VPC 리소스에 대한 리소스 구성 - Amazon VPC Lattice
리소스 구성 유형프로토콜리소스 게이트웨이리소스 공급자의 사용자 지정 도메인 이름리소스 소비자의 사용자 지정 도메인 이름서비스 네트워크 소유자의 사용자 지정 도메인 이름리소스 정의포트 범위리소스 액세스서비스 네트워크 유형과의 연결서비스 네트워크 유형를 통해 리소스 구성 공유 AWS RAM모니터링(Monitoring)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC 리소스에 대한 리소스 구성

리소스 구성은 다른 VPC 및 계정의 클라이언트가 액세스할 수 있는 리소스 또는 리소스 그룹을 나타냅니다. 리소스 구성을 정의하면, 다른 VPC 및 계정의 클라이언트가 사용자 VPC의 리소스에 대한 안전한 프라이빗 단방향 네트워크 연결을 허용할 수 있습니다. 리소스 구성은 트래픽을 수신하는 리소스 게이트웨이와 연결됩니다. 다른 VPC에서 리소스에 액세스하려면 리소스 구성이 있어야 합니다.

내용

리소스 구성 유형

리소스 구성은 여러 유형이 있을 수 있습니다. 서로 다른 유형은 다양한 종류의 리소스를 표현하는 데 사용됩니다. 다음과 같은 유형이 있습니다.

  • 단일 리소스 구성: IP 주소 또는 도메인 이름을 나타냅니다. 독립적으로 공유할 수 있습니다.

  • 그룹 리소스 구성: 하위 리소스 구성의 모음입니다. DNS 및 IP 주소 엔드포인트 그룹을 나타내는 데 사용할 수 있습니다.

  • 하위 리소스 구성: 그룹 리소스 구성의 멤버입니다. IP 주소 또는 도메인 이름을 나타냅니다. 독립적으로 공유할 수 없으며 그룹의 일부로만 공유할 수 있습니다. 그룹에서 추가 및 제거할 수 있습니다. 추가하면 해당 그룹에 액세스할 수 있는 모든 사람이 자동으로 액세스할 수 있게 됩니다.

  • ARN 리소스 구성: AWS 서비스에 의해 프로비저닝되는 지원되는 리소스 유형을 나타냅니다. 모든 그룹-하위 관계는 자동으로 처리됩니다.

다음 이미지는 단일, 하위 및 그룹 리소스 구성을 보여줍니다.

단일, 하위 및 그룹 리소스 구성.

프로토콜

리소스 구성을 생성할 때 리소스가 지원할 프로토콜을 정의할 수 있습니다. 현재는 TCP 프로토콜만 지원됩니다.

리소스 게이트웨이

리소스 구성은 리소스 게이트웨이와 연결됩니다. 리소스 게이트웨이는 해당 리소스가 위치한 VPC로 들어오는 진입 지점 역할을 하는 탄력적 네트워크 인터페이스(ENI)의 집합입니다. 여러 리소스 구성을 동일한 리소스 게이트웨이에 연결할 수 있습니다. 다른 VPCs 또는 계정의 클라이언트가 VPC의 리소스에 액세스하면 리소스는 해당 VPC의 리소스 게이트웨이 IP 주소에서 로컬로 들어오는 트래픽을 확인합니다.

리소스 공급자의 사용자 지정 도메인 이름

리소스 공급자는 리소스 소비자가 리소스 구성에 액세스하는 데 사용할 수 example.com있는와 같은 리소스 구성에 사용자 지정 도메인 이름을 연결할 수 있습니다. 사용자 지정 도메인 이름은 리소스 공급자가 소유하고 확인할 수 있거나 타사 또는 AWS 도메인일 수 있습니다. 리소스 공급자는 리소스 구성을 사용하여 캐시 클러스터 및 Kafka 클러스터, TLS 기반 애플리케이션 또는 기타 AWS 리소스를 공유할 수 있습니다.

리소스 구성 공급자에는 다음 고려 사항이 적용됩니다.

  • 리소스 구성에는 사용자 지정 도메인이 하나만 있을 수 있습니다.

  • 리소스 구성의 사용자 지정 도메인 이름은 변경할 수 없습니다.

  • 사용자 지정 도메인 이름은 모든 리소스 구성 소비자에게 표시됩니다.

