AWS Outposts 작동 방식 - AWS Outposts

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Outposts 작동 방식

AWS OutpostsOutpost와AWS리전. 리전 및 온프레미스 환경의 로컬 워크로드에 이 연결을 달성하려면 Outpost를 온프레미스 네트워크에 연결해야 합니다. 온프레미스 네트워크는 지역 및 인터넷에 대한 WAN (광역 네트워크) 액세스를 제공해야 합니다. 또한 온프레미스 워크로드 또는 애플리케이션이 상주하는 로컬 네트워크에 대한 LAN 또는 WAN 액세스를 제공해야 합니다.

다음 다이어그램에서 Outpost 폼 팩터를 보여줍니다.


      전초 기지 폼 팩터의 그림입니다.

네트워크 구성 요소

AWS Outposts는 AWS 리전의 Amazon VPC를 해당 리전에서 액세스할 수 있는 인터넷 게이트웨이, 가상 프라이빗 게이트웨이, Amazon VPC Transit Gateway, VPC 엔드포인트 등의 VPC 구성 요소가 있는 Outpost로 확장합니다. Outpost는 리전의 가용 영역에 위치하며 복원력을 위해 사용할 수 있는 해당 가용 영역의 확장입니다.

다음 다이어그램은 Outpost의 네트워크 구성 요소를 보여 줍니다.

  • 원래 요청 ping에 대한AWS 리전및 온프레미스 네트워크

  • 리전에 여러 서브넷이 있는 VPC

  • 고객 소유 IP 주소 풀

  • 온프레미스 네트워크의 Outpost

  • 로컬 게이트웨이...에 대한또는 로컬 네트워크 인터페이스서버


        Outpost의 VPC 네트워킹 구성 요소입니다.

VPC 및 서브넷

Virtual Private Cloud (VPC) 는 의 모든 가용 영역에 적용됩니다.AWS리전. Outpost 서브넷을 추가하여 리전의 모든 VPC를 Outpost로 확장할 수 있습니다. VPC에 Outpost 서브넷을 추가하려면 서브넷을 생성할 때 Outpost의 Amazon 리소스 이름(ARN)을 지정합니다.

Outposts 기지는 여러 서브넷을 지원합니다. Outpost에서 EC2 인스턴스를 시작할 때 EC2 인스턴스 서브넷을 지정할 수 있습니다. Outpost는 다음 풀이므로 인스턴스가 배포되는 기본 하드웨어를 지정할 수 없습니다.AWS컴퓨팅 및 스토리지 용량

각 Outpost는 하나 이상의 Outpost 서브넷을 가질 수 있는 여러 VPC를 지원할 수 있습니다. VPC 할당량에 대한 자세한 내용은 단원을 참조하십시오.Amazon VPC 할당량Amazon VPC User Guide.

전초 기지를 생성한 VPC의 VPC CIDR 범위에서 전초 기지 서브넷을 생성합니다. Outpost 서브넷에 상주하는 EC2 인스턴스와 같은 리소스에 대해 Outpost 주소 범위를 사용할 수 있습니다.AWS는 VPC CIDR 또는 Outpost 서브넷 범위를 온프레미스 위치에 직접 알리지 않습니다.

DNS

VPC에 연결된 네트워크 인터페이스의 경우, Outposts 서브넷의 EC2 인스턴스는 Amazon Route 53 DNS 서비스를 사용하여 도메인 이름을 IP 주소로 확인할 수 있습니다. Route 53은 Outpost에서 실행되는 인스턴스에 대한 도메인 등록, DNS 라우팅 및 상태 확인과 같은 DNS 기능을 지원합니다. 특정 도메인으로 트래픽을 라우팅하기 위해 퍼블릭 및 프라이빗 호스팅 가용 영역이 모두 지원됩니다. Route 53 해석기는 다음 위치에서 호스팅됩니다.AWS리전. 따라서 전초 기지에서 서비스 링크 연결이AWS이러한 DNS 기능이 작동하려면 리전이 가동되고 실행 중이어야 합니다.

