기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
여러 다른 AWS 서비스와 통합하여 애플리케이션의 성능, 보안 및 가용성을 향상시켜 Application Load Balancer 아키텍처를 최적화할 수 있습니다.
로드 밸런서 통합
Amazon Application Recovery Controller(ARC)
Amazon Application Recovery Controller(ARC)를 사용하면에서 실행되는 애플리케이션에 대한 더 빠른 복구 작업을 준비하고 수행할 수 있습니다 AWS. 영역 전환 및 영역 자동 전환은 Amazon Application Recovery Controller()의 기능입니다ARC.
영역 전환을 사용하면 단일 작업으로 손상된 가용 영역에서 트래픽을 이동할 수 있습니다. 이러한 방법을 통해 AWS 리전의 다른 정상 가용 영역에서 계속 운영할 수 있습니다.
영역 자동 전환을 사용하면 이벤트 중에 사용자를 대신하여 애플리케이션의 리소스 트래픽을 가용 영역에서 AWS 전환하여 복구 시간을 줄일 수 있는 권한을 부여합니다. 내부 모니터링에서 고객에게 잠재적으로 영향을 미칠 수 있는 가용 영역 장애가 있는 것으로 나타나면 자동 전환을 AWS 시작합니다. 가 자동 전환을 AWS 시작하면 영역 자동 전환을 위해 구성한 리소스에 대한 애플리케이션 트래픽이 가용 영역에서 벗어나기 시작합니다.
영역 전환을 시작하면 로드 밸런서가 리소스에 대한 새 트래픽을 영향을 받는 가용 영역으로 전송하는 것을 중지합니다.는 영역 전환을 즉시 ARC 생성합니다. 그러나 클라이언트 동작과 연결 재사용에 따라 가용 영역에서 진행 중인 기존 연결이 완료되는 데 다소 시간이 걸릴 수 있습니다. DNS 설정 및 기타 요인에 따라 기존 연결이 몇 분 만에 완료되거나 더 오래 걸릴 수 있습니다. 자세한 내용은 Amazon Application Recovery Controller(ARC) 개발자 안내서의 클라이언트가 엔드포인트에 연결된 상태를 유지하는 시간 제한을 참조하세요.
Application Load Balancer에서 영역 전환 기능을 사용하려면 ARC 영역 전환 통합 속성이 활성화됨으로 설정되어 있어야 합니다.
Amazon Application Recovery Controller(ARC) 통합을 활성화하고 영역 전환을 시작하기 전에 다음을 검토합니다.
-
특정 로드 밸런서에 대한 영역 전환은 단일 가용 영역에 대해서만 시작할 수 있습니다. 여러 가용 영역에 대한 영역 전환은 시작할 수 없습니다.
-
AWS 는 여러 인프라 문제가 서비스에 영향을 미칠 DNS 때에서 영역 로드 밸런서 IP 주소를 사전에 제거합니다. 영역 전환을 시작하기 전에 항상 현재 가용 영역 용량을 확인하세요. 로드 밸런서의 교차 영역 로드 밸런싱이 꺼져 있으며 영역 전환을 사용하여 영역 로드 밸런서 IP 주소를 제거하는 경우, 영역 전환의 영향을 받는 가용 영역도 대상 용량을 잃게 됩니다.
-
Network Load Balancer의 대상인 Application Load Balancer는 항상 Network Load Balancer에서 영역 이동을 시작하세요. Application Load Balancer에서 영역 전환을 시작하는 경우 Network Load Balancer는 이동을 인식하지 못하고 Application Load Balancer로 트래픽을 계속 전송합니다.
자세한 내용은 Amazon Application Recovery Controller(ARC) 개발자 안내서의 의 영역 전환 모범 사례를 참조하세요ARC.
