기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS PrivateLink를 통해 서비스 네트워크에 액세스

서비스 네트워크 VPC 엔드포인트(서비스-네트워크 엔드포인트)를 사용하면 VPC에서 서비스 네트워크에 비공개로 연결할 수 있습니다. 서비스-네트워크 엔드포인트를 통해 해당 서비스 네트워크와 연결된 리소스와 서비스에 비공개로 안전하게 액세스할 수 있습니다. 이렇게 하면 단일 VPC 엔드포인트를 통해 여러 리소스와 서비스에 비공개로 액세스할 수 있습니다.

서비스 네트워크는 리소스 구성과 VPC Lattice 서비스의 논리적 모음입니다. 서비스-네트워크 엔드포인트를 사용하면 서비스 네트워크를 VPC에 연결하고 VPC 또는 온프레미스에서 해당 리소스와 서비스에 비공개로 액세스할 수 있습니다. 서비스-네트워크 엔드포인트가 하나면 하나의 서비스 네트워크에 연결할 수 있습니다. VPC에서 여러 서비스 네트워크에 연결하려면 각각 다른 서비스 네트워크를 가리키는 서비스-네트워크 엔드포인트를 여러 개 생성하면 됩니다.

서비스 네트워크는 AWS Resource Access Manager ()와 통합됩니다AWS RAM. AWS RAM을 통해 다른 계정과 서비스 네트워크를 공유할 수 있습니다. 서비스 네트워크를 다른 AWS 계정과 공유하는 경우 해당 계정은 서비스 네트워크에 연결할 서비스 네트워크 엔드포인트를 생성할 수 있습니다. 서비스 네트워크는 AWS RAM의 리소스 공유를 통해 공유할 수 있습니다.

AWS RAM 콘솔을 사용하여 추가된 리소스 공유, 액세스할 수 있는 공유 서비스 네트워크, 리소스를 공유한 AWS 계정을 볼 수 있습니다. 자세한 내용은 AWS RAM 사용 설명서의 공유받은 리소스를 참조하세요.

요금

서비스 네트워크와 연결된 리소스 구성에 대해서는 시간 단위로 요금이 청구됩니다. 또한 서비스-네트워크 VPC 엔드포인트를 통해 리소스에 액세스할 때 처리된 데이터량(GB 단위)에 따라 요금이 청구됩니다. 서비스-네트워크 VPC 엔드포인트 자체에는 시간 단위 요금이 부과되지 않습니다. 자세한 내용은 Amazon VPC Lattice 요금을 참조하십시오.

개요

자체 서비스 네트워크를 생성하거나 다른 계정과 서비스 네트워크를 공유할 수 있습니다. 어느 경우든 VPC에서 연결하기 위해 서비스-네트워크 엔드포인트를 생성할 수 있습니다. 서비스 네트워크를 생성하고 리소스 구성을 연결하는 방법에 대한 자세한 내용은 Amazon VPC Lattice 사용 설명서를 참조하세요.

다음 다이어그램은 VPC 내의 서비스-네트워크 엔드포인트가 서비스 네트워크에 액세스하는 방식을 보여줍니다.

네트워크 연결은 서비스-네트워크 엔드포인트가 있는 VPC에서만 서비스 네트워크 내의 리소스와 서비스로 시작할 수 있습니다. 리소스와 서비스가 있는 VPC에서는 엔드포인트 VPC로 네트워크 연결을 시작할 수 없습니다.

DNS 호스트 이름

를 사용하면 프라이빗 엔드포인트를 사용하여 서비스 네트워크로 트래픽을 AWS PrivateLink전송합니다. 서비스-네트워크 VPC 엔드포인트를 생성하면, VPC 또는 온프레미스에서 해당 리소스 및 서비스와 통신할 때 사용할 수 있는 리전별 DNS 이름(기본 DNS 이름이라고 함)이 각 리소스와 서비스에 대해 생성됩니다. 엔드포인트에 연결된 IP 주소는 변경될 수 있습니다. 따라서 서비스 네트워크에 연결할 때는 엔드포인트 IP 대신 DNS를 사용하는 것이 좋습니다.

서비스 네트워크 내 리소스의 기본 DNS 이름 구문은 다음과 같습니다.

endpointId-snraId.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws

서비스 네트워크 내 Lattice 서비스의 기본 DNS 이름 구문은 다음과 같습니다.

endpointId-snsaId.randomHash.vpc-lattice-svcs.region.on.aws

를 사용하는 경우 연결 탭에서 DNS 이름을 찾을 AWS Management 콘솔수 있습니다. 를 사용하는 경우 describe-vpc-endpoint-associations 명령을 AWS CLI사용합니다.