Outpost와 AWS 리전 간의 경로 대기 시간에 따라, Route 53에서 DNS 확인 시간이 길어질 수 있습니다. 이 경우, 온프레미스 환경에 로컬로 설치된 DNS 서버를 사용할 수 있습니다. 자체 DNS 서버를 사용하려면 온프레미스 DNS 서버에 대한 DHCP 옵션 세트를 만들어 VPC 연결해야 합니다. 또한 이러한 DNS 서버에 대한 IP 연결이 있는지 확인해야 합니다. 연결성을 위해 로컬 게이트웨이 라우팅 테이블에 경로를 추가해야 할 수도 있지만 이는 로컬 게이트웨이가 있는 Outpost 랙의 경우에만 옵션입니다. DHCP 옵션 집합에는 VPC 범위가 있으므로 Outpost 서브넷과 VPC의 가용 영역 서브넷 모두에 있는 인스턴스는 DNS 이름 확인을 위해 지정된 DNS 서버를 사용하려고 시도합니다.

Outpost에서 시작된 DNS 쿼리에 대해서는 쿼리 로깅이 지원되지 않습니다.

에 대한 Outpost 연결AWS리전

AWS Outposts서비스 링크 연결을 통해 WAN (광역 네트워크) 연결을 지원합니다.

의 경우AWS Outposts프로비저닝, 사용자 또는AWS는 Outpost를 다시 연결하는 서비스 링크 연결을 선택합니다.AWS지역 또는 Outposts 홈 지역. 서비스 링크는 Outpost가 선택한 홈 지역과 통신할 때마다 사용되는 암호화된 VPN 연결 집합입니다. VLAN (가상 LAN) 을 사용하여 서비스 링크의 트래픽을 분할합니다. 서비스 링크 VLAN을 사용하면 전초 기지와AWS전초 기지와 VPC 간 트래픽을 모두 관리하기 위한 리전AWS지역 및 전초 기지.

Outpost에 대해 프라이빗 연결 옵션을 선택하면 지정한 기존 VPC 및 서브넷을 사용하여 서비스 링크 VPN 연결이 설정됩니다. 자세한 정보는 VPC 사용한 서비스 링크 프라이빗 연결을 참조하십시오.

또는 Outpost는 서비스 링크 VPN을 다시 만들 수 있습니다.AWS공용 리전 연결을 통한 리전. 그러기 위해서는 전초 기지가AWS리전의 퍼블릭 IP 범위 (퍼블릭 인터넷 또는AWS Direct Connect퍼블릭 가상 인터페이스를 제공합니다. 이 연결은 서비스 링크 VLAN의 특정 경로를 통해 또는 0.0.0.0/0 의 기본 경로를 통해 이루어질 수 있습니다. 의 공개 범위에 대한 자세한 내용은AWS, 참조AWSIP 주소 범위.

서비스 링크가 설정되면 전초 기지가 서비스 중이며 다음에 의해 관리됩니다.AWS. 서비스 링크는 다음 트래픽에 사용됩니다.

  • 내부 제어 플레인 트래픽, 내부 리소스 모니터링, 펌웨어 및 소프트웨어 업데이트를 포함하여 서비스 링크를 통해 Outpost에 대한 트래픽을 관리합니다.

  • 고객 데이터 플레인 트래픽을 포함하여 Outpost와 관련 VPC 간의 트래픽입니다.

서비스 링크 최대 전송 단위 (MTU) 요구 사항

네트워크 연결의 MTU(최대 전송 단위)는 연결을 통해 전달할 수 있는 허용되는 최대 크기의 패킷 크기(바이트)입니다.AWS Outposts는 온프레미스 네트워크에서 최소 1500바이트가 필요합니다. Outpost 서비스 링크는 1300바이트의 최대 패킷 크기를 지원합니다.

