AWS OutpostsAWS 리전에 연결 - AWS Outposts
서비스 링크를 통한 연결를 사용한 서비스 링크 프라이빗 연결 VPC중복 인터넷 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS OutpostsAWS 리전에 연결

AWS Outposts 는 서비스 링크 연결을 통한 광역 네트워크(WAN) 연결을 지원합니다.

내용

서비스 링크는 Outposts와 AWS 리전(또는 홈 리전) 간의 필수 연결입니다. 이를 통해 Outpost를 관리하고 AWS 리전을 오가는 트래픽을 교환할 수 있습니다. 서비스 링크는 암호화된 VPN 연결 세트를 활용하여 홈 리전과 통신합니다.

서비스 링크 연결이 설정되면 Outpost가 작동하고 에서 관리합니다 AWS. 서비스 링크는 다음 트래픽을 용이하게 합니다.

  • Outpost와 연결된 간의 고객 VPC 트래픽입니다VPCs.

  • 리소스 관리, 리소스 모니터링, 펌웨어 및 소프트웨어 업데이트와 같은 관리 트래픽을 아웃포스트합니다.

다음 단계에서는 서비스 링크 설정 프로세스와 연결 옵션을 설명합니다.

  1. Outposts 랙을 주문한 후 에서 VLAN, IP, BGP및 인프라 서브넷을 수집하기 위해 에 AWS 문의합니다IPs. 자세한 내용은 로컬 네트워크 연결 단원을 참조하십시오.

  2. 설치 중에 제공한 정보를 기반으로 Outpost에서 서비스 링크를 AWS 구성합니다.

  3. 라우터와 같은 로컬 네트워킹 디바이스가 BGP 연결을 통해 각 Outpost 네트워크 디바이스에 연결되도록 구성합니다. 서비스 링크 VLAN, IP 및 BGP 연결에 대한 자세한 내용은 섹션을 참조하세요네트워킹.

  4. Outposts가 AWS 리전 또는 홈 리전에 액세스할 수 있도록 방화벽과 같은 네트워킹 디바이스를 구성합니다. 는 서비스 링크 인프라 서브넷IPs을 AWS Outposts 사용하여 VPN 연결을 설정하고 리전과 제어 및 데이터 트래픽을 교환합니다. 서비스 링크 설정은 항상 Outpost에서 시작됩니다. 다음 옵션 중 하나를 사용하여 Outpost와 AWS 리전 간에 서비스 링크 VPN 연결을 설정할 수 있습니다.

    • 퍼블릭 인터넷

      이 옵션을 사용하려면 AWS Outposts 서비스 링크 인프라 서브넷IPs이 AWS 리전 또는 홈 리전의 퍼블릭 IP 범위에 액세스할 수 있어야 합니다. 방화벽과 같은 네트워킹 장치에서 AWS 리전 퍼블릭 IPs 또는 0.0.0.0/0을 허용해야 합니다.

    • AWS Direct Connect (DX) 퍼블릭 VIFs

      이 옵션을 사용하려면 AWS Outposts 서비스 링크 인프라 서브넷IPs이 DX 서비스를 통해 AWS 리전 또는 홈 리전의 퍼블릭 IP 범위에 액세스할 수 있어야 합니다. 방화벽과 같은 네트워킹 장치에서 AWS 리전 퍼블릭 IPs 또는 0.0.0.0/0을 허용해야 합니다.

    • 프라이빗 연결

      자세한 내용은 를 사용한 프라이빗 연결 서비스 링크를 VPC참조하세요.

참고

  • 방화벽에서 AWS 리전 퍼블릭IPs(0.0.0.0/0 대신)만 허용 목록을 작성하려는 경우 방화벽 규칙이 up-to-date 현재 IP 주소 범위와 일치하는지 확인해야 합니다. 자세한 내용은 Amazon VPC 사용 설명서AWS IP 주소 범위를 참조하세요.

  • 주문 프로세스 중에 제공된 서비스 링크 구성을 수정할 수 없습니다.

