기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon MWAA에서의 네트워킹에 대해
Amazon VPC는 사용자의 AWS 계정에 연결된 가상 네트워크입니다. 가상 인프라 및 네트워크 트래픽 세분화를 세밀하게 제어하여 클라우드 보안과 동적으로 확장할 수 있는 기능을 제공합니다. 이 페이지에서는 Amazon Managed Workflows for Apache Airflow 환경을 지원하는 데 필요한 퍼블릭 라우팅 또는 프라이빗 라우팅이 있는 Amazon VPC 인프라를 설명합니다.
목차
용어
- 퍼블릭 라우팅
-
인터넷에 액세스할 수 있는 Amazon VPC 네트워크.
- 프라이빗 라우팅
-
인터넷에 액세스할 수 없는 Amazon VPC 네트워크입니다.
지원되는 항목
다음 표에서는 Amazon MWAA가 지원하는 Amazon VPC 유형에 대해 설명합니다.
Amazon VPC 유형 | 지원 |
---|---|
환경을 생성하려는 계정이 소유한 Amazon VPC입니다. |
예 |
여러 AWS 계정이 AWS 리소스를 생성하는 공유 Amazon VPC입니다. |
예 |
VPC 인프라 개요
Amazon MWAA 환경을 생성할 때 Amazon MWAA는 환경에 맞게 선택한 Apache Airflow 액세스 모드를 기반으로 환경에 대해 1~2개의 VPC 엔드포인트를 생성합니다. 이러한 엔드포인트는 Amazon VPC에 프라이빗 IP가 있는 탄력적 네트워크 인터페이스(ENI)로 표시됩니다. 이러한 엔드포인트가 생성되면 해당 IP로 향하는 모든 트래픽이 사용자 환경에서 사용되는 해당 AWS 서비스에 비공개 또는 공개적으로 라우팅됩니다.
다음 섹션에서는 인터넷을 통해 트래픽을 공개적으로 라우팅하거나 Amazon VPC 내에서 비공개로 라우팅하는 데 필요한 Amazon VPC 인프라에 대해 설명합니다.
인터넷을 통한 퍼블릭 라우팅
이 섹션에서는 퍼블릭 라우팅을 사용하는 환경의 Amazon VPC 인프라에 대해 설명합니다. 다음과 같은 VPC 인프라가 필요합니다.
-
하나의 VPC 보안 그룹. VPC 보안 그룹은 인스턴스의 수신(인바운드) 및 송신(아웃바운드) 네트워크 트래픽을 제어하는 가상 방화벽 역할을 합니다.
-
최대 5개의 보안 그룹을 지정할 수 있습니다.
-
보안 그룹은 자체 참조 인바운드 규칙을 지정해야 합니다.
-
보안 그룹은 모든 트래픽에 대한 아웃바운드 규칙을 지정해야 합니다(
0.0.0.0/0
). -
보안 그룹은 자체 참조 규칙의 모든 트래픽을 허용해야 합니다. 예: (권장) 모든 액세스 자체 참조 보안 그룹의 예제 .
-
보안 그룹은 선택적으로 HTTPS 포트 범위
443
및 TCP 포트 범위5432
에 대한 포트 범위를 지정하여 트래픽을 추가로 제한할 수도 있습니다. 예: (선택 사항) 포트 5432에 대한 인바운드 액세스를 제한하는 보안 그룹의 예제 및 (선택 사항) 포트 443에 대한 인바운드 액세스를 제한하는 보안 그룹의 예제.
-
-
2개의 퍼블릭 서브넷. 퍼블릭 서브넷은 인터넷 게이트웨이로 이어지는 경로가 있는 라우팅 테이블과 연결된 서브넷입니다.
-
2개의 퍼블릭 서브넷이 필요합니다. 이를 통해 Amazon MWAA는 하나의 컨테이너가 실패하는 경우 다른 가용 영역에서 사용자 환경에 대한 새 컨테이너 이미지를 구축할 수 있습니다.
