인터넷 트래픽을 단일 네트워크 인터페이스로 라우팅 - Amazon Virtual Private Cloud
시작하기 전 준비 사항이 기능의 작동 방식1단계: VPC 생성2단계: 인터넷 게이트웨이 생성 및 연결3단계: 대상 인스턴스에 대한 서브넷 생성4단계: 서브넷에 대한 라우팅 테이블 생성5단계: 대상 인스턴스에 대한 보안 그룹 생성6단계: 대상 EC2 인스턴스 시작7단계: 인터넷 게이트웨이 라우팅 테이블 생성8단계: 라우팅 테이블을 인터넷 게이트웨이와 연결9단계: BYOIP 풀을 인터넷 게이트웨이와 연결10단계: 인스턴스를 대상으로 정적 경로 추가11단계: 대상 인스턴스 구성12단계: 트래픽 처리를 위한 인스턴스 구성13단계: 연결 테스트문제 해결고급 옵션: 동적 라우팅을 위한 라우팅 서버 통합정리

인터넷 트래픽을 단일 네트워크 인터페이스로 라우팅

대규모 퍼블릭 IP 주소 풀로 향하는 인바운드 인터넷 트래픽을 VPC의 단일 탄력적 네트워크 인터페이스(ENI)로 라우팅할 수 있습니다.

이전에는 인터넷 게이트웨이가 VPC의 네트워크 인터페이스와 직접 연결된 퍼블릭 IP 주소로 향하는 트래픽만 수락했습니다. 인스턴스 유형에는 네트워크 인터페이스와 연결할 수 있는 IP 주소 수에 제한이 있으므로 이러한 제한보다 큰 IP 풀의 트래픽을 처리해야 하는 통신 및 사물 인터넷(IoT)과 같은 산업에 문제가 발생합니다.

이 라우팅은 인바운드 인터넷 연결에서 복잡한 주소 변환을 제거합니다. 자체 퍼블릭 IP 풀(BYOIP)을 가져오고 전체 풀의 트래픽을 수락하고 단일 네트워크 인터페이스로 라우팅하도록 VPC 인터넷 게이트웨이를 구성할 수 있습니다. 이 기능은 다음과 같은 경우에 특히 유용합니다.

  • 통신: 주소 변환 오버헤드 없이 대규모 구독자 IP 풀 관리

  • IoT 애플리케이션: 수천 개의 디바이스 IP 주소에서 트래픽 통합

  • 모든 시나리오: ENI 연결 제한을 초과하는 트래픽 라우팅 요구

장애 조치 시나리오 중에 동적 라우팅 업데이트를 위해 이 라우팅을 VPC Route Server와 통합할 수 있습니다.

주요 이점

이러한 라우팅 접근 방식에는 다음과 같은 이점이 있습니다.

  • 주소 번역 불필요 - 직접 라우팅으로 NAT 복잡성 제거

  • ENI 제한 우회 - 인스턴스 연결 제한보다 큰 IP 풀 처리

  • 산업 최적화 - 통신 및 IoT 요구 사항에 맞게 특별히 구축됨

  • 동적 장애 조치 - 자동 업데이트를 위해 Route Server와 통합

가용성

이 기능은 모든 AWS 상용 리전, AWS 중국 리전 및 AWS GovCloud 리전에서 사용할 수 있습니다.

시작하기 전 준비 사항

이 자습서를 시작하기 전에 다음 사항을 확인합니다.

  1. BYOIP 풀: 이미 자체 IP 주소 범위를 AWS로 가져왔을 것입니다. Amazon EC2에서 고유 IP 주소 가져오기(BYOIP)의 단계를 완료합니다.

  2. BYOIP 풀 확인: 다음을 실행하여 풀이 준비되었는지 확인합니다.

    aws ec2 describe-public-ipv4-pools --region us-east-1

    출력에서 풀을 찾고 PoolAddressRangesAvailable 주소가 표시되는지 확인합니다.

  3. 권한 적합성: AWS 계정에 VPC 리소스, EC2 인스턴스를 생성하고 BYOIP 풀을 관리할 수 있는 권한이 있는지 확인합니다.

이 기능의 작동 방식

이 섹션에서는 인터넷 게이트웨이 수신 라우팅의 기술적 개념과 인터넷에서 대상 인스턴스에 대한 트래픽 플로우 방식을 설명합니다.

