프라이빗 엔드포인트 관리 - AWS App Runner
앱 러너 콘솔앱 러너 API 또는 AWS CLI

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

프라이빗 엔드포인트 관리

다음 방법 중 하나를 사용하여 수신 트래픽의 프라이빗 엔드포인트를 관리하십시오.

참고

App Runner 애플리케이션에 소스 IP/CIDR 수신 트래픽 제어 규칙이 필요한 경우, WAF 웹 ACL 대신 프라이빗 엔드포인트에 대한 보안 그룹 규칙을 사용해야 합니다. 이는 현재 요청 소스 IP 데이터를 WAF와 연결된 App Runner 프라이빗 서비스에 전달하는 것을 지원하지 않기 때문입니다. 따라서 WAF 웹 ACL과 연결된 App Runner 프라이빗 서비스의 소스 IP 규칙은 IP 기반 규칙을 준수하지 않습니다.

모범 사례를 포함하여 인프라 보안 및 보안 그룹에 대해 자세히 알아보려면 Amazon VPC 사용 설명서의 다음 주제: 보안 그룹을 사용하여 네트워크 트래픽 제어 및 AWS 리소스로의 트래픽 제어를 참조하십시오.

앱 러너 콘솔

App Runner 콘솔을 사용하여 서비스를 만들거나 나중에 구성을 업데이트할 때 수신 트래픽을 구성하도록 선택할 수 있습니다.

수신 트래픽을 구성하려면 다음 중 하나를 선택합니다.

  • 퍼블릭 엔드포인트: 인터넷을 통해 모든 서비스에서 서비스에 액세스할 수 있도록 합니다. 기본적으로 퍼블릭 엔드포인트가 선택됩니다.

  • 프라이빗 엔드포인트: Amazon VPC 내에서만 App Runner 서비스에 액세스할 수 있도록 하기 위함입니다.

참고

현재 App Runner는 퍼블릭 엔드포인트에 대해서만 IPv6를 지원합니다. IPv6 엔드포인트는 Amazon VPC (가상 사설 클라우드) 에서 호스팅되는 앱 러너 서비스에 지원되지 않습니다. 듀얼 스택 퍼블릭 엔드포인트를 사용하는 서비스를 프라이빗 엔드포인트로 업데이트하는 경우 App Runner 서비스는 기본적으로 IPv4 엔드포인트의 트래픽만 지원하도록 설정되며 IPv6 엔드포인트의 트래픽은 수신하지 못합니다.

프라이빗 엔드포인트를 활성화합니다.

액세스하려는 Amazon VPC의 VPC 인터페이스 엔드포인트와 연결하여 프라이빗 엔드포인트를 활성화합니다. VPC 인터페이스 엔드포인트를 새로 만들거나 기존 VPC 인터페이스 엔드포인트를 선택할 수 있습니다.

VPC 인터페이스 엔드포인트를 만들려면

  1. App Runner 콘솔을 열고 지역 목록에서 해당 콘솔을 선택합니다. AWS 리전

  2. 서비스 구성의 네트워킹 섹션으로 이동합니다.

  3. 들어오는 네트워크 트래픽에 대해 프라이빗 엔드포인트를 선택합니다. VPC 인터페이스 엔드포인트를 사용하여 VCP에 연결하는 옵션이 열립니다.

  4. 새 엔드포인트 생성을 선택합니다. 새 VPC 인터페이스 엔드포인트 생성 대화 상자가 열립니다.

  5. VPC 인터페이스 엔드포인트의 이름을 입력합니다.

  6. 사용 가능한 드롭다운 목록에서 필요한 VPC 인터페이스 엔드포인트를 선택합니다.

  7. 드롭다운 목록에서 보안 그룹을 선택합니다. 보안 그룹을 추가하면 VPC 인터페이스 엔드포인트에 추가 보안 계층이 제공됩니다. 두 개 이상의 보안 그룹을 선택하는 것이 좋습니다. 보안 그룹을 선택하지 않는 경우 App Runner는 VPC 인터페이스 엔드포인트에 기본 보안 그룹을 할당합니다. 보안 그룹 규칙이 App Runner 서비스와 통신하려는 리소스를 차단하지 않도록 하세요. 보안 그룹 규칙은 App Runner 서비스와 상호작용하는 리소스를 허용해야 합니다.

