Category: Amazon VPC*


AWS PrivateLink 출시 – VPC내 AWS 서비스 엔드 포인트 서비스

이 글은 Amazon Virtual Private Cloud의 선임 엔지니어인 Colm MacCárthaigh가 작성한 것입니다.


VPC 엔드포인트가 2015년에 출시된 이후, 인터넷 게이트웨이, NAT 게이트웨이 또는 방화벽 프록시 없이 Amazon Virtual Private Cloud(VPC)에서 S3 및 DynamoDB에 안전하게 액세스하는 방법으로 엔드포인트가 인기를 끌고 있습니다. VPC 엔드포인트를 사용하면 VPC와 AWS 서비스 사이의 라우팅이 AWS 네트워크에서 처리되고 IAM 정책을 사용하여 서비스 리소스에 대한 액세스를 제어할 수 있습니다.

모든 트래픽을 AWS 네트워크 내에 유지하면서 높은 가용성과 확장성으로 AWS 서비스를 액세스할 수 있도록 설계된 최신 VPC 엔드포인트인 AWS PrivateLink가 오늘 출시되었습니다. 이제 Kinesis, Service Catalog, Amazon EC2, EC2 Systems Manager(SSM) 및 Elastic Load Balancing(ELB) API를 VPC 내에서 사용할 수 있으며, Key Management Service(KMS) 및 Amazon Cloudwatch와 같은 더 많은 서비스가 곧 지원될 예정입니다.

기존 엔드포인트를 사용하는 것은 VPC와 AWS 서비스 사이를 가상 케이블로 연결하는 것과 매우 유사합니다. AWS 서비스를 연결하는 데 인터넷 또는 NAT 게이트웨이가 필요하지는 않지만, 엔드포인트가 VPC 외부에 유지됩니다. PrivateLink를 사용하면 VPC 서브넷의 IP 주소와 ENI를 사용하여 VPC 내에 엔드포인트가 직접 생성됩니다. 이제 서비스가 VPC 내에 있으므로 프라이빗 IP 주소를 통해 AWS 서비스에 연결할 수 있습니다. 즉, VPC 보안 그룹을 사용하여 엔드포인트에 대한 액세스를 관리하고 AWS Direct Connect를 통해 자체 환경에서 PrivateLink 엔드포인트에 액세스할 수도 있습니다.

이제 인터넷을 통해 트래픽을 전달할 필요 없이 PrivateLink에서 제공하는 서비스를 사용하여 인스턴스 플릿을 관리하고, IT 서비스의 카탈로그를 생성 및 관리하며, 데이터를 저장하고 처리할 수 있습니다.

PrivateLink 엔드포인트 만들기
PrivateLink 엔드포인트를 만들려면 VPC 콘솔로 이동하여 [Endpoints]를 선택하고 [Create Endpoint]를 선택합니다.

그런 다음 액세스할 서비스를 선택합니다. 새 PrivateLink 엔드포인트는 “interface” 유형입니다. 여기서는 내 VPC에서 직접 Kinesis 서비스를 사용할 것이므로 kinesis-streams 서비스를 선택합니다.

이 시점에서 내 새 엔드포인트를 시작할 VPC를 선택하고 ENI 및 IP 주소가 배치될 서브넷을 선택할 수 있습니다. 또한 엔드포인트를 신규 또는 기존 보안 그룹과 연결하여 엔드포인트에 액세스할 수 있는 인스턴스를 제어할 수 있습니다.

PrivateLink 엔드포인트에서는 내 VPC의 IP 주소를 사용하므로 VPC 프라이빗 DNS를 사용하여 AWS 서비스 DNS 이름에 대한 DNS를 재정의할 수 있습니다. [Enable Private DNS Name]을 선택된 상태로 두고 VPC 내에서 “kinesis.us-east-1.amazonaws.com”을 조회하여, 만들려는 엔드포인트에 대한 IP 주소를 확인할 수 있습니다. 그러면 애플리케이션을 변경하지 않고 엔드포인트로 원활하게 전환할 수 있습니다. 트래픽이 기본적으로 처리되기 이전에 엔드포인트를 테스트하거나 구성하려면 이 설정을 비활성화한 다음 언제든지 엔드포인트를 편집하여 변경할 수 있습니다.