프라이빗 DNS는 서비스 네트워크가 Amazon RDS 데이터베이스 서비스에 대한 ARN 유형 리소스 구성을 가지고 있을 때만 활성화할 수 있습니다. 프라이빗 DNS를 사용하면 AWS 서비스에서 리소스에 프로비저닝된 DNS 이름을 사용하여 리소스에 계속 요청할 수 있으며 서비스 네트워크 VPC 엔드포인트를 통한 프라이빗 연결을 활용할 수 있습니다. 자세한 내용은 DNS 확인 단원을 참조하십시오.

DNS 확인

서비스 네트워크 엔드포인트를 생성하면, 해당 서비스 네트워크와 연결된 각 리소스 구성과 Lattice 서비스에 대해 DNS 이름이 생성됩니다. 이 DNS 레코드는 공개 상태입니다. 따라서 해당 DNS 이름은 공개적으로 확인할 수 있습니다. 그러나 VPC 외부에서의 DNS 요청은 여전히 서비스-네트워크 엔드포인트의 네트워크 인터페이스가 가진 비공개 IP 주소를 반환합니다. 따라서 VPN 또는 Direct Connect를 통해 서비스-네트워크 엔드포인트가 속한 VPC에 액세스할 수 있다면, 온프레미스에서도 이 DNS 이름을 사용하여 리소스와 서비스에 액세스할 수 있습니다.

프라이빗 DNS

서비스 네트워크 VPC 엔드포인트에 대해 프라이빗 DNS를 활성화하고 VPC에 DNS 호스트 이름과 DNS 확인이 모두 활성화된 경우 사용자 지정 DNS 이름이 있는 리소스 구성에 대해 숨겨진 AWS관리형 프라이빗 호스팅 영역이 생성됩니다. 이 호스팅 영역에는 VPC 내 서비스-네트워크 엔드포인트 네트워크 인터페이스의 프라이빗 IP 주소로 확인되는 리소스에 대한 기본 DNS 이름의 레코드 세트가 포함됩니다.

Amazon은 Route 53 Resolver라고 하는 VPC용 DNS 서버를 제공합니다. Route 53 Resolver는 프라이빗 호스팅 영역의 로컬 VPC 도메인 이름 및 레코드를 자동으로 확인합니다. 하지만 VPC 외부에서는 Route 53 Resolver를 사용할 수 없습니다. 온프레미스 네트워크에서 VPC 엔드포인트에 액세스하려는 경우 기본 DNS 이름을 사용하거나 Route 53 Resolver 엔드포인트 및 Resolver 규칙을 사용할 수 있습니다. 자세한 내용은 AWS PrivateLink 및 AWS Transit Gateway 와 통합을 참조하세요 Amazon Route 53 Resolver.

서브넷 및 가용 영역

가용 영역당 1개의 서브넷으로 VPC 엔드포인트를 구성할 수 있습니다. 선택한 서브넷에 대해 VPC 엔드포인트용 탄력적 네트워크 인터페이스가 생성됩니다. VPC 엔드포인트의 IP 주소 유형이 IPv4인 경우, 각 탄력적 네트워크 인터페이스에는 /28 단위로 IP 주소가 서브넷에서 할당됩니다. 각 서브넷에 할당되는 IP 주소 수는 리소스 구성 수에 따라 달라지며, 필요 시 /28 블록 단위로 추가 IP를 할당합니다. 프로덕션 환경에서는 고가용성과 복원력을 위해 각 VPC 엔드포인트에 대해 최소 2개의 가용 영역을 구성하고 연속 IP 주소가 사용 가능하도록 설정하는 것이 좋습니다.

IP 주소 유형

서비스-네트워크 엔드포인트는 IPv4, IPv6 또는 듀얼 스택 주소를 지원할 수 있습니다. IPv6를 지원하는 엔드포인트는 AAAA 레코드를 사용하여 DNS 쿼리에 응답할 수 있습니다. 서비스-네트워크 엔드포인트의 IP 주소 유형은 여기에 설명된 대로 리소스 엔드포인트의 서브넷과 호환되어야 합니다.

서비스-네트워크 VPC 엔드포인트가 IPv4를 지원하면 엔드포인트 네트워크 인터페이스에는 IPv4 주소가 할당됩니다. 서비스-네트워크 VPC 엔드포인트가 IPv6를 지원하면 엔드포인트 네트워크 인터페이스에는 IPv6 주소가 할당됩니다. 엔드포인트 네트워크 인터페이스의 IPv6 주소는 인터넷을 통해 연결할 수 없습니다. 엔드포인트 네트워크 인터페이스를 IPv6 주소를 사용하여 설명하는 경우 denyAllIgwTraffic이 활성화됩니다.