View a markdown version of this page

솔루션 1: 단일 리전의 중앙 네트워킹 계정에서 VPC 엔드포인트 생성 - AWS 권장 가이드
사용 사례:도전 과제Solution아키텍처구현 단계

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

솔루션 1: 단일 리전의 중앙 네트워킹 계정에서 VPC 엔드포인트 생성

사용 사례:

애플리케이션은 서로 다른 사업부에 매핑되며 결제 및 격리를 AWS 리전 위해 동일한의 서로 다른 AWS 대상 계정으로 마이그레이션하려고 합니다.

도전 과제

프라이빗 네트워크를 통해 이를 달성하려면 모든 대상 계정에 여러 VPC 인터페이스 엔드포인트를 생성해야 합니다. 이렇게 하면 엔드포인트 유지 관리에 대한 관리 오버헤드와 비용이 추가됩니다. (AWS PrivateLink 요금 참조)

Solution

중앙 AWS 네트워킹 계정에서 VPC 엔드포인트를 생성하고 Transit Gateway를 사용하여 대상 애플리케이션 계정에 연결합니다.

아키텍처

다음 다이어그램은이 솔루션의 아키텍처를 보여줍니다.

동일한 리전에서 여러 계정을 리호스팅하기 위한 트래픽 흐름입니다.

다이어그램에서 숫자는 다음 트래픽 흐름을 나타냅니다.

  1. 중앙 네트워킹 계정 VPC에 있는 인터페이스 엔드포인트를 통해 Amazon Simple Storage Service(Amazon EC2 Amazon S3 EC2) 인스턴스 또는 Application Migration Service 복제 서버는 먼저 VPC+2 해석기를 쿼리하여 도메인 이름을 확인해야 합니다. Amazon EC2 엔드포인트 프라이빗 호스팅 영역은 동일한 리전의 Application Migration Service 스테이징 VPC와 연결되어 도메인 확인을 완료합니다.

    참고

    VPC와 연결하는 각 프라이빗 호스팅 영역에 대해 해석기는 규칙을 생성하고 VPC와 연결합니다. 프라이빗 호스팅 영역을 여러 VPCs와 연결하는 경우 해석기는 규칙을 모든 VPCs와 연결합니다.

  2. 인스턴스가 연결할 프라이빗 IP를 알고 있으면 트래픽을 전송 게이트웨이 ENI로 전송합니다. 트래픽은 전송 게이트웨이 라우팅 테이블에 따라 전송 게이트웨이로 전송되고 공유 리소스 VPC로 전달됩니다.

  3. 공유 리소스 VPC의 전송 게이트웨이 ENI는 트래픽을 해당 인터페이스 엔드포인트로 전달합니다.

  4. VPC 엔드포인트는 응답을 전송 게이트웨이 ENI로 다시 보냅니다.

  5. 트래픽은 전송 게이트웨이로 전달됩니다. 전송 게이트웨이 라우팅 테이블에 지정된 대로 트래픽은 스포크 Application Migration Service 스테이징 VPC로 전송됩니다. 응답은 전송 게이트웨이 ENI에서 대상, 즉 EC2 인스턴스 또는 Application Migration Service 복제 서버로 전송됩니다.

  6. 회사 데이터 센터에 있는 클라이언트 애플리케이션은 도메인 이름을 형식으로 확인합니다<aws_service>.<aws_region>.amazonaws.com(예: mgn.us-east-1.amazonaws.com). 미리 구성된 DNS 해석기로 쿼리를 전송합니다. 기업 데이터 센터의 DNS 해석기에는 amazonaws.com 도메인에 대한 모든 DNS 쿼리를 Route 53 Resolver 인바운드 엔드포인트로 가리키는 전달 규칙이 있습니다. Transit Gateway는 쿼리를 공유 리소스 VPC로 전달하고, 공유 리소스 VPC는 Route 53 Resolver 인바운드 엔드포인트에서 DNS 쿼리를 전달합니다.

    Route 53 Resolver 인바운드 엔드포인트는 VPC+2 해석기를 사용합니다. 공유 리소스 VPC와 연결된 엔드포인트 프라이빗 호스팅 영역은에 대한 DNS 레코드를 보유amazonaws.com하므로 Route 53 Resolver가 쿼리를 해결할 수 있습니다.

  7. Route 53 Resolver 아웃바운드 엔드포인트는 온프레미스 클라이언트 애플리케이션에 DNS 쿼리 응답을 반환합니다.

구현 단계

이전 다이어그램에 표시된 아키텍처를 설정하려면 다음 단계를 따르세요.

  1. AWS Direct Connect 또는를 통해의 중앙 네트워킹 계정에 AWS 기업 데이터 센터를 연결합니다 AWS Site-to-Site VPN.

  2. 네트워킹 계정에서 Transit Gateway를 사용하여 VPCs 간에 연결을 제공합니다. 전송 게이트웨이는 AWS 계정 를 사용하여 간에 공유 AWS RAM되며 VPC 연결을 통해 대상 애플리케이션 계정 스테이징 서브넷에 추가로 연결됩니다.

    참고

    대상이 동일한 AWS 조직에 속할 필요는 AWS 계정 없습니다. 자세한 내용은 AWS RAM 설명서의 공유 가능한 리소스를 참조하세요.

  3. 프라이빗 DNS 이름을 활성화하지 않고 중앙 네트워크 계정에서 Amazon EC2, Application Migration Service 및 Amazon S3에 대한 VPC 인터페이스 엔드포인트를 생성합니다.

    참고

    에 대한 VPC 엔드포인트를 생성할 때 프라이빗 DNS를 활성화 AWS 서비스할 수 있습니다. 이 설정을 활성화하면 관리형 Route 53 프라이빗 호스팅 영역이 생성됩니다.이 관리형 영역은 VPC 내에서 DNS 이름을 확인합니다. 그러나 VPC 외부에서는 작동하지 않습니다. 따라서 프라이빗 호스팅 영역 공유 및 Route 53 Resolver를 사용하여 공유 VPC 엔드포인트에 대한 통합 이름 확인을 얻을 수 있습니다.

  4. 각 엔드포인트(Application Migration Service, Amazon EC2, Amazon S3)에 대한 프라이빗 호스팅 영역을 생성합니다. 예를 들어 us-east-1 리전의 Application Migration Service의 경우:

    • 도메인 이름이 인 프라이빗 호스팅 영역을 생성합니다mgn.us-east-1.amazonaws.com.

    • 도메인 이름이 엔드포인트 IPs를 가리키는 A 유형의 호스트 레코드를 생성합니다.

  5. 하이브리드 DNS 확인을 용이하게 하기 위해 Route 53 Resolver 인바운드 및 아웃바운드 규칙을 생성하고 규칙을 동일한 리전 AWS 계정 에서 필요한와 공유합니다.