준비가 되고 VPC, 서브넷 및 DNS 설정이 만족스러우면 [Create Endpoint]를 클릭하여 프로세스를 완료합니다.

PrivateLink 엔드포인트 사용

기본적으로 프라이빗 DNS 이름을 활성화한 상태에서 PrivateLink 엔드포인트를 사용하는 것은 VPC 내에서 서비스 API에 액세스하는 SDK, AWS CLI 또는 다른 소프트웨어를 사용하는 것만큼 간단합니다. 코드 또는 구성을 변경할 필요가 없습니다.

또한 테스트 및 고급 구성을 지원하기 위해 모든 엔드포인트에서는 엔드포인트에 고유하고 전용으로 사용되는 일련의 DNS 이름을 가져옵니다. 엔드포인트 및 영역 이름에 대한 기본 이름이 있습니다.

기본 이름은 온프레미스에서 DNS 재정의를 사용할 필요 없이 Direct Connect를 통해 엔드포인트에 액세스하는 데 특히 유용합니다. 일반적으로 기본 이름은 VPC 내에서도 사용할 수 있습니다.
재정의하도록 선택했으므로 기본 이름과 기본 서비스 이름은 영역 내결함성을 포함하며 가용 영역 간에 트래픽을 밸런스를 조정합니다. 또한 결함 제약 및 분류, 짧은 지연 시간, 리전 데이터 전송 최소화 등을 위해 영역 격리 기술을 사용하는 아키텍처가 있을 경우 영역 이름을 사용하여 트래픽을 트래픽 흐름을 영역 사이에서 유지할지 영역 내에서 유지할지를 명시적으로 제어할 수 있습니다.

요금 및 가용성
AWS PrivateLink는 이제 중국(베이징)을 제외한 모든 AWS 상용 리전에서 이용 가능합니다. 리전별 개별 서비스의 이용 가능 여부는 문서를 확인하십시오.

요금은 시간당 0.01달러에서 시작하며 GB당 0.01달러의 데이터 처리 요금이 추가됩니다. 또한 가용 영역 간에 전송된 데이터와 엔드포인트와 프레미스 간에 Direct Connect를 통해 전송된 데이터에는 일반 EC2 리전 및 Direct Connect 데이터 전송 요금이 청구됩니다. 자세한 내용은 VPC 요금을 참조하십시오.

Colm MacCárthaigh;

이 글은 New – AWS PrivateLink for AWS Services: Kinesis, Service Catalog, EC2 Systems Manager, Amazon EC2 APIs, and ELB APIs in your VPC 의 한국어 번역입니다.

AWS Direct Connect Gateway 출시 – 리전 간 VPC 접근 기능 제공

지난 2012년 AWS Direct Connect를 출시하여, 기업 고객들이 기존 사무실 및 데이터 센터와 AWS와 전용선으로 연결할 수 있게 되어 개인 정보 보호 개선, 데이터 전송 대역폭 추가, 보다 예측 가능한 데이터 전송 성능 개선이 가능합니다.  최근 집계에 따르면 60곳 이상에서 접근 가능하며, 서울 리전의 경우도  드림라인, KINX, 세종 텔레콤, LG유플러스 등 파트너를 통해 연결하실 수 있습니다.

오늘 부터 AWS Direct Connect 게이트웨이(Gateway)를 추가하여 Direct Connect를 더 단순하면서도 더 강력한 도구로 만들고 있습니다. 모든 리전의 Direct Connect 고객에게 전역 Amazon IP 경로를 수신할 수 있는 퍼블릭 가상 인터페이스를 만들고, Amazon 서비스에 대한 퍼블릭 엔드포인트에 액세스하고, Direct Connect 요금 모델을 업데이트할 수 있는 기능을 제공합니다.

