View a markdown version of this page

다른 계정의 VPC에 연결 - AWS HealthOmics
사전 조건워크플로의 계정에 Amazon VPC 생성VPC 피어링 연결 요청 생성리소스 계정 준비워크플로 계정에서 VPC 구성 업데이트교차 계정 VPC 액세스로 워크플로 실행문제 해결모범 사례추가 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다른 계정의 VPC에 연결

HealthOmics 워크플로 실행에 VPC를 인터넷에 노출하지 않고 다른 AWS 계정에서 관리하는 Amazon VPC의 리소스에 대한 액세스 권한을 부여할 수 있습니다. 이 액세스 패턴을 사용하면 AWS를 사용하는 다른 조직과 데이터를 공유할 수 있습니다. 이 액세스 패턴을 사용하면 인터넷보다 더 높은 수준의 보안과 성능으로 VPC 간에 데이터를 공유할 수 있습니다. VPC 피어링 연결을 사용하여 이러한 리소스에 액세스하도록 워크플로 실행을 구성합니다.

주의

계정 또는 VPC 간 액세스를 허용할 때는 플랜이 해당 계정을 관리하는 각 조직의 보안 요구 사항을 충족하는지 확인하세요. 이 문서의 지침을 따르면 리소스의 보안 태세에 영향을 미칠 수 있습니다.

이 자습서에서는 IPv4를 사용하여 두 개의 계정을 피어링 연결로 연결합니다. 다른 계정의 VPC에 아직 연결되지 않은 HealthOmics 구성 리소스를 구성합니다. 정적 IPs를 제공하지 않는 리소스에 워크플로 실행을 연결하도록 DNS 확인을 구성합니다. 이 지침을 다른 피어링 시나리오에 적용하려면 VPC 피어링 설명서를 참조하세요.

사전 조건

HealthOmics 워크플로 실행에 다른 계정의 리소스에 대한 액세스 권한을 부여하려면 다음이 있어야 합니다.

  • 로 인증한 다음 리소스에서 읽도록 구성된 HealthOmics 워크플로입니다.

  • Amazon VPC를 통해 사용할 수 있는 Amazon RDS 클러스터 또는 라이선스 서버와 같은 다른 계정의 리소스입니다.

  • 워크플로 계정 및 리소스 계정에 대한 자격 증명입니다. 리소스 계정을 사용할 권한이 없는 경우 승인된 사용자에게 문의하여 해당 계정을 준비하세요.

  • HealthOmics 워크플로 실행과 연결할 VPC(및 Amazon VPC 리소스 지원)를 생성하고 업데이트할 수 있는 권한.

  • HealthOmics 구성 리소스를 생성할 수 있는 권한.

  • 워크플로 계정에서 VPC 피어링 연결을 생성할 수 있는 권한.

  • 리소스 계정의 VPC 피어링 연결을 수락할 수 있는 권한

  • 리소스의 VPC와 지원하는 Amazon VPC 리소스의 구성을 업데이트할 수 있는 권한

  • HealthOmics 워크플로 실행을 시작할 수 있는 권한.

워크플로의 계정에 Amazon VPC 생성

HealthOmics 워크플로의 계정에 Amazon VPC, 서브넷, 라우팅 테이블 및 보안 그룹을 생성합니다.

콘솔을 사용하여 VPC, 서브넷 및 기타 VPC 리소스를 생성하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 대시보드에서 VPC 생성을 선택합니다.

  3. IPv4 CIDR 블록에 프라이빗 CIDR 블록을 제공합니다. CIDR 블록은 리소스의 VPC에 사용되는 블록과 겹치지 않아야 합니다. 리소스의 VPC가 리소스에 IPs 할당하는 데 사용하는 블록 또는 리소스의 VPC의 라우팅 테이블에 이미 정의된 블록을 선택하지 마십시오. 적절한 CIDR 블록을 정의하는 방법에 대한 자세한 내용은 VPC CIDR 블록을 참조하세요.