-
서브넷이 서로 다른 가용 영역에 있어야 합니다. 예,
us-east-1a
,us-east-1b
. -
서브넷은 탄력적 IP 주소(EIP)가 있는 NAT 게이트웨이(또는 NAT 인스턴스)로 라우팅해야 합니다.
-
서브넷에는 인터넷 바인딩 트래픽을 인터넷 게이트웨이로 전달하는 라우팅 테이블이 있어야 합니다.
-
-
2개의 프라이빗 서브넷. 프라이빗 서브넷은 인터넷 게이트웨이에 대한 경로가 있는 라우팅 테이블과 연결되지 않은 서브넷입니다.
-
두 개의 프라이빗 서브넷이 필요합니다. 이를 통해 Amazon MWAA는 하나의 컨테이너가 실패하는 경우 다른 가용 영역에서 사용자 환경에 대한 새 컨테이너 이미지를 구축할 수 있습니다.
-
서브넷이 서로 다른 가용 영역에 있어야 합니다. 예,
us-east-1a
,us-east-1b
. -
서브넷에 NAT 장치(게이트웨이 또는 인스턴스)에 대한 라우팅 테이블이 있어야 합니다.
-
서브넷은 인터넷 게이트웨이로 라우팅되어서는 안 됩니다.
-
-
네트워크 액세스 제어 목록(ACL). NACL은 허용 또는 거부 규칙을 통해 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 관리합니다.
-
NACL에는 모든 트래픽을 허용하는 인바운드 규칙이 있어야 합니다(
0.0.0.0/0
). -
NACL에는 모든 트래픽을 허용하는 아웃바운드 규칙이 있어야 합니다(
0.0.0.0/0
). -
예: (권장) 예제 ACLs.
-
-
2개의 NAT 게이트웨이(또는 NAT 인스턴스). NAT 장치는 프라이빗 서브넷의 인스턴스에서 인터넷 또는 기타 AWS 서비스로 트래픽을 전달한 다음 응답을 다시 인스턴스로 라우팅합니다.
-
NAT 장치는 퍼블릭 서브넷에 연결되어야 합니다. (퍼블릭 서브넷당 하나의 NAT 장치.)
-
NAT 장치에는 각 퍼블릭 서브넷에 연결된 EIP(탄력적 IPv4 주소)가 있어야 합니다.
-
-
인터넷 게이트웨이. 인터넷 게이트웨이는 Amazon VPC를 인터넷 및 다른 AWS 서비스에 연결합니다.
-
인터넷 게이트웨이는 Amazon VPC에 연결되어야 합니다.
-
인터넷 접속이 필요 없는 프라이빗 라우팅
이 섹션에서는 프라이빗 라우팅을 사용하는 환경의 Amazon VPC 인프라에 대해 설명합니다. 다음과 같은 VPC 인프라가 필요합니다.
-
하나의 VPC 보안 그룹. VPC 보안 그룹은 인스턴스의 수신(인바운드) 및 송신(아웃바운드) 네트워크 트래픽을 제어하는 가상 방화벽 역할을 합니다.
-
최대 5개의 보안 그룹을 지정할 수 있습니다.
-
보안 그룹은 자체 참조 인바운드 규칙을 지정해야 합니다.
-
보안 그룹은 모든 트래픽에 대한 아웃바운드 규칙을 지정해야 합니다(
0.0.0.0/0
). -
보안 그룹은 자체 참조 규칙의 모든 트래픽을 허용해야 합니다. 예: (권장) 모든 액세스 자체 참조 보안 그룹의 예제 .
-
보안 그룹은 선택적으로 HTTPS 포트 범위
443
및 TCP 포트 범위5432
에 대한 포트 범위를 지정하여 트래픽을 추가로 제한할 수도 있습니다. 예: (선택 사항) 포트 5432에 대한 인바운드 액세스를 제한하는 보안 그룹의 예제 및 (선택 사항) 포트 443에 대한 인바운드 액세스를 제한하는 보안 그룹의 예제.
-
-
2개의 프라이빗 서브넷. 프라이빗 서브넷은 인터넷 게이트웨이에 대한 경로가 있는 라우팅 테이블과 연결되지 않은 서브넷입니다.