그럼 각 기능을 자세히 살펴보겠습니다.

새로운 Direct Connect 게이트웨이
이제 새로운 Direct Connect 게이트웨이를 사용하여 여러 AWS 리전에 걸쳐 있는 Virtual Private Cloud(VPC)에 연결할 수 있습니다. 더 이상 VPC마다 BGP 세션을 여러 개 설정할 필요가 없기 때문에, 관리 워크로드는 물론 네트워크 장치의 부담도 줄어듭니다.

또한 이 기능을 사용하면 모든 Direct Connect 위치에서 연결된 모든 VPC에 연결할 수 있으므로 리전 간 AWS 서비스를 사용하는 비용이 한층 더 절감됩니다.

다음은 Direct Connect 게이트웨이로 간소화된 구성을 보여 주는 다이어그램입니다(각 “자물쇠” 아이콘은 가상 프라이빗 게이트웨이를 나타냄). 먼저 아래와 같은 상태로 시작합니다.

그리고 최종적으로 다음과 같은 상태가 됩니다.

특정 Direct Connect 게이트웨이를 참조하는 VPC들의 IP 주소 범위가 중첩되지 않아야 합니다. 현재는 모든 VPC가 동일한 AWS 계정에 속해야 하지만, 앞으로 이를 좀 더 유연하게 만들 계획입니다.

각 게이트웨이는 모든 퍼블릭 AWS 리전에 걸쳐 존재하는 전역 객체입니다. 게이트웨이를 통한 리전 간의 모든 통신은 AWS 네트워크 백본에서 이루어집니다.

Direct Connect 게이트웨이 생성
Direct Connect 게이트웨이는 Direct Connect 콘솔에서 만들거나 코드에서 CreateDirectConnectGateway 함수를 호출하여 만들 수 있습니다. 저는 콘솔을 사용해 보겠습니다.

Direct Connect 콘솔을 열고 [Direct Connect Gateways]를 클릭해 시작합니다.

아직 게이트웨이가 없기 때문에 목록이 비어 있습니다. [Create Direct Connect Gateway]를 클릭해 다음과 같이 변경합니다.

게이트웨이 이름을 지정하고, 우리 네트워크의 프라이빗 ASN을 입력한 다음 [Create]를 클릭합니다. 이때 ASN(자율 시스템 번호)은 RFC 6996에 정의된 프라이빗 범위 중 하나에 속해야 합니다.

잠시 후 상대방 AWS 리전에 새 게이트웨이가 나타납니다.

오하이오에 Direct Connect 연결이 생겼고, 저는 이것으로 VIF를 생성하려고 합니다.

이제 해당 게이트웨이 및 연결을 참조하는 프라이빗 VIF를 생성합니다.

몇 초 안에 사용할 준비가 됩니다.

이미 CIDR이 중첩되지 않는 VPC 한 쌍이 있고, 각각에 가상 프라이빗 게이트웨이가 연결되어 있습니다. 다음은 VPC입니다. 데모이기 때문에 편의상 둘 다 같은 리전에 있는 VPC를 보여 드리겠습니다.

가상 프라이빗 게이트웨이는 다음과 같습니다.

Direct Connect 콘솔로 돌아가서 Direct Connect 게이트웨이로 이동합니다. 게이트웨이를 선택하고 [Actions] 메뉴에서 [Associate Virtual Private Gateway]를 선택합니다.

그런 다음 가상 프라이빗 게이트웨이 두 개를 선택하고 [Associate]를 클릭합니다.

일반적인 경우처럼 두 VPC가 별개의 AWS 리전에 있더라도 동일한 절차가 적용됩니다. 이 블로그 게시물에서는 일을 쉽게 하기 위해 두 번 대신 한 번만 작업을 했습니다.

1분 정도면 가상 게이트웨이 연결이 완료됩니다([associating] 상태로 시작).

상태가 associated로 바뀌면 VPC가 어떤 AWS 리전에 있든 간에 AWS Direct Connect 연결을 통해 온-프레미스 네트워크와 VPC 간에 트래픽이 흐를 수 있습니다.

