[AWS] Cloud WAN 라우팅 정책 구성 가이드

AWS Cloud WAN에 Routing Policy 기능이 정식 출시되었습니다. 이 기능은 글로벌 WAN 환경 여러 AWS 리전, 온프레미스 데이터센터, 지사 네트워크 등이 얽힌 복잡한 구조에서 ‘정교한 라우팅 제어, 트래픽 최적화, 네트워크 동작 커스터마이징’을 가능하게 합니다. 기존의 단순 전파 기반 라우팅만으로는 관리·운영이 어렵거나 위험했던 환경에서, Routing Policy는 실질적인 운영 안정성과 유연성을 제공합니다.

---

개념

• Cloud WAN은 단순한 VPN/Direct Connect + VPC 연결을 넘어서, “글로벌 네트워크 + 정책 기반 관리” 모델을 제공합니다.
• 주요 개념:
  • Global Network: 전체 WAN을 감싸는 최상위 논리 단위.
  • Core Network: 실제 라우팅과 연결이 일어나는 단위. 리전, 온프레, VPN, Direct Connect, VPC 등이 이 안의 “Attachment”로 연결됨.
  • Segments: Core Network 내에 트래픽 격리 또는 분리를 위한 논리적 라우팅 도메인. 예: 개발(Dev), 운영(Prod), 하이브리드(Hybrid) 등.
  • Attachment 정책 / 태깅 기반 자동 연결: VPC, VPN, Direct Connect 등의 Attachment를 태그(tag)로 구분하고, 지정된 세그먼트에 자동으로 연결하도록 policy에 정의할 수 있음.

이 구조가 제대로 설계돼 있어야, Routing Policy를 통해 세밀한 제어가 효과적으로 작동합니다.

Routing Policy 활성화 및 기본 설정

1. Routing Policy 기능 활성화

Console, AWS CLI 또는 SDK를 통해 새 기능을 활성화할 수 있습니다. 별도 추가 과금은 없습니다.

2. 정책 정의 (Policy Document)

Routing Policy는 JSON 형태의 선언적 정책문서로 정의됩니다. 정책은 match–action 규칙의 순서 집합으로 구성됩니다. 이 규칙은 “어떤 경로(prefix / BGP community 등)에 대해 어떤 동작을 할지 (허용, 드롭, 요약, BGP 속성 조정 등)” 명시합니다.

예를 들어:

• “온프레 VPN에서 오는 특정 CIDR 대역만 허용”
• “세그먼트 간 공유되는 라우팅 경로에서 일부 prefix만 허용 or 요약”
• “BGP Local Preference 또는 AS Path 변경으로 트래픽 경로 조정”

3. 정책 적용 대상 지정

Routing Policy는 다음과 같은 위치에 적용할 수 있습니다.

• Attachment 레벨 — 특정 VPN / Direct Connect / VPC 연결에 대해 inbound/outbound route propagation 조절
• 세그먼트 간 공유(segment sharing) — 서로 다른 세그먼트 간에 라우트가 공유될 때 제어
• 리전 간 피어링 (Core-to-Core Edge Peering) — 다중 리전 간 연결 경로 제어

이 유연성이 Routing Policy의 핵심입니다.

Route Filtering + Segment 기반 구성 방법

예를 들어 여러분의 글로벌 네트워크가 다음과 같다고 가정해 보겠습니다.

• 온프레 데이터센터 여러 곳이 있고, 각 지사는 VPN 또는 Direct Connect로 Cloud WAN에 연결됨
• AWS에는 개발용 VPC, 운영용 VPC가 있고, 이들은 서로 다른 세그먼트 (dev, prod)에 배치됨
• 온프레 → 개발 → 운영으로의 라우트 유출을 통제하고, 운영 환경에는 온프레 일부 IP만 허용하고 싶음

이 경우, 다음과 같은 Routing Policy를 구성할 수 있습니다.

// Json 예시
{
  "RoutingPolicy": [
    {
      "Name": "inbound-filter-hybrid",
      "Match": {
        "Prefix": ["10.10.0.0/16", "172.16.0.0/16"],
        "From": "Hybrid_Attachments"
      },
      "Action": "Allow"
    },
    {
      "Name": "prod-segment-inbound",
      "Match": {
        "Prefix": ["10.10.0.0/16"],
        "From": "Hybrid_Attachments"
      },
      "Action": "Allow"
    },
    {
      "Name": "prod-segment-drop-other",
      "Match": {
        "From": "Hybrid_Attachments"
      },
      "Action": "Drop"
    }
  ]
}

 

위 정책은 다음을 의미합니다.

• Hybrid 세그먼트로 연결된 온프레에서는 10.10.0.0/16, 172.16.0.0/16 대역만 허용
• 그 중 운영 세그먼트(prod)로는 10.10.0.0/16 만 허용, 나머지 대역은 Drop
• 결과적으로 운영 세그먼트 내부에서는 온프레의 특정 서브넷만 인식되고, 나머지는 격리

실제 AWS 문서에서도 이와 유사한 예시를 제시하고 있습니다.

BGP 속성 조정

Routing Policy는 단순히 “허용/차단”을 넘어서, BGP 속성을 조정해 트래픽의 흐름을 제어할 수 있습니다.

예:

• 다중 경로(Multi-path) 환경에서 특정 경로에 우선순위 부여하기 (예: BGP Local Preference 조정)
• 비대칭 라우팅 또는 비효율 경로 문제 해소
• 지역별 Internet egress 컨트롤: 아시아, 유럽 등 지역마다 특정 리전의 inspection VPC를 통해 나가도록 설정

이런 설정은 글로벌 규모의 복잡한 WAN에서 트래픽 품질, 보안, 비용 측면에서 유의미한 효과를 줄 수 있습니다.

운영 시점 고려사항

• 정책 변경은 주의 필요: Large-scale global network에 영향을 주기 때문에, 변경 전 테스트 또는 검토 과정이 필요합니다. Cloud WAN 정책 변경 시 AWS가 변경 내용을 미리 보여주는 기능이 있으므로 이를 활용하는 것이 좋습니다.
• 태깅 전략 정비: Attachment가 많아질수록 tag → segment 매핑이 핵심이 되므로, 일관된 태깅 규칙과 naming convention이 중요합니다.
• 로그 및 모니터링 체계 확보: Policy 기반 라우팅은 유연하지만, 그만큼 실수 시 영향도 크므로, Cloud WAN의 네트워크 상태 대시보드 + 로그/모니터링을 꼭 활성화해야 합니다.

요약

1. Cloud WAN 기본 구조(Core Network, Segment, Attachment)를 설계하고 구현
2. 태깅 전략을 정하고 Attachment마다 일관된 태그 부여
3. Routing Policy JSON 문서로 원하는 라우팅/필터링/요약/트래픽 우선순위 규칙 정의
4. 정책을 Console/CLI/SDK 등으로 적용 — 변경 내역 미리 검토
5. 테스트 환경에서 예상대로 동작하는지 확인 후, 프로덕션에 배포
6. 변경 이력 관리 + 로그/모니터링 체계 유지