AWS 리전과의 AWS Outposts 연결 - AWS Outposts
서비스 링크를 통한 연결VPC를 사용한 서비스 링크 프라이빗 연결중복 인터넷 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 리전과의 AWS Outposts 연결

AWS Outposts은(는) 서비스 링크 연결을 통해 광역 네트워크(WAN) 연결을 지원합니다.

서비스 링크는 Outposts와 선택한 AWS 지역 (또는 홈 지역) 간의 필수 연결이며 Outposts를 관리하고 지역을 오가는 트래픽을 교환할 수 있게 해줍니다. AWS 서비스 링크는 암호화된 VPN 연결 세트를 활용하여 홈 지역과 통신합니다.

서비스 링크 연결을 설정하려면 Outpost 프로비저닝 중에 로컬 네트워크 장치와의 물리적, 가상 LAN (VLAN) 및 네트워크 계층 연결을 구성하거나 AWS 구성해야 합니다. 자세한 내용은 랙의 로컬 네트워크 연결 및 Outposts 랙의 사이트 요구 사항을 참조하십시오.

지역에 대한 광역 네트워크 (WAN) 연결의 경우 AWS 지역의 공용 연결을 통해 서비스 링크 VPN 연결을 설정할 AWS Outposts 수 있습니다. AWS 이를 위해서는 Outposts가 공용 인터넷 또는 AWS Direct Connect 공용 가상 인터페이스를 통해 해당 지역의 공용 IP 범위에 액세스할 수 있어야 합니다. 현재 IP 주소 범위는 Amazon VPC 사용 설명서의 AWS IP 주소 범위를 참조하십시오. 이 연결은 서비스 링크 네트워크 계층 경로에서 특정 또는 기본 (0.0.0.0/0) 경로를 구성하여 활성화할 수 있습니다. 자세한 내용은 서비스 링크 BGP 연결 및 서비스 링크 인프라 서브넷 광고 및 IP 범위를 참조하십시오.

또는 Outpost의 사설 연결 옵션을 선택할 수도 있습니다. 자세한 내용은 VPC를 사용한 서비스 링크 프라이빗 연결을 참조하십시오.

서비스 링크 연결이 설정되면 Outpost가 운영되고 에서 관리합니다. AWS 서비스 링크는 다음 트래픽에 사용됩니다.

  • 아웃포스트와 모든 관련 VPC 간의 고객 VPC 트래픽

  • 리소스 관리, 리소스 모니터링, 펌웨어 및 소프트웨어 업데이트와 같은 관리 트래픽을 아웃포스트합니다.

요구되는 서비스 링크 최대 전송 단위(MTU)

네트워크 연결의 MTU(최대 전송 단위)는 연결을 통해 전달할 수 있는 허용되는 최대 크기의 패킷 크기(바이트)입니다. 네트워크는 Outpost와 상위 지역의 서비스 링크 엔드포인트 간 1500바이트 MTU를 지원해야 합니다. AWS 서비스 링크를 통해 Outpost의 인스턴스와 AWS 지역 내 인스턴스 간에 필요한 MTU에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서에서 Amazon EC2 인스턴스의 네트워크 최대 전송 단위 (MTU) 를 참조하십시오.

서비스 링크 대역폭 권장 사항

최적의 경험과 복원력을 위해, AWS에서는 AWS 리전에 대한 서비스 링크 연결에 최소 500Mbps(1Gbps가 더 좋음)의 이중 연결을 사용할 것을 권장합니다. AWS Direct Connect 또는 인터넷 연결을 서비스 링크에 사용할 수 있습니다. 최소 500Mbps의 서비스 링크 연결을 통해 Amazon EC2 인스턴스를 시작하고, Amazon EBS 볼륨을 연결하고, Amazon EKS, Amazon EMR 및 지표와 같은 서비스에 AWS 액세스할 수 있습니다. CloudWatch

Outpost 서비스 연결 대역폭 요구 사항은 다음 특성에 따라 다릅니다.

  • AWS Outposts 랙 수 및 용량 구성

  • AMI 크기, 애플리케이션 탄력성, 버스트 속도 요구, 리전으로의 Amazon VPC 트래픽과 같은 워크로드 특성

요구 사항에 필요한 서비스 링크 대역폭에 대한 사용자 지정 권장 사항을 받으려면 AWS 영업 담당자 또는 APN 파트너에게 문의하세요.

방화벽 및 서비스 링크

이 섹션에서는 방화벽 구성 및 서비스 링크 연결에 대해 설명합니다.

다음 다이어그램에서 구성은 Amazon VPC를 AWS 리전에서 Outpost까지 확장합니다. AWS Direct Connect 공용 가상 인터페이스는 서비스 링크 연결입니다. 다음 트래픽은 서비스 링크와 AWS Direct Connect 연결을 거칩니다.

  • 서비스 링크를 통해 Outpost로 유입되는 관리 트래픽

  • Outpost와 모든 관련 VPC 간의 트래픽

AWS Direct Connect와(과) AWS을(를) 연결

인터넷 연결과 함께 상태 저장 방화벽을 사용하여 공용 인터넷에서 서비스 링크 VLAN으로의 연결을 제한하는 경우 인터넷에서 시작되는 모든 인바운드 연결을 차단할 수 있습니다. 이는 서비스 링크 VPN이 Outpost에서 해당 리전으로만 시작되고 리전에서 Outpost로는 시작되지 않기 때문입니다.

