Gateway Load Balancer 시작하기 - Elastic Load Balancing
개요사전 조건1단계: Gateway Load Balancer 생성2단계: Gateway Load Balancer 엔드포인트 서비스 생성3단계: Gateway Load Balancer 엔드포인트 생성4단계: 라우팅 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Gateway Load Balancer 시작하기

Gateway Load Balancer를 사용하면 보안 어플라이언스와 같은 서드 파티 가상 어플라이언스를 배포, 규모 조정 및 관리할 수 있습니다.

이 자습서에서는 Gateway Load Balancer와 Gateway Load Balancer 엔드포인트를 사용하여 검사 시스템을 구현합니다.

개요

Gateway Load Balancer 엔드포인트는 서비스 공급자 VPC의 가상 어플라이언스와 서비스 소비자 VPC의 애플리케이션 서버 간에 프라이빗 연결을 제공하는 VPC 엔드포인트입니다. Gateway Load Balancer는 가상 어플라이언스와 동일한 VPC에 배포됩니다. 이러한 어플라이언스는 Gateway Load Balancer의 대상 그룹으로 등록됩니다.

애플리케이션 서버는 서비스 소비자 VPC의 한 서브넷(대상 서브넷) 에서 실행되고, Gateway Load Balancer 엔드포인트는 동일한 VPC의 다른 서브넷에서 실행됩니다. 인터넷 게이트웨이를 통해 서비스 소비자 VPC로 들어오는 모든 트래픽은 먼저 Gateway Load Balancer 엔드포인트로 라우팅된 후 대상 서브넷으로 라우팅됩니다.

마찬가지로 애플리케이션 서버(대상 서브넷)에서 나가는 모든 트래픽은 먼저 Gateway Load Balancer 엔드포인트로 라우팅된 후 인터넷으로 다시 라우팅됩니다. 다음 네트워크 다이어그램은 Gateway Load Balancer 엔드포인트를 사용하여 엔드포인트 서비스에 액세스하는 방법을 시각적으로 표현한 것입니다.

Gateway Load Balancer 엔드포인트를 사용하여 엔드포인트 서비스에 액세스

아래의 번호가 매겨진 항목은 위 이미지에 표시된 요소를 강조 표시하고 설명합니다.

인터넷에서 애플리케이션으로의 트래픽(파란색 화살표):

  1. 트래픽이 인터넷 게이트웨이를 통해 서비스 소비자 VPC로 들어갑니다.

  2. 수신 라우팅의 결과로 트래픽이 Gateway Load Balancer 엔드포인트로 전송됩니다.

  3. 트래픽이 보안 어플라이언스 중 하나로 트래픽을 배포하는 Gateway Load Balancer로 전송됩니다.

  4. 트래픽이 보안 어플라이언스에서 검사 후 Gateway Load Balancer 엔드포인트로 다시 전송됩니다.

  5. 트래픽이 애플리케이션 서버(대상 서브넷)로 전송됩니다.

애플리케이션에서 인터넷으로의 트래픽(주황색 화살표):

  1. 애플리케이션 서버 서브넷에 구성된 기본 경로의 결과로 트래픽이 Gateway Load Balancer 엔드포인트로 전송됩니다.

  2. 트래픽이 보안 어플라이언스 중 하나로 트래픽을 배포하는 Gateway Load Balancer로 전송됩니다.

  3. 트래픽이 보안 어플라이언스에서 검사 후 Gateway Load Balancer 엔드포인트로 다시 전송됩니다.

  4. 라우팅 테이블 구성에 따라 트래픽이 인터넷 게이트웨이로 전송됩니다.

  5. 트래픽이 인터넷으로 다시 라우팅됩니다.

라우팅

인터넷 게이트웨이의 경우 라우팅 테이블에는 애플리케이션 서버로 전송되는 트래픽을 Gateway Load Balancer 엔드포인트로 라우팅하는 항목이 있어야 합니다. Gateway Load Balancer 엔드포인트를 지정하려면 VPC 엔드포인트의 ID를 사용합니다. 다음 예제는 이중 스택 구성에 대한 경로를 보여줍니다.