-
두 개의 프라이빗 서브넷이 필요합니다. 이를 통해 Amazon MWAA는 하나의 컨테이너가 실패하는 경우 다른 가용 영역에서 사용자 환경에 대한 새 컨테이너 이미지를 구축할 수 있습니다.
-
서브넷이 서로 다른 가용 영역에 있어야 합니다. 예,
us-east-1a
,us-east-1b
. -
서브넷에는 VPC 엔드포인트에 대한 라우팅 테이블이 있어야 합니다.
-
서브넷에 NAT 장치(게이트웨이 또는 인스턴스)에 대한 라우팅 테이블이나 인터넷 게이트웨이가 있어서는 안 됩니다.
-
-
네트워크 액세스 제어 목록(ACL). NACL은 허용 또는 거부 규칙을 통해 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 관리합니다.
-
NACL에는 모든 트래픽을 허용하는 인바운드 규칙이 있어야 합니다(
0.0.0.0/0
). -
NACL에는 모든 트래픽을 거부하는 아웃바운드 규칙이 있어야 합니다(
0.0.0.0/0
). -
예: (권장) 예제 ACLs.
-
-
로컬 라우팅 테이블. 로컬 라우팅 테이블은 VPC 내 통신을 위한 기본 경로입니다.
-
로컬 라우팅 테이블은 프라이빗 서브넷에 연결되어야 합니다.
-
로컬 라우팅 테이블은 VPC의 인스턴스가 자체 네트워크와 통신할 수 있도록 해야 합니다. 예를 들어 AWS Client VPN를 사용하여 Apache Airflow 웹 서버의 VPC 인터페이스 엔드포인트에 액세스하는 경우 라우팅 테이블은 VPC 엔드포인트로 라우팅되어야 합니다.
-
-
사용자 환경에서 사용하는 각 AWS 서비스의 VPC 엔드포인트 및 Amazon MWAA 환경과 동일한 AWS 리전 및 Amazon VPC에 있는 Apache Airflow VPC 엔드포인트입니다.
-
환경에서 사용하는 각 AWS 서비스의 VPC 엔드포인트 및 Apache Airflow용 VPC 엔드포인트입니다. 예: (필수) VPC 엔드포인트.
-
VPC 엔드포인트에는 프라이빗 DNS가 활성화되어 있어야 합니다.
-
VPC 엔드포인트는 사용자 환경의 두 개의 프라이빗 서브넷에 연결되어야 합니다.
-
VPC 엔드포인트는 사용자 환경의 보안 그룹에 연결되어야 합니다.
-
각 엔드포인트에 대한 VPC 엔드포인트 정책은 환경에서 사용하는 AWS 서비스에 대한 액세스를 허용하도록 구성되어야 합니다. 예: (권장) 모든 액세스를 허용하는 VPC 엔드포인트 정책 예.
-
Amazon S3에 대한 VPC 엔드포인트 정책은 버킷 액세스를 허용하도록 구성되어야 합니다. 예: (권장) 버킷 액세스를 허용하는 Amazon S3 게이트웨이 엔드포인트 정책의 예제.
-
Amazon VPC 및 Apache Airflow 액세스 모드의 사용 사례 예시
이 섹션에서는 Amazon VPC의 네트워크 액세스에 대한 다양한 사용 사례와 Amazon MWAA 콘솔에서 선택해야 하는 Apache Airflow 웹 서버 액세스 모드를 설명합니다.
인터넷 액세스 허용 - 새로운 Amazon VPC 네트워크
조직에서 VPC의 인터넷 액세스를 허용하고 사용자가 인터넷을 통해 Apache Airflow 웹 서버에 액세스하도록 하려는 경우:
-
인터넷에 액세스할 수 있는 Amazon VPC 네트워크를 생성합니다.
-
Apache Airflow 웹 서버에 대한 퍼블릭 네트워크 액세스 모드를 사용하여 환경을 생성합니다.
