Amazon에서의 네트워킹에 대해 MWAA - Amazon Managed Workflows for Apache Airflow
용어지원되는 항목VPC인프라 개요Amazon VPC 및 Apache 에어플로우 액세스 모드의 사용 사례 예시

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon에서의 네트워킹에 대해 MWAA

VPCAmazon은 AWS 계정에 연결된 가상 네트워크입니다. 가상 인프라 및 네트워크 트래픽 세분화를 세밀하게 제어하여 클라우드 보안과 동적으로 확장할 수 있는 기능을 제공합니다. 이 페이지에서는 Apache Airflow용 Amazon Managed Workflow 환경을 지원하는 데 필요한 퍼블릭 라우팅 또는 프라이빗 라우팅이 있는 Amazon VPC 인프라를 설명합니다.

용어

퍼블릭 라우팅

인터넷에 액세스할 수 있는 Amazon VPC 네트워크.

프라이빗 라우팅

인터넷에 접속할 수 없는 Amazon VPC 네트워크

지원되는 항목

다음 표에는 VPCs Amazon Amazon이 MWAA 지원하는 유형이 설명되어 있습니다.

아마존 VPC 유형 지원

환경을 만들려고 시도하는 계정 VPC 소유의 Amazon.

여러 AWS 계정이 AWS 리소스를 생성하는 공유 VPC Amazon입니다.

VPC인프라 개요

Amazon MWAA 환경을 생성할 때 Amazon은 환경에 대해 선택한 Apache Airflow 액세스 모드를 기반으로 사용자 환경에 대해 1~2개의 VPC 엔드포인트를 MWAA 생성합니다. 이러한 엔드포인트는 IPs VPC Amazon에서 비공개를 지원하는 엘라스틱 네트워크 인터페이스 (ENIs) 로 표시됩니다. 이러한 엔드포인트가 생성되면 해당 엔드포인트로 향하는 모든 트래픽이 IPs 사용자 환경에서 사용되는 해당 AWS 서비스에 비공개 또는 공개적으로 라우팅됩니다.

다음 섹션에서는 트래픽을 인터넷을 통해 공개적으로 또는 Amazon 내에서 비공개로 라우팅하는 데 필요한 Amazon VPC VPC 인프라에 대해 설명합니다.

인터넷을 통한 퍼블릭 라우팅

이 섹션에서는 퍼블릭 라우팅이 있는 환경의 Amazon VPC 인프라에 대해 설명합니다. 다음과 같은 VPC 인프라가 필요합니다.

  • VPC보안 그룹 하나. VPC보안 그룹은 인스턴스의 인그레스 (인바운드) 및 이그레스 (아웃바운드) 네트워크 트래픽을 제어하는 가상 방화벽 역할을 합니다.

  • 2개의 퍼블릭 서브넷. 퍼블릭 서브넷은 인터넷 게이트웨이로 이어지는 경로가 있는 라우팅 테이블과 연결된 서브넷입니다.

    • 2개의 퍼블릭 서브넷이 필요합니다. 이렇게 하면 하나의 MWAA 컨테이너에 장애가 발생할 경우 Amazon이 다른 가용 영역에 사용자 환경을 위한 새 컨테이너 이미지를 구축할 수 있습니다.

    • 서브넷이 서로 다른 가용 영역에 있어야 합니다. 예, us-east-1a, us-east-1b.

    • 서브넷은 엘라스틱 IP 주소 () 가 있는 NAT 게이트웨이 (또는 NAT 인스턴스) 로 라우팅해야 합니다. EIP

    • 서브넷에는 인터넷 바인딩 트래픽을 인터넷 게이트웨이로 전달하는 라우팅 테이블이 있어야 합니다.

  • 2개의 프라이빗 서브넷. 프라이빗 서브넷은 인터넷 게이트웨이에 대한 경로가 있는 라우팅 테이블과 연결되지 않은 서브넷입니다.

    • 두 개의 프라이빗 서브넷이 필요합니다. 이렇게 하면 하나의 MWAA 컨테이너에 장애가 발생할 경우 Amazon이 다른 가용 영역에 사용자 환경을 위한 새 컨테이너 이미지를 구축할 수 있습니다.

    • 서브넷이 서로 다른 가용 영역에 있어야 합니다. 예, us-east-1a, us-east-1b.

    • 서브넷에는 NAT 디바이스 (게이트웨이 또는 인스턴스) 에 대한 라우팅 테이블이 있어야 합니다.

    • 서브넷은 인터넷 게이트웨이로 라우팅되어서는 안 됩니다.