인터넷 게이트웨이 수신 라우팅을 사용하는 이유

이전에는 ENI 연결 제한으로 인해 많은 수의 IP 주소에 대한 트래픽을 통합하기 위해 주소 변환을 수행해야 했습니다. 이 개선 사항을 통해 BYOIP 풀을 대상 인스턴스로 직접 라우팅할 수 있게 되어 이와 같은 복잡성이 제거됩니다.

라우팅 작동 방식

이 기능은 BYOIP 프로세스에 따라 AWS에 가져오는 퍼블릭 IP CIDR에서만 작동합니다. BYOIP 프로세스는 해당 계정이 퍼블릭 IP CIDR을 소유하도록 보장합니다. BYOIP 퍼블릭 CIDR이 있으면 다음을 수행합니다.

  1. 이 퍼블릭 IP 주소 풀을 인터넷 게이트웨이 라우팅 테이블과 연결합니다. 인터넷 게이트웨이는 이미 VPC와 연결되어 있어야 합니다. 이 연결을 통해 VPC는 IP CIDR로 향하는 트래픽을 수락할 수 있습니다. 인터넷 게이트웨이에 서브넷과 공유되지 않는 전용 라우팅 테이블이 있는지 확인합니다.

  2. 이제 BYOIP 풀을 인터넷 게이트웨이 라우팅 테이블과 연결했으므로 대상이 IP CIDR 또는 인터넷 게이트웨이 라우팅 테이블의 하위 집합과 동일한 경로를 입력할 수 있습니다. 이 경로의 대상은 트래픽을 라우팅하려는 ENI입니다.

  3. BYOIP CIDR로 향하는 트래픽이 AWS에 들어오면 AWS는 인터넷 게이트웨이 라우팅 테이블을 살펴보고 그에 따라 트래픽을 관련 VPC로 라우팅합니다.

  4. VPC 내에서 인터넷 게이트웨이는 트래픽을 대상 ENI로 라우팅합니다.

  5. 대상(워크로드와 연결된 탄력적 네트워크 인터페이스)은 트래픽을 처리합니다.

모범 사례

  • 라우팅 테이블을 별도로 유지: 인터넷 게이트웨이 라우팅 테이블은 인터넷 게이트웨이 전용이어야 합니다. 이 라우팅 테이블을 VPC 서브넷과 연결하지 마세요. 서브넷 라우팅에는 별도의 라우팅 테이블을 사용합니다.

  • BYOIP IP를 직접 할당하지 않음: BYOIP 풀의 퍼블릭 IP 주소를 EC2 인스턴스 또는 네트워크 인터페이스에 직접 연결하지 마세요. 인터넷 게이트웨이 수신 라우팅 기능은 직접 IP 연결 없이 트래픽을 인스턴스로 라우팅합니다.

중요

VPC 퍼블릭 액세스 차단(BPA)을 사용하는 경우 BPA가 활성화되면 서브넷 수준 BPA 제외를 설정했더라도 수신 라우팅을 사용하여 서브넷으로의 트래픽을 차단합니다. 수신 라우팅에는 서브넷 수준 제외가 작동하지 않습니다. BPA가 활성화된 상태에서 수신 라우팅 트래픽을 허용하려면 다음을 수행합니다.

  • BPA를 완전히 비활성화 또는

  • VPC 수준 제외 사용

1단계: VPC 생성

이 단계를 완료하여 대상 인스턴스와 인터넷 게이트웨이를 호스팅할 VPC를 생성합니다.

참고

VPC 할당량 한도에 도달하지 않았는지 확인합니다. 자세한 내용은 Amazon VPC 할당량 섹션을 참조하세요.

AWS 콘솔

  1. Amazon VPC 콘솔을 엽니다.

  2. VPC 대시보드에서 VPC 생성을 선택합니다.

  3. 생성할 리소스에서 VPC 전용을 선택합니다.

  4. 이름 태그에 VPC의 이름을 입력합니다(예: IGW-Ingress-VPC).

  5. IPv4 CIDR 블록에 CIDR 블록을 입력합니다(예: 10.0.0.0/16).

  6. VPC 생성을 선택합니다.

AWS CLI

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=IGW-Ingress-VPC}]' --region us-east-1

2단계: 인터넷 게이트웨이 생성 및 연결

이 단계를 완료하여 인터넷 게이트웨이를 생성하고 VPC에 연결해 인터넷 연결을 활성화합니다.

