Amazon Web Services 한국 블로그
Amazon VPC IP 주소 관리자를 사용하여 대규모 네트워크 주소 관리 및 감사
클라우드 워크로드와 커넥티드 디바이스의 고속 성장이 지속됨에 따라 대규모 네트워크에 대한 IP 주소 할당을 관리, 모니터링 및 감사하는 태스크는 복잡하고 시간이 많이 걸리고 잠재적으로 오류가 발생하기 쉽습니다. 전통적으로 네트워크 관리자는 여러 계정, Virtual Private Cloud(VPC) 및 리전에 걸쳐 주소 배정을 추적하기 위해 스프레드시트, 자체 개발 도구 및 스크립트를 조합해서 사용했습니다. 애플리케이션 개발 팀이 IP 주소 배정을 요청할 때 수동으로 스프레드시트를 업데이트하면 오류를 방지하기 위해 시간과 주의가 필요합니다. 오류를 간과하면 주소 충돌 및 후속 가동 중지 시간으로 이어져서 심각한 운영 및 비즈니스 문제가 발생할 수 있습니다. 결과적으로 이러한 업데이트를 수행하는 데 걸리는 시간(며칠이 걸리기도 함) 때문에 새 애플리케이션 온보딩 또는 기존 애플리케이션 확장이 지연되어 개발 팀의 속도에 영향을 줍니다. 자체 개발한 도구와 스크립트를 오류 없이 최신 상태로 유지해야 하기 때문에 직원들은 보다 전략적이고 비즈니스에 영향을 미치는 프로젝트에 할애할 시간이 줄어듭니다.
오늘 소개할 새로운 기능은 네트워크 관리자에게 자동화된 IP 관리 워크플로를 제공하는 Amazon VPC IP Address Manager입니다. IPAM을 사용하면 네트워크 관리자가 대규모 네트워크에서 IP 주소를 더 쉽게 구성, 배정, 모니터링 및 감사할 수 있으므로 관리 및 모니터링 부담이 줄고 지연 및 의도하지 않은 오류로 이어질 수 있는 수동 프로세스가 없어집니다.
Amazon VPC IP Address Manager 소개
IPAM을 사용하면 단일 운영 대시보드를 사용하여 조직의 계정, Amazon Virtual Private Cloud(VPC) 및 AWS 리전 전체에서 IP 주소 배정을 관리하고 감사할 수 있습니다. 이 중앙 집중식 보기를 통해 AWS 전체에서 IP 주소를 관리할 수 있습니다.
IP 주소가 필요한 리소스가 있는 각 리전에서 리전 풀을 생성합니다. 풀은 CIDR의 모음이며 IP 공간을 구성하는 데 도움이 됩니다. 최상위 풀의 미사용 주소 공간으로 리전 풀을 채울 수 있습니다. 또한 보안 요구 사항이 다른 애플리케이션이나 환경이 있는 경우 추가 풀을 생성할 수 있습니다. 예를 들어 ‘dev’ 및 ‘prod’ 환경에 서로 다른 연결 요구 사항이 적용되는 경우 각각 다른 풀을 생성할 수 있습니다. 아래 스크린샷에서는 글로벌 풀을 생성하고 이 글로벌 풀에서 3개의 리전 풀을 생성하는 과정을 보여줍니다. 예는 리전 풀을 구성하는 것으로 끝났지만 프로덕션에서는 필요에 따라 리전 풀을 계속 세분화합니다.
다음으로 리전 풀 집합을 구성합니다. 아래에서는 글로벌 풀 내에서 범위가 지정된 미국 동부(버지니아 북부) 리전 리소스에 대한 리전 풀을 생성하고 있습니다.
리전 풀 구성의 일부로 글로벌 풀에서 프로비저닝할 CIDR을 지정해야 하며 선택적으로 할당을 위한 리소스 및 규칙의 자동 검색을 사용할 수 있습니다.
이 예에서 나머지 두 리전인 미국 동부(오하이오) 및 EU(아일랜드)에 대한 리전 풀을 만들고 구성하는 프로세스를 반복한 후 이것이 최종 풀 계층 구조입니다. 위에서 언급했듯이 이 계층 구조는 리전 풀 집합에서 끝나지만 더 세분화될 수 있습니다.
