[AWS] Gateway LoadBalancer란? (with Network Firewall)

 

 

 

AWS Network Firewall을 사용하게 되면, VPC 내부에 감시 자원 배치되는 것이 아니라 트래픽을 전송하는 엔드포인트가 배치된다.

 

이 엔드포인트가 Gateway Load Balancer(GWLB)로 연결된다.

 

 

출처: https://aws.amazon.com/ko/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/

 

 

따라서 IGW와 연결된 subnet들에는 Endpoint로의 라우팅 경로를 설정해 주게 된다.

이를 통해 IGW의 In/out bound 트래픽은 항상 Gateway Load Balancer로 전송되어 Network Firewall 서비스에서 검사가 수행된다.

 

 

이 Gateway Load Balancer란 도대체 뭘까?

 

 

 

 

 

Gateway LoadBalancer(GWLB)

 

출처: https://www.cloudflare.com/ko-kr/learning/ddos/glossary/open-systems-interconnection-model-osi/

 

Network LoadBalacner는 4 계층인 TCP/UDP까지 검사한다.

따라서 7 계층까지 검사해 처리해야 할 것이 많은 Applcation LoadBalancer에 비해 성능이 우수하다.

 

반면 Gateway Load balancer는 3 계층인 IP를 검사하기 때문에 오버헤드가 더욱 낮다.

따라서 주로 네트워크 트래픽을 이동시켜, 보안을 위해 검사하는 용도로 많이 사용된다. (Network Firewall처럼)

 

 

출처: https://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/vpce-gateway-load-balancer.html

 

 

이때  기존의 목적지 IP주소가 트래픽 검사를 위한 자원의 주소로 변경하게 되면, 기존의 정보가 손실될 수 있다.

이를 위해 Endpoint에서 캡슐화를 통해 기존의 3 계층 정보를 GWLB의 정보로 감싸서 보존한다.

 

이후 다시 VPC로 트래픽이 전달되면, 해당 정보를 제거하여 원래 목적지로 정상 전달한다.

 

 

 

 

 AWS의 Network Firewall 뿐만 아니라, 3rd party인 다양한 서비스를 목적지로도 설정할 수 있다.

 

 

 

 

 

 

이처럼 특수한 목적을 위해 사용하는 LB이기 때문에, 다른 ELB들과는 전혀 다른 성격을 가지고 있다.

 

 

 

 

 

 

 

참조

 

https://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/vpce-gateway-load-balancer.html

 

https://aws.amazon.com/ko/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/

 

https://support.bespinglobal.com/ko/support/solutions/articles/73000544791--aws-aws-gateway-load-balancer-gwlb-%EC%9D%98-%EC%9E%91%EB%8F%99-%EB%B0%A9%EC%8B%9D-%EB%B0%8F-%EA%B5%AC%EC%84%B1-%EB%B0%A9%EB%B2%95