들어오는 트래픽에 대한 프라이빗 엔드포인트 활성화 - AWS App Runner
고려 사항권한VPC 인터페이스 엔드포인트VPC Ingress Connection프라이빗 엔드포인트요약

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

들어오는 트래픽에 대한 프라이빗 엔드포인트 활성화

AWS App Runner 서비스를 생성하면 기본적으로 인터넷을 통해 서비스에 액세스할 수 있습니다. 하지만 App Runner 서비스를 비공개로 설정하고 Amazon VPC (가상 사설 클라우드) 내에서만 액세스할 수 있도록 설정할 수도 있습니다.

App Runner 서비스를 비공개로 사용하면 들어오는 트래픽을 완벽하게 제어하여 보안을 한층 강화할 수 있습니다. 이는 내부 API, 회사 웹 애플리케이션 또는 더 높은 수준의 개인 정보 보호 및 보안이 필요하거나 특정 규정 준수 요구 사항을 충족해야 하는 아직 개발 중인 애플리케이션을 실행하는 등 다양한 사용 사례에서 유용합니다.

참고

App Runner 애플리케이션에 소스 IP/CIDR 수신 트래픽 제어 규칙이 필요한 경우 WAF 웹 ACL 대신 프라이빗 엔드포인트에 대한 보안 그룹 규칙을 사용해야 합니다. 이는 현재 요청 소스 IP 데이터를 WAF와 연결된 App Runner 프라이빗 서비스에 전달하는 것을 지원하지 않기 때문입니다. 따라서 WAF 웹 ACL과 연결된 App Runner 프라이빗 서비스의 소스 IP 규칙은 IP 기반 규칙을 준수하지 않습니다.

모범 사례를 포함하여 인프라 보안 및 보안 그룹에 대해 자세히 알아보려면 Amazon VPC 사용 설명서의 다음 주제: 보안 그룹을 사용하여 네트워크 트래픽 제어 및 AWS 리소스로의 트래픽 제어를 참조하십시오.

App Runner 서비스가 비공개인 경우 Amazon VPC 내에서 서비스에 액세스할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결은 필요하지 않습니다.

참고

App Runner는 현재 퍼블릭 수신 트래픽에 대해서만 이중 스택 (IPv4 및 IPv6) 주소 유형을 지원합니다. 발신 트래픽과 비공개 수신 트래픽의 경우 IPv4만 지원됩니다.

고려 사항

  • App Runner의 VPC 인터페이스 엔드포인트를 설정하기 전에 가이드의 고려 사항을 검토하십시오.AWS PrivateLink

  • VPC 엔드포인트 정책은 앱 러너에 지원되지 않습니다. 기본적으로 VPC 인터페이스 엔드포인트를 통해 App Runner에 대한 전체 액세스가 허용됩니다. 또는 보안 그룹을 엔드포인트 네트워크 인터페이스와 연결하여 VPC 인터페이스 엔드포인트를 통해 App Runner로 들어오는 트래픽을 제어할 수 있습니다.

  • App Runner 애플리케이션에 소스 IP/CIDR 수신 트래픽 제어 규칙이 필요한 경우, WAF 웹 ACL 대신 프라이빗 엔드포인트에 대한 보안 그룹 규칙을 사용해야 합니다. 이는 현재 요청 소스 IP 데이터를 WAF와 연결된 App Runner 프라이빗 서비스에 전달하는 것을 지원하지 않기 때문입니다. 따라서 WAF 웹 ACL과 연결된 App Runner 프라이빗 서비스의 소스 IP 규칙은 IP 기반 규칙을 준수하지 않습니다.

  • 프라이빗 엔드포인트를 활성화하면 VPC에서만 서비스에 액세스할 수 있고 인터넷에서는 액세스할 수 없습니다.

  • 가용성을 높이려면 VPC 인터페이스 엔드포인트에 대해 서로 다른 가용 영역에서 최소 두 개의 서브넷을 선택하는 것이 좋습니다. 서브넷을 하나만 사용하는 것은 권장하지 않습니다.

  • 동일한 VPC 인터페이스 엔드포인트를 사용하여 VPC의 여러 App Runner 서비스에 액세스할 수 있습니다.

이 섹션에 사용되는 용어에 대한 자세한 내용은 용어를 참조하십시오.

권한

다음은 프라이빗 엔드포인트를 활성화하는 데 필요한 권한 목록입니다.

  • ec2: CreateTags

  • ec2: CreateVpcEndpoint

  • ec2: ModifyVpcEndpoint

  • ec2: DeleteVpcEndpoints

  • ec2: DescribeSubnets

  • ec2: DescribeVpcEndpoints

  • ec2: DescribeVpcs

VPC 인터페이스 엔드포인트

VPC 인터페이스 엔드포인트는 Amazon VPC를 엔드포인트 서비스에 연결하는 AWS PrivateLink리소스입니다. VPC 인터페이스 엔드포인트를 전달하여 App Runner 서비스에 액세스할 수 있는 Amazon VPC를 지정할 수 있습니다. VPC 인터페이스 엔드포인트를 만들려면 다음을 지정합니다.

