기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
모범 사례
AWS 클라우드로 경계 영역 애플리케이션 마이그레이션에 대한 다음 모범 사례를 따르는 것이 좋습니다.
-
Gateway Load Balancer를 통해 애플리케이션 VPC 네트워크에 방화벽을 노출할 수 있는 경우에만 타사 네트워크 방화벽을 지원하도록 대상 아키텍처를 설계합니다.
-
신뢰할 수 있는 네트워크를 사용하여 AWS 애플리케이션의 VPC와 온프레미스 환경 간의 트래픽 흐름을 보호합니다. AWS Direct Connect 또는 AWS Site-to-Site VPN을 사용하여 신뢰할 수 있는 네트워크를 구축할 수 있습니다.
-
대상 아키텍처를 사용하여 웹 애플리케이션을 신뢰할 수 없는 네트워크에 노출하되 API와 함께 사용하지 않습니다.
-
테스트 단계 중 VPC Flow Logs를 사용합니다. 올바른 구성과 확인이 필요한 상호 연결된 구성 요소가 여러 개 있을 수 있기 때문입니다.
-
마이그레이션의 AWS Network Firewall 설계 단계에서 각 애플리케이션에 필요한 인바운드 및 아웃바운드 규칙과의 가용성을 검증합니다.
-
Amazon Simple Storage Service(Amazon S3) 또는 Amazon DynamoDB AWS 서비스 와 같은 외부가 필요한 경우 엔드포인트(엔드포인트의 서브넷 내)를 통해 해당 서비스를 애플리케이션 VPC에 노출하는 것이 좋습니다. 이렇게 하면 신뢰할 수 없는 네트워크를 통해 통신할 수 없습니다.
-
리소스(이 경우 Amazon EC2)에 대한 액세스를 제공하여 리소스AWS Systems Manager Session Manager에 대한 SSH 직접 액세스를 방지합니다.
-
Application Load Balancer는 Network Firewall을 사용하여 애플리케이션에 고가용성을 제공하고 수신 및 발신 트래픽을 라우팅합니다. 보안 서브넷을 위한 별도의 로드 밸런서는 필요 없습니다.
-
엔드포인트의 서브넷에 직접 인터넷에 액세스할 수 없는 경우에도 Application Load Balancer는 인터넷 연결 로드 밸런서라는 점에 유의하세요. 이 가이드의 Network Firewall 기반 경계 영역 아키텍처 섹션 다이어그램의 라우팅 테이블 엔드포인트 A와 라우팅 테이블 엔드포인트 B에는 인터넷 게이트웨이가 없습니다. 서브넷은 Network Firewall로 보호되며 Network Firewall을 통해 인터넷에 액세스할 수 있습니다.
-
Network Firewall을 사용하여 암호화되지 않은 웹 트래픽에 대한 인바운드 및 아웃바운드 웹 필터링을 제공합니다.