  • 네트워크 액세스 제어 목록 (ACL). NACL는 (허용 또는 거부 규칙에 따라) 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 관리합니다.

    • 에는 모든 트래픽을 허용하는 인바운드 규칙이 NACL 있어야 합니다 (). 0.0.0.0/0

    • 에는 모든 트래픽을 허용하는 아웃바운드 규칙이 NACL 있어야 합니다 ()0.0.0.0/0.

    • 예: (권장) 예제 ACL.

  • 두 개의 NAT 게이트웨이 (또는 NAT 인스턴스). NAT기기는 프라이빗 서브넷의 인스턴스에서 인터넷 또는 기타 AWS 서비스로 트래픽을 전달한 다음 응답을 다시 인스턴스로 라우팅합니다.

    • NAT디바이스를 퍼블릭 서브넷에 연결해야 합니다. (퍼블릭 서브넷당 NAT 장치 1개)

    • NAT디바이스에는 각 퍼블릭 서브넷에 엘라스틱 IPv4 주소 (EIP) 가 연결되어 있어야 합니다.

  • 인터넷 게이트웨이. 인터넷 게이트웨이는 VPC Amazon을 인터넷 및 기타 AWS 서비스에 연결합니다.

    • 인터넷 게이트웨이는 Amazon에 연결되어야 VPC 합니다.

인터넷 접속이 필요 없는 프라이빗 라우팅

이 섹션에서는 프라이빗 라우팅을 사용하는 환경의 Amazon VPC 인프라에 대해 설명합니다. 다음과 같은 VPC 인프라가 필요합니다.

  • VPC보안 그룹 하나. VPC보안 그룹은 인스턴스의 인그레스 (인바운드) 및 이그레스 (아웃바운드) 네트워크 트래픽을 제어하는 가상 방화벽 역할을 합니다.

  • 2개의 프라이빗 서브넷. 프라이빗 서브넷은 인터넷 게이트웨이에 대한 경로가 있는 라우팅 테이블과 연결되지 않은 서브넷입니다.

    • 두 개의 프라이빗 서브넷이 필요합니다. 이렇게 하면 하나의 MWAA 컨테이너에 장애가 발생할 경우 Amazon이 다른 가용 영역에 사용자 환경을 위한 새 컨테이너 이미지를 구축할 수 있습니다.

    • 서브넷이 서로 다른 가용 영역에 있어야 합니다. 예, us-east-1a, us-east-1b.

    • 서브넷에는 VPC 엔드포인트로 연결되는 라우팅 테이블이 있어야 합니다.

    • 서브넷에는 NAT 디바이스 (게이트웨이 또는 인스턴스) 에 대한 라우팅 테이블이나 인터넷 게이트웨이가 없어야 합니다.

  • 네트워크 액세스 제어 목록 (ACL). NACL는 (허용 또는 거부 규칙에 따라) 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 관리합니다.

    • 에는 모든 트래픽을 허용하는 인바운드 규칙이 NACL 있어야 합니다 (). 0.0.0.0/0

    • 에는 모든 트래픽을 거부하는 아웃바운드 규칙이 NACL 있어야 합니다 (). 0.0.0.0/0

    • 예: (권장) 예제 ACL.

  • 로컬 라우팅 테이블. 로컬 라우팅 테이블은 내부 통신을 위한 기본 경로입니다. VPC

    • 로컬 라우팅 테이블은 프라이빗 서브넷에 연결되어야 합니다.

    • 로컬 라우팅 테이블은 사용자의 인스턴스가 자체 네트워크와 VPC 통신할 수 있도록 해야 합니다. 예를 들어 를 사용하여 Apache Airflow 웹 서버의 VPC 인터페이스 AWS Client VPN 엔드포인트에 액세스하는 경우 라우팅 테이블은 엔드포인트로 라우팅되어야 합니다. VPC

  • VPC사용자 환경에서 사용하는 각 AWS 서비스의 엔드포인트와 Amazon 환경과 동일한 지역 AWS 및 Amazon에 있는 Apache Airflow VPC 엔드포인트. VPC MWAA

Amazon VPC 및 Apache 에어플로우 액세스 모드의 사용 사례 예시

이 섹션에서는 Amazon에서의 네트워크 액세스에 대한 다양한 사용 VPC 사례와 Amazon 콘솔에서 선택해야 하는 Apache Airflow 웹 서버 액세스 모드를 설명합니다. MWAA

인터넷 액세스 허용 - 새 Amazon VPC 네트워크

조직에서 인터넷 액세스를 허용하고 사용자가 인터넷을 통해 Apache Airflow 웹 서버에 액세스하도록 하려는 경우: VPC

  1. 인터넷에 액세스할 수 있는 Amazon VPC 네트워크를 생성하십시오.

