Gateway Load Balancer 시작하기 - Elastic Load Balancing
개요사전 조건1단계: Gateway Load Balancer 생성2단계: Gateway Load Balancer 엔드포인트 서비스 생성3단계: Gateway Load Balancer 엔드포인트 생성4단계: 라우팅 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Gateway Load Balancer 시작하기

Gateway Load Balancer를 사용하면 보안 어플라이언스와 같은 서드 파티 가상 어플라이언스를 배포, 규모 조정 및 관리할 수 있습니다.

이 자습서에서는 Gateway Load Balancer와 Gateway Load Balancer 엔드포인트를 사용하여 검사 시스템을 구현합니다.

개요

Gateway Load Balancer VPC 엔드포인트는 서비스 공급자의 VPC 가상 어플라이언스와 서비스 소비자의 애플리케이션 서버 간에 프라이빗 연결을 제공하는 엔드포인트입니다. VPC 게이트웨이 로드 밸런서는 가상 VPC 어플라이언스와 동일한 위치에 배포됩니다. 이러한 어플라이언스는 Gateway Load Balancer의 대상 그룹으로 등록됩니다.

애플리케이션 서버는 서비스 소비자의 VPC 한 서브넷 (대상 서브넷) 에서 실행되는 반면 Gateway Load Balancer 엔드포인트는 동일한 서브넷의 다른 서브넷에서 실행됩니다. VPC 인터넷 게이트웨이를 VPC 통해 서비스 소비자로 들어오는 모든 트래픽은 먼저 Gateway Load Balancer 엔드포인트로 라우팅된 다음 대상 서브넷으로 라우팅됩니다.

마찬가지로 애플리케이션 서버(대상 서브넷)에서 나가는 모든 트래픽은 먼저 Gateway Load Balancer 엔드포인트로 라우팅된 후 인터넷으로 다시 라우팅됩니다. 다음 네트워크 다이어그램은 Gateway Load Balancer 엔드포인트를 사용하여 엔드포인트 서비스에 액세스하는 방법을 시각적으로 표현한 것입니다.

Gateway Load Balancer 엔드포인트를 사용하여 엔드포인트 서비스에 액세스

아래의 번호가 매겨진 항목은 위 이미지에 표시된 요소를 강조 표시하고 설명합니다.

인터넷에서 애플리케이션으로의 트래픽(파란색 화살표):

  1. 트래픽은 인터넷 게이트웨이를 VPC 통해 서비스 소비자로 유입됩니다.

  2. 수신 라우팅의 결과로 트래픽이 Gateway Load Balancer 엔드포인트로 전송됩니다.

  3. 트래픽이 보안 어플라이언스 중 하나로 트래픽을 배포하는 Gateway Load Balancer로 전송됩니다.

  4. 트래픽이 보안 어플라이언스에서 검사 후 Gateway Load Balancer 엔드포인트로 다시 전송됩니다.

  5. 트래픽이 애플리케이션 서버(대상 서브넷)로 전송됩니다.

애플리케이션에서 인터넷으로의 트래픽(주황색 화살표):

  1. 애플리케이션 서버 서브넷에 구성된 기본 경로의 결과로 트래픽이 Gateway Load Balancer 엔드포인트로 전송됩니다.

  2. 트래픽이 보안 어플라이언스 중 하나로 트래픽을 배포하는 Gateway Load Balancer로 전송됩니다.

  3. 트래픽이 보안 어플라이언스에서 검사 후 Gateway Load Balancer 엔드포인트로 다시 전송됩니다.

  4. 라우팅 테이블 구성에 따라 트래픽이 인터넷 게이트웨이로 전송됩니다.

  5. 트래픽이 인터넷으로 다시 라우팅됩니다.