AWS 콘솔

  1. Amazon VPC 콘솔을 엽니다.

  2. VPC 콘솔에서 인터넷 게이트웨이를 선택합니다.

  3. 인터넷 게이트웨이 생성을 선택합니다.

  4. 이름 태그에 인터넷 게이트웨이의 이름을 입력합니다(예: IGW-Ingress-Gateway).

  5. 인터넷 게이트웨이 생성을 선택합니다.

  6. 인터넷 게이트웨이를 선택한 후 작업, VPC에 연결을 선택합니다.

  7. VPC를 선택한 후 인터넷 게이트웨이 연결을 선택합니다.

AWS CLI

aws ec2 create-internet-gateway --tag-specifications 'ResourceType=internet-gateway,Tags=[{Key=Name,Value=IGW-Ingress-Gateway}]' --region us-east-1

aws ec2 attach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0 --region us-east-1

참고: 리소스 ID를 이전 단계의 실제 ID로 바꿉니다.

3단계: 대상 인스턴스에 대한 서브넷 생성

이 단계를 완료하여 대상 인스턴스가 배포될 서브넷을 생성합니다.

AWS 콘솔

  1. VPC 콘솔 탐색 창에서 서브넷(Subnets)을 선택합니다.

  2. 서브넷 생성(Create subnet)을 선택합니다.

  3. VPC ID에서 VPC를 선택합니다.

  4. 서브넷 이름에 이름을 입력합니다(예: Target-Subnet).

  5. 가용 영역(Availability Zone)에서 서브넷의 영역을 선택하거나 AWS에서 자동으로 선택하도록 기본값인 기본 설정 없음(No Preference)을 그대로 둘 수 있습니다.

  6. IPv4 CIDR 블록에서 수동 입력을 선택하고 CIDR 블록을 입력합니다(예: 10.0.1.0/24).

  7. 서브넷 생성(Create subnet)을 선택합니다.

AWS CLI

aws ec2 create-subnet \
    --vpc-id vpc-0123456789abcdef0 \
    --cidr-block 10.0.1.0/24 \
    --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Target-Subnet}]' \
    --region us-east-1

4단계: 서브넷에 대한 라우팅 테이블 생성

이 단계를 완료하여 서브넷에 대한 라우팅 테이블을 생성하고 서브넷과 연결합니다.

AWS 콘솔

  1. VPC 콘솔 탐색 창에서 라우팅 테이블을 선택합니다.

  2. 라우팅 테이블 생성을 선택합니다.

  3. 이름에 라우팅 테이블의 이름을 입력합니다(예: Target-Subnet-Route-Table).

  4. VPC에서 VPC를 선택합니다.

  5. 라우팅 테이블 생성을 선택합니다.

  6. 라우팅 테이블을 선택한 후 작업, 서브넷 연결 편집을 선택합니다.

  7. 서브넷을 선택한 후 연결 저장을 선택합니다.

AWS CLI

aws ec2 create-route-table \
    --vpc-id vpc-0123456789abcdef0 \
    --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=Target-Subnet-Route-Table}]' \
    --region us-east-1

aws ec2 associate-route-table \
    --route-table-id rtb-0987654321fedcba0 \
    --subnet-id subnet-0123456789abcdef0 \
    --region us-east-1

5단계: 대상 인스턴스에 대한 보안 그룹 생성

이 단계를 완료하여 대상 인스턴스에 대한 네트워크 액세스를 제어하는 보안 그룹을 생성합니다.

AWS 콘솔

  1. VPC 콘솔 탐색 창에서 보안 그룹을 선택합니다.

  2. 보안 그룹 생성을 선택합니다.

  3. 보안 그룹 이름에 이름을 입력합니다(예: IGW-Target-SG).

  4. 설명Security group for IGW ingress routing target instance를 입력합니다.

  5. VPC에서 해당 VPC를 선택합니다.

  6. 인바운드 규칙을 추가하려면 인바운드 규칙을 선택합니다. 각 규칙에 대해 규칙 추가를 선택하고 다음을 지정합니다.

    • 유형: 모든 ICMP - IPv4, 소스: 0.0.0.0/0(ping 테스트용).

    • 유형: SSH, 포트: 22, 소스: 0.0.0.0/0(EC2 Instance Connect용).

참고

이 보안 그룹은이 자습서의 모든 인터넷 트래픽에 SSH 포트를 엽니다. 이 자습서는 교육용이므로 프로덕션 환경에 맞게 구성해서는 안 됩니다. 프로덕션 환경에서는 SSH 액세스를 특정 IP 범위로 제한합니다.