  • VPC Lattice의 도메인 이름 확인 프로세스를 사용하여 사용자 지정 도메인 이름을 확인할 수 있습니다. 자세한 내용은 단원을 참조하십시오도메인 생성 및 확인.

  • 유형 그룹 및 하위 유형의 리소스 구성의 경우 먼저 그룹 리소스 구성에서 그룹 도메인을 지정해야 합니다. 이후 하위 리소스 구성에는 그룹 도메인의 하위 도메인인 사용자 지정 도메인이 있을 수 있습니다. 그룹에 그룹 도메인이 없는 경우 하위의 사용자 지정 도메인 이름을 사용할 수 있지만 VPC Lattice는 리소스 소비자의 VPC에서 하위 도메인 이름에 대한 호스팅 영역을 프로비저닝하지 않습니다.

리소스 소비자의 사용자 지정 도메인 이름

리소스 소비자가 사용자 지정 도메인 이름이 있는 리소스 구성에 대한 연결을 활성화하면 VPC Lattice가 VPC에서 Route 53 프라이빗 호스팅 영역을 관리하도록 허용할 수 있습니다. 리소스 소비자는 VPC Lattice가 프라이빗 호스팅 영역을 관리할 수 있도록 허용할 도메인에 대해 세분화된 옵션을 제공합니다.

리소스 소비자는 리소스 엔드포인트, 서비스 네트워크 엔드포인트 또는 서비스 네트워크 VPC 연결을 통해 리소스 구성에 대한 연결을 활성화할 때 private-dns-enabled 파라미터를 설정할 수 있습니다. private-dns-enabled 파라미터와 함께 소비자는 DNS 옵션을 사용하여 VPC Lattice가 프라이빗 호스팅 영역을 관리할 도메인을 지정할 수 있습니다. 소비자는 다음 프라이빗 DNS 기본 설정 중에서 선택할 수 있습니다.

ALL_DOMAINS

VPC Lattice는 모든 사용자 지정 도메인 이름에 프라이빗 호스팅 영역을 프로비저닝합니다.

VERIFIED_DOMAINS_ONLY

VPC Lattice는 공급자가 사용자 지정 도메인 이름을 확인한 경우에만 프라이빗 호스팅 영역을 프로비저닝합니다.

VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS

VPC Lattice는 확인된 모든 사용자 지정 도메인 이름 및 리소스 소비자가 지정하는 기타 도메인 이름에 대해 프라이빗 호스팅 영역을 프로비저닝합니다. 리소스 소비자는 private DNS specified domains 파라미터에 도메인 이름을 지정합니다.

SPECIFIED_DOMAINS_ONLY

VPC Lattice는 리소스 소비자가 지정한 도메인 이름에 대해 프라이빗 호스팅 영역을 프로비저닝합니다. 리소스 소비자는 private DNS specified domains 파라미터에 도메인 이름을 지정합니다.

프라이빗 DNS를 활성화하면 VPC Lattice는 리소스 구성과 연결된 사용자 지정 도메인 이름에 대한 프라이빗 호스팅 영역을 VPC에 생성합니다. 기본적으로 프라이빗 DNS 기본 설정은 로 설정됩니다VERIFIED_DOMAINS_ONLY. 즉, 리소스 공급자가 사용자 지정 도메인 이름을 확인한 경우에만 프라이빗 호스팅 영역이 생성됩니다. 프라이빗 DNS 기본 설정을 ALL_DOMAINS 또는 로 설정하면 SPECIFIED_DOMAINS_ONLY VPC Lattice는 사용자 지정 도메인 이름의 확인 상태에 관계없이 프라이빗 호스팅 영역을 생성합니다. 지정된 도메인에 대해 프라이빗 호스팅 영역이 생성되면 VPC에서 해당 도메인으로 가는 모든 트래픽이 VPC Lattice를 통해 라우팅됩니다. 이러한 사용자 지정 도메인 이름에 대한 트래픽이 VPC Lattice를 통과하도록 하려는 경우에만 ALL_DOMAINSVERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS, 또는 SPECIFIED_DOMAINS_ONLY 기본 설정을 사용하는 것이 좋습니다.

리소스 소비자는 프라이빗 DNS 기본 설정을 로 설정하는 것이 좋습니다VERIFIED_DOMAINS_ONLY. 이를 통해 소비자는 VPC Lattice만 리소스 소비자 계정의 확인된 도메인에 프라이빗 호스팅 영역을 프로비저닝하도록 허용하여 보안 경계를 좁힐 수 있습니다.

