클라이언트 IP 주소 보존에 대한 모범 사례 - AWS Global Accelerator

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

클라이언트 IP 주소 보존에 대한 모범 사례

AWS Global Accelerator 클라이언트 IP 주소 보존을 사용하는 경우 엘라스틱 네트워크 인터페이스 및 보안 그룹에 대한 이 섹션의 정보와 모범 사례에 유의하십시오.

클라이언트 IP 주소 보존을 지원하기 위해 글로벌 액셀러레이터는 AWS 계정에 엔드포인트가 있는 각 서브넷에 대해 하나씩 엘라스틱 네트워크 인터페이스를 만듭니다. 탄력적 네트워크 인터페이스는 VPC에서 가상 네트워크 카드를 나타내는 논리적 네트워킹 구성 요소입니다. 글로벌 액셀러레이터는 이러한 엘라스틱 네트워크 인터페이스를 사용하여 액셀러레이터 뒤에 구성된 엔드포인트로 트래픽을 라우팅합니다. 이러한 방식으로 트래픽을 라우팅하기 위해 지원되는 엔드포인트는 애플리케이션 로드 밸런서 (내부 및 인터넷 연결) 및 Amazon EC2 인스턴스입니다.

참고

글로벌 액셀러레이터에서 내부 Application Load Balancer 또는 EC2 인스턴스 엔드포인트를 추가하면 프라이빗 서브넷에서 VPC (가상 프라이빗 클라우드) 의 엔드포인트로 인터넷 트래픽이 직접 전송되도록 할 수 있습니다. 자세한 내용은 AWS Global Accelerator 터의 보안 VPC 연결 섹션을 참조하세요.

글로벌 액셀러레이터에서 엘라스틱 네트워크 인터페이스

클라이언트 IP 주소 보존이 활성화된 Application Load Balancer 있는 경우 로드 밸런서가 속한 서브넷 수에 따라 글로벌 가속기가 계정에 생성하는 엘라스틱 네트워크 인터페이스 수가 결정됩니다. 글로벌 액셀러레이터는 각 서브넷에 대해 하나의 탄력적 네트워크 인터페이스를 만듭니다. 여기에는 Application Load Balancer 엘라스틱 네트워크 인터페이스가 하나 이상 있고 계정의 가속기가 앞에 있습니다.

다음 예에서는 이 계정의 작동 방식을 설명합니다.

  • 예 1: Application Load Balancer 서브넷 A와 서브넷 B에 엘라스틱 네트워크 인터페이스가 있는 경우 로드 밸런서를 가속기 끝점으로 추가하면 글로벌 가속기는 각 서브넷에 하나씩 두 개의 엘라스틱 네트워크 인터페이스를 만듭니다.

  • 예 2: 예를 들어, 서브넷A에서 탄력적 네트워크 인터페이스가 있는 ALB1을 가속기1에 추가한 다음 서브넷 A에 엘라스틱 네트워크 인터페이스가 있고 서브넷 B가 Accelerator2에 있는 ALB2를 추가하는 경우 글로벌 가속기는 두 개의 탄력적 네트워크 인터페이스만 만듭니다. 하나는 서브넷A와 서브넷 B에 하나씩 두 개의 탄력적 네트워크 인터페이스만 만듭니다.

  • 예 3 서브넷A와 서브넷B에 탄력적 네트워크 인터페이스가 있는 ALB1을 가속기1에 추가한 다음 서브넷A에서 탄력적 네트워크 인터페이스가 있는 ALB2를 가속기2에 추가하는 경우 글로벌 가속기는 세 개의 탄력적 네트워크 인터페이스를 만듭니다. 하나는 서브넷A에, 하나는 서브넷B에 있고 다른 하나는 서브넷에 있고 다른 하나는 서브넷에 있습니다. 서브넷A의 elastic network interface 가속기1 및 가속기2 모두에 대한 트래픽을 전달합니다.

예제 3에서 볼 수 있듯이 동일한 서브넷의 끝점이 여러 가속기 뒤에 배치된 경우 탄력적 네트워크 인터페이스가 가속기 간에 재사용됩니다.

Global Accelerator 에서 생성하는 논리적 엘라스틱 네트워크 인터페이스는 단일 호스트, 처리량 병목 현상 또는 단일 장애 지점을 나타내지 않습니다. 가용 영역이나 서브넷에서 단일 elastic network interface 나타나는 다른 AWS 서비스와 마찬가지로, NAT (네트워크 주소 변환) 게이트웨이 또는 네트워크 로드 밸런서와 같은 서비스도 글로벌 액셀러레이터는 수평적으로 확장되고 가용성이 뛰어난 서비스로 구현됩니다.

가속기의 끝점에서 사용하는 서브넷 수를 평가하여 글로벌 액셀러레이터가 만들 엘라스틱 네트워크 인터페이스의 수를 결정합니다. 가속기를 만들기 전에 필요한 탄력적 네트워크 인터페이스에 충분한 IP 주소 공간 용량 (관련 서브넷당 하나 이상의 사용 가능한 IP 주소) 이 있는지 확인합니다. 사용 가능한 IP 주소 공간이 충분하지 않은 경우 Application Load Balancer 및 연결된 글로벌 액셀러레이터 엘라스틱 네트워크 인터페이스에 적합한 사용 가능한 IP 주소 공간이 있는 서브넷을 만들거나 사용해야 합니다.

글로벌 액셀러레이터가 계정의 액셀러레이터에 있는 엔드포인트에서 엘라elastic network interface 사용하고 있지 않다고 판단하면 글로벌 액셀러레이터가 인터페이스를 삭제합니다.

글로벌 액셀러레이터에서 만든 보안 그룹

글로벌 액셀러레이터 및 보안 그룹으로 작업할 때 다음 정보와 모범 사례를 검토하십시오.

  • 글로벌 액셀러레이터는 엘라스틱 네트워크 인터페이스와 연결된 보안 그룹을 만듭니다. 시스템이 이러한 작업을 방해하지는 않지만 이러한 그룹에 대한 보안 그룹 설정을 편집하면 안 됩니다.

  • 글로벌 액셀러레이터는 만든 보안 그룹을 삭제하지 않습니다. 그러나 글로벌 액셀러레이터는 계정의 액셀러레이터에 있는 엔드포인트에서 사용하지 않는 경우 엘라elastic network interface 삭제합니다.

  • 글로벌 액셀러레이터에서 생성한 보안 그룹을 유지 관리하는 다른 보안 그룹의 소스 그룹으로 사용할 수 있지만 글로벌 액셀러레이터는 VPC PC에서 지정한 대상으로만 트래픽을 전달합니다.

  • 글로벌 액셀러레이터에서 만든 보안 그룹 규칙을 수정하면 엔드포인트가 비정상 상태가 될 수 있습니다. 이런 일이 발생하면AWS Support에서 지원을 받으십시오.

  • 글로벌 액셀러레이터는 각 VPC 대해 특정 보안 그룹을 생성합니다. 특정 VPC 내의 엔드포인트에 대해 생성된 엘라스틱 네트워크 인터페이스는 elastic network interface 연결된 서브넷에 관계없이 모두 동일한 보안 그룹을 사용합니다.