VPC 내에서 아마존 OpenSearch 서비스 도메인 시작 - 아마존 OpenSearch 서비스
VPC 대 퍼블릭 도메인제한 사항아키텍처

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC 내에서 아마존 OpenSearch 서비스 도메인 시작

Amazon OpenSearch Service 도메인과 같은 AWS 리소스를 가상 사설 클라우드 (VPC) 로 시작할 수 있습니다. VPC는 사용자 전용 가상 네트워크입니다. AWS 계정VPC는 AWS 클라우드에서 다른 가상 네트워크와 논리적으로 분리되어 있습니다. VPC 내에 OpenSearch 서비스 도메인을 배치하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 서비스와 VPC 내 다른 OpenSearch 서비스 간의 보안 통신이 가능합니다. 모든 트래픽은 클라우드 내에서 안전하게 유지됩니다. AWS

참고

OpenSearch 서비스 도메인을 VPC 내에 배치하는 경우 컴퓨터가 VPC에 연결할 수 있어야 합니다. 이 연결은 종종 VPN, Transit Gateway, 관리형 네트워크 또는 프록시 서버의 형식을 따릅니다. VPC 밖에서는 도메인에 직접 액세스할 수 없습니다.

VPC 대 퍼블릭 도메인

다음은 VPC 도메인과 퍼블릭 도메인의 몇 가지 차이점입니다. 각 차이점은 추후 보다 자세히 설명합니다.

  • 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다.

  • 퍼블릭 도메인은 인터넷에 연결된 디바이스에서 액세스할 수 있지만 VPC 도메인에는 특정 형태의 VPN 또는 프록시가 필요합니다.

  • 퍼블릭 도메인과 비교하면, VPC 도메인은 콘솔에 더 적은 정보를 표시합니다. 특히 클러스터 상태(Cluster health) 탭에는 샤드 정보가 포함되지 않으며 인덱스(Indices) 탭은 표시되지 않습니다.

  • 도메인 엔드포인트의 형식이 다릅니다(https://search-domain-namehttps://vpc-domain-name).

  • 보안 그룹은 이미 IP 기반 액세스 정책을 사용하므로 VPC에 상주하는 도메인에 IP 기반 액세스 정책을 적용할 수는 없습니다.

제한 사항

VPC 내에서 OpenSearch 서비스 도메인을 운영하는 데에는 다음과 같은 제한이 있습니다.

  • VPC에서 새 도메인을 시작할 경우 나중에 해당 도메인이 퍼블릭 엔드포인트를 사용하도록 변경할 수 없습니다. 반대도 마찬가지입니다. 퍼블릭 엔드포인트를 사용하여 도메인을 만들 경우 나중에 해당 도메인을 VPC 안에 배치할 수 없습니다. 대신에 새 도메인을 만들어 데이터를 마이그레이션해야 합니다.

  • VPC에서 도메인을 시작할 수도 있고 퍼블릭 엔드포인트를 사용할 수도 있지만 두 방법을 동시에 사용할 수는 없습니다. 도메인을 만들 때 한 가지를 선택해야 합니다.

  • 전용 테넌시를 사용하는 VPC 내에서 도메인을 실행할 수 없습니다. Default로 설정된 테넌시와 함께 VPC를 사용해야 합니다.

  • 도메인을 VPC 내부에 배치한 후 다른 VPC로 이전할 수 없지만 서브넷과 보안 그룹 설정은 변경할 수 있습니다.

  • VPC 내에 있는 도메인의 OpenSearch 대시보드의 기본 설치에 액세스하려면 사용자에게 VPC에 대한 액세스 권한이 있어야 합니다. 이 프로세스는 네트워크 구성에 따라 다르지만, VPN 또는 관리형 네트워크에 연결하거나 프록시 서버 또는 Transit Gateway를 사용해야 할 수 있습니다. 자세한 내용은 VPC 도메인 액세스 정책에 대하여, Amazon VPC 사용 설명서대시보드 액세스 OpenSearch 제어 섹션을 참조하세요.

아키텍처

VPC를 지원하기 위해 OpenSearch 서비스는 VPC의 서브넷 1개, 2개 또는 3개에 엔드포인트를 배치합니다. 도메인에서 다중 가용 영역을 활성화하려는 경우 동일한 리전의 다른 가용 영역에 각 서브넷이 있어야 합니다. 가용 영역을 하나만 사용하는 경우 OpenSearch 서비스는 엔드포인트를 하나의 서브넷에만 배치합니다.