프라이빗 DNS 지정 도메인에서 도메인을 선택하기 위해 리소스 소비자는와 같은 정규화된 도메인 이름을 입력my.example.com하거나와 같은 와일드카드를 사용할 수 있습니다*.example.com.

리소스 구성 소비자에게는 다음 고려 사항이 적용됩니다.

  • 프라이빗 DNS 활성화 파라미터는 변경할 수 없습니다.

  • VPC에서 프라이빗 호스팅을 생성하려면 서비스 네트워크 리소스 연결에서 프라이빗 DNS를 활성화해야 합니다. 리소스 구성의 경우 서비스 네트워크 리소스 연결의 프라이빗 DNS 활성화 상태는 서비스 네트워크 엔드포인트 또는 서비스 네트워크 VPC 연결의 프라이빗 DNS 활성화 상태를 재정의합니다.

서비스 네트워크 소유자의 사용자 지정 도메인 이름

서비스 네트워크 리소스 연결의 프라이빗 DNS 지원 속성은 서비스 네트워크 엔드포인트 및 서비스 네트워크 VPC 연결의 프라이빗 DNS 지원 속성을 재정의합니다.

서비스 네트워크 소유자가 서비스 네트워크 리소스 연결을 생성하고 프라이빗 DNS를 활성화하지 않는 경우 VPC Lattice는 서비스 네트워크 엔드포인트 또는 서비스 네트워크 VPCs 연결에서 프라이빗 DNS가 활성화되어 있더라도 서비스 네트워크가 연결된 VPC에서 해당 리소스 구성에 대한 프라이빗 호스팅 영역을 프로비저닝하지 않습니다.

ARN 유형의 리소스 구성의 경우 프라이빗 DNS 플래그는 true이고 변경할 수 없습니다.

리소스 정의

리소스 구성에서 리소스를 다음 방법 중 하나로 식별할 수 있습니다.

  • Amazon 리소스 이름(ARN): AWS 서비스에서 프로비저닝하는 지원되는 리소스 유형은 해당 ARN으로 식별할 수 있습니다. 지원되는 리소스는 Amazon RDS 데이터베이스뿐입니다. 공개적으로 액세스할 수 있는 클러스터에 대한 리소스 구성은 생성할 수 없습니다.

  • 도메인 이름 대상별: 공개적으로 확인할 수 있는 모든 도메인 이름을 사용할 수 있습니다. 도메인 이름이 VPC 외부의 IP를 가리키는 경우, VPC 내에 NAT 게이트웨이가 있어야 합니다.

  • IP 주소로 식별: IPv4의 경우 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16 범위 내의 프라이빗 IP를 지정합니다. IPv6의 경우 VPC 내의 IP를 지정합니다. 퍼블릭 IP는 지원되지 않습니다.

포트 범위

리소스 구성을 생성할 때 요청을 수락할 포트를 정의할 수 있습니다. 다른 포트에 대한 클라이언트 액세스는 허용되지 않습니다.

리소스 액세스

소비자는 VPC 엔드포인트를 사용하거나 서비스 네트워크를 통해 리소스 구성을 직접 액세스할 수 있습니다. 소비자로서, 자신의 VPC에서 동일 계정 내 리소스 구성이나 다른 계정에서 AWS RAM을 통해 공유된 리소스 구성에 대한 액세스를 활성화할 수 있습니다.

  • 리소스 구성에 직접 액세스

    AWS PrivateLink VPC에서 리소스 유형의 VPC 엔드포인트(리소스 엔드포인트)를 생성하여 VPC에서 리소스 구성에 비공개로 액세스할 수 있습니다. 리소스 엔드포인트를 생성하는 방법에 대한 자세한 내용은 AWS PrivateLink사용 설명서VPC 리소스 액세스를 참조하세요.

  • 서비스 네트워크를 통한 리소스 구성 액세스

    리소스 구성을 서비스 네트워크에 연결하고 VPC를 서비스 네트워크에 연결할 수 있습니다. 연결을 통해 또는 서비스 네트워크 VPC 엔드포인트를 사용하여 VPC를 AWS PrivateLink 서비스 네트워크에 연결할 수 있습니다.

    서비스 네트워크 연결에 대한 자세한 내용은 VPC Lattice 서비스 네트워크 연결 관리를 참조하세요.

