IPAM으로 접두사 목록 업데이트 자동화 - Amazon Virtual Private Cloud
이 문제 해결작동 방법이를 사용해야 하는 경우사전 조건설정 단계

IPAM으로 접두사 목록 업데이트 자동화

관리형 접두사 목록은 개별 IP 주소를 지정하는 대신 보안 그룹 규칙 및 라우팅 테이블에서 참조할 수 있는 CIDR 블록 세트입니다. 예를 들어, 10.1.0.0/16, 10.2.0.0/1610.3.0.0/16에 대한 별도의 보안 그룹 규칙을 생성하는 대신 세 개의 CIDR 모두 포함된 하나의 접두사 목록을 생성하고 단일 규칙에서 참조할 수 있습니다.

두 가지의 유형이 있습니다.

  • 고객 관리형 접두사 목록: 사용자가 정의하고 관리하는 IP 주소 범위

  • AWS관리형 접두사 목록: AWS 서비스의 IP 범위(예: S3 또는 CloudFront)

이 IPAM 기능은 CIDR 항목을 네트워크 변경 사항과 동기화된 상태로 유지하여 고객 관리형 접두사 목록의 관리를 자동화합니다.

이 문제 해결

자동화하지 않으면 네트워크 팀은 인프라가 변경될 때 접두사 목록을 수동으로 업데이트하고 환경 및 리전 전체에서 일관된 접두사 목록을 유지하는 데 상당한 시간을 소비합니다.

IPAM은 접두사 목록을 자동으로 채우는 규칙을 생성할 수 있도록 함으로써 이 문제를 해결합니다. IPAM 풀에서 CIDR을 참조하거나 실제 AWS 리소스를 기반으로 규칙을 생성하는 두 가지 접근 방식을 사용할 수 있습니다. 예를 들어 ‘env=prod로 태그가 지정된 모든 VPC 포함’, ‘us-east-1의 모든 서브넷 포함’ 또는 ‘계정 123456789이 소유한 모든 탄력적 IP 주소 포함’ 등이 있습니다. 이러한 리소스를 추가하거나 제거하면 IPAM은 CIDR로 접두사 목록을 자동으로 업데이트합니다.

작동 방법

접두사 목록에 포함할 IP 주소를 IPAM에 알려주는 규칙을 생성합니다. (예: ‘env=prod로 태그가 지정된 모든 VPC CIDR 포함’) 프로덕션 VPC를 추가하거나 제거하면 IPAM이 접두사 목록을 자동으로 업데이트합니다.

이를 사용해야 하는 경우

  • 보안 그룹: ‘env=prod 태그가 지정된 모든 VPC 포함’ 규칙을 생성하면 새 프로덕션 VPC 추가할 때 보안 그룹 규칙에서 자동으로 허용

  • 다중 리전: CIDR 항목을 수동으로 복사하지 않고 동일한 접두사 목록을 유지하기 위해 여러 리전에 동일한 IPAM 규칙 배포

  • 동적 인프라: VPC 또는 서브넷을 생성/삭제하면 수동 업데이트 없이 해당 CIDR이 접두사 목록에서 자동으로 추가/제거

사전 조건

시작하기 전에 다음을 갖추었는지 확인하세요.

설정 단계

1단계: IPAM 접두사 목록 해석기 생성

IPAM 접두사 목록 해석기를 생성하여 접두사 목록에 포함할 CIDR을 정의합니다.

AWS Management Console
IPAM 접두사 목록 해석기를 생성하는 방법

  1. IPAM 콘솔을 엽니다.

  2. 탐색 창에서 관리형 접두사 목록을 선택합니다.

  3. 접두사 목록 해석기 생성을 선택합니다.

  4. 1단계: 해석기 세부 정보 구성에서 다음 항목을 선택합니다.

    • IPAM: IPAM 인스턴스

    • 주소 패밀리: IPv4 또는 IPv6

    • 이름 태그 - 선택 사항: 설명이 포함된 이름

    • 설명 - 선택 사항: 설명

    • 태그: 리소스 태그

  5. 다음을 선택합니다.

  6. 2단계: 규칙 구성에서 규칙 추가를 선택합니다. 최대 99개의 규칙을 추가할 수 있습니다.