    참고

    App Runner 애플리케이션에 소스 IP/CIDR 수신 트래픽 제어 규칙이 필요한 경우 WAF 웹 ACL 대신 프라이빗 엔드포인트에 대한 보안 그룹 규칙을 사용해야 합니다. 이는 현재 요청 소스 IP 데이터를 WAF와 연결된 App Runner 프라이빗 서비스에 전달하는 것을 지원하지 않기 때문입니다. 따라서 WAF 웹 ACL과 연결된 App Runner 프라이빗 서비스의 소스 IP 규칙은 IP 기반 규칙을 준수하지 않습니다.

    모범 사례를 포함하여 인프라 보안 및 보안 그룹에 대해 자세히 알아보려면 Amazon VPC 사용 설명서의 다음 주제: 보안 그룹을 사용하여 네트워크 트래픽 제어 및 AWS 리소스로의 트래픽 제어를 참조하십시오.

  8. 드롭다운 목록에서 필요한 서브넷을 선택합니다. App Runner 서비스에 액세스할 각 가용 영역에 대해 최소 두 개의 서브넷을 선택하는 것이 좋습니다.

  9. (선택 사항) 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

  10. 생성을 선택합니다. 서비스 구성 페이지가 열리고 상단 표시줄에 VPC 인터페이스 엔드포인트가 성공적으로 생성되었다는 메시지가 표시됩니다.

기존 VPC 인터페이스 엔드포인트를 선택하려면

  1. App Runner 콘솔을 열고 지역 목록에서 해당 콘솔을 선택합니다. AWS 리전

  2. 서비스 구성의 네트워킹 섹션으로 이동합니다.

  3. 들어오는 네트워크 트래픽에 대해 프라이빗 엔드포인트를 선택합니다. VPC 인터페이스 엔드포인트를 사용하여 VPC에 연결하는 옵션이 열립니다. 사용 가능한 VPC 인터페이스 엔드포인트 목록이 표시됩니다.

  4. VPC 인터페이스 엔드포인트 아래에 나열된 필수 VPC 인터페이스 엔드포인트를 선택합니다.

  5. 다음을 선택하여 서비스를 생성합니다. App Runner는 프라이빗 엔드포인트를 활성화합니다.

    참고

    서비스를 생성한 후 필요에 따라 VPC 인터페이스 엔드포인트와 연결된 보안 그룹 및 서브넷을 편집하도록 선택할 수 있습니다.

    프라이빗 엔드포인트의 세부 정보를 확인하려면 서비스로 이동하여 구성 탭 아래의 네트워킹 섹션을 확장하십시오. VPC 및 프라이빗 엔드포인트와 연결된 VPC 인터페이스 엔드포인트의 세부 정보를 보여줍니다.

VPC 인터페이스 엔드포인트 업데이트

App Runner 서비스가 생성된 후 프라이빗 엔드포인트와 연결된 VPC 인터페이스 엔드포인트를 편집할 수 있습니다.

참고

엔드포인트 이름과 VPC 필드는 업데이트할 수 없습니다.

VPC 인터페이스 엔드포인트를 업데이트하려면

  1. App Runner 콘솔을 열고 지역 목록에서 해당 콘솔을 선택합니다. AWS 리전

  2. 서비스로 이동하여 왼쪽 패널에서 네트워킹 구성을 선택합니다.

  3. 각 서비스와 관련된 VPC 인터페이스 엔드포인트를 보려면 수신 트래픽을 선택합니다.

  4. 편집하려는 VPC 인터페이스 엔드포인트를 선택합니다.

  5. 편집을 선택합니다. VPC 인터페이스 엔드포인트를 편집하기 위한 대화 상자가 열립니다.

  6. 필요한 보안 그룹과 서브넷을 선택하고 업데이트를 클릭합니다. VPC 인터페이스 엔드포인트 세부 정보가 표시된 페이지가 열리고 상단 표시줄에 VPC 인터페이스 엔드포인트가 성공적으로 업데이트되었다는 메시지가 표시됩니다.