영역 간 활성화된 Application Load Balancer
영역 간 로드 밸런싱이 활성화된 Application Load Balancer에서 영역 전환이 시작되면 영향을 받는 가용 영역에서 대상에 대한 모든 트래픽이 차단되고 영역 IP 주소가에서 제거됩니다DNS.
이점:
-
가용 영역 장애로부터 더 빠른 복구.
-
가용 영역에서 장애가 감지되면 트래픽을 정상 가용 영역으로 이동하는 기능입니다.
-
예상치 못한 가동 중지를 방지하기 위해 장애를 시뮬레이션하고 식별하여 애플리케이션 무결성을 테스트할 수 있습니다.
영역 전환 관리 재정의
Application Load Balancer에 속하는 대상에는 상태와 AdministrativeOverride
독립적인 새 TargetHealth
상태가 포함됩니다.
Application Load Balancer에 대한 영역 이동이 시작되면 이동 중인 영역 내의 모든 대상이 관리적으로 재정의된 것으로 간주됩니다. Application Load Balancer는 관리적으로 재정의된 대상으로 새 트래픽의 라우팅을 중단하지만 기존 연결은 유기적으로 닫힐 때까지 그대로 유지됩니다.
가능한 AdministrativeOverride
상태는 다음과 같습니다.
- unknown
-
내부 오류로 인해 상태를 전파할 수 없습니다.
- no_override
-
대상에 대해 현재 활성 상태인 재정의가 없습니다.
- zonal_shift_active
-
대상 가용 영역에서 영역 전환이 활성 상태입니다.
Amazon CloudFront + AWS WAF
Amazon CloudFront 은 Application Load Balancer를 사용하는 웹 애플리케이션의 분산된 단일 진입점으로 AWS. CloudFront acts를 사용하는 애플리케이션의 성능, 가용성 및 보안을 개선하는 데 도움이 되는 웹 서비스입니다. Application Load Balancer의 도달 범위를 전 세계적으로 확장하여 근처 엣지 로케이션에서 사용자에게 효율적으로 서비스를 제공하여 콘텐츠 전송을 최적화하고 전 세계 사용자의 지연 시간을 줄일 수 있습니다. 이러한 엣지 로케이션의 자동 콘텐츠 캐싱은 Application Load Balancer의 부하를 크게 줄여 성능과 확장성을 개선합니다.
Elastic Load Balancing 콘솔에서 사용할 수 있는 원클릭 통합은 권장 AWS WAF 보안 보호 기능을 사용하여 CloudFront 배포를 생성하고 이를 Application Load Balancer에 연결합니다. AWS WAF 보호 기능은 로드 밸런서에 도달하기 전에 일반적인 웹 악용을 차단합니다. 콘솔의 로드 밸런서 통합 탭에서 CloudFront 배포 및 해당 보안 대시보드에 액세스할 수 있습니다. 자세한 내용은 Amazon CloudFront 개발자 안내서의 보안 대시보드에서 CloudFront 보안 보호 관리 AWS WAF 및 aws.amazon.com/blogs 통합 CDN 및 보안 경험인 CloudFront 보안 대시보드 소개를
보안 모범 사례로 인터넷 연결 Application Load Balancer의 보안 그룹을 구성하여에 대한 AWS관리형 접두사 목록의 인바운드 트래픽만 허용 CloudFront하고 다른 인바운드 규칙을 제거합니다. 자세한 내용은 Amazon CloudFront 개발자 안내서>의 CloudFront 관리형 접두사 목록 사용, 사용자 지정 HTTP 헤더를 요청에 추가 CloudFront 하도록 구성, 특정 헤더가 포함된 요청만 전달하도록 Application Load Balancer 구성을 참조하세요.
참고
CloudFront 는 미국 동부(버지니아 북부) us-east-1 리전의 ACM 인증서만 지원합니다. Application Load Balancer에 us-east-1 이외의 리전에 ACM 인증서로 구성된 HTTPS리스너가 있는 경우 CloudFront 오리진 연결을에서 HTTPS로 변경하거나 미국 동부(버지니아 북부) 리전에 ACM 인증서를 HTTP프로비저닝하여 CloudFront 배포에 연결해야 합니다.
