Gateway Load Balancer 엔드포인트를 사용하여 검사 시스템 액세스

Gateway Load Balancer 엔드포인트를 생성하여 AWS PrivateLink기반 엔드포인트 서비스에 연결할 수 있습니다.

VPC에서 지정하는 각 서브넷에 대해 서브넷에 엔드포인트 네트워크 인터페이스가 생성되고 해당 인터페이스에 서브넷 주소 범위의 프라이빗 IP 주소가 할당됩니다. 엔드포인트 네트워크 인터페이스는 요청자 관리 네트워크 인터페이스입니다. 에서 확인할 수 있지만 직접 AWS 계정관리할 수는 없습니다.

이용 시 시간당 사용 요금 및 데이터 처리 요금이 청구됩니다. 자세한 내용은 Gateway Load Balancer 엔드포인트 요금을 참조하세요.

고려 사항

• 서비스 소비자 VPC에서는 가용 영역을 하나만 선택할 수 있습니다. 나중에 이 서브넷을 변경할 수 없습니다. 다른 서브넷에서 Gateway Load Balancer 엔드포인트를 사용하려면 새 Gateway Load Balancer 엔드포인트를 생성해야 합니다.

• 서비스별로 가용 영역당 하나의 Gateway Load Balancer 엔드포인트를 생성할 수 있고 Gateway Load Balancer가 지원하는 가용 영역을 선택해야 합니다. 서비스 공급자와 서비스 소비자가 다른 계정에 있는 경우 각 AWS 계정의 다른 물리적 가용 영역에 us-east-1a와 같은 가용 영역 이름이 매핑될 수 있습니다. AZ ID를 사용하여 서비스의 가용 영역을 일관되게 식별할 수 있습니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 AZ ID를 참조하세요.

• 엔드포인트 서비스를 사용하려면 먼저 서비스 공급자가 연결 요청을 수락해야 합니다. 서비스에서는 VPC 엔드포인트를 통해 VPC의 리소스에 대한 요청을 시작할 수 없습니다. 엔드포인트는 VPC의 리소스에서 시작된 트래픽에 대한 응답만 반환합니다.

• 각 게이트웨이 로드 밸런서 엔드포인트는 가용 영역당 최대 10Gbps의 대역폭을 지원하고 최대 100Gbps까지 자동으로 조정됩니다.

• 엔드포인트 서비스가 여러 Gateway Load Balancer에 연결되어 있는 경우 Gateway Load Balancer 엔드포인트는 가용 영역당 한 개의 로드 밸런서에만 연결을 설정합니다.

• 트래픽을 동일한 가용 영역 내에 유지하려면 트래픽을 전송할 각 가용 영역에 Gateway Load Balancer 엔드포인트를 생성하는 것이 좋습니다.

• 대상이 Network Load Balancer와 동일한 VPC 있더라도 트래픽이 게이트웨이 로드 밸런서 엔드포인트를 통해 라우팅되면 네트워크 로드 밸런서 클라이언트 IP 보존이 지원되지 않습니다.

• 리소스에는 할당량이 있습니다. AWS PrivateLink 자세한 설명은 AWS PrivateLink 할당량 섹션을 참조하세요.

사전 조건

• 서비스에 액세스할 가용 영역에서 2개 이상의 서브넷이 있는 서비스 소비자 VPC 생성합니다. 하나의 서브넷은 애플리케이션 서버용이고 다른 하나는 Gateway Load Balancer 엔드포인트용입니다.

• 엔드포인트 서비스가 지원하는 가용 영역을 확인하려면 콘솔이나 명령을 사용하여 엔드포인트 서비스를 설명하십시오. describe-vpc-endpoint-services

• 리소스가 네트워크 ACL를 사용하는 서브넷에 있는 경우 네트워크 ACL에서 엔드포인트 네트워크 인터페이스와 VPC의 리소스 간 트래픽을 허용하는지 확인합니다.

엔드포인트 생성

다음 절차에 따라 검사 시스템용 엔드포인트 서비스에 연결하는 Gateway Load Balancer 엔드포인트를 생성합니다.

콘솔을 사용하여 Gateway Load Balancer 엔드포인트 생성하기

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 엔드포인트를 선택합니다.

3. Create endpoint(엔드포인트 생성)을 선택합니다.

4. 서비스 범주(Service category)에서 기타 엔드포인트 서비스(Other endpoint services)를 선택합니다.

5. Service name(서비스 이름)에 서비스의 이름을 입력한 다음 Verify service(서비스 확인)를 선택합니다.

6. VPC에서 엔드포인트를 생성할 VPC를 선택합니다.

7. Subnet(서브넷)에서 엔드포인트를 생성할 서브넷을 선택합니다.

8. IP 주소 유형(IP address type)에서 다음 옵션 중에서 선택합니다.

   • IPv4 - 엔드포인트 네트워크 인터페이스에 IPv4 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 주소 범위가 있는 경우에만 지원됩니다.

   • IPv6 - 엔드포인트 네트워크 인터페이스에 IPv6 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷이 IPv6 전용 서브넷인 경우에만 지원됩니다.

   • 듀얼 스택 - 엔드포인트 네트워크 인터페이스에 IPv4 및 IPv6 주소를 모두 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있는 경우에만 지원됩니다.

9. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

10. Create endpoint(엔드포인트 생성)을 선택합니다. 초기 상태는 pending acceptance입니다.

명령줄을 사용하여 Gateway Load Balancer 엔드포인트 생성하기

• create-vpc-endpoint (AWS CLI)

• New-EC2 VpcEndpoint (윈도우용 도구) PowerShell

라우팅 구성

다음 절차에 따라 서비스 소비자 VPC의 라우팅 테이블을 구성합니다. 이 테이블을 사용하여 보안 어플라이언스에서 애플리케이션 서버로 전송되는 인바운드 트래픽에 대한 보안 검사를 수행할 수 있습니다. 자세한 설명은 라우팅 섹션을 참조하세요.

콘솔을 사용하여 라우팅 구성하기

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 라우팅 테이블(Route Tables)을 선택합니다.

3. 인터넷 게이트웨이의 라우팅 테이블을 선택하고 다음을 수행합니다.

   1. 작업(Actions), Edit routes(라우팅 편집)를 선택합니다.

   2. IPv4를 지원하는 경우 Add route(라우팅 추가)를 선택합니다. Destination(대상)에 애플리케이션 서버에 대한 서브넷의 IPv4 CIDR 블록을 입력합니다. 대상(Target)에서 VPC 엔드포인트를 선택합니다.

   3. IPv6를 지원하는 경우 Add route(라우팅 추가)를 선택합니다. 대상(Destination)에 애플리케이션 서버에 대한 서브넷의 IPv6 CIDR 블록을 입력합니다. 대상(Target)에서 VPC 엔드포인트를 선택합니다.

   4. 변경 사항 저장를 선택합니다.

4. 애플리케이션 서버가 있는 서브넷의 라우팅 테이블을 선택하고 다음을 수행합니다.

   1. 작업(Actions), 라우팅 편집(Edit routes)을 선택합니다.

   2. IPv4를 지원하는 경우 Add route(라우팅 추가)를 선택합니다. 대상 주소(Destination)에 0.0.0.0/0을 입력합니다. 대상(Target)에서 VPC 엔드포인트를 선택합니다.

   3. IPv6를 지원하는 경우 Add route(라우팅 추가)를 선택합니다. 대상 주소(Destination)에 ::/0을 입력합니다. 대상(Target)에서 VPC 엔드포인트를 선택합니다.

   4. 변경 사항 저장를 선택합니다.

5. Gateway Load Balancer 엔드포인트가 있는 서브넷의 라우팅 테이블을 선택하고 다음을 수행합니다.

   1. 작업(Actions), 라우팅 편집(Edit routes)을 선택합니다.

   2. IPv4를 지원하는 경우 Add route(라우팅 추가)를 선택합니다. 대상 주소(Destination)에 0.0.0.0/0을 입력합니다. 대상(Target)에서 인터넷 게이트웨이를 선택합니다.

   3. IPv6를 지원하는 경우 Add route(라우팅 추가)를 선택합니다. 대상 주소(Destination)에 ::/0을 입력합니다. 대상(Target)에서 인터넷 게이트웨이를 선택합니다.

   4. 변경 사항 저장를 선택합니다.

명령줄을 사용하여 라우팅 구성하기

• create-route(AWS CLI)

• 새 EC2Route (윈도우용 도구) PowerShell

태그 관리

Gateway Load Balancer 엔드포인트에 태그를 지정하면 조직의 요구에 따라 이를 식별 또는 분류할 수 있습니다.

콘솔을 사용하여 태그 관리하기

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 엔드포인트를 선택합니다.

3. 인터페이스 엔드포인트를 선택합니다.

4. 작업(Actions), 태그 관리(Manage tags)를 선택합니다.

5. 추가할 각 태그에 대해 새 태그 추가(Add new tag)를 선택하고 태그 키와 태크 값을 입력합니다.

6. 태그를 제거하려면 태그 키 및 값 오른쪽에 있는 제거(Remove)를 선택합니다.

7. 저장(Save)을 선택합니다.

명령줄을 사용하여 태그 관리하기

• create-tags 및 delete-tags(AWS CLI)

• 새 EC2 태그 및 EC2 태그 제거 (윈도우용 도구) PowerShell

Gateway Load Balancer 엔드포인트 삭제

엔드포인트 사용을 마치면 엔드포인트를 삭제할 수 있습니다. Gateway Load Balancer 엔드포인트를 삭제하면 엔드포인트 네트워크 인터페이스도 삭제됩니다. 라우팅 테이블에 엔드포인트를 가리키는 라우팅이 있으면 Gateway Load Balancer 엔드포인트를 삭제할 수 없습니다.

Gateway Load Balancer 엔드포인트 삭제하기

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

2. 탐색 창에서 엔드포인트(Endpoints)를 선택한 후 엔드포인트를 선택합니다.

3. 작업(Actions), 엔드포인트 삭제(Delete Endpoint)를 차례로 선택합니다.

4. 확인 화면에서 예, 삭제(Yes, Delete)를 선택합니다.

Gateway Load Balancer 엔드포인트 삭제하기

• delete-vpc-endpoints (AWS CLI)

• AWS Tools for Windows PowerShell제거 - EC2 VpcEndpoint ()