    참고

    App Runner 애플리케이션에 소스 IP/CIDR 수신 트래픽 제어 규칙이 필요한 경우, WAF 웹 ACL 대신 프라이빗 엔드포인트에 대한 보안 그룹 규칙을 사용해야 합니다. 이는 현재 요청 소스 IP 데이터를 WAF와 연결된 App Runner 프라이빗 서비스에 전달하는 것을 지원하지 않기 때문입니다. 따라서 WAF 웹 ACL과 연결된 App Runner 프라이빗 서비스의 소스 IP 규칙은 IP 기반 규칙을 준수하지 않습니다.

    모범 사례를 포함하여 인프라 보안 및 보안 그룹에 대해 자세히 알아보려면 Amazon VPC 사용 설명서의 다음 주제: 보안 그룹을 사용하여 네트워크 트래픽 제어 및 AWS 리소스로의 트래픽 제어를 참조하십시오.

VPC 인터페이스 엔드포인트 삭제

App Runner 서비스에 비공개로 액세스할 수 없도록 하려면 수신 트래픽을 Public으로 설정하면 됩니다. Public으로 변경하면 Private 엔드포인트가 제거되지만 VPC 인터페이스 엔드포인트는 삭제되지 않습니다.

VPC 인터페이스 엔드포인트를 삭제하려면

  1. App Runner 콘솔을 열고 지역 목록에서 해당 콘솔을 선택합니다. AWS 리전

  2. 서비스로 이동하여 왼쪽 패널에서 네트워킹 구성을 선택합니다.

  3. 각 서비스와 관련된 VPC 인터페이스 엔드포인트를 보려면 수신 트래픽을 선택합니다.

    참고

    VPC 인터페이스 엔드포인트를 삭제하기 전에 서비스를 업데이트하여 연결된 모든 서비스에서 제거하십시오.

  4. 삭제를 선택합니다.

    VPC 인터페이스 엔드포인트에 연결된 서비스가 있는 경우 VPC 인터페이스 엔드포인트를 삭제할 수 없음 메시지를 받습니다. VPC 인터페이스 엔드포인트에 연결된 서비스가 없는 경우 삭제를 확인하는 메시지를 받게 됩니다.

  5. 삭제를 선택합니다. 들어오는 트래픽에 대한 네트워크 구성 페이지가 열리고 상단 표시줄에 VPC 인터페이스 엔드포인트가 성공적으로 삭제되었다는 메시지가 표시됩니다.

앱 러너 API 또는 AWS CLI

Amazon VPC 내에서만 액세스할 수 있는 애플리케이션을 App Runner에 배포할 수 있습니다.

서비스를 비공개로 설정하는 데 필요한 권한에 대한 자세한 내용은 을 참조하십시오. 권한

참고

현재 App Runner는 퍼블릭 엔드포인트에 대해서만 IPv6를 지원합니다. IPv6 엔드포인트는 Amazon VPC (가상 사설 클라우드) 에서 호스팅되는 앱 러너 서비스에 지원되지 않습니다. 듀얼 스택 퍼블릭 엔드포인트를 사용하는 서비스를 프라이빗 엔드포인트로 업데이트하는 경우 App Runner 서비스는 기본적으로 IPv4 엔드포인트의 트래픽만 지원하도록 설정되며 IPv6 엔드포인트의 트래픽은 수신하지 못합니다.

Amazon VPC에 대한 프라이빗 서비스 연결을 생성하려면

  1. App Runner에 연결할 AWS PrivateLink 리소스인 VPC 인터페이스 엔드포인트를 생성합니다. 이렇게 하려면 애플리케이션과 연결할 서브넷과 보안 그룹을 지정해야 합니다. 다음은 VPC 인터페이스 엔드포인트를 생성하는 예제입니다.

    참고

    App Runner 애플리케이션에 소스 IP/CIDR 수신 트래픽 제어 규칙이 필요한 경우, WAF 웹 ACL 대신 프라이빗 엔드포인트에 대한 보안 그룹 규칙을 사용해야 합니다. 이는 현재 요청 소스 IP 데이터를 WAF와 연결된 App Runner 프라이빗 서비스에 전달하는 것을 지원하지 않기 때문입니다. 따라서 WAF 웹 ACL과 연결된 App Runner 프라이빗 서비스의 소스 IP 규칙은 IP 기반 규칙을 준수하지 않습니다.

