AWS 서비스에 대한 리전 간 VPC 엔드포인트를 구성하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2022년 3월 31일

프라이빗 링크를 사용하여 Amazon Simple Storage Cloud(Amazon S3) 버킷과 같은 AWS 리소스에 액세스할 수 있도록 리전 간 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 구성하려고 합니다. 어떻게 해야 하나요?

간략한 설명

Amazon Elastic Compute Cloud(Amazon EC2), VPC 및 Amazon Relational Database Service(Amazon RDS)와 같은 리소스를 서로 다른 AWS 리전에 배포할 수 있습니다. 이 배포는 리소스의 고가용성을 지원하고 사용자에게 더 빠른 데이터 액세스를 제공합니다. VPC 엔드포인트를 배포하여 프라이빗 링크를 통해 Simple Storage Service(Amazon S3) 및 Amazon DynamoDB와 같은 AWS 퍼블릭 리소스에 액세스할 수도 있습니다. 하지만 동일한 리전에서만 이러한 VPC 엔드포인트에 액세스할 수 있습니다. 예를 들어, us-west-2 리전에 S3 VPC 엔드포인트를 배포하는 경우 해당 VPC 엔드포인트에서 us-west-2에 있는 S3 버킷에 액세스할 수 있습니다. 다른 리전의 버킷에 대한 트래픽은 인터넷을 통해 이동합니다.

해결 방법

다음 단계에 따라 VPC 간에 VPC 피어링을 생성하여 다른 리전의 엔드포인트에 액세스합니다.

참고: 이 예제 해결 방법에는 다음 변수가 사용됩니다.

  • VPC1(10.100.10.0/24)은 us-east-1 리전에 있습니다.
  • VPC1에는 S3 엔드포인트가 있습니다.
  • VPC2(172.16.20.0/24) 는 us-east-2 리전에 있습니다.
  • us-east-2 리전의 사용자는 us-east-1 리전의 S3 엔드포인트를 사용하여 us-east-1의 S3 버킷에 액세스하려고 합니다.

VPC1과 VPC2 간에 VPC 피어링을 구성합니다.

1.    [Amazon VPC 콘솔]을 엽니다. us-east-1 리전에 있는지 확인합니다.

2.    [VPC 피어링 연결(VPC peering connections)]을 선택합니다.

3.    [피어링 연결 생성(Create peering connection)]을 선택합니다.

4.    피어링 연결의 이름을 입력합니다.

5.    [피어링할 로컬 VPC 선택(Select a local VPC to peer with)]에 VPC ID(이 예시에서는 VPC1에 대한 VPC ID)를 입력합니다.

5.    [피어링할 다른 VPC 선택(Select another VPC to peer with)]에서 [계정(Account)]에 대해 동일한 계정에 속하는 원격 VPC인 경우 [내 계정(My account)]을 선택합니다. 동일한 계정에 속하는 원격 VPC가 아닌 경우 [다른 계정(Another account)]을 선택한 다음 [계정 ID(Account ID)]를 입력합니다.

7.    [피어링할 다른 VPC 선택(Select another VPC to peer with)]에서 리전(Region)에 대해 [다른 리전(Another Region)]을 선택한 다음 원하는 원격 VPC ID를 입력합니다. (이 예시에서는 VPC2에 대한 VPC ID입니다.)

8.    [피어링 연결 생성(Create peering connection)]을 선택합니다. 피어링 연결 상태가 수락 보류 중으로 변경됩니다.

9.    [리전(Region)]을 us-east-2로 변경합니다.

10.    Amazon VPC 콘솔에서 [VPC 피어링 연결(VPC peering connections)]을 선택합니다.

11.    [작업(Actions)], [요청 수락(Accept request)]을 선택합니다.

서브넷 라우팅 테이블 및 라우팅 테이블 대상 업데이트

1.    172.16.20.0/24(VPC2)에 대한 us-east-1 엔드포인트에 대한 서브넷 라우팅 테이블에 경로를 추가합니다.

2.    10.100.10.0/24(VPC1)에 대한 us-east-2에 있는 사용자의 라우팅 테이블 대상에 경로를 피어링 연결(pcx-xxxxxxxxxxxxxx)으로 추가합니다.

S3 버킷에 액세스

원격 VPC에서 VPC 엔드포인트 FQDN을 사용하여 S3 버킷에 액세스합니다.

aws s3 --region us-east-1 --endpoint-url https://bucket.vpce-xxxxxxxxxxx.s3.us-east-1.vpce.amazonaws.com ls s3://my-bucket/

문제 해결

  • 로컬 및 원격 VPC 서브넷의 라우팅 테이블에는 서로를 피어 연결로 타깃팅하는 경로가 있어야 합니다.
  • VPC 엔드포인트 권한 정책은 원격 VPC ID를 허용해야 합니다.
  • VPC 엔드포인트에 적용된 보안 그룹은 원격 VPC 서브넷을 허용해야 합니다.

이 문서가 도움이 되었습니까?


결제 또는 기술 지원이 필요하세요?