VPC Peering

서로 다른 두 VPC를 사설 네트워크로 직접 연결해 인터넷을 거치지 않고 내부 IP로 통신하게 하는 메커니즘. 어떤 범위의 VPC를 묶을지(같은 계정·리전 / cross-account / cross-region), 라우팅을 어디까지 양방향으로 깔지, DNS를 상대편까지 풀지가 설계 축이다.

언제 쓰나

• 사내 VPN VPC ↔ 워크로드 VPC 연결 (개발자·운영자 사설 접근)
• 같은 조직의 멀티 계정/멀티 리전 환경에서 내부 통신
• 마이크로서비스 간 사설 통신, mTLS 적용 전 1차 보안 경계

대안과의 비교

방식	특징	선택 기준
VPC Peering	1:1 연결, 전이적 라우팅 불가	VPC 수가 적고 토폴로지가 단순할 때
Transit Gateway	허브-스포크, 전이적 라우팅 가능	VPC 다수(대략 5+), 중앙 집중 라우팅 필요
PrivateLink	서비스 단위 노출, 단방향	특정 엔드포인트만 노출, 양방향 라우팅 불필요
Site-to-Site VPN	온프레미스 ↔ VPC	클라우드 외부 네트워크와 연결

Peering이 N:N으로 늘면 메시 폭발 — TGW로 갈아탈 시점이다.

구성 요소

연결 한 쌍에 필요한 리소스(AWS 기준).

• Peering Connection: 요청 측에서 생성. (aws_vpc_peering_connection)
• Peering Connection Accepter: 수락 측에서 생성. cross-account 또는 cross-region일 때만 별도 리소스가 필요하다. (aws_vpc_peering_connection_accepter)
• Route Table 엔트리: 양쪽 VPC 모두의 라우트 테이블에 상대 CIDR → peering connection ID 추가. 한쪽만 깔면 단방향이 되어 응답 패킷이 돌아오지 않는다.
• VPN 측 라우트: VPN과 연결할 경우 aws_ec2_client_vpn_route 추가. 빠뜨리면 VPN 접속은 되지만 대상 VPC로 가는 트래픽이 끊긴다.
• Security Group / NACL: peering이 깔려 있어도 SG에서 상대 CIDR을 허용해야 실제 트래픽이 통과한다.

케이스별 차이

같은 계정 + 같은 리전

• Accepter 리소스 불필요 — peering connection 자체가 양쪽 역할을 겸한다.
• auto_accept = true 한 줄로 자동 수락.
• IaC 한 사이클로 끝난다.

다른 계정 또는 다른 리전

• Accepter 리소스 필수, provider 별도 지정.
• auto_accept이 동작하지 않음 — Terraform apply 시 PendingAcceptance 상태로 남는다.
• 운영 절차: 콘솔/CLI로 수동 수락 → state import → 재 apply.
• 자동화하려면 별도 스크립트(state rm + import)가 필요하다.

VPN ↔ VPC

• 위 두 케이스에 더해 aws_ec2_client_vpn_route 추가.
• VPN 클라이언트가 사용할 subnet, 대상 CIDR, endpoint ID를 지정한다.

DNS 해석

allow_remote_vpc_dns_resolution = true를 양쪽 모두 켜면 상대 VPC의 private DNS hostname을 자기 쪽 resolver로 해석할 수 있다. 내부 도메인이나 RDS endpoint를 이름으로 참조해야 하면 켠다.

함정

• route table 한쪽만 설정: 가장 흔한 실수. ICMP는 통하는데 TCP가 안 되는 비대칭 증상으로 보일 수도 있다.
• CIDR 충돌: 양쪽 VPC CIDR이 겹치면 peering 자체가 거부된다. 설계 단계에서 IPAM/CIDR 플랜이 필수.
• 전이성 없음: A↔B, B↔C가 있어도 A↔C는 안 된다. 메시가 필요하면 모든 쌍을 직접 연결하거나 TGW로.
• 수동 수락 후 import 누락: drift 발생, 다음 plan에서 재생성 시도로 이어진다. 이때 accepter만 import하면 부족하고, requester 쪽도 state rm 후 재 import 해야 한다 — 수동 수락 과정에서 AWS가 양쪽 객체를 모두 갱신하기 때문.
• SG 미허용: peering은 깔렸는데 트래픽 차단. 네트워크 레벨과 SG 레벨을 따로 점검해야 한다.

Terraform 패턴 키워드

• aws_vpc_peering_connection (+ _accepter for cross-account/region)
• aws_route + for_each over route table IDs (양쪽 RT에 자동 적용)
• requester / accepter 블록의 allow_remote_vpc_dns_resolution
• 모듈화 시 ID 대신 이름·태그를 입력으로 받고 내부에서 data 블록으로 조회 — 가독성·재사용성이 올라간다.