서비스 링크 대역폭 권장 사항

최적의 경험과 복원력을 위해AWS에 대한 서비스 링크 연결에 최소 500Mbps (1Gbps가 더 좋음) 의 중복 연결을 사용할 것을 권장합니다.AWS리전. 이AWS Direct Connect또는 서비스 링크에 대한 인터넷 연결. 아웃포스트 랙의 경우 최소 500Mbps 서비스 링크 연결을 통해 Amazon EC2 인스턴스를 시작하고, Amazon EBS 볼륨을 연결하고, 액세스할 수 있습니다.AWS아마존 EKS, 아마존 EMR 및 CloudWatch지표. 전초 기지 서버는 더 낮은 최소값을 지원합니다. 자세한 정보는 서버용 서비스 링크 트래픽을 참조하십시오.

Outposts 서비스 링크 대역폭 요구 사항은 다음 특성에 따라 다릅니다.

  • 전초 기지 랙 수 및 전초 기지 용량 구성

  • AMI 크기, 애플리케이션 탄력성, 버스트 속도 요구, 리전으로의 Amazon VPC 트래픽 등 워크로드 특성

요구 사항에 필요한 서비스 링크 대역폭에 대한 사용자 지정 권장 사항을 받으려면AWS영업 담당자 또는 APN 파트너

방화벽 및 서비스 링크

이 섹션에서는 방화벽 구성 및 서비스 링크 연결에 대해 설명합니다.

다음 다이어그램에서 구성은 Amazon VPCAWS리전에서 Outpost로 이동합니다. 원래 요청 ping에 대한AWS Direct Connect공용 가상 인터페이스는 서비스 링크 연결입니다. 다음 트래픽은 서비스 링크와AWS Direct Connect연결:

  • 서비스 링크를 통한 전초 기지로의 트래픽 관리

  • 전초 기지와 관련 VPC 간의 트래픽


        AWS Direct Connect에 연결AWS

인터넷 연결에서 상태 저장 방화벽을 사용하여 공용 인터넷에서 서비스 링크 VLAN으로의 연결을 제한하는 경우 인터넷에서 시작되는 모든 인바운드 연결을 차단할 수 있습니다. 이는 서비스 링크 VPN이 전초 기지에서 지역으로만 시작되고 지역에서 전초 기지로는 시작되지 않기 때문입니다.


        에 대한 인터넷 게이트웨이 연결AWS

방화벽을 사용하여 서비스 링크 VLAN의 연결을 제한하는 경우 모든 인바운드 연결을 차단할 수 있습니다. 에서 Outpost로 다시 아웃바운드 연결을 허용해야 합니다.AWS리전은 다음 표에 나와 있습니다. 방화벽이 상태 저장인 경우 허용된 Outpost의 아웃바운드 연결 (즉, Outpost에서 시작됨) 은 다시 인바운드를 허용해야 합니다.

프로토콜 원본 포트 Source address 대상 포트 대상 주소

UDP

443

전초기지 서비스 링크 /26

443

전초기지 지역의 공공 노선

TCP

1025-65535

전초기지 서비스 링크 /26

443

전초기지 지역의 공공 노선

참고

두 인스턴스가 동일한 VPC 있는 경우 Outpost의 인스턴스는 서비스 링크를 사용하여 다른 Outposts의 인스턴스와 통신할 수 없습니다. 로컬 게이트웨이 또는 로컬 네트워크 인터페이스를 사용하여 동일한 VPC 있는 Outposts 간에 통신합니다. 전초 기지 랙은 로컬 게이트웨이 구성 요소를 포함한 중복 전원 및 네트워킹 장비로도 설계되었습니다. 자세한 정보는 AWS Outposts의 복원성을 참조하십시오.

VPC 사용한 서비스 링크 프라이빗 연결

Outpost를 만들 때 콘솔에서 개인 연결 옵션을 선택할 수 있습니다. 이렇게 하면 지정한 VPC 및 서브넷을 사용하여 Outpost를 설치한 후에 서비스 링크 VPN 연결이 설정됩니다. 이렇게 하면 VPC 통한 비공개 연결이 허용되고 퍼블릭 인터넷 노출이 최소화됩니다.

참고
  • Outpost에 대한 개인 연결을 실행 취소해야 하는 경우 에 문의해야 합니다.AWS엔터프라이즈 Support.