  4. AZ 사용자 지정을 선택합니다.

  5. 해당 리전에서 HealthOmics가 작동하는 가용 영역을 하나 이상 선택합니다.

  6. 퍼블릭 서브넷 수에서를 선택합니다0.

  7. VPC 엔드포인트에서 None (나중에 비용 최적화를 위해 추가할 수 있음)를 선택합니다.

  8. VPC 생성을 선택합니다.

VPC 피어링 연결 요청 생성

워크플로의 VPC(요청자 VPC)에서 리소스의 VPC(수락자 VPC)로의 VPC 피어링 연결 요청을 생성합니다.

워크플로의 VPC에서 VPC 피어링 연결을 요청하려면

  1. Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Peering connections를 선택합니다.

  3. Create peering connection(피어링 연결 생성)을 선택합니다.

  4. VPC ID(요청자)에서 워크플로의 VPC를 선택합니다.

  5. 계정 ID에 리소스 계정의 ID를 입력합니다.

  6. VPC ID(수락자)에 리소스의 VPC ID를 입력합니다.

  7. Create peering connection(피어링 연결 생성)을 선택합니다.

리소스 계정 준비

피어링 연결을 생성하고 리소스의 VPC가 연결을 사용하도록 준비하려면 사전 요구 사항에 나열된 권한을 보유하는 역할로 리소스 계정에 로그인합니다. 로그인 단계는 계정 보안 방법에 따라 다를 수 있습니다. AWS 계정에 로그인하는 방법에 대한 자세한 내용은 AWS 로그인 사용 설명서를 참조하세요. 리소스 계정에서 다음 절차를 수행하세요.

VPC 피어링 연결 요청을 수락하려면 다음을 수행하세요.

  1. Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Peering connections를 선택합니다.

  3. 보류 중인 VPC 피어링 연결(상태는 수락 대기 중)을 선택합니다.

  4. 작업을 선택합니다.

  5. 드롭다운 목록에서 요청 수락을 선택합니다.

  6. 확인 메시지가 나타나면 요청 수락을 선택합니다.

  7. 피어링 연결을 통해 트래픽을 보내고 받을 수 있도록 VPC의 기본 경로 테이블에 대한 경로를 추가하려면 지금 내 라우팅 테이블 수정을 선택합니다.

리소스의 VPC에 대한 라우팅 테이블을 검사합니다. Amazon VPC에서 생성된 경로는 리소스의 VPC가 설정된 방식에 따라 연결이 설정되지 않을 수 있습니다. 새 경로와 VPC의 기존 구성 간에 충돌이 있는지 확인합니다. 문제 해결에 대한 자세한 내용은 Amazon VPC 피어링 안내서의 VPC 피어링 연결 문제 해결을 참조하세요.

리소스의 VPC에 대한 라우팅 테이블을 업데이트하려면

  1. Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Route tables을 선택합니다.

  3. 리소스와 연결된 서브넷의 라우팅 테이블 이름 옆에 있는 확인란을 선택합니다.

  4. 작업을 선택합니다.

  5. 라우팅 편집(Edit routes)을 선택합니다.

  6. 경로 추가를 선택합니다.

  7. 대상에 워크플로의 VPC에 대한 CIDR 블록을 입력합니다.

  8. 대상에서 VPC 피어링 연결을 선택합니다.

  9. 변경 사항 저장을 선택합니다.

라우팅 테이블을 업데이트하는 동안 발생할 수 있는 고려 사항에 대한 자세한 내용은 VPC 피어링 연결을 위한 라우팅 테이블 업데이트를 참조하세요.

리소스의 보안 그룹을 업데이트하려면 다음을 수행하세요.

  1. Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Security groups를 선택합니다.

  3. 리소스에 대한 보안 그룹을 선택합니다.

  4. 작업을 선택합니다.