다음 그림은 가용 영역 한 개에 대한 VPC 아키텍처를 보여줍니다.

다음 그림은 가용 영역 두 개에 대한 VPC 아키텍처를 보여줍니다.

OpenSearch 또한 서비스는 각 데이터 노드의 VPC에 ENI (Elastic Network Interface) 를 배치합니다. OpenSearch 서비스는 서브넷의 IPv4 주소 범위에 속하는 사설 IP 주소를 각 ENI에 할당합니다. 또한 IP 주소에 퍼블릭 DNS 호스트 이름(도메인 엔드포인트)을 할당합니다. 퍼블릭 DNS 서비스를 사용하여 엔드포인트(즉 DNS 호스트 이름)을 데이터 노드의 적절한 IP 주소로 확인해야 합니다.

  • enableDnsSupport옵션을 true (기본값) 으로 설정하여 VPC가 Amazon 제공 DNS 서버를 사용하는 경우 서비스 엔드포인트의 확인이 OpenSearch 성공합니다.

  • VPC가 프라이빗 DNS 서버를 사용하고 서버가 신뢰할 수 있는 퍼블릭 DNS 서버에 접속하여 DNS 호스트 이름을 확인할 수 있는 경우 OpenSearch 서비스 엔드포인트에 대한 확인도 성공합니다.

IP 주소는 변경될 수 있으므로, 항상 올바른 데이터 노드에 액세스할 수 있도록 주기적으로 도메인 엔드포인트를 확인해야 합니다. DNS 확인 주기를 1분으로 설정할 것을 권장합니다. 클라이언트를 사용하는 경우, 클라이언트 내 DNS 캐시도 삭제되는지 확인해야 합니다.

퍼블릭 액세스에서 VPC 액세스로 마이그레이션

도메인을 만들 때 도메인이 퍼블릭 엔드포인트를 사용할지 또는 VPC에 상주할지를 지정합니다. 도메인을 만든 후에는 이 옵션을 변경할 수 없습니다. 대신에 새 도메인을 만들고 수동으로 다시 인덱싱하거나 데이터를 마이그레이션할 수 있습니다. 스냅샷이 데이터를 마이그레이션하는 편리한 방법을 제공합니다. 스냅샷 생성 및 복원에 대한 자세한 내용은 Amazon OpenSearch 서비스에서 인덱스 스냅샷 생성 섹션을 참조하세요.

VPC 도메인 액세스 정책에 대하여

VPC 내에 OpenSearch 서비스 도메인을 배치하면 고유의 강력한 보안 계층이 제공됩니다. 퍼블릭 액세스를 통해 도메인을 생성할 때는 엔드포인트가 다음과 같은 형식을 따릅니다.

https://search-domain-name-identifier.region.es.amazonaws.com

"퍼블릭"이라는 단어에서 알 수 있듯이 이 엔드포인트는 사용자가 액세스 권한을 제어할 수 있더라도(제어해야 합니다) 인터넷에 연결된 디바이스라면 모두 액세스할 수 있습니다. 웹 브라우저에서 엔드포인트에 액세스하는 경우에는 Not Authorized 메시지가 수신될 수도 있지만 요청이 도메인에 전달됩니다.

VPC 액세스를 통해 도메인을 생성할 때도 엔드포인트가 아래와 같이 퍼블릭 엔드포인트와 비슷한 모습을 보입니다.

https://vpc-domain-name-identifier.region.es.amazonaws.com

하지만 웹 브라우저에서 엔드포인트에 액세스하려고 하면 요청 시간 제한에 걸릴 수도 있습니다. 따라서 기본적인 GET 요청을 실행할 때도 컴퓨터를 VPC에 연결할 수 있어야 합니다. 이 연결은 종종 VPN, Transit Gateway, 관리형 네트워크 또는 프록시 서버의 형식을 따릅니다. 사용할 수 있는 다양한 형식에 대한 자세한 내용은 Amazon VPC 사용 설명서VPC에 대한 예를 참조하세요. 개발 중심 예제는 VPC 도메인 테스트 섹션을 참조하세요.

위와 같은 연결 요건에 더하여 VPC에서는 보안 그룹을 통해 도메인 액세스를 관리할 수 있습니다. 많은 사용 사례에서 이러한 보안 기능의 조합이면 충분하며 도메인에 개방적 액세스 정책을 적용하는 데 염려가 없을 것입니다.