인터넷 게이트웨이를 AWS에 연결

방화벽을 사용하여 서비스 링크 VLAN으로부터의 연결을 제한하는 경우 모든 인바운드 연결을 차단할 수 있습니다. 다음 표에 따라 AWS 리전에서 Outpost로의 아웃바운드 연결을 다시 허용해야 합니다. 방화벽이 상태 저장 상태인 경우 Outpost에서 허용된 아웃바운드 연결, 즉 Outpost에서 시작된 연결은 다시 인바운드로 허용되어야 합니다.

프로토콜 소스 포트 소스 주소 대상 포트 대상 주소

UDP

443

AWS Outposts 서비스 링크 /26

443

AWS Outposts 리전의 공개 경로

TCP

1025-65535

AWS Outposts 서비스 링크 /26

443

AWS Outposts 리전의 공개 경로
참고

Outpost의 인스턴스는 서비스 링크를 사용하여 다른 Outpost의 인스턴스와 통신할 수 없습니다. 로컬 게이트웨이 또는 로컬 네트워크 인터페이스를 통한 라우팅을 활용하여 Outpost 간에 통신할 수 있습니다.

AWS Outposts 랙은 또한 로컬 게이트웨이 구성 요소를 비롯한 예비 전원 및 네트워킹 장비로 설계되었습니다. 자세한 내용은 AWS Outposts의 복원력을 참조하세요.

VPC를 사용한 서비스 링크 프라이빗 연결

Outpost를 생성할 때 콘솔에서 프라이빗 연결 옵션을 선택할 수 있습니다. 이렇게 하면 지정한 VPC와 서브넷을 사용하여 Outpost를 설치한 후에 서비스 링크 VPN 연결이 설정됩니다. 이를 통해 VPC를 통한 프라이빗 연결이 가능하고 공용 인터넷 노출을 최소화합니다.

필수 조건

Outpost의 프라이빗 연결을 구성하려면 다음 사전 요구 사항이 필요합니다.

  • 사용자 또는 역할이 서비스 연결 역할을 생성하거나 편집할 수 있도록 IAM​ 엔터티(사용자 또는 역할)의 권한을 구성해야 합니다. IAM 엔터티에는 다음 작업에 액세스할 수 있는 권한이 필요합니다.

    • arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*​의 iam:CreateServiceLinkedRole

    • arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*​의 iam:PutRolePolicy

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    자세한 정보는 ID 및 액세스 관리 (IAM) 에 대한 AWS OutpostsAWS Outposts의 서비스 링크 역할 사용을(를) 참조하십시오.

  • Outpost와 동일한 AWS 계정 및 가용 영역에서 10.1.0.0/16과 충돌하지 않는 /25 이상의 서브넷을 사용하여 Outpost 프라이빗 연결만을 위한 VPC를 생성하세요. 예를 들어 10.2.0.0/16을 사용할 수 있습니다.

  • AWS Direct Connect 연결, 프라이빗 가상 인터페이스, 가상 프라이빗 게이트웨이를 생성하여 온프레미스 Outpost가 VPC에 액세스할 수 있도록 합니다. AWS Direct Connect 연결이 VPC와 다른 AWS 계정에 있는 경우, AWS Direct Connect 사용 설명서계정 간 가상 프라이빗 게이트웨이 연결을 참조하십시오.

  • 온프레미스 네트워크에 서브넷 CIDR을 알립니다. AWS Direct Connect을(를) 사용하여 그렇게 할 수 있습니다. 자세한 내용은 AWS Direct Connect 사용 설명서AWS Direct Connect가상 인터페이스AWS Direct Connect 게이트웨이 사용을 참조하십시오.

AWS Outposts 콘솔에서 Outpost를 만들 때 개인 연결 옵션을 선택할 수 있습니다. 지침은 Outpost를 생성하고 Outpost 용량을 주문합니다.을(를) 참조하십시오.

참고

Outpost가 PENDING 상태일 때 개인 연결 옵션을 선택하려면 콘솔에서 Outposts를 선택하고 사용자의 Outpost를 선택합니다. 작업, 프라이빗 연결 추가를 선택하고 단계를 따르세요.

Outpost의 프라이빗 연결 옵션을 선택하고 나면, AWS Outposts이(가) 서비스 연결 역할을 사용자의 계정에 자동으로 생성하는데, 이것은 사용자를 대신하여 해당 역할이 다음 작업을 완료할 수 있도록 합니다.

  • 지정한 서브넷과 VPC에서 네트워크 인터페이스를 만들고 네트워크 인터페이스에 대한 보안 그룹을 만듭니다.

  • 네트워크 인터페이스를 계정의 서비스 링크 엔드포인트 인스턴스에 연결할 수 있는 권한을 AWS Outposts 서비스에 부여합니다.

  • 네트워크 인터페이스를 계정의 서비스 링크 엔드포인트 인스턴스에 연결합니다.

서비스 연결 역할에 대한 자세한 내용은 AWS Outposts의 서비스 링크 역할 사용을(를) 참조하십시오.

중요

Outpost를 설치한 후 Outpost에서 서브넷의 프라이빗 IP에 연결되었는지 확인합니다.

중복 인터넷 연결

Outpost에서 AWS 리전으로 연결을 구축할 때는 가용성과 복원력을 높이기 위해 여러 개의 연결을 만드는 것이 좋습니다. 자세한 내용은 AWS Direct Connect 복원력 권장 사항을 참조하십시오.

공용 인터넷에 연결해야 하는 경우, 기존 온프레미스 워크로드와 마찬가지로 중복 인터넷 연결과 다양한 인터넷 공급자를 사용할 수 있습니다.