라우팅

인터넷 게이트웨이의 경우 라우팅 테이블에는 애플리케이션 서버로 전송되는 트래픽을 Gateway Load Balancer 엔드포인트로 라우팅하는 항목이 있어야 합니다. 게이트웨이 로드 밸런서 엔드포인트를 지정하려면 엔드포인트의 VPC ID를 사용합니다. 다음 예제는 이중 스택 구성에 대한 경로를 보여줍니다.

대상 주소 대상
VPC IPv4 CIDR 로컬
VPC IPv6 CIDR 로컬
Subnet 1 IPv4 CIDR vpc-endpoint-id
Subnet 1 IPv6 CIDR vpc-endpoint-id

애플리케이션 서버가 있는 서브넷의 경우 라우팅 테이블에는 모든 트래픽을 애플리케이션 서버에서 Gateway Load Balancer 엔드포인트로 라우팅하는 항목이 있어야 합니다.

대상 주소 대상
VPC IPv4 CIDR 로컬
VPC IPv6 CIDR 로컬
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

Gateway Load Balancer 엔드포인트가 있는 서브넷의 경우 라우팅 테이블은 검사에서 반환되는 트래픽을 최종 대상으로 라우팅해야 합니다. 인터넷에서 시작된 트래픽의 경우 로컬 라우팅은 트래픽이 애플리케이션 서버에 도달하도록 보장합니다. 애플리케이션 서버에서 시작된 트래픽의 경우 모든 트래픽을 인터넷 게이트웨이로 라우팅하는 항목을 추가합니다.

대상 주소 대상
VPC IPv4 CIDR 로컬
VPC IPv6 CIDR 로컬
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

사전 조건

  • 서비스 소비자가 애플리케이션 서버를 포함하는 각 가용 영역에 대해 최소 두 개의 서브넷을 VPC 가지고 있는지 확인하십시오. 하나의 서브넷은 Gateway Load Balancer 엔드포인트용이고 다른 하나는 애플리케이션 서버용입니다.

  • Gateway Load Balancer와 대상은 동일한 서브넷에 있을 수 있습니다.

  • 다른 계정에서 공유한 서브넷을 사용하여 Gateway Load Balancer를 배포할 수 없습니다.

  • 서비스 공급자의 각 보안 어플라이언스 서브넷에서 하나 이상의 보안 어플라이언스 인스턴스를 시작하십시오. VPC 이러한 인스턴스의 보안 그룹은 포트 6081을 통한 UDP 트래픽을 허용해야 합니다.

1단계: Gateway Load Balancer 생성

다음 절차에 따라 로드 밸런서, 리스너 및 대상 그룹을 생성합니다.

콘솔을 사용하여 로드 밸런서, 리스너, 대상 그룹을 만들려면

  1. 에서 Amazon EC2 콘솔을 엽니다 https://console.aws.amazon.com/ec2/.

  2. 탐색 창의 Load Balancing에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서 생성을 선택합니다.

  4. Gateway Load Balancer에서 생성을 선택합니다.

  5. 기본 구성

    1. 로드 밸런서 이름(Load Balancer name)에 로드 밸런서의 이름을 입력합니다.

    2. IP 주소 유형의 경우 주소만 지원하거나 Dualstack을 선택하여 IPv4 및 IPv4 IPv6 주소를 모두 IPv4지원하도록 선택하십시오.

  6. 네트워크 매핑

    1. VPC경우 서비스 공급자를 선택합니다. VPC

    2. 매핑에서 보안 어플라이언스 인스턴스를 시작한 가용 영역을 모두 선택하고 가용 영역당 서브넷 하나를 선택합니다.

  7. IP 리스너 라우팅

    1. 기본 작업에서 트래픽을 전달할 대상 그룹을 선택합니다. 이 대상 그룹은 GENEVE 프로토콜을 사용해야 합니다.

