분산 수신 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

분산 수신

분산 수신은 개별 계정 수준에서 인터넷 트래픽이 해당 계정의 워크로드에 도달하는 방식을 정의하는 원칙입니다. 다중 계정 아키텍처에서 분산 수신의 이점 중 하나는 각 계정이 해당 워크로드에 가장 적합한 수신 서비스 또는 리소스(예: Application Load Balancer, Amazon API Gateway 또는 Network Load Balancer)를 사용할 수 있다는 것입니다.

분산 수신은 각 계정을 개별적으로 관리해야 함을 의미하지만 AWS Firewall Manager를 통해 구성을 중앙에서 관리하고 유지할 수 있습니다. Firewall Manager는 AWS WAFAmazon VPC 보안 그룹과 같은 보호를 지원합니다. 애플리케이션 로드 밸런서 CloudFront, Amazon, API Gateway 등에 AWS WAF 연결할 수 있습니다. AWS AppSync중앙 집중식 송신에 설명된 대로 송신 VPC와 전송 게이트웨이를 사용하는 경우 각 스포크 VPC에는 퍼블릭 및 프라이빗 서브넷이 포함됩니다. 그러나 트래픽은 네트워킹 계정의 송신 VPC를 통해 라우팅되므로 NAT 게이트웨이를 배포할 필요가 없습니다.

다음 이미지는 인터넷 액세스 AWS 계정 가능한 워크로드가 포함된 단일 VPC를 보유한 개인의 예를 보여줍니다. 인터넷의 트래픽은 인터넷 게이트웨이를 통해 VPC에 액세스하고 퍼블릭 서브넷에서 호스팅되는 로드 밸런싱 및 보안 서비스에 도달합니다. 퍼블릭 서브넷에는 인터넷 게이트웨이에 대한 기본 경로가 포함되어 있습니다. 로드 밸런서를 퍼블릭 서브넷에 배포하고 AWS WAF 액세스 제어 목록 (ACL) 을 연결하여 사이트 간 스크립팅과 같은 악의적인 트래픽으로부터 보호할 수 있습니다. 인터넷에 직접 액세스할 수 없는 프라이빗 서브넷에 애플리케이션을 호스팅하는 워크로드를 배포합니다.

인터넷 게이트웨이와 로드 밸런서를 통해 VPC에 액세스하는 인터넷 트래픽. AWS WAF

조직에 VPC가 많은 경우 전용 공유 AWS 계정에 인터페이스 VPC 엔드포인트 또는 프라이빗 호스팅 영역을 생성하여 공통 AWS 서비스 를 공유할 수 있습니다. 자세한 내용은 인터페이스 VPC 엔드포인트를 AWS 서비스 사용하여 액세스 및 사용 (AWS PrivateLink 설명서) 및 프라이빗 호스팅 영역 사용 (Route 53 설명서) 을 참조하십시오.

다음 이미지는 조직 전체에서 공유할 수 AWS 계정 있는 리소스를 호스팅하는 A의 예를 보여줍니다. 전용 VPC에서 VPC 엔드포인트를 생성하여 여러 계정에서 공유할 수 있습니다. VPC 엔드포인트를 생성할 때 AWS 가 엔드포인트에 대한 DNS 항목을 관리하도록 할 수도 있습니다. 엔드포인트를 공유하려면 이 옵션을 선택 취소하고 별도의 Route 53 프라이빗 호스팅 영역(PHZ)에 DNS 항목을 생성합니다. 그런 다음 VPC 엔드포인트의 중앙 집중식 DNS 확인을 위해 PHZ를 조직의 모든 VPC에 연결할 수 있습니다. 또한 전송 게이트웨이 라우팅 테이블에 공유 VPC에서 다른 VPC로의 경로가 포함되어 있는지 확인해야 합니다. 자세한 내용은 인터페이스 VPC 엔드포인트에 대한 중앙 집중식 액세스 (AWS 백서) 를 참조하십시오.

다른 멤버 계정과 공유하기 위해 서비스 엔드포인트 및 리소스를 호스팅하는 공유 계정

AWS 계정 공유는 포트폴리오를 호스팅하기에 좋은 장소이기도 합니다. AWS Service Catalog 포트폴리오는 배포에 AWS사용할 수 있도록 하려는 IT 서비스의 모음이며 포트폴리오에는 해당 서비스의 구성 정보가 들어 있습니다. 공유 계정에서 포트폴리오를 생성하여 기관과 공유하면 각 구성원 계정이 포트폴리오를 자체 지역 Service Catalog 인스턴스로 가져올 수 있습니다. 자세한 내용은 Sharing with AWS Organizations(Service Catalog 설명서)를 참조하세요.

마찬가지로 에서도 공유 계정을 사용하여 환경 및 서비스 템플릿을 중앙에서 관리한 다음 조직 구성원 계정과 계정 연결을 설정할 수 있습니다. AWS Proton자세한 내용은 환경 계정 연결 (AWS Proton 설명서) 을 참조하십시오.