오픈 액세스 정책으로 운영한다고 해서 인터넷상의 모든 사용자가 서비스 도메인에 액세스할 수 있는 것은 아닙니다. OpenSearch 즉, 요청이 OpenSearch 서비스 도메인에 도달하고 관련 보안 그룹이 이를 허용하면 도메인이 요청을 수락한다는 의미입니다. 유일한 예외는 세분화된 액세스 제어 또는 IAM 역할을 지정하는 액세스 정책을 사용하는 경우입니다. 이러한 상황에서 도메인이 해당 요청을 수락하려면 보안 그룹이 요청을 허용하고, 또한 유효한 자격 증명으로 서명되어야 합니다.

참고

보안 그룹은 이미 IP 기반 액세스 정책을 적용하고 있기 때문에 VPC 내에 있는 OpenSearch 서비스 도메인에는 IP 기반 액세스 정책을 적용할 수 없습니다. 퍼블릭 액세스를 사용하는 경우에도 IP 기반 정책을 사용할 수 있습니다.

시작하기 전에: VPC 액세스 사전 요구 사항

VPC와 새 OpenSearch 서비스 도메인 간의 연결을 활성화하려면 먼저 다음을 수행해야 합니다.

  • VPC 생성

    VPC를 만들려면 Amazon VPC 콘솔, AWS CLI 또는 SDK 중 하나를 사용할 수 있습니다. AWS 자세한 내용은 Amazon VPC 사용 설명서VPC 작업을 참조하세요. VPC가 이미 있는 경우에는 이 단계를 건너뛸 수 있습니다.

  • IP 주소 예약

    OpenSearch 서비스를 사용하면 VPC의 서브넷에 네트워크 인터페이스를 배치하여 VPC를 도메인에 연결할 수 있습니다. 각 네트워크 인터페이스에는 IP 주소가 연결됩니다. 서브넷에서 네트워크 인터페이스용 IP 주소를 충분히 예약해야 합니다. 자세한 내용은 VPC 서브넷에서 IP 주소 예약 섹션을 참조하세요.

VPC 도메인 테스트

VPC의 향상된 보안 기능을 통해 도메인 연결 및 기본 테스트 실행 작업을 실현할 수 있습니다. 이미 OpenSearch 서비스 VPC 도메인이 있고 VPN 서버를 만들지 않으려는 경우 다음 프로세스를 시도해 보세요.

  1. 도메인의 액세스 정책에 대해 [세분화된 액세스 제어만 사용(Only use fine-grained access control)]을 선택합니다. 테스트를 마친 후에는 언제든 이 설정을 업데이트할 수 있습니다.

  2. 서비스 도메인과 동일한 VPC, 서브넷, 보안 그룹에 Amazon Linux Amazon EC2 인스턴스를 생성합니다. OpenSearch

    이 인스턴스는 테스트용이며 거의 작업할 필요가 없으므로 t2.micro와 같은 저렴한 비용의 인스턴스 유형을 선택합니다. 인스턴스에 퍼블릭 IP 주소를 할당하고 새 키 페어를 생성하거나 기존 키 페어를 선택합니다. 새 키를 생성하는 경우 ~/.ssh 디렉터리로 다운로드합니다.

    인스턴스 생성에 대한 자세한 내용은 Amazon EC2 Linux 인스턴스 시작하기를 참조하세요.

  3. VPC에 인터넷 게이트웨이를 추가합니다.

  4. VPC의 라우팅 테이블에서 새 라우팅을 추가합니다. 대상 주소(Destination)에서 컴퓨터의 퍼블릭 IP 주소를 포함하는 CIDR 블록을 지정합니다. 대상(Target)에서 방금 생성한 인터넷 게이트웨이를 지정합니다.

    예를 들어 컴퓨터에 123.123.123.123/32를 지정하거나 컴퓨터 범위에 123.123.123.0/24를 지정할 수 있습니다.

  5. 보안 그룹의 경우 두 가지 인바운드 규칙을 지정합니다.

    유형 프로토콜 포트 범위 소스
    SSH(22) TCP(6) 22 your-cidr-block
    HTTPS(443) TCP(6) 443 your-security-group-id

    첫 번째 규칙은 SSH를 EC2 인스턴스로 가져옵니다. 두 번째 방법을 사용하면 EC2 인스턴스가 HTTPS를 통해 OpenSearch 서비스 도메인과 통신할 수 있습니다.