대상 주소 대상
VPC IPv4 CIDR 로컬
VPC IPv6 CIDR 로컬
서브넷 1 IPv4 CIDR vpc-endpoint-id
서브넷 1 IPv6 CIDR vpc-endpoint-id

애플리케이션 서버가 있는 서브넷의 경우 라우팅 테이블에는 모든 트래픽을 애플리케이션 서버에서 Gateway Load Balancer 엔드포인트로 라우팅하는 항목이 있어야 합니다.

대상 주소 대상
VPC IPv4 CIDR 로컬
VPC IPv6 CIDR 로컬
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

Gateway Load Balancer 엔드포인트가 있는 서브넷의 경우 라우팅 테이블은 검사에서 반환되는 트래픽을 최종 대상으로 라우팅해야 합니다. 인터넷에서 시작된 트래픽의 경우 로컬 라우팅은 트래픽이 애플리케이션 서버에 도달하도록 보장합니다. 애플리케이션 서버에서 시작된 트래픽의 경우 모든 트래픽을 인터넷 게이트웨이로 라우팅하는 항목을 추가합니다.

대상 주소 대상
VPC IPv4 CIDR 로컬
VPC IPv6 CIDR 로컬
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

사전 조건

  • 서비스 소비자 VPC에는 애플리케이션 서버가 포함된 각 가용 영역에 대해 최소 두 개의 서브넷이 있어야 합니다. 하나의 서브넷은 Gateway Load Balancer 엔드포인트용이고 다른 하나는 애플리케이션 서버용입니다.

  • Gateway Load Balancer와 대상은 동일한 서브넷에 있을 수 있습니다.

  • 다른 계정에서 공유한 서브넷을 사용하여 Gateway Load Balancer를 배포할 수 없습니다.

  • 서비스 공급업체 VPC의 각 보안 어플라이언스 서브넷에서 하나 이상의 보안 어플라이언스 인스턴스를 시작합니다. 이 인스턴스에 대한 보안 그룹은 포트 6081에서 UDP 트래픽을 허용해야 합니다.

1단계: Gateway Load Balancer 생성

다음 절차에 따라 로드 밸런서, 리스너 및 대상 그룹을 생성합니다.

콘솔을 사용하여 로드 밸런서, 리스너, 대상 그룹을 생성하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창의 Load Balancing에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서 생성을 선택합니다.

  4. Gateway Load Balancer에서 생성을 선택합니다.

  5. 기본 구성

    1. 로드 밸런서 이름(Load Balancer name)에 로드 밸런서의 이름을 입력합니다.

    2. IP 주소 유형에서 IPv4를 선택하여 IPv4 주소만 지원하거나 듀얼 스택을 선택하여 IPv4 주소와 IPv6 주소를 모두 지원합니다.

  6. 네트워크 매핑

    1. VPC에서 서비스 공급업체 VPC를 선택합니다.

    2. 매핑에서 보안 어플라이언스 인스턴스를 시작한 가용 영역을 모두 선택하고 가용 영역당 서브넷 하나를 선택합니다.

  7. IP 리스너 라우팅

    1. 기본 작업에서 트래픽을 전달할 대상 그룹을 선택합니다. 이 대상 그룹은 GENEVE 프로토콜을 사용해야 합니다.

      대상 그룹이 없는 경우 대상 그룹 생성을 선택합니다. 그러면 브라우저에서 새 탭이 열립니다. 대상 유형을 선택하고 대상 그룹의 이름을 입력하고 GENEVE 프로토콜을 유지합니다. 보안 어플라이언스 인스턴스가 있는 VPC를 선택합니다. 필요에 따라 상태 확인 설정을 수정하고 필요한 태그를 추가합니다. Next(다음)를 선택합니다. 보안 어플라이언스 인스턴스를 지금 또는 이 절차를 완료한 후에 대상 그룹에 등록할 수 있습니다. 대상 그룹 생성을 선택한 다음 이전 브라우저 탭으로 돌아갑니다.