  • 보안 그룹 생성을 선택합니다.

AWS CLI

aws ec2 create-security-group \
    --group-name IGW-Target-SG \
    --description "Security group for IGW ingress routing target instance" \
    --vpc-id vpc-0123456789abcdef0 \
    --region us-east-1

aws ec2 authorize-security-group-ingress \
    --group-id sg-0123456789abcdef0 \
    --protocol icmp \
    --port -1 \
    --cidr 0.0.0.0/0 \
    --region us-east-1

aws ec2 authorize-security-group-ingress \
    --group-id sg-0123456789abcdef0 \
    --protocol tcp \
    --port 22 \
    --cidr 0.0.0.0/0 \
    --region us-east-1

6단계: 대상 EC2 인스턴스 시작

이 단계를 완료하여 BYOIP 풀에서 트래픽을 수신할 EC2 인스턴스를 시작합니다.

AWS 콘솔

  1. Amazon EC2 콘솔을 엽니다.

  2. 인스턴스 시작을 선택합니다.

  3. 이름에 인스턴스의 이름을 입력합니다(예: IGW-Target-Instance).

  4. 애플리케이션 및 OS 이미지(Amazon Machine Image)에서 Amazon Linux 2023 AMI를 선택합니다.

  5. 인스턴스 유형에서 t2.micro(프리 티어에서 사용 가능)를 선택합니다.

  6. 키 페어(로그인)에서 기존 키 페어를 선택하거나 새 키 페어를 생성합니다.

  7. 네트워크 설정에서 편집을 선택하고 다음을 구성합니다.

    • VPC: VPC 선택

    • 서브넷: 서브넷 선택

    • 퍼블릭 IP 자동 할당: 활성화

    • 방화벽(보안 그룹): 기존 보안 그룹을 선택한 후 해당 보안 그룹 선택

  8. 인스턴스 시작을 선택합니다.

  9. 중요: 시작 후 인스턴스 세부 정보로 이동하여 네트워크 인터페이스 ID("eni-"로 시작)를 기록해 둡니다. 10단계에서 이 ID가 필요합니다.

AWS CLI

aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --count 1 \
    --instance-type t2.micro \
    --key-name your-key-pair \
    --security-group-ids sg-0123456789abcdef0 \
    --subnet-id subnet-0123456789abcdef0 \
    --associate-public-ip-address \
    --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=IGW-Target-Instance}]' \
    --region us-east-1

콘솔에서 ENI ID 찾기:

  1. EC2 콘솔에서 인스턴스를 선택합니다.

  2. 네트워킹 탭으로 이동합니다.

  3. 네트워크 인터페이스 ID(예: eni-0abcdef1234567890)를 기록해 둡니다.

AWS CLI를 사용하여 ENI ID 찾기:

aws ec2 describe-instances --instance-ids i-0123456789abcdef0 --query 'Reservations[0].Instances[0].NetworkInterfaces[0].NetworkInterfaceId' --output text --region us-east-1

7단계: 인터넷 게이트웨이 라우팅 테이블 생성

이 단계를 완료하여 수신 라우팅을 처리할 인터넷 게이트웨이 전용 라우팅 테이블을 생성합니다.

AWS 콘솔

  1. VPC 콘솔에서 라우팅 테이블을 선택합니다.

  2. 라우팅 테이블 생성을 선택합니다.

  3. 이름에 라우팅 테이블의 이름을 입력합니다(예: IGW-Ingress-Route-Table).

  4. VPC에서 VPC를 선택합니다.

  5. 라우팅 테이블 생성을 선택합니다.

  6. 라우팅 테이블을 선택한 후 엣지 연결 탭을 선택합니다.

  7. 엣지 연결 편집을 선택합니다.

  8. 인터넷 게이트웨이를 선택한 후 변경 사항 저장을 선택합니다.

AWS CLI

aws ec2 create-route-table \
    --vpc-id vpc-0123456789abcdef0 \
    --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=IGW-Ingress-Route-Table}]' \
    --region us-east-1

8단계: 라우팅 테이블을 인터넷 게이트웨이와 연결

이 단계를 완료하여 라우팅 테이블을 인터넷 게이트웨이와 연결해 수신 라우팅 기능을 활성화합니다.