  • Outposts 서버는 다음에 대한 개인 게이트웨이를 지원하지 않습니다.AWS Direct Connect연결. 이AWS Direct Connect서비스 링크 연결에 사용할 수 있지만 프라이빗 게이트웨이는 사용할 수 없습니다.

사전 조건

Outpost에 대한 개인 연결을 구성하기 전에 다음 사전 조건이 요구됩니다.

  • 사용자 또는 역할이 프라이빗 연결을 위한 서비스 연결 역할을 생성할 수 있도록 IAM 개체 (사용자 또는 역할) 의 권한을 구성해야 합니다. IAM 엔터티에는 다음 작업에 액세스할 수 있는 권한이 필요합니다.

    • arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*에서 iam:CreateServiceLinkedRole

    • arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*에서 iam:PutRolePolicy

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    자세한 내용은 에 대한 Identity and Access Management (IAM)AWS OutpostsAWS Outposts에 서비스 연결 역할 사용 단원을 참조하세요.

  • 동일한AWS계정 및 가용 영역을 Outpost로 사용하는 경우 10.1.0.0/16과 충돌하지 않는 서브넷이 /25 이상인 Outpost 프라이빗 연결을 위한 목적으로만 VPC를 생성합니다. 예를 들어 10.2.0.0/16 을 사용할 수 있습니다.

  • 전초 기지 랙의 경우AWS Direct Connect온프레미스 Outpost에서 VPC에 액세스할 수 있도록 하는 연결, 프라이빗 가상 인터페이스 및 가상 프라이빗 게이트웨이입니다. 만약AWS Direct Connect연결이 다른 경우AWSVPC 계정을 사용합니다. 참조계정 간 가상 프라이빗 게이트웨이 연결AWS Direct Connect사용 설명서.

  • 온프레미스 네트워크에 서브넷 CIDR을 알립니다. 이AWS Direct Connect그렇게 할 수 있습니다. 자세한 내용은 단원을 참조하십시오.AWS Direct Connect가상 인터페이스작업AWS Direct Connect게이트웨이AWS Direct Connect사용 설명서. 그 외 다른 옵션AWS Direct Connect, 참조소개Amazon Virtual Private Cloud(VPC) 연결 오류.

전초 기지를 만들 때 개인 연결 옵션을 선택할 수 있습니다.AWS Outposts콘솔. 지침은 Outpost 생성 및 Outpost 용량을 주문하세요. 섹션을 참조하세요.

참고

Outpost가 켜져 있을 때 개인 연결 옵션을 선택하려면보류 중상태, 선택Outpost콘솔에서 전초 기지를 선택합니다. 선택작업,프라이빗 연결 추가다음 단계를 따릅니다.

Outpost에 대한 개인 연결 옵션을 선택한 후AWS Outposts은 사용자 대신 다음 작업을 완료할 수 있도록 계정에 서비스 연결 역할을 자동으로 생성합니다.

  • 지정한 서브넷과 VPC에 네트워크 인터페이스를 생성하고 네트워크 인터페이스에 대한 보안 그룹을 생성합니다.

  • 에 대한 권한을 부여합니다.AWS Outpostsservice를 사용하여 계정의 서비스 링크 엔드포인트 인스턴스에 네트워크 인터페이스를 연결합니다.

  • 계정에서 서비스 링크 엔드포인트 인스턴스에 네트워크 인터페이스를 연결합니다.

서비스 연결 역할에 대한 자세한 내용은 AWS Outposts에 서비스 연결 역할 사용 섹션을 참조하세요.

중요

Outpost를 설치한 후 Outpost에서 서브넷의 프라이빗 IP에 대한 연결을 확인합니다.

중복 인터넷 연결

전초 기지에서 전초 기지로 연결을 구축 할 때AWS리전에서 사용하는 경우 높은 가용성과 복원력을 위해 다중 연결을 생성하는 것이 좋습니다. 자세한 내용은 단원을 참조하십시오.AWS Direct Connect복원력 권장 사항.

공용 인터넷에 연결해야 하는 경우 기존 온프레미스 워크로드와 마찬가지로 중복 인터넷 연결 및 다양한 인터넷 공급자를 사용할 수 있습니다.