    2. (선택 사항) 리스너 태그를 확장하고 필요한 태그를 추가합니다.

  8. (선택 사항) 로드 밸런서 태그를 확장하고 필요한 태그를 추가합니다.

  9. 로드 밸런서 생성을 선택하세요.

2단계: Gateway Load Balancer 엔드포인트 서비스 생성

다음 절차에 따라 Gateway Load Balancer를 사용하여 엔드포인트 서비스를 생성합니다.

Gateway Load Balancer 엔드포인트 서비스를 생성하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트 서비스(Endpoint services)를 선택합니다.

  3. 엔드포인트 서비스 생성을 선택하고 다음 작업을 수행합니다.

    1. 로드 밸런서 유형(Load balancer type)에서 게이트웨이(Gateway)를 선택합니다.

    2. 사용 가능한 로드 밸런서에서 Gateway Load Balancer를 선택합니다.

    3. 엔드포인트 수락 필요에서 서비스에 대한 연결 요청을 수동으로 수락하도록 하려면 수락 필요를 선택합니다. 그러지 않으면 자동으로 요청이 수락됩니다.

    4. Supported IP address types(지원되는 IP 주소 유형)에서 다음 중 하나를 수행합니다.

      • IPv4 선택 - IPv4 요청을 수락하도록 엔드포인트 서비스를 활성화합니다.

      • IPv6 선택 - IPv6 요청을 수락하도록 엔드포인트 서비스를 활성화합니다.

      • IPv4IPv6 선택 - IPv4 및 IPv6 요청을 모두 수락하도록 엔드포인트 서비스를 활성화합니다.

    5. (선택 사항) 태그를 추가하려면 새 태그 추가(Add new tag)를 선택하고 태그 키와 태그 값을 입력합니다.

    6. 생성(Create)을 선택합니다. 서비스 이름을 적어둡니다. 엔드포인트를 생성할 때 필요합니다.

  4. 새로운 엔드포인트 서비스를 선택하고 작업, 보안 주체 허용을 선택합니다. 서비스에 대한 엔드포인트를 생성하도록 허용된 서비스 소비자의 ARN을 입력합니다. 서비스 소비자는 사용자, IAM 역할 또는 AWS 계정일 수 있습니다. 보안 주체 허용(Allow principals)을 선택합니다.

3단계: Gateway Load Balancer 엔드포인트 생성

다음 절차에 따라 Gateway Load Balancer 엔드포인트 서비스에 연결하는 Gateway Load Balancer 엔드포인트를 생성합니다. Gateway Load Balancer 엔드포인트는 영역별입니다. 영역당 하나의 Gateway Load Balancer 엔드포인트를 생성하는 것이 좋습니다. 자세한 내용은 AWS PrivateLink 가이드AWS PrivateLink를 통해 가상 어플라이언스 액세스를 참조하세요.

Gateway Load Balancer 엔드포인트를 생성하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트를 선택합니다.

  3. 엔드포인트 생성을 선택하고 다음 작업을 수행합니다.

    1. 서비스 범주(Service category)에서 기타 엔드포인트 서비스(Other endpoint services)를 선택합니다.

    2. 서비스 이름에 앞서 적어둔 서비스 이름을 입력한 다음 서비스 확인을 선택합니다.

    3. VPC에서 서비스 소비자 VPC를 선택합니다.

    4. 서브넷에서 Gateway Load Balancer 엔드포인트의 서브넷을 선택합니다.

    5. IP 주소 유형(IP address type)에서 다음 옵션 중에서 선택합니다.

      • IPv4 - 엔드포인트 네트워크 인터페이스에 IPv4 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 주소 범위가 있는 경우에만 지원됩니다.