AWS 콘솔

  1. VPC 콘솔 탐색 창에서 라우팅 테이블을 선택한 후 생성한 라우팅 테이블을 선택합니다.

  2. 엣지 연결(Edge associations) 탭에서 엣지 연결 편집(Edit edge associations)을 선택합니다.

  3. 해당 인터넷 게이트웨이의 확인란을 선택합니다.

  4. 변경 사항 저장을 선택합니다.

AWS CLI

aws ec2 associate-route-table \
    --route-table-id rtb-0123456789abcdef0 \
    --gateway-id igw-0123456789abcdef0 \
    --region us-east-1

9단계: BYOIP 풀을 인터넷 게이트웨이와 연결

이 단계를 완료하여 BYOIP 풀을 인터넷 게이트웨이 라우팅 테이블과 연결하면 VPC가 IP 범위에 대한 트래픽을 수락할 수 있습니다.

AWS 콘솔

  1. VPC 콘솔 탐색 창에서 라우팅 테이블을 선택한 후 생성한 인터넷 게이트웨이 라우팅 테이블을 선택합니다.

  2. IPv4 풀 연결 탭을 클릭합니다.

  3. 연결 편집 버튼을 클릭합니다.

  4. BYOIP 풀을 선택합니다(예: pool-12345678901234567).

  5. 연결 저장 버튼을 클릭합니다.

AWS CLI

aws ec2 associate-route-table \
    --route-table-id rtb-0123456789abcdef0 \
    --public-ipv4-pool pool-12345678901234567 \
    --region us-east-1

참고: rtb-0123456789abcdef0을 인터넷 게이트웨이 라우팅 테이블 ID로 바꾸고 pool-12345678901234567을 BYOIP 풀 ID로 바꿉니다.

10단계: 인스턴스를 대상으로 정적 경로 추가

이 단계를 완료하여 BYOIP 범위에서 대상 인스턴스의 네트워크 인터페이스로 트래픽을 전달하는 경로를 추가합니다.

AWS 콘솔

  1. VPC 콘솔 탐색 창에서 라우팅 테이블을 선택한 후 생성한 인터넷 게이트웨이 라우팅 테이블을 선택합니다.

  2. 작업(Actions), 라우팅 편집(Edit routes)을 선택합니다.

  3. 라우팅 추가(Add route)를 선택합니다.

  4. 대상에 BYOIP CIDR 또는 하위 집합을 입력합니다(예: 203.0.113.0/24). 이 접두사는 /23에서 /28 사이여야 합니다.

  5. 대상에서 네트워크 인터페이스를 선택하고 인스턴스의 ENI ID를 입력합니다(예: eni-0abcdef1234567890).

  6. 변경 사항 저장을 선택합니다.

AWS CLI

aws ec2 create-route \
    --route-table-id rtb-0123456789abcdef0 \
    --destination-cidr-block 203.0.113.0/24 \
    --network-interface-id eni-0abcdef1234567890 \
    --region us-east-1

11단계: 대상 인스턴스 구성

이 단계를 완료하여 BYOIP 주소로 향하는 트래픽을 올바르게 처리하도록 대상 인스턴스를 구성합니다.

중요: 연결을 테스트하기 전에 이 인스턴스 구성 단계를 완료합니다(12단계). 수신 라우팅이 제대로 작동하려면 BYOIP 주소에 응답하도록 인스턴스를 구성해야 합니다.

AWS 콘솔

  1. EC2 Instance Connect를 사용하여 대상 인스턴스에 연결하려면 다음을 수행합니다.

    • EC2 콘솔에서 인스턴스를 선택합니다.

    • 작업 > 연결을 선택합니다.

    • EC2 Instance Connect 탭을 선택합니다.

    • 연결을 선택합니다.

  2. 인스턴스 인터페이스에 특정 BYOIP IP 주소 추가:

    먼저 네트워크 인터페이스 이름을 찾습니다.

    ip link show

    그런 다음 IP 주소를 추가합니다(203.0.113.10을 BYOIP 범위의 IP로 대체).

    sudo ip addr add 203.0.113.10/32 dev eth0

    참고: 203.0.113.10을 테스트하려는 BYOIP 범위의 IP 주소로 바꿉니다. 인터페이스 이름은 인스턴스 유형에 따라 eth0, ens5이거나 이와 유사할 수 있습니다.

  3. EC2 콘솔에서 소스/대상 확인을 비활성화하려면 다음을 수행합니다.

    • 인스턴스를 선택합니다.

