를 통해 서비스 공유 AWS PrivateLink - Amazon Virtual Private Cloud
개요DNS 호스트 이름프라이빗 DNS서브넷 및 가용 영역교차 리전 액세스IP 주소 유형

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 통해 서비스 공유 AWS PrivateLink

엔드포인트 서비스라고 하는 자체 AWS PrivateLink 구동 서비스를 호스팅하고 다른 AWS 고객과 공유할 수 있습니다.

내용

개요

다음 다이어그램은에서 호스팅되는 서비스를 AWS 다른 AWS 고객과 공유하는 방법과 해당 고객이 서비스에 연결하는 방법을 보여줍니다. 서비스 공급자는 Network Load Balancer를 VPC에 서비스 프런트 엔드로 생성합니다. 그런 다음 VPC 엔드포인트 서비스 구성을 생성할 때 이 로드 밸런서를 선택합니다. 서비스에 연결할 수 있도록 특정 AWS 보안 주체에 권한을 부여합니다. 서비스 소비자는 VPC에서 선택한 서브넷과 엔드포인트 서비스 간에 연결을 설정하는 인터페이스 VPC 엔드포인트를 생성합니다. 로드 밸런서는 서비스 소비자의 요청을 받아 서비스를 호스팅하는 대상으로 전달합니다.

서비스 소비자는 서비스 공급자가 호스팅하는 엔드포인트 서비스에 연결합니다.

낮은 지연 시간과 높은 가용성을 위해 적어도 두 개의 가용 영역에 서비스를 제공하는 것이 좋습니다.

DNS 호스트 이름

서비스 공급자가 VPC 엔드포인트 서비스를 생성하면는 서비스에 대한 엔드포인트별 DNS 호스트 이름을 AWS 생성합니다. 이러한 이름의 구문은 다음과 같습니다.

endpoint_service_id.region.vpce.amazonaws.com

다음은 us-east-2 리전의 VPC 엔드포인트 서비스에 대한 DNS 호스트 이름의 예입니다.

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

서비스 소비자가 인터페이스 VPC 엔드포인트를 생성하면 서비스 소비자가 엔드포인트 서비스와 통신하는 데 사용할 수 있는 리전 및 영역 DNS 이름이 생성됩니다. 리전 이름의 구문은 다음과 같습니다.

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

영역 이름의 구문은 다음과 같습니다.

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

프라이빗 DNS

또한 서비스 공급자는 엔드포인트 서비스의 프라이빗 DNS 이름을 연결하여 서비스 소비자가 기존 DNS 이름을 사용하여 서비스에 계속 액세스할 수 있도록 할 수 있습니다. 서비스 공급자가 프라이빗 DNS 이름을 엔드포인트 서비스에 연결한 경우 서비스 소비자는 인터페이스 엔드포인트의 프라이빗 DNS 이름을 활성화할 수 있습니다. 서비스 공급자가 프라이빗 DNS를 활성화하지 않는 경우 서비스 소비자는 VPC 엔드포인트 서비스의 퍼블릭 DNS 이름을 사용하도록 애플리케이션을 업데이트해야 할 수 있습니다. 자세한 내용은 DNS 이름 관리 단원을 참조하십시오.

서브넷 및 가용 영역

엔드포인트 서비스는 Network Load Balancer에 대해 활성화한 가용 영역에서 사용할 수 있습니다. 고가용성과 복원력을 확보하기 위해, 로드 밸런서를 최소 두 개 이상의 가용 영역에서 활성화하고 활성화된 각 영역에 EC2 인스턴스를 배포한 뒤 이러한 인스턴스를 로드 밸런서의 대상 그룹에 등록하는 것이 좋습니다.

엔드포인트 서비스를 여러 가용 영역에 호스팅하는 대신 교차 영역 로드 밸런싱을 활성화할 수도 있습니다. 그러나 엔드포인트 서비스를 호스팅하는 영역에 장애가 발생하면, 소비자는 두 영역 모두에서 엔드포인트 서비스에 액세스할 수 없게 됩니다. 또한 Network Load Balancer에 대해 교차 영역 로드 밸런싱을 활성화하면 EC2 데이터 전송 요금이 부과된다는 점도 고려해야 합니다.