      • IPv6 - 엔드포인트 네트워크 인터페이스에 IPv6 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷이 IPv6 전용 서브넷인 경우에만 지원됩니다.

      • 듀얼 스택 - 엔드포인트 네트워크 인터페이스에 IPv4 및 IPv6 주소를 모두 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있는 경우에만 지원됩니다.

    6. (선택 사항) 태그를 추가하려면 새 태그 추가(Add new tag)를 선택하고 태그 키와 태그 값을 입력합니다.

    7. Create endpoint(엔드포인트 생성)을 선택합니다. 초기 상태는 pending acceptance입니다.

엔드포인트 연결 요청을 수락하려면 다음 절차를 따르세요.

  1. 탐색 창에서 엔드포인트 서비스(Endpoint services)를 선택합니다.

  2. 엔드포인트 서비스를 선택합니다.

  3. 엔드포인트 연결(Endpoint connections) 탭에서 엔드포인트 연결을 선택합니다.

  4. 연결 요청을 수락하려면 작업(Actions), 엔드포인트 연결 요청 수락(Accept endpoint connection request)을 차례로 선택합니다. 확인 메시지가 나타나면 accept를 입력한 다음 수락(Accept)을 선택합니다.

4단계: 라우팅 구성

서비스 소비자 VPC에 대해 다음과 같은 라우팅 테이블을 구성합니다. 이 테이블을 사용하여 보안 어플라이언스에서 애플리케이션 서버로 전송되는 인바운드 트래픽에 대한 보안 검사를 수행할 수 있습니다.

라우팅을 구성하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Route tables을 선택합니다.

  3. 인터넷 게이트웨이의 라우팅 테이블을 선택하고 다음을 수행합니다.

    1. 작업(Actions), Edit routes(라우팅 편집)를 선택합니다.

    2. 라우팅 추가(Add route)를 선택합니다. 대상(Destination)에 애플리케이션 서버에 대한 서브넷의 IPv4 CIDR 블록을 입력합니다. 대상(Target)에서 VPC 엔드포인트를 선택합니다.

    3. IPv6를 지원하는 경우 Add route(라우팅 추가)를 선택합니다. 대상(Destination)에 애플리케이션 서버에 대한 서브넷의 IPv6 CIDR 블록을 입력합니다. 대상(Target)에서 VPC 엔드포인트를 선택합니다.

    4. Save changes(변경 사항 저장)를 선택합니다.

  4. 애플리케이션 서버가 있는 서브넷의 라우팅 테이블을 선택하고 다음을 수행합니다.

    1. 작업(Actions), 라우팅 편집(Edit routes)을 선택합니다.

    2. 라우팅 추가(Add route)를 선택합니다. 대상 주소(Destination)0.0.0.0/0을 입력합니다. 대상(Target)에서 VPC 엔드포인트를 선택합니다.

    3. IPv6를 지원하는 경우 Add route(라우팅 추가)를 선택합니다. 대상 주소(Destination)::/0을 입력합니다. 대상(Target)에서 VPC 엔드포인트를 선택합니다.

    4. Save changes(변경 사항 저장)를 선택합니다.

  5. Gateway Load Balancer 엔드포인트가 있는 서브넷의 라우팅 테이블을 선택하고 다음을 수행합니다.

    1. 작업(Actions), 라우팅 편집(Edit routes)을 선택합니다.

    2. 라우팅 추가(Add route)를 선택합니다. 대상 주소(Destination)0.0.0.0/0을 입력합니다. 대상(Target)에서 인터넷 게이트웨이를 선택합니다.

    3. IPv6를 지원하는 경우 Add route(라우팅 추가)를 선택합니다. 대상 주소(Destination)::/0을 입력합니다. 대상(Target)에서 인터넷 게이트웨이를 선택합니다.

    4. 변경 사항 저장(Save changes)을 선택합니다.