IPAM을 사용하여 자체 IP를 CloudFront로 가져오기(IPv4 및 IPv6 지원)
글로벌 서비스에 대한 IPAM의 BYOIP를 사용하면 CloudFront와 같은 AWS 글로벌 서비스에서 자체 IPv4 및 IPv6 주소를 사용할 수 있습니다. 리전 BYOIP와 달리, IP 주소는 애니캐스트 라우팅을 통해 여러 엣지 로케이션에서 동시에 광고됩니다.
이 자습서의 구성:
-
IPv4(/24) 및/또는 IPv6(/48) 주소 범위에 대한 글로벌 IPAM 풀 생성
-
자체 IP 주소로 애니캐스트 정적 IP 목록 프로비저닝
-
CloudFront 엣지 로케이션 CIDR을 전역적으로 광고
-
별도의 IPv4 및 IPv6 IPAM 풀을 사용한 듀얼 스택 구성
이 기능을 사용하는 이유는 무엇인가요?
-
IP 허용 목록 유지 - 방화벽 구성을 업데이트하는 대신 기존의 승인된 IP 주소를 사용합니다.
-
마이그레이션 간소화 - IP 인프라를 변경하지 않고 다른 CDN에서 마이그레이션합니다.
-
일관된 브랜딩 - AWS로 이동할 때 일관된 브랜딩을 위해 기존 IP 주소 공간을 유지합니다.
-
IPv6 준비 상태 - IPv4 및 IPv6 모두에서 최신 듀얼 스택 아키텍처 지원
이 기능은 누가 사용해야 하나요?
글로벌 콘텐츠 전송으로 자체 IP 주소가 필요한 조직:
-
IP 허용 목록 요구 사항이 있는 대기업
-
기존 IP 주소를 사용하여 다른 CDN에서 마이그레이션하는 회사
-
특정 IP 범위를 요구하는 엄격한 보안 정책이 있는 조직
-
글로벌 도달을 위해 듀얼 스택(IPv4/IPv6) 구성이 필요한 기업
이 기능은 언제 사용해야 하나요?
다음이 필요한 경우 글로벌 서비스에 BYOIP를 사용하세요.
-
파트너/클라이언트와 기존 IP 허용 목록 유지
-
IP 주소를 사용하여 다른 CDN에서 마이그레이션
-
특정 IP 범위에 대한 규정 준수 요구 사항 충족
-
IPv4 및 IPv6 클라이언트를 모두 지원하는 듀얼 스택 아키텍처 배포
참고
IPv4를 위한 /24 CIDR 블록이 필요합니다. 듀얼 스택(IPv4 및 IPv6)에는 /24 IPv4 및 /48 IPv6 CIDR 블록이 필요합니다. 현재 CloudFront에서만 사용할 수 있습니다.
사전 조건
시작하기 전에 다음 단계를 완료합니다.
-
IPAM 설정 - AWS Organization에서 계정과 IPAM 통합 및 IPAM 생성
-
도메인 확인 - 도메인 제어 확인
-
최상위 풀 생성 - IPAM으로 자체 IPv4 CIDR 가져오기 및/또는 IPAM으로 자체 IPv6 CIDR 가져오기의 1~2단계를 따릅니다.
-
ROA(Route Origin Authorization) - 듀얼 스택을 배포하는 경우 ROA가 IPv4(/24) 및 IPv6(/48) 접두사 모두에 대해 구성되어 있는지 확인합니다.
글로벌 서비스 구성 단계
다음 단계는 표준 리전 BYOIP 프로세스와 다르며 글로벌 서비스에 대한 패턴을 설정합니다. 듀얼 스택 배포의 경우 IPv4 및 IPv6에 대해 별도의 풀을 생성한 다음 둘 다 CloudFront에 프로비저닝합니다.
1단계: 애니캐스트 서비스에 대한 글로벌 풀 생성
리전 풀을 생성하는 대신 애니캐스트 서비스에 대한 글로벌 풀을 생성합니다.
콘솔
콘솔을 사용하여 글로벌 풀을 생성하는 방법
-
https://console.aws.amazon.com/ipam/
에서 IPAM 콘솔을 엽니다. -
탐색 창에서 풀을 선택합니다.
-
풀 생성을 선택합니다.
-
소스: 최상위 BYOIP 풀을 선택합니다.
-
로캘: 글로벌을 선택합니다.
