분산 수신 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

분산 수신

분산 수신은 개별 계정 수준에서 인터넷 트래픽이 해당 계정의 워크로드에 도달하는 방식을 정의하는 원칙입니다. 다중 계정 아키텍처에서 분산 수신의 이점 중 하나는 각 계정이 해당 워크로드에 가장 적합한 수신 서비스 또는 리소스(예: Application Load Balancer, Amazon API Gateway 또는 Network Load Balancer)를 사용할 수 있다는 것입니다.

분산 수신은 각 계정을 개별적으로 관리해야 함을 의미하지만 AWS Firewall Manager를 통해 구성을 중앙에서 관리하고 유지할 수 있습니다. Firewall Manager는 AWS WAFAmazon VPC 보안 그룹과 같은 보호를 지원합니다. AWS WAF를 Application Load Balancer, Amazon CloudFront, Amazon API Gateway 또는 AWS AppSync에 연결할 수 있습니다. 중앙 집중식 송신에 설명된 대로 송신 VPC와 전송 게이트웨이를 사용하는 경우 각 스포크 VPC에는 퍼블릭 및 프라이빗 서브넷이 포함됩니다. 그러나 트래픽은 네트워킹 계정의 송신 VPC를 통해 라우팅되므로 NAT 게이트웨이를 배포할 필요가 없습니다.

다음 이미지는 인터넷에 액세스할 수 있는 워크로드가 포함된 단일 VPC가 있는 개별 AWS 계정의 예를 보여줍니다. 인터넷의 트래픽은 인터넷 게이트웨이를 통해 VPC에 액세스하고 퍼블릭 서브넷에서 호스팅되는 로드 밸런싱 및 보안 서비스에 도달합니다. 퍼블릭 서브넷에는 인터넷 게이트웨이에 대한 기본 경로가 포함되어 있습니다. 로드 밸런서를 퍼블릭 서브넷에 배포하고 AWS WAF 액세스 제어 목록(ACL)을 연결하여 크로스 사이트 스크립팅과 같은 악성 트래픽으로부터 보호합니다. 인터넷에 직접 액세스할 수 없는 프라이빗 서브넷에 애플리케이션을 호스팅하는 워크로드를 배포합니다.


        인터넷 게이트웨이, AWS WAF 및 로드 밸런서를 통해 VPC에 액세스하는 인터넷 트래픽

조직에 VPC가 많은 경우 전용 공유 AWS 계정에 인터페이스 VPC 엔드포인트 또는 프라이빗 호스팅 영역을 생성하여 공통 AWS 서비스를 공유할 수 있습니다. 자세한 내용은 인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스(AWS PrivateLink 설명서)와 Working with private hosted zones(Route 53 설명서)를 참조하세요.

다음 이미지는 조직 전체에서 공유할 수 있는 리소스를 호스팅하는 AWS 계정의 예를 보여줍니다. 전용 VPC에서 VPC 엔드포인트를 생성하여 여러 계정에서 공유할 수 있습니다. VPC 엔드포인트를 생성할 때 AWS가 엔드포인트에 대한 DNS 항목을 관리하도록 할 수도 있습니다. 엔드포인트를 공유하려면 이 옵션을 선택 취소하고 별도의 Route 53 프라이빗 호스팅 영역(PHZ)에 DNS 항목을 생성합니다. 그런 다음 VPC 엔드포인트의 중앙 집중식 DNS 확인을 위해 PHZ를 조직의 모든 VPC에 연결할 수 있습니다. 또한 전송 게이트웨이 라우팅 테이블에 공유 VPC에서 다른 VPC로의 경로가 포함되어 있는지 확인해야 합니다. 자세한 내용은 인터페이스 VPC 엔드포인트에 대한 중앙 집중식 액세스(AWS 백서)를 참조하세요.


        다른 멤버 계정과 공유하기 위해 서비스 엔드포인트 및 리소스를 호스팅하는 공유 계정

공유 AWS 계정으로 서비스 카탈로그 포트폴리오를 호스팅하는 것이 좋습니다. 포트폴리오는 AWS에 배포할 수 있도록 하려는 IT 서비스의 모음이며, 포트폴리오에는 해당 서비스에 대한 구성 정보가 포함되어 있습니다. 공유 계정에서 포트폴리오를 생성하여 조직에 공유한 다음 각 멤버 계정이 자신의 리전별 AWS Service Catalog 인스턴스로 포트폴리오를 가져올 수 있습니다. 자세한 내용은 Sharing with AWS Organizations(Service Catalog 설명서)를 참조하세요.

마찬가지로, AWS Proton을 사용하면 공유 계정을 사용하여 환경과 서비스 템플릿을 중앙에서 관리한 다음 조직 멤버 계정과의 계정 연결을 설정할 수 있습니다. 자세한 내용은 Environment account connections(AWS Proton 설명서)를 참조하세요.