    중요

    CIDR 선택 규칙 없이 접두사 목록 해석기를 생성할 수 있지만 규칙을 추가할 때까지 빈 버전(CIDR 없음)이 생성됩니다.

  7. 규칙 유형 중 하나를 선택합니다.

    • 정적 CIDR: 변경되지 않는 고정 CIDR 목록(예: 리전 간에 복제된 수동 목록)

    • IPAM 풀 CIDR: 특정 IPAM 풀 CIDR(예: IPAM 프로덕션 풀 CIDR)

      이 옵션을 설정하는 경우 다음 항목을 선택해야 합니다.

      • IPAM 범위: 리소스를 검색할 IPAM 범위 선택

      • 조건

        • 속성

          • IPAM 풀 ID: 리소스가 포함된 IPAM 풀 선택

          • CIDR(예: 10.24.34.0/23)

        • 작업: 같음/같지 않음

        • : 조건과 일치시키는 값

    • 범위 리소스 CIDR: IPAM 범위 내의 VPC, 서브넷, EIP와 같은 AWS 리소스의 CIDR

      이 옵션을 설정하는 경우 다음 항목을 선택해야 합니다.

      • IPAM 범위: 리소스를 검색할 IPAM 범위 선택

      • 리소스 유형: VPC 또는 서브넷과 같은 리소스 선택

      • 조건

        • 속성

          • 리소스 ID: 리소스의 고유 ID(예: vpc-1234567890abcdef0)

          • 리소스 소유자(예: 111122223333)

          • 리소스 리전(예: us-east-1)

          • 리소스 태그(예: 키: 이름, 값: dev-vpc-1)

          • CIDR(예: 10.24.34.0/23)

        • 작업: 같음/같지 않음

        • : 조건과 일치시키는 값

  8. 다음을 선택합니다.

  9. 검증 및 생성을 선택합니다.

Command line

이 섹션의 명령은 AWS CLI 명령 참조로 연결됩니다. 이 설명서에서는 명령을 실행할 때 사용할 수 있는 옵션에 대한 자세한 설명을 제공합니다.

다음 AWS CLI 명령을 사용하여 IPAM 접두사 목록 해석기를 생성합니다.

2단계: 접두사 목록에 연결할 해석기 대상 생성

해석기 대상을 생성하여 해석기를 기존 접두사 목록에 연결합니다. 1단계에서 반환된 해석기 ID를 사용합니다.

AWS Management Console
IPAM 접두사 목록 해석기 대상을 생성하는 방법

  1. IPAM 콘솔에서 접두사 목록 해석기를 선택합니다.

  2. 1단계에서 생성한 해석기를 선택합니다.

  3. 해석기 세부 정보 페이지에서 대상 탭을 선택합니다.

  4. 대상 생성을 선택합니다.

  5. 대상 구성

    • 리전: 기존 관리형 접두사 목록이 있거나 생성할 리전을 선택합니다.

    • 접두사 목록: 기존 관리형 접두사 목록을 선택하거나 새 접두사 목록을 생성합니다.

  6. 원하는 버전에서 다음 중 하나를 선택합니다.

    • 항상 최신 버전 추적: 수동 개입 없이 인프라 변경으로 접두사 목록을 최신 상태로 유지하려면 자동 업데이트에 이 항목을 선택합니다.

    • 특정 버전 추적: 예측 가능하고 제어된 업데이트가 필요하고 접두사 목록의 변경 사항을 수동으로 승인하려는 경우 안정성을 위해 이 항목을 선택합니다.

  7. 대상 생성을 선택합니다.

Command line

이 섹션의 명령은 AWS CLI 명령 참조로 연결됩니다. 이 설명서에서는 명령을 실행할 때 사용할 수 있는 옵션에 대한 자세한 설명을 제공합니다.

다음 AWS CLI 명령을 사용하여 IPAM 접두사 목록 해석기 대상을 생성합니다.

이제 IPAM이 규칙에 따라 접두사 목록을 자동으로 업데이트합니다. 접두사 목록은 기준과 일치하는 CIDR로 채워집니다.

3단계: 버전 및 동기화 모니터링

접두사 목록 해석기 및 대상을 생성하고 나면, 접두사 목록 해석기는 규칙에 따라 CIDR 버전을 생성하고, 대상이 해석기에서 해당 CIDR을 특정 관리형 접두사 목록으로 동기화됩니다. 각 버전은 해당 시점에 규칙과 일치하는 CIDR의 스냅샷입니다. 인프라 변경으로 인해 CIDR 목록이 변경될 때마다 버전 번호가 증가합니다.

