[AWS] AWS Transit Gateway 비용 나누기

2025년 11월 21일, AWS Transit Gateway (이하 TGW)가 새 기능인 Flexible Cost Allocation (이하 FCA)를 정식 출시했습니다. 이를 통해 기존의 “송신자 부담(sender-pay)” 모델에서 벗어나, 조직 구조나 팀/BU 단위, 사용 패턴에 맞춘 유연한 비용 배분이 가능해졌습니다.

 

FCA 개념

• 이전 기본 모델: TGW를 통해 흐르는 데이터 처리 및 전송 비용은 항상 “트래픽을 발생시키는 쪽 (source attachment)” 계정이 부담. 즉, 송신자 부담(Sender-Pay) 구조였습니다.
• FCA 도입 후: 다음 3가지 중 원하는 방식으로 비용 부담 계정을 선택할 수 있습니다.
  • Source Attachment Owner (기본)
  • Destination Attachment Owner
  • Transit Gateway Owner
• 과금 단위는 Attachment 레벨뿐 아니라, Flow 단위 (IP, 포트, 프로토콜, CIDR 기반)까지 세밀하게 나뉠 수 있어, 다양한 비용 배분 정책을 구현할 수 있습니다.
• Middle-box (예: 방화벽, 보안 장비 포함한 VPC 등)를 통한 트래픽도 FCA 비용 배분 정책의 대상이 됩니다. 즉, 보안 검사 경로가 있어도 원래 소스나 목적지 계정에 비용을 할당할 수 있습니다.
• FCA 사용 자체에는 별도 요금이 없고, 기존 TGW 요금 체계 + 사용량에 대한 요금만 과금됩니다.

FCA 설정 방법

아래는 실제로 FCA를 적용할 때 따라야 할 방법입니다.

1. Metering Policy 생성

TGW 하나당 하나의 Metering Policy만 가질 수 있으며, 이 정책이 비용 할당의 기본 틀이 됩니다.AWS Documentation+1

CLI 예시:

aws ec2 create-transit-gateway-metering-policy \
  --transit-gateway-id tgw-0123456789abcdef0 \
  --tag-specifications '[{"ResourceType":"transit-gateway-metering-policy","Tags":[{"Key":"Env","Value":"Prod"}]}]'​

 

콘솔에서도 동일하게 VPC → Metering policies → Create metering policy로 생성할 수 있습니다.

현재 시점에서의 기본 동작은 “모든 트래픽은 Source Attachment Owner가 비용 부담” 하는 기존 방식과 동일합니다.

2. Policy Entry 추가

그 다음, 어느 조건의 트래픽을 누가 부담할지 규칙을 정의합니다. 각 Entry는 순서(rule number)에 따라 우선순위를 가집니다. 첫 번째로 매칭되는 룰이 해당 트래픽의 비용 부담 주체를 결정합니다.

예를 들어:

• Direct Connect 또는 온프레 → AWS VPC로 오는 트래픽은 “목적지(VPC) 소유 계정”이 비용을 부담
• VPC 간 East-West 통신은 여전히 송신자 부담
• 특정 보안 검사 또는 방화벽 경로를 지나는 경우에는 Transit Gateway 소유 계정이 비용 부담

CLI 예시:

aws ec2 create-transit-gateway-metering-policy-entry \
  --transit-gateway-metering-policy-id tgw-mp-0123456789abcd \
  --policy-rule-number 100 \
  --destination-transit-gateway-attachment-type vpc \
  --metered-account destination-attachment-owner

 

이 룰은 “대상 attachment가 VPC인 트래픽은 destination account 부담”이라는 의미입니다.

최대 50개의 룰을 정의할 수 있으며, IP CIDR, 포트, 프로토콜, attachment ID 등 다양한 조건으로 세밀하게 설정할 수 있습니다.

3. Middle-box Attachment 지정 (선택)

중앙 보안 VPC나 방화벽, 프록시, 로드밸런서 등을 거치는 경우, 해당 attachment를 Middle-box로 지정할 수 있습니다. 이 경우에도 원칙적으로 원본 소스나 목적지 계정에 비용을 할당할 수 있어, 보안 팀이 모든 비용을 떠안는 구조를 피할 수 있습니다.

