솔루션 3: VPC 인터페이스 엔드포인트 공유

사용 사례

애플리케이션은 서로 다른 사업부에 매핑되며 결제 및 격리를 위해 동일한 리전의 서로 다른 AWS 대상 계정으로 마이그레이션하려고 합니다.

도전 과제

워크로드 계정이 여러 개인 경우 관리 오버헤드와 각 계정의 개별 VPC 인터페이스 엔드포인트 비용이 모두 증가합니다. 따라서 Application Migration Service의 스테이징 VPCs를 줄이고 스테이징 VPCs의 라우팅을 중앙에서 관리하여 비용과 관리 오버헤드를 줄일 수 있습니다.

Solution

공유 스테이징 영역 서브넷 AWS Organizations및를 사용하여 VPC 엔드포인트를 공유합니다 AWS RAM. VPC 공유에 대한 자세한 내용은 Amazon VPC 설명서를 참조하세요.

아키텍처

다음 다이어그램은이 솔루션의 아키텍처를 보여줍니다.

다이어그램은 다음 트래픽 흐름을 보여줍니다.

1. Application Migration Service 복제 서버는 VPC+2 DNS를 쿼리하여 Application Migration Service, Amazon EC2 또는 Amazon S3의 API 엔드포인트를 확인합니다.

2. VPC+2 DNS는 관리형 프라이빗 호스팅 영역의 도움을 받아 엔드포인트의 AWS 프라이빗 IP를 확인하고 Application Migration Service 복제 서버에 응답합니다.

3-6. 복제 서버는 해당 IP를 사용하여 서비스의 인터페이스 엔드포인트를 통해 AWS 서비스 API에 연결합니다.

구현 단계

1. 중앙 네트워킹 계정에서 Application Migration Service용 스테이징 VPC 및 서브넷을 생성합니다.

2. 프라이빗 DNS 이름이 활성화된 Application Migration Service, Amazon EC2 또는 Amazon S3에 대한 엔드포인트를 생성합니다. 이렇게 하면 AWS 관리형 프라이빗 호스팅 영역이 생성되어 스테이징 VPC와 연결됩니다.

3. 스테이징 서브넷을 동일한 AWS 조직 및의 대상 애플리케이션 계정과 공유합니다 AWS 리전.

4. AWS 와 온프레미스 데이터 센터(이전 다이어그램에 표시되지 않음) 간의 하이브리드 연결의 경우 솔루션 1 및 솔루션 2와 같이 Transit Gateway AWS Direct Connect 를 사용하거나 Route 53 Resolver 엔드포인트와 AWS Site-to-Site VPN 함께 사용합니다. 솔루션 2: 여러 리전의 중앙 네트워킹 계정에서 VPC 엔드포인트 생성

제한 사항

• AWS 계정 참가자 VPCs 소유자 VPC의는 동일한 조직의 일부여야 합니다 AWS Organizations.

• 공유 가능한 리소스 목록은 Amazon VPC 설명서를 참조하세요.

• VPC 공유 제한 사항은 Amazon VPC 설명서를 참조하세요.

설계 고려 사항

• 운영 오버헤드를 줄이려면 리소스를 한 번 생성한 다음 AWS RAM 를 사용하여 해당 리소스를 다른 계정과 공유합니다. 따라서 모든 계정에서 중복 리소스를 프로비저닝할 필요가 없으며 운영 오버헤드가 줄어듭니다.

• 단일 정책 및 권한 세트를 사용하여 공유 리소스의 보안 관리를 간소화합니다. 별도의 계정에서 중복 리소스를 생성하는 경우 동일한 정책 및 권한을 구현하고 모든 계정에서 동기화된 상태를 유지해야 합니다. 대신 단일 정책 및 권한 세트를 통해 AWS RAM 리소스를 공유하는 모든 사용자를 관리할 수 있습니다.는 다양한 유형의 AWS 리소스를 공유할 수 있는 일관된 환경을 AWS RAM 제공합니다.

• 가시성과 감사 가능성을 제공합니다. Amazon CloudWatch 및 AWS RAM 와 통합하여 공유 리소스의 사용 세부 정보를 봅니다 AWS CloudTrail. 자세한 내용은 AWS RAM 설명서의 EventBridge AWS RAM 를 사용한 모니터링 및 를 사용하여 AWS RAM API 호출 로깅 AWS CloudTrail을 참조하세요.