간 요금은 연결 유형에 따라 같은 대역폭이라도 부과되는 요금이 다릅니다.
데이터 전송 요금은 AWS 서비스의 리전과 Direct Connect Location의 위치에 따라 많이 다릅니다.
공식 사이트

정리

요금은 VPN이 많이 저렴합니다. Direct Connect가 다양한 대역폭을 제공하지만 사용하는 대역폭에 따라 많은 비용이 부과됩니다.
또한 통신을 위해 전용망을 사용하는지 인터넷 망을 사용하는지도 나뉘게 됩니다. 데이터의 보안이 훨씬 중요한 네트워크라면 VPN 보다 Direct Connect를 이용하는 편이 좋습니다.

어떻게 써야하는가

처음에 설명했듯이 Direct Connect 와 VPN은 비슷한 서비스입니다. 요구 사항에 따라 필요한 서비스가 달라집니다.
상황에 따라 다를 수 있지만 온 프레미스와의 연결을 시험적으로 해볼 필요가 있다면 저렴하고 간단하게 구성할 수 있는 VPN으로 먼저 시작해보는 것이 좋습니다.
또한 Direct Connect의 백업을 위해 VPN을 함께 사용할 수 있습니다.

이상 글을 마치겠습니다. 긴 글 읽어주셔서 감사합니다.