-
서비스: 글로벌 서비스를 선택합니다(글로벌을 선택하면 표시됨).
-
퍼블릭 IP 소스: BYOIP를 선택합니다.
-
프로비저닝할 CIDR: /24 CIDR 범위(IPv4의 경우) 또는 /48 CIDR 범위(IPv6의 경우) 지정
-
풀 생성을 선택합니다.
CLI
IPv4의 경우:
aws ec2 create-ipam-pool \ --ipam-scope-idscope-id\ --locale None \ --address-family ipv4 \ --source-ipam-pool-idtop-level-pool-idaws ec2 provision-ipam-pool-cidr \ --ipam-pool-idglobal-pool-id\ --cidryour-ipv4-/24
IPv6의 경우:
aws ec2 create-ipam-pool \ --ipam-scope-idscope-id\ --locale None \ --address-family ipv6 \ --source-ipam-pool-idtop-level-pool-idaws ec2 provision-ipam-pool-cidr \ --ipam-pool-idglobal-pool-id\ --cidryour-ipv6-/48
중요
-
IPv4의 경우: 이 풀에 전체 /24 블록을 할당해야 합니다. 이 블록 내에서 다양한 용도를 위해 보다 구체적인 범위를 프로비저닝할 수 있습니다.
-
IPv6의 경우: 이 풀에 전체 /48 블록을 할당해야 합니다. 이 블록 내에서 다양한 용도를 위해 보다 구체적인 범위를 프로비저닝할 수 있습니다.
2단계: 서비스별 리소스 생성
CloudFront의 경우 IPAM 풀을 사용하는 애니캐스트 IP 목록을 생성합니다. 자세한 지침은 Amazon CloudFront 개발자 안내서의 IPAM을 사용하여 자체 IP를 CloudFront로 가져오기를 참조하세요.
IPAM 통합의 주요 파라미터
-
IP 주소 유형 - BYOIP를 선택합니다.
-
IPAM 풀 - 1단계의 글로벌 풀을 선택합니다(IPv4 또는 IPv6).
-
IP 수 - 3을 입력합니다(CloudFront의 경우 필수).
3단계: 서비스 리소스와 연결
애니캐스트 정적 IP 목록을 CloudFront 배포와 연결합니다. 자세한 지침은 Amazon CloudFront 개발자 안내서의 IPAM을 사용하여 자체 IP를 CloudFront로 가져오기를 참조하세요.
주요 구성:
-
배포 설정에서 2단계의 애니캐스트 IP 목록을 선택합니다.
4단계: 마이그레이션 준비
-
DNS TTL 낮추기 - 레코드의 DNS TTL을 60초 이하로 설정합니다.
-
전파 대기 - 새 TTL이 인터넷 전체에 적용될 때까지 기다립니다.
5단계: CIDR을 전역에 보급
IPAM 글로벌 광고 명령을 사용합니다.
콘솔
콘솔을 사용하여 CIDR을 광고하는 방법
-
https://console.aws.amazon.com/ipam/
에서 IPAM 콘솔을 엽니다. -
탐색 창에서 풀을 선택합니다.
-
글로벌 풀을 선택합니다.
-
CIDR 탭을 선택합니다.
-
CIDR을 선택하고 작업 > CIDR 광고를 선택합니다.
-
광고를 확인합니다.
CLI
IPv4의 경우:
aws ec2 advertise-byoip-cidr \ --cidryour-ipv4-/24
IPv6의 경우:
aws ec2 advertise-byoip-cidr \ --cidryour-ipv6-/48
중요
-
이 명령을 실행하기 전에 이전 공급자로부터 광고를 철회하세요.
-
CloudFront를 가리키도록 DNS 레코드를 업데이트하여 마이그레이션을 완료하세요(IPv4의 경우 A 레코드, IPv6의 경우 AAAA 레코드).
정리
이 자습서에서 생성한 리소스를 정리하는 방법
-
CloudFront 리소스 삭제 - Amazon CloudFront 개발자 안내서의 IPAM을 사용하여 CloudFront에 자체 IP 가져오기의 정리 지침을 따릅니다.
-
CIDR 철회 및 IPAM 풀 삭제 - 8단계: 정리의 표준 정리 프로세스를 따릅니다.
중요
서비스 중단을 방지하려면 먼저 CloudFront 리소스를 삭제한 다음 IPAM 정리를 진행하세요.