버전 예제:

초기 상태(버전 1)

프로덕션 환경:

  • vpc-prod-web(10.1.0.0/16) - 태그가 지정된 env=prod

  • vpc-prod-db(10.2.0.0/16) - 태그가 지정된 env=prod

해석기 규칙: env=prod 태그가 지정된 모든 VPC 포함

버전 1 CIDR: 10.1.0.0/16, 10.2.0.0/16

인프라 변경(버전 2)

새 VPC가 추가됨:

  • vpc-prod-api(10.3.0.0/16) - 태그가 지정된 env=prod

IPAM은 변경 사항을 자동으로 감지하고 새 버전을 생성합니다.

버전 2 CIDR: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

이 섹션에서는 AWS 콘솔 또는 AWS CLI를 사용하여 버전 생성을 모니터링하고 AWS CLI와 동기화가 성공했는지 모니터링하는 방법을 설명합니다.

또한 버전 및 접두사 목록 크기 제한을 유지하도록 CIDR 선택 규칙을 재평가하고 조정해야 할 수 있으므로 실패 지표에 대한 CloudWatch 경보를 설정하는 것이 좋습니다. IPAM 접두사 목록과 관련된 CloudWatch 지표 목록은 IPAM 접두사 목록 해석기 지표 섹션을 참조하세요.

AWS Management Console
생성된 버전을 보고 대상 동기화를 모니터링하는 방법

  1. IPAM 콘솔에서 접두사 목록 해석기를 선택합니다.

  2. 1단계에서 생성한 해석기를 선택합니다.

  3. 해석기 세부 정보 페이지에서 버전 탭을 선택합니다. 여기에는 해석기가 생성한 모든 버전과 해당 버전의 CIDR이 표시됩니다.

  4. 해석기 세부 정보 페이지에서 모니터링 탭을 선택합니다. 이 보기에서 IPAM 접두사 목록 해석기 지표는 그래프 형식으로 표시됩니다.

    • 접두사 목록 해석기 버전 생성 성공

    • 접두사 목록 해석기 버전 생성 실패

  5. 모니터링 탭에서 접두사 목록 해석기 버전 생성에 대한 경보 생성을 선택하여 CloudWatch 경보를 구성할 수도 있습니다. 경보가 지표에 대해 부분적으로 구성된 CloudWatch 콘솔로 이동합니다. 경보 생성을 완료하는 방법에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서정적 임계값을 기반으로 CloudWatch 경보 생성을 참조하세요.

Command line

이 섹션의 명령은 AWS CLI 명령 참조로 연결됩니다. 이 설명서에서는 명령을 실행할 때 사용할 수 있는 옵션에 대한 자세한 설명을 제공합니다.

다음 AWS CLI 명령을 사용하여 버전 및 동기화를 모니터링합니다.

  1. get-ipam-prefix-list-resolver-version-entries 명령을 사용하여 해석기가 생성한 최신 버전을 확인합니다.

  2. describe-ipam-prefix-list-resolver-targets 명령을 사용하여 해석기 대상 동기화 상태를 모니터링합니다.

모니터 명령에 다음 내용이 표시됩니다.

  • 상태 - 현재 동기화 상태(create-complete, modify-complete 등)

  • lastSyncedVersion - 마지막으로 성공적으로 동기화된 버전

  • desiredVersion - 동기화할 대상 버전

  • stateMessage - 동기화에 실패한 경우 오류 세부 정보

4단계: (선택 사항) IPAM 접두사 목록 동기화 활성화 및 비활성화

관리형 접두사 목록이 IPAM 접두사 목록 대상으로 구성되어 있고 IPAM 접두사 목록 해석기 대상에 액세스할 권한 없이 접두사 목록을 변경하려는 경우 관리형 접두사 목록을 수정하고 IPAM 접두사 목록 해석기와 동기화를 비활성화할 수 있습니다. 비활성화하면 접두사 목록 CIDR이 자동으로 업데이트되지 않으므로 변경할 수 있습니다. 활성화하면 접두사 목록 CIDR은 연결된 해석기의 CIDR 선택 규칙에 따라 자동으로 업데이트됩니다.