Amazon Web Services 한국 블로그
AWS PrivateLink 출시 – VPC내 AWS 서비스 엔드 포인트 서비스
이 글은 Amazon Virtual Private Cloud의 선임 엔지니어인 Colm MacCárthaigh가 작성한 것입니다.
VPC 엔드포인트가 2015년에 출시된 이후, 인터넷 게이트웨이, NAT 게이트웨이 또는 방화벽 프록시 없이 Amazon Virtual Private Cloud(VPC)에서 S3 및 DynamoDB에 안전하게 액세스하는 방법으로 엔드포인트가 인기를 끌고 있습니다. VPC 엔드포인트를 사용하면 VPC와 AWS 서비스 사이의 라우팅이 AWS 네트워크에서 처리되고 IAM 정책을 사용하여 서비스 리소스에 대한 액세스를 제어할 수 있습니다.
모든 트래픽을 AWS 네트워크 내에 유지하면서 높은 가용성과 확장성으로 AWS 서비스를 액세스할 수 있도록 설계된 최신 VPC 엔드포인트인 AWS PrivateLink가 오늘 출시되었습니다. 이제 Kinesis, Service Catalog, Amazon EC2, EC2 Systems Manager(SSM) 및 Elastic Load Balancing(ELB) API를 VPC 내에서 사용할 수 있으며, Key Management Service(KMS) 및 Amazon Cloudwatch와 같은 더 많은 서비스가 곧 지원될 예정입니다.
기존 엔드포인트를 사용하는 것은 VPC와 AWS 서비스 사이를 가상 케이블로 연결하는 것과 매우 유사합니다. AWS 서비스를 연결하는 데 인터넷 또는 NAT 게이트웨이가 필요하지는 않지만, 엔드포인트가 VPC 외부에 유지됩니다. PrivateLink를 사용하면 VPC 서브넷의 IP 주소와 ENI를 사용하여 VPC 내에 엔드포인트가 직접 생성됩니다. 이제 서비스가 VPC 내에 있으므로 프라이빗 IP 주소를 통해 AWS 서비스에 연결할 수 있습니다. 즉, VPC 보안 그룹을 사용하여 엔드포인트에 대한 액세스를 관리하고 AWS Direct Connect를 통해 자체 환경에서 PrivateLink 엔드포인트에 액세스할 수도 있습니다.
이제 인터넷을 통해 트래픽을 전달할 필요 없이 PrivateLink에서 제공하는 서비스를 사용하여 인스턴스 플릿을 관리하고, IT 서비스의 카탈로그를 생성 및 관리하며, 데이터를 저장하고 처리할 수 있습니다.
PrivateLink 엔드포인트 만들기
PrivateLink 엔드포인트를 만들려면 VPC 콘솔로 이동하여 [Endpoints]를 선택하고 [Create Endpoint]를 선택합니다.
그런 다음 액세스할 서비스를 선택합니다. 새 PrivateLink 엔드포인트는 “interface” 유형입니다. 여기서는 내 VPC에서 직접 Kinesis 서비스를 사용할 것이므로 kinesis-streams 서비스를 선택합니다.
이 시점에서 내 새 엔드포인트를 시작할 VPC를 선택하고 ENI 및 IP 주소가 배치될 서브넷을 선택할 수 있습니다. 또한 엔드포인트를 신규 또는 기존 보안 그룹과 연결하여 엔드포인트에 액세스할 수 있는 인스턴스를 제어할 수 있습니다.
PrivateLink 엔드포인트에서는 내 VPC의 IP 주소를 사용하므로 VPC 프라이빗 DNS를 사용하여 AWS 서비스 DNS 이름에 대한 DNS를 재정의할 수 있습니다. [Enable Private DNS Name]을 선택된 상태로 두고 VPC 내에서 “kinesis.us-east-1.amazonaws.com”을 조회하여, 만들려는 엔드포인트에 대한 IP 주소를 확인할 수 있습니다. 그러면 애플리케이션을 변경하지 않고 엔드포인트로 원활하게 전환할 수 있습니다. 트래픽이 기본적으로 처리되기 이전에 엔드포인트를 테스트하거나 구성하려면 이 설정을 비활성화한 다음 언제든지 엔드포인트를 편집하여 변경할 수 있습니다.
준비가 되고 VPC, 서브넷 및 DNS 설정이 만족스러우면 [Create Endpoint]를 클릭하여 프로세스를 완료합니다.
PrivateLink 엔드포인트 사용
기본적으로 프라이빗 DNS 이름을 활성화한 상태에서 PrivateLink 엔드포인트를 사용하는 것은 VPC 내에서 서비스 API에 액세스하는 SDK, AWS CLI 또는 다른 소프트웨어를 사용하는 것만큼 간단합니다. 코드 또는 구성을 변경할 필요가 없습니다.
또한 테스트 및 고급 구성을 지원하기 위해 모든 엔드포인트에서는 엔드포인트에 고유하고 전용으로 사용되는 일련의 DNS 이름을 가져옵니다. 엔드포인트 및 영역 이름에 대한 기본 이름이 있습니다.
기본 이름은 온프레미스에서 DNS 재정의를 사용할 필요 없이 Direct Connect를 통해 엔드포인트에 액세스하는 데 특히 유용합니다. 일반적으로 기본 이름은 VPC 내에서도 사용할 수 있습니다.
재정의하도록 선택했으므로 기본 이름과 기본 서비스 이름은 영역 내결함성을 포함하며 가용 영역 간에 트래픽을 밸런스를 조정합니다. 또한 결함 제약 및 분류, 짧은 지연 시간, 리전 데이터 전송 최소화 등을 위해 영역 격리 기술을 사용하는 아키텍처가 있을 경우 영역 이름을 사용하여 트래픽을 트래픽 흐름을 영역 사이에서 유지할지 영역 내에서 유지할지를 명시적으로 제어할 수 있습니다.
요금 및 가용성
AWS PrivateLink는 이제 중국(베이징)을 제외한 모든 AWS 상용 리전에서 이용 가능합니다. 리전별 개별 서비스의 이용 가능 여부는 문서를 확인하십시오.
요금은 시간당 0.01달러에서 시작하며 GB당 0.01달러의 데이터 처리 요금이 추가됩니다. 또한 가용 영역 간에 전송된 데이터와 엔드포인트와 프레미스 간에 Direct Connect를 통해 전송된 데이터에는 일반 EC2 리전 및 Direct Connect 데이터 전송 요금이 청구됩니다. 자세한 내용은 VPC 요금을 참조하십시오.
이 글은 New – AWS PrivateLink for AWS Services: Kinesis, Service Catalog, EC2 Systems Manager, Amazon EC2 APIs, and ELB APIs in your VPC 의 한국어 번역입니다.