소비자는 엔드포인트 서비스가 제공되는 가용 영역 내에서 인터페이스 VPC 엔드포인트를 생성할 수 있습니다. VPC 엔드포인트에 대해 소비자가 구성한 각 서브넷에는 엔드포인트 네트워크 인터페이스가 생성됩니다. VPC 엔드포인트의 IP 주소 유형에 따라 서브넷의 각 엔드포인트 네트워크 인터페이스에 IP 주소가 할당됩니다. 요청에 따라 VPC 엔드포인트 서비스에 리전 엔드포인트를 사용할 경우, 시스템은 정상 상태인 엔드포인트 네트워크 인터페이스를 선택하며, 서로 다른 가용 영역의 네트워크 인터페이스 간에 라운드 로빈 알고리즘을 사용해 순차적으로 트래픽을 분배합니다. 그런 다음에 선택된 엔드포인트 네트워크 인터페이스의 IP 주소로 트래픽을 라우팅합니다.

소비자는 트래픽을 동일한 가용 영역 내에 유지하는 것이 사용 사례에 더 적합할 경우 VPC 엔드포인트의 영역별 엔드포인트를 사용할 수도 있습니다.

교차 리전 액세스

서비스 공급자는 하나의 리전에서 서비스를 호스팅하고, 지원되는 여러 리전에서 해당 서비스를 제공할 수 있습니다. 서비스 소비자는 엔드포인트를 생성할 때 서비스 리전을 선택합니다.

권한

  • 기본적으로 IAM 엔터티는 엔드포인트 서비스를 여러 리전에서 제공하거나 리전을 넘어 엔드포인트 서비스에 액세스할 권한이 없습니다. 리전 간 액세스 권한을 부여하려면, IAM 관리자가 vpce:AllowMultiRegion 권한만 허용하는 IAM 정책을 생성해야 합니다.

  • 엔드포인트 서비스를 생성할 때 IAM 엔터티가 지정할 수 있는 지원 리전을 제어하려면 ec2:VpceSupportedRegion 조건 키를 사용합니다.

  • VPC 엔드포인트를 생성할 때 IAM 엔터티가 지정할 수 있는 서비스 리전을 제어하려면 ec2:VpceServiceRegion 조건 키를 사용합니다.

고려 사항

  • 서비스 공급자는 엔드포인트 서비스의 지원 리전으로 추가하기 전에 해당 옵트인 리전에 참여해야 합니다.

  • 엔드포인트 서비스는 호스트 리전에서 액세스할 수 있어야 하며, 호스트 리전은 지원 리전 목록에서 제거할 수 없습니다. 중복성을 위해 엔드포인트 서비스를 여러 리전에 배포하고 각 엔드포인트 서비스에 대해 교차 리전 액세스를 활성화할 수 있습니다.

  • 서비스 소비자는 엔드포인트의 서비스 리전으로 선택하기 전에 해당 옵트인 리전에 참여해야 합니다. 가능한 경우, 서비스 소비자는 리전 내 연결을 통해 서비스를 액세스하는 것이 교차 리전 연결보다 권장됩니다. 리전 내 연결은 지연 시간이 짧고 비용이 적게 듭니다.

  • 서비스 공급자가 지원 리전 목록에서 특정 리전을 제거하면, 서비스 소비자는 새 엔드포인트를 생성할 때 해당 리전을 서비스 리전으로 선택할 수 없습니다. 단, 기존 엔드포인트가 해당 리전을 서비스 리전으로 사용 중인 경우에는 기존 엔드포인트 액세스에 영향이 없습니다.

  • 고가용성을 위해 공급자는 최소 2개의 가용 영역을 사용해야 합니다. 교차 리전 액세스에서는 공급자와 소비자가 반드시 동일한 가용 영역을 사용해야 하는 것은 아닙니다.

  • use1-az3, usw1-az2, apne1-az3, apne2-az2apne2-az4 가용 영역에서는 교차 리전 액세스가 지원되지 않습니다

  • 리전 간 액세스를 통해 가용 영역 간의 장애 조치를 AWS PrivateLink 관리합니다. 교차 리전 장애 조치는 관리하지 않습니다.