  5. 드롭다운 목록에서 인바운드 규칙 편집을 선택합니다.

  6. 규칙 추가를 선택합니다.

  7. 유형에서 리소스가 사용하는 프로토콜(예: HTTPS, MySQL/Aurora 또는 사용자 지정 TCP)을 선택합니다.

  8. 포트 범위에 리소스가 수신 대기하는 포트를 입력합니다.

  9. 소스에 워크플로의 VPC CIDR 블록을 입력합니다(예: 10.0.0.0/16).

  10. 규칙 저장을 선택합니다.

  11. 아웃바운드 규칙 편집을 선택합니다.

  12. 아웃바운드 트래픽이 제한되는지 확인합니다. 기본 VPC 설정은 모든 아웃바운드 트래픽을 허용합니다. 아웃바운드 트래픽이 제한되면 다음 단계로 계속 진행합니다.

  13. 규칙 추가를 선택합니다.

  14. 유형에서 All traffic 또는 필요한 특정 프로토콜을 선택합니다.

  15. 대상에 워크플로의 VPC CIDR 블록(예: 10.0.0.0/16)을 입력합니다.

  16. 규칙 저장을 선택합니다.

피어링 연결에 대한 DNS 확인을 활성화하려면 다음을 수행하세요.

  1. Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Peering connections를 선택합니다.

  3. 피어링 연결을 선택합니다.

  4. 작업을 선택합니다.

  5. DNS 설정 편집을 선택합니다.

  6. 수락자 DNS 확인 아래에서 요청자 VPC가 수락자 VPC 호스트의 DNS를 프라이빗 IP로 확인하도록 허용을 선택합니다.

  7. 변경 사항 저장을 선택합니다.

워크플로 계정에서 VPC 구성 업데이트

워크플로의 계정에 로그인한 다음 VPC 구성을 업데이트합니다.

VPC 피어링 연결을 위한 경로를 추가하려면 다음을 수행하세요.

  1. Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Route tables을 선택합니다.

  3. HealthOmics 구성과 연결할 서브넷의 라우팅 테이블 이름 옆에 있는 확인란을 선택합니다.

  4. 작업을 선택합니다.

  5. 라우팅 편집(Edit routes)을 선택합니다.

  6. 경로 추가를 선택합니다.

  7. 대상에 리소스 VPC의 CIDR 블록을 입력합니다.

  8. 대상에서 VPC 피어링 연결을 선택합니다.

  9. 변경 사항 저장을 선택합니다.

라우팅 테이블을 업데이트하는 동안 발생할 수 있는 고려 사항에 대한 자세한 내용은 VPC 피어링 연결을 위한 라우팅 테이블 업데이트를 참조하세요.

HealthOmics 워크플로 실행의 보안 그룹을 업데이트하려면

  1. Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Security groups를 선택합니다.

  3. HealthOmics 구성에 사용할 보안 그룹을 선택합니다.

  4. 작업을 선택합니다.

  5. 아웃바운드 규칙 편집을 선택합니다.

  6. 규칙 추가를 선택합니다.

  7. 유형에서 리소스가 사용하는 프로토콜을 선택합니다(예: HTTPS, MySQL/Aurora 또는 사용자 지정 TCP).

  8. 포트 범위에 리소스가 수신 대기하는 포트를 입력합니다.

  9. 대상에 리소스의 VPC CIDR 블록(예: 10.1.0.0/16)을 입력합니다.

  10. 규칙 저장을 선택합니다.

  11. 인바운드 규칙 편집을 선택합니다.

  12. 인바운드 트래픽 규칙이 존재하는지 확인합니다. 리소스가 워크플로 실행에 대한 연결을 다시 시작해야 하는 경우 다음 단계를 계속 진행합니다. 그렇지 않으면 DNS 확인 단계로 건너뜁니다.

  13. 규칙 추가를 선택합니다.