    • 네트워킹 탭으로 이동하여 네트워크 인터페이스를 클릭합니다.

    • 작업, 소스/대상 확인 변경, 비활성화를 선택합니다.

AWS CLI

aws ec2 modify-network-interface-attribute \
    --network-interface-id eni-0abcdef1234567890 \
    --no-source-dest-check \
    --region us-east-1

12단계: 트래픽 처리를 위한 인스턴스 구성

이 단계를 완료하여 인스턴스에 BYOIP 주소를 추가하고 소스/대상 확인을 비활성화해 적절한 트래픽 처리를 활성화합니다.

AWS 콘솔

  1. EC2 Instance Connect를 사용하여 대상 인스턴스에 연결하려면 다음을 수행합니다.

    • EC2 콘솔에서 인스턴스를 선택합니다.

    • 작업 > 연결을 선택합니다.

    • EC2 Instance Connect 탭을 선택합니다.

    • 연결을 선택합니다.

  2. 인스턴스 인터페이스에 특정 BYOIP IP 주소 추가:

    먼저 네트워크 인터페이스 이름을 찾습니다.

    ip link show

    그런 다음 IP 주소를 추가합니다(ens5를 실제 인터페이스 이름으로 대체).

    sudo ip addr add 203.0.113.10/32 dev ens5

    참고: 203.0.113.10을 테스트하려는 BYOIP 범위의 IP 주소로 바꿉니다. 인터페이스 이름은 인스턴스 유형에 따라 eth0, ens5이거나 이와 유사할 수 있습니다.

  3. EC2 콘솔에서 소스/대상 확인을 비활성화하려면 다음을 수행합니다.

    • 인스턴스를 선택합니다.

    • 네트워킹 탭으로 이동하여 네트워크 인터페이스를 클릭합니다.

    • 작업, 소스/대상 확인 변경, 비활성화를 선택합니다.

AWS CLI

aws ec2 modify-network-interface-attribute \
    --network-interface-id eni-0abcdef1234567890 \
    --no-source-dest-check \
    --region us-east-1

13단계: 연결 테스트

이 단계를 완료하여 인터넷 트래픽이 BYOIP 주소를 통해 대상 인스턴스로 올바르게 라우팅되었는지 확인합니다.

  1. 대상 인스턴스에서 tcpdump를 사용하여 수신 트래픽을 모니터링합니다.

    sudo tcpdump -i any icmp

  2. 다른 터미널 또는 컴퓨터에서 BYOIP IP 주소에 대한 연결을 테스트합니다.

    ping 203.0.113.10

  3. 예상 결과:

    • Ping이 성공하고 BYOIP IP 주소의 응답을 표시해야 합니다.

    • tcpdump는 다음과 같이 BYOIP 주소에 대한 수신 패킷을 표시해야 합니다.

      12:34:56.789012 IP 203.0.113.100 > 203.0.113.10: ICMP echo request, id 1234, seq 1, length 64
12:34:56.789123 IP 203.0.113.10 > 203.0.113.100: ICMP echo reply, id 1234, seq 1, length 64

    • 트래픽은 외부 IP 주소에서 오는 것처럼 보여야 합니다. 이는 인터넷 게이트웨이 수신 라우팅이 인스턴스에 인터넷 트래픽을 전달하고 있음을 증명합니다.

문제 해결

이 섹션을 사용하여 인터넷 게이트웨이 수신 라우팅을 설정할 때 발생할 수 있는 일반적인 문제를 해결합니다.

트래픽이 인스턴스에 도달하지 않음

  • 라우팅 테이블의 ENI ID가 대상으로 올바른지 확인합니다.

  • BYOIP 풀이 인터넷 게이트웨이 라우팅 테이블과 연결되어 있는지 확인합니다.

  • 인스턴스에서 소스/대상 확인이 비활성화되어 있는지 확인합니다.

  • 보안 그룹이 테스트 중인 트래픽 유형을 허용하는지 확인합니다.

경로 생성 실패

  • BYOIP 풀이 라우팅 테이블과 올바르게 연결되어 있는지 확인합니다.

  • 대상 CIDR이 BYOIP 범위 내에 있는지 확인합니다.

  • 대상 ENI가 존재하고 실행 중인 인스턴스에 연결되어 있는지 확인합니다.

  • BYOIP 접두사가 /23에서 /28 사이인지 확인합니다(이 범위 밖의 접두사는 지원되지 않음).