서비스 엔드포인트를 위한 퍼블릭 가상 인터페이스
이제 퍼블릭 가상 인터페이스를 만들고, 여기에서 Direct Connect를 통해 AWS 퍼블릭 서비스 엔드포인트에 액세스한 다음 원하는 AWS 리전(AWS 중국 리전 제외)에서 실행 중인 AWS 서비스를 이용할 수 있습니다. 이러한 인터페이스는 (BGP를 통해) Amazon의 전역 IP 경로를 수신합니다. Direct Connect 콘솔에서 이러한 인터페이스를 만들 수 있습니다. 먼저 아래 그림처럼 [Public] 옵션을 선택합니다.

업데이트된 요금 모델
AWS 리전과 AWS Direct Connect 위치가 계속해서 늘어난다는 점을 고려하여, 이제 Direct Connect 위치와 원본 AWS 리전의 위치를 기준으로 데이터 전송 요금을 산정합니다. 새 요금 체계는 AWS Direct Connect 위치를 기준으로 하던 이전 모델보다 간단합니다.

지금 사용 가능
이 새로운 기능은 바로 오늘부터 사용할 수 있습니다. 무료로 Direct Connect 게이트웨이를 만들고 사용해 보십시오. 포트 시간 및 데이터 전송에는 일반적인 Direct Connect 요금이 청구됩니다.

Jeff;

이 글은 New – AWS Direct Connect Gateway – Inter-Region VPC Access의 한국어 번역입니다.

Amazon Elasticsearch Service, VPC 지원 기능 출시

지난주 Amazon VPC 내부에서 NAT 인스턴스나 인터넷 게이트웨이 없이도 Amazon Elasticsearch Service 도메인에 접속할 수 있습니다. Amazon ES용 VPC 지원은 구성하기 쉽고 안정적이면서도 보안이 한층 강화되어 있습니다. VPC 지원을 통해 다른 서비스와 Amazon ES 간 트래픽이 퍼블릭 인터넷과 분리된 AWS 네트워크 내에 완전히 유지됩니다. 기존 VPC 보안 그룹을 사용하여 네트워크 액세스를 관리하고, AWS Identity and Access Management(IAM)를 사용하여 보호력을 강화할 수 있습니다. Amazon ES 도메인용 VPC 지원은 추가 비용 없이 사용할 수 있습니다.

시작하기

VPC에서 Amazon Elasticsearch Service 도메인을 쉽게 만들 수 있습니다. 클러스터를 만들고 나서 [“VPC access”]를 선택할 때 사용하는 일반적인 단계 전체를 실행합니다.

됐습니다. 이제 다 끝났습니다. 이제 VPC 내에서 도메인에 액세스할 수 있습니다!

알아둘 사항

VPC를 지원하기 위해 Amazon ES는 엔드포인트를 사용자의 VPC의 서브넷 1개 이상에 배치합니다. Amazon ES는 클러스터의 각 데이터 노드별로 VPC에 탄력적 네트워크 인터페이스(ENI)를 배치합니다. 각 ENI는 서브넷 IPv4 범위의 프라이빗 IP 주소를 사용하고 퍼블릭 DNS 호스트 이름을 수신합니다. 영역 인식이 활성화되어 있으면 Amazon ES는 각기 다른 가용 영역에 있는 서브넷 2개에 엔드포인트를 만들기 때문에, 데이터 내구성이 강화됩니다.

클러스터의 노드 개수는 IP 주소 개수의 3개로 확보해야 합니다. 영역 인식이 활성화되어 있으면 이 개수를 2로 나눌 수 있습니다. 사용자는 Amazon ES에서 별도의 서브넷을 만드는 것이 가장 좋습니다.

참고 사항:

자세한 내용은 Amazon ES 설명서를 참조하십시오.

Randall;

이 글은 Amazon Elasticsearch Service now supports VPC의 한국어 번역입니다.