Amazon ECS 인터페이스 VPC 엔드포인트(AWS PrivateLink) - Amazon Elastic Container Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon ECS 인터페이스 VPC 엔드포인트(AWS PrivateLink)

인터페이스 VPC 엔드포인트를 사용하도록 Amazon ECS을 구성하여 VPC의 보안 태세를 향상시킬 수 있습니다. 인터페이스 엔드포인트는 프라이빗 IP 주소를 사용하여 Amazon ECS API에 비공개로 액세스할 수 있는 기술인 AWS PrivateLink로 구동됩니다. PrivateLink는 VPC 및 Amazon ECS 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한합니다. 인터넷 게이트웨이, NAT 디바이스 또는 가상 프라이빗 게이트웨이가 필요 없습니다.

AWS PrivateLink 및 VPC 엔드포인트에 대한 자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 참조하십시오.

Amazon ECS VPC 엔드포인트 고려 사항

Amazon ECS용 인터페이스 VPC 엔드포인트를 설정하기 전에 다음 사항을 고려하십시오.

  • Fargate 실행 유형을 사용하는 작업은 Amazon ECS용 인터페이스 VPC 엔드포인트가 필요 없지만 다음 포인트에서 설명하는 Amazon ECR, Secrets Manager 또는 Amazon CloudWatch Logs용 인터페이스 VPC 엔드포인트는 필요할 수 있습니다.

  • EC2 시작 유형을 사용하는 작업은 시작되는 컨테이너 인스턴스가 Amazon ECS 컨테이너 에이전트의 1.25.1 이상 버전으로 실행되어야 합니다. 자세한 내용은 Amazon ECS 컨테이너 에이전트 버전 단원을 참조하십시오.

  • VPC 엔드포인트는 교차 리전 요청을 현재 지원하지 않습니다. API 호출을 Amazon ECS로 발행할 계획인 동일 리전에 엔드포인트를 생성해야 합니다.

  • VPC 엔드포인트는 Amazon Route 53를 통해 Amazon 제공 DNS만 지원합니다. 자신의 DNS를 사용하는 경우에는 조건적인 DNS 전송을 사용할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서DHCP 옵션 세트 단원을 참조하십시오.

  • VPC 엔드포인트에 연결된 보안 그룹은 VPC의 프라이빗 서브넷에서 443 포트로 들어오는 연결을 허용해야 합니다.

  • VPC 엔드포인트에 엔드포인트 정책을 연결하여 Amazon ECS에 대한 액세스를 제어하는 기능은 현재 지원되지 않습니다. 기본적으로 서비스에 대한 모든 액세스는 엔드포인트를 통해 허용됩니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하십시오.

Amazon ECS용 VPC 엔드포인트 생성

Amazon ECS 서비스용 VPC 엔드포인트를 생성하려면 Amazon VPC 사용 설명서인터페이스 엔드포인트 생성 절차를 사용하여 다음 엔드포인트를 생성하십시오. VPC 내에 기존 컨테이너 인스턴스가 있는 경우에는 표시 순서대로 엔드포인트를 생성해야 합니다. VPC 엔드포인트 생성 후에 컨테이너 인스턴스를 생성할 경우에는 순서가 중요하지 않습니다.

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

참고

region은 Amazon ECS에서 지원되는 AWS 리전의 리전 식별자를 나타냅니다(예: 미국 동부(오하이오) 리전은 us-east-2).

EC2 시작 유형을 사용하는 기존 작업이 있는 경우에는 VPC 엔드포인트를 생성한 후 각 컨테이너 인스턴스에서 새 구성을 선택해야 합니다. 이를 위해서는 각 컨테이너 인스턴스를 재부팅하거나 각 컨테이너 인스턴스에서 Amazon ECS 컨테이너 에이전트를 다시 시작해야 합니다. 다음과 같이 컨테이어 에이전트를 다시 시작합니다.

Amazon ECS 컨테이너 에이전트를 다시 시작하려면

  1. SSH를 통해 컨테이너 인스턴스에 로그인합니다. 자세한 내용은 컨테이너 인스턴스에 연결 단원을 참조하십시오.

  2. 컨테이너 에이전트를 중지합니다.

    sudo docker stop ecs-agent
  3. 컨테이너 에이전트를 시작합니다.

    sudo docker start ecs-agent

VPC 엔드포인트를 생성하고 각 컨테이너 인스턴스에서 Amazon ECS 컨테이너 에이전트를 다시 시작하면 새로 시작된 모든 작업에 새 구성이 적용됩니다.

Secrets Manager 및 시스템 관리자 엔드포인트 만들기

작업 정의에서 Secrets Manager 보안 또는 시스템 관리자 파라미터 스토어의 파라미터를 참조하여 민감한 데이터를 컨테이너에 주입하는 경우, 이러한 작업이 해당 서비스에 도달할 수 있도록 Secrets Manager 또는 시스템 관리자에 대한 인터페이스 VPC 엔드포인트를 생성해야 합니다. 민감한 데이터가 호스팅되는 특정 서비스에서만 엔드포인트를 생성하면 됩니다. 자세한 내용은 민감한 데이터 지정 단원을 참조하십시오.

Secrets Manager VPC 엔드포인트에 대한 자세한 내용은 AWS Secrets Manager 사용 설명서에서 VPC 엔드포인트와 함께 Secrets Manager 사용을 참조하십시오.

시스템 관리자 VPC 엔드포인트에 대한 자세한 내용은 AWS 시스템 관리자 사용 설명서에서 VPC 엔드포인트와 함께 시스템 관리자 사용을 참조하십시오.