IPAM 풀이 구성되면 새로운 IP 주소 배정이 필요한 개발 팀과 리소스가 자동화된 셀프 서비스 프로세스를 사용하여 개발자의 차단을 해제하고 연결 문제로 이어질 수 있는 수동 프로세스 사용으로 인한 오류를 없앨 수 있습니다. IP 주소 배정을 제어하기 위해 자동화된 간단한 비즈니스 규칙을 사용할 수 있습니다. IPAM의 셀프 서비스 모델을 통해 개발자는 이제 몇 초 만에 리소스를 직접 생성하고 비즈니스 규칙에 따라 IP 주소를 수신하여 애플리케이션 온보딩의 지연을 없애고 개발 팀의 속도를 높일 수 있습니다. 아래 스크린샷에서는 새 VPC를 생성할 때 사용할 주소 범위를 설정하기 위해 풀을 참조하고 있습니다.
또한 AWS Organizations와 AWS Resource Access Manager(RAM)를 사용하여 생성한 조직과 IPAM을 공유할 수 있습니다. IPAM을 공유하면 조직 및 리전의 구성원 계정 전체에서 Amazon VPC에 완전히 자동화된 CIDR 할당을 얻게 됩니다.
네트워크 관리자를 위해 IPAM은 관찰 가능성 및 감사 기능을 제공하여 문제 해결 속도를 높이고 단일 대시보드를 사용하여 조직의 글로벌 네트워크 주소 풀에서 사용되는 주소와 사용되지 않는 주소에 대한 감독 및 모니터링을 제공합니다. IPAM은 배정된 각 주소에 대해 AWS 계정, VPC, 라우팅 및 보안 도메인과 같은 중요한 정보를 추적하므로 관리자에게 부담이 되는 장부 정리 작업(bookkeeping work)이 필요 없습니다. IPAM을 사용하여 IP 배정 오류를 제거함으로써 고객은 IPAM을 사용하여 배정된 주소를 모니터링하고 잠재적인 문제가 감지되면 경고를 받을 수 있습니다. 예를 들어 네트워크 증가를 지연시킬 수 있는 IP 주소가 고갈되거나 잘못된 라우팅이 발생할 수 있는 IP 주소가 겹칠 수 있습니다. 이러한 알림에 대해 사전에 조치를 취하고 심각한 중단이 되기 전에 문제를 해결할 수 있습니다.
아래 스크린샷에서는 VPC 집합 전체에서 풀 사용률을 모니터링하는 방법을 보여줍니다.
풀 내의 주소 공간 사용률도 모니터링할 수 있습니다. 주소 공간이 소진되기 전에 사전 조치를 취할 수 있도록 선택한 사용률 값으로 트리거하도록 구성할 수 있는 Amazon CloudWatch 경보를 추가할 수 있습니다.
겹치는 주소 공간은 네트워크 관리자가 관리해야 하는 또 다른 골칫거리이며 대개 정전이 발생한 후 발견됩니다. IPAM은 여기서 부담을 줄이는 데 도움이 될 수 있으며 주소 범위가 겹치는 것을 경고하는 리소스를 볼 수 있습니다.
네트워크 보안 및 라우팅 정책의 네트워크 문제 및 감사 문제를 해결하기 위해 네트워크 관리자는 IPAM이 제공하는 현재 및 과거 데이터를 활용하여 사용량 인사이트를 얻을 수도 있습니다.
IPAM은 퍼블릭 및 프라이빗 주소와 탄력적 IP 주소(EIP)를 포함하여 IP 주소를 배정해야 하는 모든 VPC 리소스에서 작동하며, IPv4 및 IPv6 주소 모두에 대해 기존 보유 IP 사용(BYOIP) 도 지원합니다.
지금 대규모로 IP 주소 관리 및 감사를 시작하세요.
Amazon VPC IP Address Manager는 현재 모든 상용 AWS 리전에서 사용할 수 있습니다. 먼저 모든 리전 및 계정에 대한 IPAM을 생성한 다음 풀을 생성하고 마지막으로 애플리케이션 정책을 설정하여 지금 시작하세요. 그런 다음 IPAM을 활용하여 IP 주소 배정을 자동화하고, 네트워크 주소 배정을 모니터링, 문제 해결 및 감사할 수 있습니다.
기존 VPC를 사용하는 경우 IPAM을 생성한 후 사용자의 작업 없이 모니터링을 시작하여 모든 VPC 및 EIP의 인벤토리를 생성합니다. 풀을 생성하면 IPAM이 VPC를 풀로 다시 채웁니다. 즉, 기존 워크플로를 사용하여 지금 VPC를 생성하고 모니터링 및 감사용으로만 IPAM을 사용할 수 있습니다. 나중에 워크플로를 IPAM 기반 자동 VPC 배정으로 전환할 수 있습니다.