    모범 사례를 포함하여 인프라 보안 및 보안 그룹에 대해 자세히 알아보려면 Amazon VPC 사용 설명서의 다음 주제: 보안 그룹을 사용하여 네트워크 트래픽 제어 및 AWS 리소스로의 트래픽 제어를 참조하십시오.

    aws ec2 create-vpc-endpoint
 --vpc-endpoint-type: Interface
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --subnets: subnet1, subnet2
 --security-groups: sg1

  2. CLI를 통해 CreateService또는 UpdateService앱 러너 API 작업을 사용하여 VPC 인터페이스 엔드포인트를 참조합니다. 공개적으로 액세스할 수 없도록 서비스를 구성하세요. NetworkConfiguration파라미터 IsPubliclyAccessible False IngressConfiguration 멤버에 로 설정합니다. 다음은 VPC 인터페이스 엔드포인트를 참조하는 예제입니다.

    aws apprunner create-service
 --network-configuration: ingress-configuration=<ingress_configuration>
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --source-configuration: <source_configuration>
 # Ingress Configuration
 {
 "IsPubliclyAccessible": False 
 }

  3. create-vpc-ingress-connectionAPI 작업을 호출하여 App Runner용 VPC 인그레스 연결 리소스를 생성하고 이를 이전 단계에서 생성한 VPC 인터페이스 엔드포인트와 연결합니다. 지정된 VPC에서 서비스에 액세스하는 데 사용되는 도메인 이름을 반환합니다. 다음은 VPC 인그레스 연결 리소스를 생성하는 예제입니다.

    예 요청
    aws apprunner create-vpc-ingress-connection
 --service-arn: <apprunner_service_arn>
 --ingress-vpc-configuration: {"VpcId":<vpc_id>, "VpceId": <vpce_id>}
 --vpc-ingress-connection-name: <vic_connection_name>
    예 응답
    {
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_CREATION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>
}

VPC 인그레스 연결 업데이트

VPC 인그레스 연결 리소스를 업데이트할 수 있습니다. VPC 인그레스 연결이 업데이트되려면 다음 상태 중 하나여야 합니다.

  • 사용 가능

  • 생성 실패

  • 업데이트 실패

다음은 VPC 인그레스 연결 리소스 업데이트 예제입니다.

예 요청
aws apprunner update-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
예 응답
{
    "VpcIngressConnectionArn":  <vpc_ingress_connection_arn>,
    "VpcIngressConnectionName":  <vic_connection_name>,
    "ServiceArn":  <apprunner_service_arn>,
    "Status": "FAILED_UPDATE",
    "AccountId":  <connection_owner_id>,
    "DomainName":  <domain_name_associated_with_vpce>,
    "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
    "CreatedAt":  <date_created>
}

VPC 인그레스 연결 삭제

Amazon VPC에 대한 프라이빗 연결이 더 이상 필요하지 않은 경우 VPC 인그레스 연결 리소스를 삭제할 수 있습니다.

VPC 인그레스 연결을 삭제하려면 다음 상태 중 하나여야 합니다.

  • 사용 가능

  • 생성 실패

  • 업데이트 실패

  • 삭제 실패

다음은 VPC 인그레스 연결을 삭제하는 예제입니다.

예 요청
aws apprunner delete-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
예 응답
{
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_DELETION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>,
   "DeletedAt": <date_deleted>
}

다음 App Runner API 작업을 사용하여 서비스의 프라이빗 인바운드 트래픽을 관리하세요.

  • CreateVpcIngressConnection— 새 VPC 인그레스 연결 리소스를 생성합니다. App Runner는 App Runner 서비스를 Amazon VPC 엔드포인트에 연결하려는 경우 이 리소스가 필요합니다.

  • ListVpcIngressConnections— 계정과 연결된 AWS App Runner VPC 인그레스 연결 엔드포인트 목록을 반환합니다. AWS

  • DescribeVpcIngressConnection— AWS App Runner VPC 인그레스 연결 리소스의 전체 설명을 반환합니다.

  • UpdateVpcIngressConnection— AWS App Runner VPC 인그레스 연결 리소스를 업데이트합니다.

  • DeleteVpcIngressConnection— 앱 러너 서비스와 연결된 앱 러너 VPC 인그레스 연결 리소스를 삭제합니다.

앱 러너 API 사용에 대한 자세한 내용은 앱 러너 API 참조 가이드를 참조하십시오.