  • 연결을 활성화하기 위한 Amazon VPC.

  • 보안 그룹을 추가합니다. 기본적으로 보안 그룹은 VPC 인터페이스 엔드포인트에 할당됩니다. 사용자 지정 보안 그룹을 연결하여 들어오는 네트워크 트래픽을 추가로 제어할 수 있습니다.

  • 서브넷을 추가합니다. 가용성을 높이려면 App Runner 서비스에 액세스할 각 가용 영역에 대해 최소 두 개의 서브넷을 선택하는 것이 좋습니다. 네트워크 인터페이스 엔드포인트는 VPC 인터페이스 엔드포인트에 대해 활성화한 각 서브넷에 생성됩니다. App Runner로 향하는 트래픽의 진입점 역할을 하는 요청자 관리 네트워크 인터페이스입니다. 요청자 관리형 네트워크 인터페이스는 AWS 서비스가 사용자를 대신하여 VPC에서 생성하는 네트워크 인터페이스입니다.

  • API를 사용하는 경우 App Runner VPC 인터페이스 엔드포인트를 추가하세요. Servicename 예: 

    com.amazonaws.region.apprunner.requests

다음 AWS 서비스 중 하나를 사용하여 VPC 인터페이스 엔드포인트를 생성할 수 있습니다.

  • 앱 러너 콘솔. 자세한 내용은 프라이빗 엔드포인트 관리를 참조하십시오.

  • Amazon VPC 콘솔 또는 API, 그리고 AWS Command Line Interface ()AWS CLI자세한 내용은 AWS PrivateLinkAWS PrivateLink 가이드의 AWS 서비스 액세스를 참조하십시오.

참고

요금을 기준으로AWS PrivateLink 사용하는 각 VPC 인터페이스 엔드포인트에 대해 요금이 부과됩니다. 따라서 비용 효율성을 높이기 위해 동일한 VPC 인터페이스 엔드포인트를 사용하여 VPC 내의 여러 App Runner 서비스에 액세스할 수 있습니다. 하지만 격리를 강화하려면 App Runner 서비스마다 다른 VPC 인터페이스 엔드포인트를 연결하는 것이 좋습니다.

VPC Ingress Connection

VPC 인그레스 연결은 들어오는 트래픽에 대한 앱 러너 엔드포인트를 지정하는 앱 러너 리소스입니다. App Runner 콘솔에서 들어오는 트래픽에 대해 프라이빗 엔드포인트를 선택하면 App Runner는 VPC 인그레스 연결 리소스를 백그라운드에서 할당합니다. Amazon VPC의 트래픽만 App Runner 서비스에 액세스하도록 허용하려면 이 옵션을 선택합니다. VPC 인그레스 연결 리소스는 앱 러너 서비스를 Amazon VPC의 VPC 인터페이스 엔드포인트에 연결합니다. API 작업을 사용하여 수신 트래픽에 대한 네트워크 설정을 구성하는 경우에만 VPC 인그레스 연결 리소스를 생성할 수 있습니다. VPC 인그레스 연결 리소스를 생성하는 방법에 대한 자세한 내용은 API 레퍼런스를 참조하십시오 CreateVpcIngressConnection.AWS App Runner

참고

앱 러너의 VPC 인그레스 연결 리소스 하나를 Amazon VPC의 VPC 인터페이스 엔드포인트 하나에 연결할 수 있습니다. 또한 각 App Runner 서비스에 대해 하나의 VPC 인그레스 연결 리소스만 생성할 수 있습니다.

프라이빗 엔드포인트

프라이빗 엔드포인트는 Amazon VPC에서 들어오는 트래픽만 수신하려는 경우 선택할 수 있는 App Runner 콘솔 옵션입니다. App Runner 콘솔에서 프라이빗 엔드포인트 옵션을 선택하면 VPC 인터페이스 엔드포인트를 구성하여 서비스를 VPC에 연결할 수 있습니다. App Runner는 백그라운드에서 사용자가 구성한 VPC 인터페이스 엔드포인트에 VPC 인그레스 연결 리소스를 할당합니다.

참고

프라이빗 엔드포인트에는 IPv4 네트워크 트래픽만 지원됩니다.

요약

Amazon VPC의 트래픽만 App Runner 서비스에 액세스하도록 허용하여 서비스를 비공개로 설정하십시오. 이를 위해서는 앱 러너 또는 Amazon VPC를 사용하여 선택한 Amazon VPC에 대한 VPC 인터페이스 엔드포인트를 생성합니다. App Runner 콘솔에서 들어오는 트래픽에 대해 프라이빗 엔드포인트를 활성화하면 VPC 인터페이스 엔드포인트를 생성합니다. 그러면 App Runner가 자동으로 VPC 인그레스 연결 리소스를 생성하고 VPC 인터페이스 엔드포인트 및 앱 러너 서비스에 연결합니다. 이렇게 하면 선택한 VPC의 트래픽만 App Runner 서비스에 액세스할 수 있도록 하는 비공개 서비스 연결이 생성됩니다.