  6. 터미널에서 다음 명령을 실행합니다.

    ssh -i ~/.ssh/your-key.pem ec2-user@your-ec2-instance-public-ip -N -L 9200:vpc-domain-name.region.es.amazonaws.com:443

    이 명령은 EC2 인스턴스를 통해 https://localhost:9200 에 대한 요청을 OpenSearch 서비스 도메인으로 전달하는 SSH 터널을 생성합니다. 명령에서 포트 9200을 지정하면 로컬 OpenSearch 설치가 시뮬레이션되지만 원하는 포트를 사용하십시오. OpenSearch 서비스는 포트 80 (HTTP) 또는 443 (HTTPS) 을 통한 연결만 허용합니다.

    이 명령은 피드백을 제공하지 않고 무제한 실행됩니다. 이를 중단하려면 Ctrl + C를 누릅니다.

  7. 웹 브라우저에서 https://localhost:9200/_dashboards/ 으로 이동합니다. 보안 예외를 인정해야 할 수 있습니다.

    또는 curl, Postman 또는 좋아하는 프로그래밍 언어를 사용하여 https://localhost:9200에 요청을 보낼 수 있습니다.

    작은 정보

    인증서 불일치로 인해 curl 오류가 발생하는 경우 --insecure 플래그를 시도합니다.

VPC 서브넷에서 IP 주소 예약

OpenSearch 서비스는 VPC의 서브넷 (또는 여러 가용 영역을 활성화한 경우 VPC의 여러 서브넷) 에 네트워크 인터페이스를 배치하여 도메인을 VPC에 연결합니다. 각 네트워크 인터페이스에는 IP 주소가 연결됩니다. OpenSearch 서비스 도메인을 생성하기 전에 각 서브넷에 네트워크 인터페이스를 수용할 수 있는 충분한 수의 IP 주소가 있어야 합니다.

기본 공식은 다음과 같습니다. OpenSearch 서비스가 각 서브넷에 예약하는 IP 주소 수는 데이터 노드 수의 3배를 가용 영역 수로 나눈 값입니다.

예제

  • 도메인에 3개의 가용 영역에 걸쳐 9개의 데이터 노드가 있는 경우, 서브넷당 IP 개수는 9 * 3 / 3 = 9입니다.

  • 도메인에 2개의 가용 영역에 걸쳐 8개의 데이터 노드가 있는 경우, 서브넷당 IP 개수는 8 * 3 / 2 = 12입니다.

  • 도메인의 가용 영역 하나에 6개의 데이터 노드가 있는 경우, 서브넷당 IP 개수는 6 * 3 / 1 = 18입니다.

도메인을 생성하면 OpenSearch 서비스가 IP 주소를 예약하고 일부는 도메인에 사용하고 나머지는 블루/그린 배포를 위해 예약합니다. Amazon EC2 콘솔의 네트워크 인터페이스 단원에서 네트워크 인터페이스 및 연결된 IP 주소를 확인할 수 있습니다. 설명 열에는 네트워크 인터페이스가 연결된 OpenSearch 서비스 도메인이 표시됩니다.

작은 정보

OpenSearch 서비스 예약 IP 주소용 전용 서브넷을 생성하는 것이 좋습니다. 전용 서브넷을 사용하면 다른 애플리케이션 및 서비스와 중복을 방지하고 향후 클러스터를 확장해야 할 경우 추가 IP 주소 예약이 가능하도록 할 수 있습니다. 자세히 알아보려면 VPC에서 서브넷 만들기 섹션을 참조하세요.

VPC 액세스를 위한 서비스 연결 역할

서비스 연결 역할은 서비스에 권한을 위임하여 서비스가 사용자를 대신하여 리소스를 생성하고 관리할 수 있도록 하는 고유한 유형의 IAM 역할입니다. OpenSearch 서비스를 이용하려면 VPC에 액세스하고, 도메인 엔드포인트를 만들고, VPC의 서브넷에 네트워크 인터페이스를 배치할 수 있는 서비스 연결 역할이 필요합니다.

OpenSearch 서비스 콘솔을 사용하여 VPC 내에 도메인을 생성하면 OpenSearch 서비스가 자동으로 역할을 생성합니다. 이 자동 생성이 성공하려면 사용자가 iam:CreateServiceLinkedRole 작업에 대한 권한을 보유해야 합니다. 자세히 알아보려면 IAM 사용 설명서서비스 연결 역할 권한을 참조하세요.

OpenSearch 서비스가 역할을 생성한 후에는 IAM 콘솔을 사용하여 역할을 볼 수 있습니다 (AWSServiceRoleForAmazonOpenSearchService).

이 역할 권한에 대한 모든 정보와 삭제하는 방법은 Amazon 서비스에 대한 서비스 연결 역할 사용 OpenSearch 섹션을 참조하세요.