4. 정책 적용 & 유효화

Metering Policy 및 Entry 설정 후, 변경 사항은 다음 청구 시간 단위(billing hour)부터 반영됩니다. 즉시 적용되는 것은 아니므로, 비용 배분 구조를 변경할 경우에는 이 점을 감안해야 합니다.

실제 적용 시 예시

다음은 FCA를 활용하면 유용한 전형적인 시나리오들입니다.

시나리오	배분 방식	설명
온프레 → AWS VPC 데이터 유입이 많음 (예: 온프레 DB → AWS 분석 VPC)	Destination Attachment Owner	소비하는 VPC 소유 팀이 비용 부담 — 소비 기반 정산 가능
여러 팀이 이용하는 보안 검사 VPC를 중앙에 두고 있음	Source / Destination 기반 + Middle-box 지정	보안 팀이 비용 떠맡지 않고 각 서비스 팀이 사용량만큼 비용 분담
SaaS / 멀티 테넌트 구축 — 고객별 VPC	VPC 소유 고객 계정 부담	고객별로 네트워크 사용량 기반 청구 가능
테스트 / 개발용 트래픽은 중앙 IT 부담, 운영 트래픽만 개별 팀 부담	Rule 기반 분리 (예: CIDR / Port / Protocol 조건)	비용 청구 구조를 유연하게 분리 가능

이처럼 FCA를 통해 “누가 얼마나 썼는지”를 명확히 하고, 비용 정산 및 청구 구조를 설계하기 좋습니다.

주의사항 및 한계

• Metering Policy는 TGW 소유 계정만 생성/관리 가능합니다. Attachment 소유 계정이 독자적으로 정책을 바꾸는 것은 불가능합니다.
• 정책 변경은 청구 시간 단위로 적용되므로, 즉시 반영을 기대하면 안 됩니다.
• Attachment 사용 요금(hourly)나 멀티캐스트 사용, 일부 특수 트래픽은 FCA의 대상이 아닐 수 있습니다.
  예: 일부 네트워크 기능 attachment, 특정 요금 항목 등은 제외될 수 있습니다.
• FCA는 비용 “배분 방식”을 바꾸는 것이지, 전체 비용을 낮춰주는 것은 아닙니다. 비용 구조를 투명하게 나누는 데 의미가 있습니다.

권장 절차 및 도입 팁

1. 현재 TGW + VPC/VPN/Direct Connect 아키텍처 정리
   • 어느 계정이 어떤 attachment를 소유 중인지, 데이터 흐름 패턴은 어떤지, 보안 검사 경로가 있는지 명확히 정리
2. Chargeback/Showback 정책 설계
   • 어떤 팀이 어떤 데이터를 얼마나 투자하는지, 어떤 팀이 비용을 부담해야 타당한지 경영/재무팀과 협의
3. Metering Policy 설계 및 테스트 (스테이징 환경)
   • 간단한 룰부터 적용해보고, 청구 결과 + 실제 사용량이 일치하는지 확인
4. 본격 적용 + 모니터링 체계 구축
   • CloudWatch Cost Allocation Tags + 조직 내 비용 리포팅 체계와 연동
   • 정책 변경은 월초/월말 등 청구 경계에 맞춰 계획

마무리

Flexible Cost Allocation은 TGW를 사용하는 멀티 계정 환경에서 네트워크 비용을 명확히 나누고, 조직 단위 Chargeback 또는 Showback을 용이하게 만드는 기능입니다.

설정도 비교적 간단하며 기본 메터링 정책 생성 후 규칙을 추가하고, Middle-box 설정만 하면 바로 적용 가능합니다.
하지만 정책 설계와 운영 체계를 잘 잡지 않으면, “단순 요금 이전”에 그치거나 오히려 복잡성이 증가할 수 있습니다.

따라서 처음 도입할 때는 스테이징 환경 또는 적은 수의 VPC/Attachment로 테스트해보고, 로그와 비용 결과를 검증한 다음 본격 적용을 권장드립니다.