Ping/연결 실패

  • IP 주소가 인스턴스 인터페이스에 추가되었는지 확인합니다.

  • 보안 그룹이 ICMP(ping용) 또는 관련 포트를 허용하는지 확인합니다.

  • 인스턴스가 실행 중 상태인지 확인합니다.

  • 여러 외부 위치에서 테스트합니다.

고급 옵션: 동적 라우팅을 위한 라우팅 서버 통합

자동 장애 조치가 필요한 환경의 경우 이 기능은 VPC Route Server와 통합되어 다음을 수행합니다.

  • 인스턴스 장애 발생 시 경로를 동적으로 업데이트합니다.

  • 라우팅 관리를 위한 수동 개입을 제거합니다.

  • 중요한 워크로드에 대한 엔터프라이즈급 가용성을 제공합니다.

이는 고가용성이 필수적인 통신 및 IoT 사용 사례에 특히 중요합니다.

참고

여러 BGP 피어와 함께 Route Server를 사용하는 경우 최대 32개의 BGP 피어가 라우팅 서버를 사용하여 동일한 라우팅 테이블에 동일한 접두사를 알릴 수 있습니다.

동적 라우팅, 자동 장애 조치 및 여러 인스턴스에 걸친 로드 분산이 필요한 환경의 경우 AWS Route Server와 통합하는 것이 좋습니다. Route Server는 정적 경로 대신 BGP 기반 동적 라우팅을 활성화하여 다음을 제공합니다.

  • BGP를 통한 인스턴스의 동적 라우팅 광고.

  • 여러 대상 인스턴스 간의 자동 장애 조치.

  • 여러 엔드포인트에 대한 로드 분산.

  • BGP 프로토콜을 통한 중앙 집중식 라우팅 관리.

이는 고가용성 및 동적 라우팅 기능이 필요한 엔터프라이즈 배포에 중요한 사용 사례입니다. 자세한 Route Server 설정 지침은 AWS Route Server 설명서를 참조하세요.

정리

이 자습서에서 생성한 리소스에 계속해서 비용이 부과되지 않도록 하려면 해당 리소스를 삭제해야 합니다.

1단계: EC2 인스턴스 종료

이 단계를 완료하여 EC2 인스턴스를 종료하고 컴퓨팅 리소스에 대한 요금 발생을 중지합니다.

AWS 콘솔

  1. Amazon EC2 콘솔을 엽니다.

  2. EC2 콘솔 탐색 창에서 인스턴스를 선택합니다.

  3. 인스턴스를 선택한 후 인스턴스 상태, 인스턴스 종료를 차례로 선택합니다.

  4. 종료를 선택하여 확인합니다.

AWS CLI

aws ec2 terminate-instances --instance-ids i-0123456789abcdef0 --region us-east-1

2단계: VPC에서 인터넷 게이트웨이 분리

이 단계를 완료하여 VPC에서 인터넷 게이트웨이를 분리하고 삭제합니다.

AWS 콘솔

  1. Amazon VPC 콘솔을 엽니다.

  2. VPC 콘솔 탐색 창에서 인터넷 게이트웨이를 선택합니다.

  3. 인터넷 게이트웨이를 선택한 후 작업, VPC에서 분리를 선택합니다.

  4. 인터넷 게이트웨이 분리를 선택합니다.

  5. 분리한 후 작업, 인터넷 게이트웨이 삭제를 선택합니다.

  6. 인터넷 게이트웨이 삭제를 선택합니다.

AWS CLI

aws ec2 detach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0 --region us-east-1

aws ec2 delete-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --region us-east-1

3단계: VPC 삭제

이 단계를 완료하여 VPC 및 연결된 모든 리소스를 삭제하고 정리 프로세스를 완료합니다.

AWS 콘솔

  1. VPC 콘솔에서 VPC를 선택합니다.

  2. VPC를 선택한 후 작업, VPC 삭제를 선택합니다.

  3. delete를 입력하여 확인한 후 삭제를 선택합니다.

AWS CLI

aws ec2 delete-vpc --vpc-id vpc-0123456789abcdef0 --region us-east-1
참고

VPC를 삭제하면 연결된 서브넷, 라우팅 테이블 및 보안 그룹도 삭제됩니다.

참고

BYOIP 풀은 나중에 사용할 수 있으며 이 정리 프로세스 과정에서 삭제되지 않습니다.