AWS Global Accelerator
애플리케이션 가용성, 성능 및 보안을 최적화하려면 로드 밸런서에 대한 액셀러레이터를 생성합니다. 액셀러레이터는 AWS 글로벌 네트워크를 통해 트래픽을 클라이언트와 가장 가까운 리전의 고정 엔드포인트 역할을 하는 정적 IP 주소로 보냅니다. AWS Global Accelerator 는 Shield Standard로 보호되므로 DDoS 공격으로 인한 애플리케이션 가동 중지 시간과 지연 시간을 최소화합니다.
자세한 내용은 AWS Global Accelerator 개발자 안내서의 로드 밸런서를 생성할 때 액셀러레이터 추가를 참조하세요.
AWS Config
로드 밸런서의 모니터링 및 규정 준수를 최적화하려면를 설정합니다 AWS Config.는 AWS 계정의 AWS 리소스 구성에 대한 자세한 보기를 AWS Config 제공합니다. 여기에는 리소스가 서로 어떻게 관련되어 있는지, 그리고 과거에 어떻게 구성되었는지가 포함되어 시간이 지남에 따라 구성 및 관계가 어떻게 변화하는지 확인할 수 있습니다.는 감사, 규정 준수 및 문제 해결을 AWS Config 간소화합니다.
자세한 내용은 AWS Config 개발자 안내서AWS Config의 정의 섹션을 참조하세요.
AWS WAF
Application Load Balancer와 AWS WAF 함께를 사용하여 웹 액세스 제어 목록(웹 )의 규칙에 따라 요청을 허용하거나 차단할 수 있습니다ACL.
기본적으로 로드 HTTP 밸런서가 응답을 가져올 수 없는 경우 AWS WAF 500 오류를 반환하고 요청을 전달하지 않습니다. 연결할 수 없더라도 로드 밸런서가 대상에 요청을 전달해야 하는 경우 AWS WAF 실패 열기를 활성화 AWS WAF할 수 있습니다.
사전 정의된 웹 ACLs
AWS WAF 통합을 활성화할 때 사전 정의된 규칙ACL으로 새 웹을 자동으로 생성하도록 선택할 수 있습니다. 사전 정의된 웹에는 가장 일반적인 보안 위협에 대한 보호를 제공하는 세 가지 AWS 관리형 규칙이 ACL 포함되어 있습니다.
-
AWSManagedRulesAmazonIpReputationList
‐ Amazon IP 평판 목록 규칙 그룹은 일반적으로 봇 또는 기타 위협과 관련된 IP 주소를 차단합니다. 자세한 내용은 AWS WAF 개발자 안내서의 Amazon IP 평판 목록 관리형 규칙 그룹을 참조하세요. -
AWSManagedRulesCommonRuleSet
‐ 핵심 규칙 세트(CRS) 규칙 그룹은 OWASP 상위 10개 항목과 같은 OWASP 간행물에 설명된 고위험 및 일반적으로 발생하는 취약성 중 일부를 포함하여 광범위한 취약성의 악용으로부터 보호합니다. 자세한 내용은 AWS WAF 개발자 안내서의 코어 규칙 세트(CRS) 관리형 규칙 그룹을 참조하세요. -
AWSManagedRulesKnownBadInputsRuleSet
- 알려진 잘못된 입력 규칙 그룹은 유효하지 않은 것으로 알려져 있으며 취약성의 악용 또는 검색과 관련된 요청 패턴을 차단합니다. 자세한 내용은 AWS WAF 개발자 안내서의 알려진 잘못된 입력 관리형 규칙 그룹을 참조하세요.
자세한 내용은 AWS WAF 개발자 안내서의 ACLs에서 웹 사용을 AWS WAF 참조하세요.