서비스 링크 최대 전송 단위(MTU) 요구 사항

네트워크 연결의 최대 전송 단위(MTU)는 연결을 통해 전달될 수 있는 가장 큰 허용 패킷의 크기인 바이트입니다. 네트워크는 상위 AWS 리전의 Outpost와 서비스 링크 엔드포인트 MTU 간에 1,500바이트를 지원해야 합니다. 서비스 링크를 통해 Outpost의 인스턴스와 AWS 리전의 인스턴스 MTU 간에 필요한 에 대한 자세한 내용은 Amazon EC2 사용 설명서Amazon EC2 인스턴스에 대한 네트워크 최대 전송 단위(MTU)를 참조하세요.

서비스 링크 대역폭 권장 사항

최적의 환경과 복원력을 얻으려면 각 컴퓨팅 랙에 대해 최소 500Mbps의 중복 연결을 사용하고 AWS 리전에 대한 서비스 링크 연결에 대해 최대 175ms의 왕복 지연 시간을 사용해야 AWS 합니다. AWS Direct Connect 또는 인터넷 연결을 서비스 링크에 사용할 수 있습니다. 서비스 링크 연결을 위한 최소 500Mbps 및 최대 왕복 시간 요구 사항을 사용하면 Amazon EC2 인스턴스를 시작하고, Amazon EBS 볼륨을 연결하고, Amazon EKS, Amazon EMR및 CloudWatch 지표와 같은 AWS 서비스에 최적의 성능으로 액세스할 수 있습니다.

Outpost 서비스 링크 대역폭 요구 사항은 다음 특성에 따라 다릅니다.

  • AWS Outposts 랙 수 및 용량 구성

  • AMI 크기, 애플리케이션 탄력성, 버스트 속도 요구 사항, 리전으로 가는 Amazon VPC 트래픽과 같은 워크로드 특성

필요에 필요한 서비스 링크 대역폭에 대한 사용자 지정 권장 사항을 받으려면 AWS 영업 담당자 또는 APN 파트너에게 문의하세요.

방화벽 및 서비스 링크

이 섹션에서는 방화벽 구성 및 서비스 링크 연결에 대해 설명합니다.

다음 다이어그램에서 구성은 AWS 리전VPC에서 Outpost로 Amazon을 확장합니다. AWS Direct Connect 퍼블릭 가상 인터페이스는 서비스 링크 연결입니다. 다음 트래픽은 서비스 링크와 AWS Direct Connect 연결을 거칩니다.

  • 서비스 링크를 통해 Outpost로 유입되는 관리 트래픽

  • Outpost와 연결된 모든 간의 트래픽 VPCs

AWS Direct Connect 에 연결 AWS

인터넷 연결이 있는 상태 저장 방화벽을 사용하여 퍼블릭 인터넷에서 서비스 링크 로의 연결을 제한하는 경우 인터넷에서 시작하는 모든 인바운드 연결을 차단할 VLAN수 있습니다. 이는 서비스 링크가 Outpost에서 리전으로만 VPN 시작되고 리전에서 Outpost로 시작되지 않기 때문입니다.

에 대한 인터넷 게이트웨이 연결 AWS

방화벽을 사용하여 서비스 링크 의 연결을 제한VLAN하는 경우 모든 인바운드 연결을 차단할 수 있습니다. 다음 표에 따라 AWS 리전에서 Outpost로의 아웃바운드 연결을 다시 허용해야 합니다. 방화벽이 상태 저장 상태인 경우 Outpost에서 허용된 아웃바운드 연결, 즉 Outpost에서 시작된 연결은 다시 인바운드로 허용되어야 합니다.

프로토콜 소스 포트 소스 주소 대상 포트 대상 주소

UDP

443

AWS Outposts 서비스 링크 /26

443

AWS Outposts 리전의 퍼블릭 IPs

TCP

1025-65535

AWS Outposts 서비스 링크 /26

443

AWS Outposts 리전의 퍼블릭 IPs
참고

Outpost의 인스턴스는 서비스 링크를 사용하여 다른 Outpost의 인스턴스와 통신할 수 없습니다. 로컬 게이트웨이 또는 로컬 네트워크 인터페이스를 통한 라우팅을 활용하여 Outpost 간에 통신할 수 있습니다.

AWS Outposts 또한 랙은 로컬 게이트웨이 구성 요소를 포함한 중복 전원 및 네트워킹 장비로 설계되었습니다. 자세한 내용은 의 복원력을 AWS Outposts 참조하세요.