      대상 그룹이 없는 경우 대상 그룹 생성을 선택합니다. 그러면 브라우저에서 새 탭이 열립니다. 대상 유형을 선택하고 대상 그룹 이름을 입력한 다음 GENEVE 프로토콜을 유지합니다. 보안 어플라이언스 인스턴스와 VPC 함께 선택하십시오. 필요에 따라 상태 확인 설정을 수정하고 필요한 태그를 추가합니다. Next(다음)를 선택합니다. 보안 어플라이언스 인스턴스를 지금 또는 이 절차를 완료한 후에 대상 그룹에 등록할 수 있습니다. 대상 그룹 생성을 선택한 다음 이전 브라우저 탭으로 돌아갑니다.

    2. (선택 사항) 리스너 태그를 확장하고 필요한 태그를 추가합니다.

  8. (선택 사항) 로드 밸런서 태그를 확장하고 필요한 태그를 추가합니다.

  9. 로드 밸런서 생성을 선택하세요.

2단계: Gateway Load Balancer 엔드포인트 서비스 생성

다음 절차에 따라 Gateway Load Balancer를 사용하여 엔드포인트 서비스를 생성합니다.

Gateway Load Balancer 엔드포인트 서비스를 생성하려면

  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 엔드포인트 서비스(Endpoint services)를 선택합니다.

  3. 엔드포인트 서비스 생성을 선택하고 다음 작업을 수행합니다.

    1. 로드 밸런서 유형(Load balancer type)에서 게이트웨이(Gateway)를 선택합니다.

    2. 사용 가능한 로드 밸런서에서 Gateway Load Balancer를 선택합니다.

    3. 엔드포인트 수락 필요에서 서비스에 대한 연결 요청을 수동으로 수락하도록 하려면 수락 필요를 선택합니다. 그러지 않으면 자동으로 요청이 수락됩니다.

    4. Supported IP address types(지원되는 IP 주소 유형)에서 다음 중 하나를 수행합니다.

      • 선택 IPv4- 엔드포인트 서비스가 IPv4 요청을 수락하도록 활성화합니다.

      • 선택 IPv6- 엔드포인트 서비스가 IPv6 요청을 수락하도록 활성화합니다.

      • 선택 IPv4IPv6- 엔드포인트 서비스가 IPv4 및 IPv6 요청을 모두 수락하도록 활성화합니다.

    5. (선택 사항) 태그를 추가하려면 새 태그 추가(Add new tag)를 선택하고 태그 키와 태그 값을 입력합니다.

    6. 생성(Create)을 선택합니다. 서비스 이름을 적어둡니다. 엔드포인트를 생성할 때 필요합니다.

  4. 새로운 엔드포인트 서비스를 선택하고 작업, 보안 주체 허용을 선택합니다. 서비스에 엔드포인트를 생성할 수 있는 서비스 소비자의 번호를 입력합니다. ARNs 서비스 소비자는 사용자, IAM 역할 또는 사용자일 수 AWS 계정있습니다. 보안 주체 허용(Allow principals)을 선택합니다.

3단계: Gateway Load Balancer 엔드포인트 생성

다음 절차에 따라 Gateway Load Balancer 엔드포인트 서비스에 연결하는 Gateway Load Balancer 엔드포인트를 생성합니다. Gateway Load Balancer 엔드포인트는 영역별입니다. 영역당 하나의 Gateway Load Balancer 엔드포인트를 생성하는 것이 좋습니다. 자세한 내용은 AWS PrivateLink 가이드AWS PrivateLink를 통해 가상 어플라이언스 액세스를 참조하세요.

Gateway Load Balancer 엔드포인트를 생성하려면

  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 엔드포인트를 선택합니다.

  3. 엔드포인트 생성을 선택하고 다음 작업을 수행합니다.

    1. 서비스 범주(Service category)에서 기타 엔드포인트 서비스(Other endpoint services)를 선택합니다.

    2. 서비스 이름에 앞서 적어둔 서비스 이름을 입력한 다음 서비스 확인을 선택합니다.

    3. 에서 서비스 소비자를 선택합니다VPC. VPC

    4. 서브넷에서 Gateway Load Balancer 엔드포인트의 서브넷을 선택합니다.

