다중 계정 아키텍처를 위한 네트워크 연결 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 계정 아키텍처를 위한 네트워크 연결

VPC 연결

많은 회사가 Amazon Virtual Private Cloud(VPC)에서 VPC 피어링을 사용하여 개발 및 프로덕션 VPC를 연결합니다. VPC 피어링 연결을 사용하면 프라이빗 IP 주소 지정을 사용하여 두 VPC 간에 트래픽을 라우팅할 수 있습니다. 연결된 VPC는 서로 다른 AWS 계정과 AWS 리전에 있을 수 있습니다. 자세한 내용은 VPC 피어링이란(Amazon VPC 설명서)을 참조하세요. 회사가 성장하고 VPC 수가 증가함에 따라 모든 VPC 간의 피어링 연결을 유지하는 것이 유지 관리 부담이 될 수 있습니다. 또한 VPC당 최대 VPC 피어링 연결 수에 따른 제한을 받을 수도 있습니다. 자세한 내용은 VPC 피어링 연결 할당량(Amazon VPC 설명서)을 참조하세요.

여러 AWS 계정에 걸쳐 비 프로덕션 데이터를 호스팅하는 여러 개발, 테스트 및 스테이징 환경이 있는 경우 모든 VPC 간에 네트워크 연결을 제공하지만 프로덕션 환경에 대한 액세스는 허용하지 않을 수 있습니다. AWS Transit Gateway를 사용하여 여러 계정에 걸쳐 여러 VPC를 연결할 수 있습니다. 개발 VPC가 중앙 집중식 라우터 역할을 하는 전송 게이트웨이를 통해 프로덕션 VPC와 통신하지 못하도록 라우팅 테이블을 분리할 수 있습니다. 자세한 내용은 중앙 집중식 라우터(Transit Gateway 설명서)를 참조하세요.

Transit Gateway는 다른 AWS 계정 또는 AWS 리전에 있는 Transit Gateway를 포함한 다른 Transit Gateway와의 피어링을 지원합니다. Transit Gateway는 완전관리형 고가용성 서비스이므로 각 리전에 대해 하나의 Transit Gateway만 프로비저닝하면 됩니다.

자세한 내용과 자세한 네트워크 아키텍처는 확장 가능하고 안전한 다중 VPC AWS 네트워크 인프라 구축(AWS 백서)을 참조하세요.

애플리케이션 연결

동일한 환경(예: 프로덕션)에서 서로 다른 AWS 계정의 애플리케이션 간에 통신을 설정해야 하는 경우 다음 옵션 중 하나를 사용할 수 있습니다.

  • 여러 IP 주소 및 포트에 대한 광범위한 액세스를 열려는 경우 VPC 피어링 또는 AWS Transit Gateway가 네트워크 수준에서 연결을 제공할 수 있습니다.

  • AWS PrivateLink는 VPC의 프라이빗 서브넷에 엔드포인트를 생성하고 이러한 엔드포인트는 Amazon Route 53 Resolver에 DNS 항목으로 등록됩니다. 애플리케이션은 DNS를 사용하여 VPC의 NAT 게이트웨이 또는 인터넷 게이트웨이 없이도 엔드포인트를 확인하고 등록된 서비스에 연결할 수 있습니다.

  • Amazon VPC Lattice는 여러 계정과 VPC에서 애플리케이션과 같은 서비스를 연결하고 서비스 네트워크로 수집합니다. 서비스 네트워크와 연결된 VPC의 클라이언트는 동일한 계정에 있는지 여부에 관계없이 서비스 네트워크와 연결된 다른 모든 서비스로 요청을 전송할 수 있습니다. VPC Lattice는 AWS Resource Access Manager(AWS RAM)와 통합되므로 다른 계정과 리소스를 공유하거나 AWS Organizations를 통해 리소스를 공유할 수 있습니다. VPC는 하나의 서비스 네트워크와만 연결할 수 있습니다. 이 솔루션은 계정 간 통신을 위해 VPC 피어링 또는 AWS Transit Gateway를 사용할 필요가 없습니다.

네트워크 연결 모범 사례

  • 중앙 집중식 네트워킹에 사용할 AWS 계정을 생성합니다. 이 계정의 이름을 network-prod로 지정하고 AWS Transit Gateway와 Amazon VPC IP 주소 관리자(IPAM)에 사용합니다. Infrastructure_Prod 조직 단위에 이 계정을 추가합니다.

  • AWS Resource Access Manager(AWS RAM)를 사용하여 전송 게이트웨이, VPC Lattice 서비스 네트워크 및 IPAM 풀을 나머지 조직과 공유합니다. 이를 통해 조직 내의 모든 AWS 계정이 이러한 서비스와 상호 작용할 수 있습니다.

  • IPAM 풀로 IPv4 및 IPv6 주소 할당을 중앙에서 관리하여 최종 사용자가 AWS Service Catalog로 VPC를 자체 프로비저닝하도록 할 수 있습니다. 이를 통해 VPC 크기를 적절하게 조정하고 IP 주소 공간이 겹치는 것을 방지할 수 있습니다.

  • 인터넷으로 향하는 트래픽에는 중앙 집중식 송신 접근 방식을 사용하고, 인터넷에서 환경으로 들어오는 트래픽에는 분산 수신 접근 방식을 사용합니다. 자세한 내용은 중앙 집중식 송신분산 수신 섹션을 참조하세요.