VPC 엔드포인트 생성 어플라이언스를 프라이빗 서브넷에 연결 샘플 AWS CloudFormation 템플릿

VPC 엔드포인트 사용

인터넷에 액세스할 수 없는 VPC에서 작업하는 경우, AWS Panorama와 함께 사용할 VPC 엔드포인트를 생성할 수 있습니다. VPC 엔드포인트를 사용하면 프라이빗 서브넷에서 실행되는 클라이언트가 인터넷 연결 없이 AWS 서비스에 연결할 수 있습니다.

AWS Panorama 어플라이언스에서 사용하는 포트 및 엔드포인트에 대한 자세한 내용은 AWS Panorama 어플라이언스를 네트워크에 연결하기 단원을 참조하십시오.

VPC 엔드포인트 생성

VPC와 AWS Panorama 간에 비공개 연결을 설정하려면 VPC 엔드포인트를 생성하십시오. AWS Panorama를 사용하는 데 VPC 엔드포인트는 필요하지 않습니다. 인터넷에 액세스할 수 없는 VPC에서 작업하는 경우에만 VPC 엔드포인트를 생성하면 됩니다. AWS CLI 또는 SDK가 AWS Panorama에 연결을 시도하면 트래픽이 VPC 엔드포인트를 통해 라우팅됩니다.

다음 설정을 사용하여 AWS Panorama용 VPC 엔드포인트를 생성하십시오.

서비스 이름 – com.amazonaws.us-west-2.panorama
유형 – 인터페이스

VPC 엔드포인트는 추가 구성 없이 서비스의 DNS 이름을 사용하여 AWS SDK 클라이언트로부터 트래픽을 가져옵니다. VPC 엔드포인트 사용에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 참조하십시오.

어플라이언스를 프라이빗 서브넷에 연결

AWS Panorama 어플라이언스는 AWS Site-to-Site VPN 또는 AWS Direct Connect와의 프라이빗 VPN 연결을 통해 AWS에 연결할 수 있습니다. 이러한 서비스를 사용하여 데이터 센터까지 확장되는 프라이빗 서브넷을 생성할 수 있습니다. 어플라이언스는 프라이빗 서브넷에 연결하고 VPC 엔드포인트를 통해 AWS 서비스에 액세스합니다.

Site-to-Site VPN과 AWS Direct Connect는 데이터 센터를 Amazon VPC에 안전하게 연결하기 위한 서비스입니다. Site-to-Site VPN을 사용하면 상용 네트워크 장치를 사용하여 연결할 수 있습니다. AWS Direct Connect는 AWS 디바이스를 사용하여 연결합니다.

Site-to-Site VPN – AWS Site-to-Site VPN란?
AWS Direct Connect – AWS Direct Connect란?

로컬 네트워크를 VPC의 프라이빗 서브넷에 연결한 후 다음 서비스를 위한 VPC 엔드포인트를 생성합니다.

Amazon Simple Storage Service – Amazon S3용 AWS PrivateLink
AWS IoT Core – 인터페이스 VPC 엔드포인트와 함께 AWS IoT Core 사용(데이터 영역 및 보안 인증 정보 공급자)
Amazon Elastic 컨테이너 레지스트리 – Amazon Elastic 컨테이너 레지스트리 인터페이스 VPC 엔드포인트
Amazon CloudWatch – 인터페이스 VPC 엔드포인트와 함께 CloudWatch 사용
Amazon CloudWatch Logs – 인터페이스 VPC 엔드포인트와 함께 CloudWatch 로그 사용

어플라이언스는 AWS Panorama 서비스에 연결할 필요가 없습니다. AWS IoT의 메시징 채널을 통해 AWS Panorama와 통신합니다.

VPC 엔드포인트 외에도 Amazon S3 및 AWS IoT를 사용하려면 Amazon Route 53 프라이빗 호스팅 영역을 사용해야 합니다. 프라이빗 호스팅 영역은 Amazon S3 액세스 포인트의 하위 도메인 및 MQTT 항목을 비롯한 하위 도메인의 트래픽을 올바른 VPC 엔드포인트로 라우팅합니다. 프라이빗 호스팅 영역에 대한 자세한 내용은 Amazon Route 53 개발자 가이드에서 프라이빗 호스팅 영역으로 작업하기를 참조하십시오.

VPC 엔드포인트와 프라이빗 호스팅 영역을 포함하는 샘플 VPC 구성은 샘플 AWS CloudFormation 템플릿 단원을 참조하십시오.

샘플 AWS CloudFormation 템플릿

이 설명서의 GitHub 리포지토리에서는 AWS Panorama에 사용할 리소스를 만드는 데 사용할 수 있는 AWS CloudFormation 템플릿을 제공합니다. 템플릿은 두 개의 프라이빗 서브넷, 퍼블릭 서브넷, VPC 엔드포인트가 있는 VPC를 생성합니다. VPC의 프라이빗 서브넷을 사용하여 인터넷으로부터 격리된 리소스를 호스팅할 수 있습니다. 퍼블릭 서브넷의 리소스는 프라이빗 리소스와 통신할 수 있지만, 프라이빗 리소스는 인터넷에서 액세스할 수 없습니다.

예 vpc-endpoint.yml – 프라이빗 서브넷


AWSTemplateFormatVersion: 2010-09-09
Resources:
  vpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 172.31.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      Tags:
        - Key: Name
          Value: !Ref AWS::StackName
  privateSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref vpc
      AvailabilityZone:
        Fn::Select:
         - 0
         - Fn::GetAZs: ""
      CidrBlock: 172.31.3.0/24
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub  ${AWS::StackName}-subnet-a
  ...

vpc-endpoint.yml 템플릿에서는 AWS Panorama에 대한 VPC 엔드포인트를 생성하는 방법을 보여줍니다. 이 엔드포인트를 사용하여 AWS SDK 또는 AWS CLI로 AWS Panorama 리소스를 관리할 수 있습니다.

예 vpc-endpoint.yml – VPC 엔드포인트


  panoramaEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: true
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: "*"
          Action:
            - "panorama:*"
          Resource:
            - "*"

PolicyDocument는 엔드포인트에서 수행할 수 있는 API 호출을 정의하는 리소스 기반 권한 정책입니다. 정책을 수정하여 엔드포인트를 통해 액세스할 수 있는 작업 및 리소스를 제한할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하십시오.

vpc-appliance.yml 템플릿은 AWS Panorama 어플라이언스에서 사용하는 서비스를 위한 VPC 엔드포인트와 프라이빗 호스팅 영역을 생성하는 방법을 보여줍니다.

예 vpc-appliance.yml – 프라이빗 호스팅 영역이 있는 Amazon S3 액세스 포인트 엔드포인트


  s3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.s3
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: false
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
...
  s3apHostedZone:
    Type: AWS::Route53::HostedZone
    Properties:
      Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com
      VPCs: 
        - VPCId: !Ref vpc
          VPCRegion: !Ref AWS::Region
  s3apRecords:
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref s3apHostedZone
      Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com"
      Type: CNAME
      TTL: 600
      # first DNS entry, split on :, second value
      ResourceRecords: 
      - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]

샘플 템플릿에서는 샘플 VPC를 사용하여 Amazon VPC 및 Route 53 리소스의 생성을 보여줍니다. VPC 리소스를 제거하고 서브넷, 보안 그룹 및 VPC ID에 대한 참조를 리소스의 ID로 대체하여 사용 사례에 맞게 조정할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

애플리케이션 관리

샘플