    서비스 네트워크 VPC 엔드포인트에 대한 자세한 내용은 AWS PrivateLink 사용 설명서서비스 네트워크 액세스를 참조하세요.

VPC에서 프라이빗 DNS가 활성화된 경우, 동일한 리소스 구성에 대해 리소스 엔드포인트와 서비스 네트워크 엔드포인트를 동시에 생성할 수 없습니다.

서비스 네트워크 유형과의 연결

Account-B와 같은 소비자 계정과 리소스 구성을 공유하는 경우 Account AWS RAM-B는 리소스 VPC 엔드포인트 또는 서비스 네트워크를 통해 리소스 구성에 직접 액세스할 수 있습니다.

서비스 네트워크를 통해 리소스 구성에 액세스하려면, Account-B가 해당 리소스 구성을 서비스 네트워크에 연결해야 합니다. 서비스 네트워크는 계정 간에 공유할 수 있습니다. 따라서 Account-B는 (리소스 구성이 연결된) 자신의 서비스 네트워크를 Account-C와 공유하여 Account-C에서도 해당 리소스에 액세스할 수 있습니다.

이러한 전이적 공유를 방지하려면, 리소스 구성을 계정 간 공유가 가능한 서비스 네트워크에 추가할 수 없도록 지정할 수 있습니다. 이 설정을 하면 Account-B는 해당 리소스를 앞으로 다른 계정과 공유되거나 공유 가능한 서비스 네트워크에 추가할 수 없습니다.

서비스 네트워크 유형

Account-B와 같은 다른 계정과 리소스 구성을 공유할 때 Account AWS RAM-B는 다음 세 가지 방법 중 하나로 리소스 구성에 지정된 리소스에 액세스할 수 있습니다.

  • 리소스 유형의 VPC 엔드포인트 사용(리소스 VPC 엔드포인트).

  • 서비스 네트워크 유형의 VPC 엔드포인트 사용(서비스 네트워크 VPC 엔드포인트).

  • 서비스 네트워크 VPC 연결 사용.

    서비스 네트워크 연결을 사용하는 경우 각 리소스에는 AWS 소유 및 라우팅할 수 없는 129.224.0.0/17 블록의 서브넷당 IP가 할당됩니다. 이는 VPC Lattice가 트래픽을 VPC Lattice 네트워크를 통해 서비스로 라우팅할 때 사용하는 관리형 접두사 목록과 별도로 적용됩니다. 이 두 IP 모두 VPC 라우팅 테이블에 업데이트됩니다.

서비스 네트워크 VPC 엔드포인트 및 서비스 네트워크 VPC 연결의 경우 리소스 구성을 Account-B의 서비스 네트워크와 연결해야 합니다. 서비스 네트워크는 계정 간에 공유할 수 있습니다. 따라서 Account-B는 (리소스 구성을 포함한) 자신의 서비스 네트워크를 Account-C와 공유하여 Account-C에서도 리소스에 액세스할 수 있습니다. 이러한 전이적 공유를 방지하려면, 리소스 구성이 계정 간 공유 가능한 서비스 네트워크에 추가되지 않도록 지정할 수 있습니다. 이 설정을 하면 Account-B는 해당 리소스를 공유되거나 공유 가능한 서비스 네트워크에 추가할 수 없습니다.

를 통해 리소스 구성 공유 AWS RAM

리소스 구성은와 통합됩니다 AWS Resource Access Manager. AWS RAM을 통해 리소스 구성을 다른 계정과 공유할 수 있습니다. 리소스 구성을 AWS 계정과 공유하면 해당 계정의 클라이언트가 리소스에 비공개로 액세스할 수 있습니다. 리소스 구성은 AWS RAM의 리소스 공유를 사용하여 공유할 수 있습니다.

AWS RAM 콘솔을 사용하여 추가된 리소스 공유, 액세스할 수 있는 공유 리소스, 리소스를 공유한 AWS 계정을 볼 수 있습니다. 자세한 내용은 AWS RAM 사용 설명서공유받은 리소스를 참조하세요.

리소스 구성과 동일한 계정의 다른 VPC에서 리소스에 액세스하려면 리소스 구성을 공유할 필요가 없습니다 AWS RAM.

모니터링(Monitoring)

리소스 구성에서 모니터링 로그를 활성화할 수 있습니다. 로그를 전송할 대상을 선택할 수 있습니다.