    5. IP 주소 유형(IP address type)에서 다음 옵션 중에서 선택합니다.

      • IPv4— 엔드포인트 네트워크 인터페이스에 IPv4 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 주소 범위가 있는 경우에만 지원됩니다.

      • IPv6— 엔드포인트 네트워크 인터페이스에 IPv6 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷이 IPv6 서브넷일 경우에만 지원됩니다.

      • 듀얼 스택 - 엔드포인트 네트워크 인터페이스에 IPv4 및 IPv6 주소를 모두 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있는 경우에만 지원됩니다.

    6. (선택 사항) 태그를 추가하려면 새 태그 추가(Add new tag)를 선택하고 태그 키와 태그 값을 입력합니다.

    7. Create endpoint(엔드포인트 생성)을 선택합니다. 초기 상태는 pending acceptance입니다.

엔드포인트 연결 요청을 수락하려면 다음 절차를 따르세요.

  1. 탐색 창에서 엔드포인트 서비스(Endpoint services)를 선택합니다.

  2. 엔드포인트 서비스를 선택합니다.

  3. 엔드포인트 연결(Endpoint connections) 탭에서 엔드포인트 연결을 선택합니다.

  4. 연결 요청을 수락하려면 작업(Actions), 엔드포인트 연결 요청 수락(Accept endpoint connection request)을 차례로 선택합니다. 확인 메시지가 나타나면 accept를 입력한 다음 수락(Accept)을 선택합니다.

4단계: 라우팅 구성

다음과 VPC 같이 서비스 소비자의 라우팅 테이블을 구성하십시오. 이 테이블을 사용하여 보안 어플라이언스에서 애플리케이션 서버로 전송되는 인바운드 트래픽에 대한 보안 검사를 수행할 수 있습니다.

라우팅을 구성하려면

  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 라우팅 테이블을 선택합니다.

  3. 인터넷 게이트웨이의 라우팅 테이블을 선택하고 다음을 수행합니다.

    1. 작업(Actions), Edit routes(라우팅 편집)를 선택합니다.

    2. 라우팅 추가(Add route)를 선택합니다. 대상에 애플리케이션 서버의 서브넷 IPv4 CIDR 블록을 입력합니다. Target에서 VPC 엔드포인트를 선택합니다.

    3. 지원하는 IPv6 경우 경로 추가를 선택합니다. 대상에 애플리케이션 서버의 서브넷 IPv6 CIDR 블록을 입력합니다. Target에서 VPC 엔드포인트를 선택합니다.

    4. Save changes(변경 사항 저장)를 선택합니다.

  4. 애플리케이션 서버가 있는 서브넷의 라우팅 테이블을 선택하고 다음을 수행합니다.

    1. 작업(Actions), 라우팅 편집(Edit routes)을 선택합니다.

    2. 라우팅 추가(Add route)를 선택합니다. 대상 주소(Destination)0.0.0.0/0을 입력합니다. Target에서 VPC 엔드포인트를 선택합니다.

    3. 지원하는 IPv6 경우 경로 추가를 선택합니다. 대상 주소(Destination)::/0을 입력합니다. Target에서 VPC 엔드포인트를 선택합니다.

    4. Save changes(변경 사항 저장)를 선택합니다.

  5. Gateway Load Balancer 엔드포인트가 있는 서브넷의 라우팅 테이블을 선택하고 다음을 수행합니다.

    1. 작업(Actions), 라우팅 편집(Edit routes)을 선택합니다.

    2. 라우팅 추가(Add route)를 선택합니다. 대상 주소(Destination)0.0.0.0/0을 입력합니다. 대상(Target)에서 인터넷 게이트웨이를 선택합니다.

    3. 지원하는 IPv6 경우 경로 추가를 선택합니다. 대상 주소(Destination)::/0을 입력합니다. 대상(Target)에서 인터넷 게이트웨이를 선택합니다.

    4. 변경 사항 저장(Save changes)을 선택합니다.