  • TCP 유휴 제한 시간에 사용자 지정 값을 설정한 Network Load Balancer에는 교차 리전 액세스가 지원되지 않습니다.

  • UDP 조각화를 사용하는 경우 교차 리전 액세스는 지원되지 않습니다.

  • 리전 간 액세스는 공유하는 서비스에 대해서만 지원됩니다 AWS PrivateLink.

IP 주소 유형

서비스 공급자는 백엔드 서버가 IPv4만 지원하는 경우에도 서비스 엔드포인트를 IPv4, IPv6 또는 IPv4와 IPv6 모두를 통해 서비스 소비자에 제공할 수 있습니다. 듀얼 스택 지원을 활성화하는 경우 기존 소비자는 계속 IPv4를 사용하여 서비스에 액세스할 수 있고 새 소비자는 IPv6를 사용하여 서비스에 액세스할 수 있습니다.

인터페이스 VPC 엔드포인트가 IPv4를 지원하는 경우 엔드포인트 네트워크 인터페이스에 IPv4 주소가 있습니다. 인터페이스 VPC 엔드포인트가 IPv6를 지원하는 경우 엔드포인트 네트워크 인터페이스에 IPv6 주소가 있습니다. 엔드포인트 네트워크 인터페이스의 IPv6 주소는 인터넷을 통해 연결할 수 없습니다. 엔드포인트 네트워크 인터페이스를 IPv6 주소를 사용하여 설명하는 경우 denyAllIgwTraffic이 활성화됩니다.

엔드포인트 서비스에 대해 IPv6를 활성화하기 위한 요구 사항

  • 엔드포인트 서비스의 VPC와 서브넷에는 연결된 IPv6 CIDR 블록이 있어야 합니다.

  • 엔드포인트 서비스의 모든 Network Load Balancer는 듀얼 스택 IP 주소 유형을 사용해야 합니다. 대상에서 IPv6 트래픽을 지원할 필요는 없습니다. 서비스에서 프록시 프로토콜 버전 2 헤더의 소스 IP 주소를 처리하는 경우 IPv6 주소를 처리해야 합니다.

인터페이스 엔드포인트에 대해 IPv6를 활성화하기 위한 요구 사항

  • 엔드포인트 서비스에서 IPv6 요청을 지원해야 합니다.

  • 인터페이스 엔드포인트의 IP 주소 유형이 여기에 설명된 대로 인터페이스 엔드포인트의 서브넷과 호환되어야 합니다.

    • IPv4 - 엔드포인트 네트워크 인터페이스에 IPv4 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 주소 범위가 있는 경우에만 지원됩니다.

    • IPv6 - 엔드포인트 네트워크 인터페이스에 IPv6 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷이 IPv6 전용 서브넷인 경우에만 지원됩니다.

    • 듀얼 스택 - 엔드포인트 네트워크 인터페이스에 IPv4 및 IPv6 주소를 모두 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있는 경우에만 지원됩니다.

인터페이스 엔드포인트에 대한 DNS 레코드 IP 주소 유형

인터페이스 엔드포인트에서 지원하는 DNS 레코드 IP 주소 유형에 따라 생성되는 DNS 레코드가 결정됩니다. 인터페이스 엔드포인트의 DNS 레코드 IP 주소 유형이 여기에 설명된 대로 인터페이스 엔드포인트의 IP 주소와 호환되어야 합니다.

  • IPv4 - 프라이빗, 리전 및 영역 DNS 이름에 대해 A 레코드를 생성합니다. IP 주소 유형은 IPv4 또는 Dualstack(듀얼 스택)이어야 합니다.

  • IPv6 - 프라이빗, 리전 및 영역 DNS 이름에 대해 AAAA 레코드를 생성합니다. IP 주소 유형은 IPv6 또는 듀얼 스택이어야 합니다.

  • 듀얼 스택 - 프라이빗, 리전 및 영역 DNS 이름에 대해 A 및 AAAA 레코드를 생성합니다. IP 주소 유형은 듀얼 스택이어야 합니다.