를 사용한 서비스 링크 프라이빗 연결 VPC

Outpost를 생성할 때 콘솔에서 프라이빗 연결 옵션을 선택할 수 있습니다. 이렇게 하면 지정한 VPC 및 서브넷을 사용하여 Outpost를 설치한 후 서비스 링크 VPN 연결이 설정됩니다. 이렇게 하면 를 통해 프라이빗 연결을 허용VPC하고 퍼블릭 인터넷 노출을 최소화할 수 있습니다.

필수 조건

Outpost의 프라이빗 연결을 구성하려면 다음 사전 요구 사항이 필요합니다.

  • 사용자 또는 역할이 프라이빗 연결을 위한 서비스 연결 역할을 생성할 수 있도록 IAM엔터티(사용자 또는 역할)에 대한 권한을 구성해야 합니다. IAM 엔터티는 다음 작업에 액세스할 수 있는 권한이 필요합니다.

    • arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*​의 iam:CreateServiceLinkedRole

    • arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*​의 iam:PutRolePolicy

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    자세한 내용은 에 대한 자격 증명 및 액세스 관리(IAM) AWS Outposts에 대한 서비스 연결 역할 AWS Outposts 단원을 참조하세요.

  • Outpost와 동일한 AWS 계정 및 가용 영역에서 10.1.0.0/16과 충돌하지 않는 서브넷 /25 이상의 Outpost 프라이빗 연결을 VPC 위한 목적으로만 를 생성합니다. 예를 들어 10.2.0.0/16을 사용할 수 있습니다.

  • 온프레미스 Outpost가 에 액세스할 수 있도록 AWS Direct Connect 연결, 프라이빗 가상 인터페이스 및 가상 프라이빗 게이트웨이를 생성합니다VPC. 연결이 와 다른 AWS 계정에 있는 경우 AWS Direct Connect AWS Direct Connect 사용 설명서계정 간 가상 프라이빗 게이트웨이 연결을 VPC참조하세요.

  • 서브넷을 온프레미스 네트워크에 보급CIDR합니다. AWS Direct Connect 를 사용하여 이를 수행할 수 있습니다. 자세한 내용은 AWS Direct Connect 사용 설명서AWS Direct Connect 가상 인터페이스AWS Direct Connect 게이트웨이 사용을 참조하세요.

AWS Outposts 콘솔에서 Outpost를 만들 때 프라이빗 연결 옵션을 선택할 수 있습니다. 지침은 Outposts 랙에 대한 주문 생성 단원을 참조하십시오.

참고

Outpost가 PENDING 상태일 때 프라이빗 연결 옵션을 선택하려면 콘솔에서 Outposts를 선택하고 Outpost를 선택합니다. 작업, 프라이빗 연결 추가를 선택하고 단계를 따르세요.

Outpost에 대한 프라이빗 연결 옵션을 선택하면 계정에서 AWS Outposts 자동으로 서비스 연결 역할을 생성하여 사용자를 대신하여 다음 작업을 완료할 수 있습니다.

  • 지정한 서브넷에 네트워크 인터페이스를 생성하고 네트워크 인터페이스에 대한 보안 그룹을 VPC 생성합니다.

  • 서비스에 계정의 AWS Outposts 서비스 링크 엔드포인트 인스턴스에 네트워크 인터페이스를 연결할 수 있는 권한을 부여합니다.

  • 네트워크 인터페이스를 계정의 서비스 링크 엔드포인트 인스턴스에 연결합니다.

서비스 링크 역할에 대한 자세한 내용은 에 대한 서비스 연결 역할 AWS Outposts을(를) 참조하세요.

중요

Outpost를 설치한 후 Outpost에서 IPs 서브넷의 프라이빗에 대한 연결을 확인합니다.

중복 인터넷 연결

Outpost에서 AWS 리전으로 연결을 구축할 때는 가용성과 복원력을 높이기 위해 여러 연결을 생성하는 것이 좋습니다. 자세한 내용은 AWS Direct Connect 복원력 권장 사항을 참조하세요.

공용 인터넷에 연결해야 하는 경우, 기존 온프레미스 워크로드와 마찬가지로 중복 인터넷 연결과 다양한 인터넷 공급자를 사용할 수 있습니다.