-
권장 사항: Amazon VPC 인프라, Amazon AWS CloudFormation S3 버킷 및 Amazon MWAA 환경을 동시에 생성하는 빠른 시작 템플릿을 사용하는 것이 좋습니다. 자세한 내용은 Amazon Managed Workflows for Apache Airflow용 빠른 시작 튜토리얼 섹션을 참조하십시오.
조직에서 VPC의 인터넷 액세스를 허용하고 Apache Airflow 웹 서버 액세스를 VPC 내 사용자로 제한하려는 경우:
-
인터넷에 액세스할 수 있는 Amazon VPC 네트워크를 생성합니다.
-
컴퓨터에서 Apache Airflow 웹 서버의 VPC 인터페이스 엔드포인트에 액세스하는 메커니즘을 생성합니다.
-
Apache Airflow 웹 서버에 대한 프라이빗 네트워크 액세스 모드를 사용하여 환경을 생성합니다.
-
권장 사항:
-
옵션 1: Amazon MWAA 콘솔에서 VPC 네트워크 생성에서 Amazon MWAA 콘솔을 사용하거나 옵션 2: 인터넷에 액세스할 수 있는 Amazon VPC 네트워크 생성에서 AWS CloudFormation 템플릿을 사용하는 것이 좋습니다.
-
튜토리얼: AWS Client VPN을(를) 사용한 프라이빗 네트워크 액세스 구성에서 Apache Airflow 웹 서버에 대한 AWS Client VPN을 사용하여 액세스를 구성하는 것이 좋습니다.
-
인터넷 액세스가 허용되지 않음 - 새 Amazon VPC 네트워크
조직에서 VPC의 인터넷 액세스를 허용하지 않는 경우:
-
인터넷 액세스 없이 Amazon VPC 네트워크를 생성합니다.
-
컴퓨터에서 Apache Airflow 웹 서버의 VPC 인터페이스 엔드포인트에 액세스하는 메커니즘을 생성합니다.
-
환경에서 사용하는 각 AWS 서비스에 대한 VPC 엔드포인트를 생성합니다.
-
Apache Airflow 웹 서버에 대한 프라이빗 네트워크 액세스 모드를 사용하여 환경을 생성합니다.
-
권장 사항:
-
AWS CloudFormation 템플릿을 사용하여 인터넷 액세스 없이 Amazon VPC를 생성하고 옵션 3: 인터넷에 액세스할 수 없는 Amazon VPC 네트워크 생성에서 Amazon MWAA가 사용하는 각 AWS 서비스에 대한 VPC 엔드포인트를 생성하는 것이 좋습니다.
-
튜토리얼: AWS Client VPN을(를) 사용한 프라이빗 네트워크 액세스 구성에서 Apache Airflow 웹 서버에 대한 AWS Client VPN을 사용하여 액세스를 구성하는 것이 좋습니다.
-
인터넷 액세스가 허용되지 않음 - 기존 Amazon VPC 네트워크
조직에서 VPC에서의 인터넷 액세스를 허용하지 않고 인터넷 액세스 없이 필요한 Amazon VPC 네트워크가 이미 있는 경우:
-
환경에서 사용하는 각 AWS 서비스에 대한 VPC 엔드포인트를 생성합니다.
-
Apache Airflow에 대한 VPC 엔드포인트를 생성합니다.
-
컴퓨터에서 Apache Airflow 웹 서버의 VPC 인터페이스 엔드포인트에 액세스하는 메커니즘을 생성합니다.
-
Apache Airflow 웹 서버에 대한 프라이빗 네트워크 액세스 모드를 사용하여 환경을 생성합니다.
-
권장 사항:
-
Amazon MWAA에서 사용하는 각 AWS 서비스에 필요한 VPC 엔드포인트와 프라이빗 라우팅을 사용하여 Amazon VPC에 필요한 VPC 서비스 엔드포인트 생성의 Apache Airflow에 필요한 VPC 엔드포인트를 생성하여 연결하는 것이 좋습니다.
-
튜토리얼: AWS Client VPN을(를) 사용한 프라이빗 네트워크 액세스 구성에서 Apache Airflow 웹 서버에 대한 AWS Client VPN을 사용하여 액세스를 구성하는 것이 좋습니다.
-