  2. Apache Airflow 웹 서버에 대한 퍼블릭 네트워크 액세스 모드를 사용하여 환경을 생성합니다.

  3. 권장 사항: Amazon VPC 인프라, Amazon S3 버킷 및 Amazon MWAA 환경을 동시에 생성하는 AWS CloudFormation 빠른 시작 템플릿을 사용하는 것이 좋습니다. 자세한 내용은 Amazon Managed Workflows for Apache Airflow용 빠른 시작 튜토리얼을 참조하십시오.

조직에서 인터넷 액세스를 허용하고 Apache Airflow 웹 서버 액세스를 조직 내 사용자로만 제한하려는 경우: VPC VPC

  1. 인터넷에 액세스할 수 있는 Amazon VPC 네트워크를 생성하십시오.

  2. 컴퓨터에서 Apache Airflow 웹 서버의 VPC 인터페이스 엔드포인트에 액세스하는 메커니즘을 생성하십시오.

  3. Apache Airflow 웹 서버에 대한 프라이빗 네트워크 액세스 모드를 사용하여 환경을 생성합니다.

  4. 권장 사항:

    1. 에서 Amazon MWAA 콘솔을 사용하거나 에서 옵션 1: Amazon MWAA 콘솔에서 VPC 네트워크 생성 AWS CloudFormation 템플릿을 사용하는 것이 좋습니다옵션 2: 인터넷에 액세스할 수 있는 Amazon VPC 네트워크 생성.

    2. 에서 Apache Airflow 웹 서버에 대한 액세스를 사용하여 구성하는 것이 좋습니다. AWS Client VPN 튜토리얼: AWS Client VPN을(를) 사용한 프라이빗 네트워크 액세스 구성

인터넷 액세스가 허용되지 않음 - 새 Amazon VPC 네트워크

조직에서 귀사의 인터넷 액세스를 허용하지 VPC 않는 경우:

  1. 인터넷에 접속하지 않고도 Amazon VPC 네트워크를 만들 수 있습니다.

  2. 컴퓨터에서 Apache Airflow 웹 서버의 VPC 인터페이스 엔드포인트에 액세스하는 메커니즘을 생성하십시오.

  3. 환경에서 사용하는 각 AWS 서비스에 대한 VPC 엔드포인트를 생성합니다.

  4. Apache Airflow 웹 서버에 대한 프라이빗 네트워크 액세스 모드를 사용하여 환경을 생성합니다.

  5. 권장 사항:

    1. AWS CloudFormation 템플릿을 사용하여 인터넷에 접속할 수 VPC 없는 Amazon을 생성하고 MWAA Amazon에서 옵션 3: 인터넷에 접속하지 않고 Amazon VPC 네트워크 만들기 사용하는 각 AWS 서비스의 VPC 엔드포인트를 생성하는 것이 좋습니다.

    2. 에서 Apache Airflow 웹 AWS Client VPN 서버에 대한 액세스를 사용하여 구성하는 것이 좋습니다. 튜토리얼: AWS Client VPN을(를) 사용한 프라이빗 네트워크 액세스 구성

인터넷 액세스가 허용되지 않음 - 기존 Amazon VPC 네트워크

조직에서 인터넷 액세스를 허용하지 않고 필요한 Amazon VPC 네트워크를 이미 보유하고 있고 인터넷에 연결되어 VPC 있지 않은 경우

  1. 환경에서 사용하는 각 AWS 서비스에 대해 VPC 엔드포인트를 생성하십시오.

  2. Apache VPC Airflow용 엔드포인트를 생성합니다.

  3. 컴퓨터에서 Apache Airflow 서버의 VPC 인터페이스 엔드포인트에 액세스하는 메커니즘을 만드십시오.

  4. Apache Airflow 웹 서버에 대한 프라이빗 네트워크 액세스 모드를 사용하여 환경을 생성합니다.

  5. 권장 사항:

    1. MWAAAmazon에서 사용하는 각 AWS 서비스에 필요한 VPC 엔드포인트와 Apache Airflow에 필요한 VPC 엔드포인트를 생성하여 연결하는 것이 좋습니다. 프라이빗 라우팅을 VPC 사용하여 Amazon에서 필수 VPC 서비스 엔드포인트 생성

    2. 에서 Apache Airflow 웹 서버에 대한 액세스를 사용하여 구성하는 AWS Client VPN 것이 좋습니다. 튜토리얼: AWS Client VPN을(를) 사용한 프라이빗 네트워크 액세스 구성