  14. 유형에서 적절한 프로토콜을 선택합니다.

  15. 소스에 리소스의 VPC CIDR 블록을 입력합니다(예: 10.1.0.0/16).

  16. 규칙 저장을 선택합니다.

피어링 연결에 대한 DNS 확인을 활성화하려면 다음을 수행하세요.

  1. Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Peering connections를 선택합니다.

  3. 피어링 연결을 선택합니다.

  4. 작업을 선택합니다.

  5. DNS 설정 편집을 선택합니다.

  6. 요청자 DNS 확인 아래에서 수락자 VPC가 요청자 VPC 호스트의 DNS를 프라이빗 IP로 확인하도록 허용을 선택합니다.

  7. 변경 사항 저장을 선택합니다.

교차 계정 VPC 액세스로 워크플로 실행

워크플로 실행을 시작할 때 워크플로 계정의 VPC에서 서브넷 및 보안 그룹을 사용합니다. 워크플로 실행의 트래픽은 VPC 피어링 연결을 통해 다른 계정의 VPC로 라우팅됩니다.

HealthOmics 구성 리소스를 생성하고 VPC 네트워킹을 사용하여 워크플로 실행을 시작하는 방법에 대한 자세한 내용은 섹션을 참조하세요VPC에 HealthOmics 워크플로 연결.

중요

두 VPC 모두에서 VPC 흐름 로그를 활성화하여 두 VPCs 간의 트래픽 흐름을 확인하고 연결 문제를 해결하는 것이 좋습니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 흐름 로그를 참조하세요.

문제 해결

워크플로 실행이 피어링된 VPC의 리소스에 연결할 수 없는 경우:

  1. 라우팅 테이블 확인: 두 VPCs는 양방향 경로가 있는지 확인합니다.

  2. 보안 그룹 확인: 두 VPCs의 보안 그룹이 필요한 트래픽(리소스 VPC의 인바운드, 워크플로 VPC의 아웃바운드)을 허용하는지 확인합니다.

  3. DNS 확인 확인: DNS 이름을 사용하는 경우 피어링 연결에서 DNS 확인이 양방향으로 활성화되어 있는지 확인합니다.

  4. CIDR 블록 확인: CIDR 블록이 두 VPCs 간에 겹치지 않는지 확인합니다.

  5. VPC 흐름 로그 검토: 두 VPC 모두에서 VPCs 흐름 로그를 활성화하여 트래픽 흐름 문제를 진단합니다.

  6. 피어링 연결 상태 확인: 피어링 연결 상태가 두 계정 active 모두에 있는지 확인합니다.

자세한 문제 해결 지침은 Amazon VPC 피어링 가이드의 VPC 피어링 연결 문제 해결을 참조하세요.

모범 사례

  1. 최소 권한 보안 그룹 사용: 워크플로가 리소스에 액세스하는 데 필요한 특정 포트 및 프로토콜만 허용합니다.

  2. 피어링 관계 문서화: 피어링되는 VPCs와 그 용도에 대한 문서를 유지 관리합니다.

  3. 교차 계정 트래픽 모니터링: VPC 흐름 로그 및 CloudWatch 지표를 사용하여 트래픽 패턴을 모니터링하고 이상을 감지합니다.

  4. CIDR 블록을 신중하게 계획: CIDR 블록이 겹치지 않도록 하고 향후 확장을 위한 공간을 남겨둡니다.

  5. 철저한 테스트: 프로덕션 워크로드를 실행하기 전에 테스트 워크플로와의 연결을 검증합니다.

  6. 리소스 계정 소유자와 조정: 문제 해결 및 유지 관리를 위해 리소스 계정을 관리하는 팀과 명확한 커뮤니케이션 채널을 설정합니다.

  7. 태그 사용: VPC 피어링 연결, 라우팅 테이블 및 보안 그룹에 태그를 지정하여 용도와 소유권을 식별합니다.

추가 리소스