확장 가능하고 안전한 다중 VPC AWS 네트워크 인프라 구축 - 확장 가능하고 안전한 다중 VPC AWS 네트워크 인프라 구축
소개IP 주소 계획 및 관리귀사는 Well-Architected입니까?

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

확장 가능하고 안전한 다중 VPC AWS 네트워크 인프라 구축

게시일: 2024년 4월 17일(문서 이력)

Amazon Web Services(AWS) 고객은 수백 개의 계정과 가상 프라이빗 클라우드(VPCs)를 사용하여 워크로드를 분할하고 설치 공간을 확장하는 경우가 많습니다. 이러한 수준의 규모로 인해 리소스 공유, 상호VPC 연결 및 온프레미스 시설과 VPC 연결에 대한 문제가 발생하는 경우가 많습니다.

이 백서에서는 Amazon Virtual Private Cloud(Amazon VPC), , AWS Transit Gateway, AWS PrivateLink, AWS Direct Connect Gateway Load Balancer, 및 Amazon Route 53과 같은 AWS 서비스를 사용하여 대규모 네트워크에서 확장 AWS Network Firewall가능하고 안전한 네트워크 아키텍처를 생성하는 모범 사례를 설명합니다. 증가하는 인프라를 관리하기 위한 솔루션을 시연하여 오버헤드 비용을 낮게 유지하면서 확장성, 고가용성 및 보안을 보장합니다.

소개

AWS 고객은 먼저 권한, 비용 및 서비스를 분할하는 관리 경계를 나타내는 단일 AWS 계정에서 리소스를 구축합니다. 그러나 고객의 조직이 성장함에 따라 비용을 모니터링하고, 액세스를 제어하고, 더 쉬운 환경 관리를 제공하기 위해 서비스를 더 많이 세분화해야 합니다. 다중 계정 솔루션은 조직 내 IT 서비스 및 사용자에 대한 특정 계정을 제공하여 이러한 문제를 해결합니다.는를 포함하여이 인프라를 관리하고 구성할 수 있는 여러 도구를 AWS 제공합니다AWS Control Tower

AWS Control Tower 초기 배포를 보여주는 다이어그램

AWS Control Tower 초기 배포

를 사용하여 다중 계정 환경을 설정하면 두 개의 조직 단위(OUs) AWS Control Tower가 생성됩니다.

  • 보안 OU -이 OU 내에서는 두 계정을 AWS Control Tower 생성합니다.

  • 로그 아카이브

  • 감사(이 계정은 앞서 지침에서 설명한 보안 도구 계정에 해당합니다.)

  • 샌드박스 OU -이 OU는 내에서 생성된 계정의 기본 대상입니다 AWS Control Tower. 여기에는 빌더가 팀의 허용 가능한 사용 정책에 따라 AWS 서비스 및 기타 도구 및 서비스를 탐색하고 실험할 수 있는 계정이 포함되어 있습니다.

AWS Control Tower 를 사용하면 추가를 생성, 등록 및 관리OUs하여 초기 환경을 확장하여 지침을 구현할 수 있습니다.

다음 다이어그램은에서 OUs 처음 배포한를 보여줍니다 AWS Control Tower. AWS 환경을 확장하여 다이어그램에 OUs 포함된 권장 사항을 구현하여 요구 사항을 충족할 수 있습니다.

AWS 조직를 보여주는 다이어그램입니다OUs.

AWS 조직 OUs

를 사용하는 다중 계정 환경에 대한 자세한 내용은 다중 계정을 사용하여 환경 구성 백서의 부록 E를 AWS Control Tower참조하세요. AWS

대부분의 고객은 인프라를 배포VPCs하기 위해 몇 가지로 시작합니다. VPCs 고객이 생성하는 수는 일반적으로 계정, 사용자 및 스테이징된 환경(프로덕션, 개발, 테스트 등)의 수와 관련이 있습니다. 클라우드 사용량이 증가함에 따라 고객이 상호 작용하는 사용자, 사업부, 애플리케이션 및 리전의 수도 증가하여 새로운가 생성됩니다VPCs.

수가 VPCs 증가함에 따라 고객의 클라우드 네트워크 운영에 교차VPC 관리가 필수적입니다. 이 백서에서는 교차VPC 및 하이브리드 연결의 세 가지 특정 영역에 대한 모범 사례를 다룹니다.

IP 주소 계획 및 관리

확장 가능한 다중 계정 다중VPC 네트워크 설계를 구축하려면 IP 주소 계획 및 관리가 필수적입니다. 좋은 IP 주소 지정 체계는 현재와 미래의 네트워킹 요구 사항을 고려해야 합니다. IP 주소 체계 IP는 온프레미스 워크로드, 클라우드 워크로드를 포함해야 하며 향후 확장(예: 신규, AWS 리전사업부 추가, 인수 또는 합병)을 허용해야 합니다. 또한 팀이 실수로 중복 IP를 생성하는 것을 방지해야 합니다CIDRs. 격리된 워크로드나 연결이 끊긴 워크로드와 같이 중복 IPCIDR가 필요한 경우,이 결정은 신중하게 이루어져야 하며 라우팅, 보안 및 비용에 미치는 영향을 고려해야 합니다. 또한 이러한 예외에 필요한 승인 프로세스 생성을 고려해야 할 수도 있습니다. 또한 IP 주소 지정 체계가 우수하면 네트워크 설계 및 라우팅 구성을 간소화하는 데 도움이 됩니다.

주요 고려 사항:

  • IP 주소 지정 체계(퍼블릭 및 프라이빗 모두IPs)를 미리 계획하고 IP 주소 관리 도구를 선택하여 모든 워크로드에서 IP 주소 사용량을 할당, 관리 및 추적합니다.

  • 계층적 및 요약 IP 주소 지정 체계를 사용합니다.

  • 환경, AWS 리전조직 또는 사업부를 기반으로 일관된 IP 할당을 계획합니다.

  • 온프레미스 및 클라우드 네트워크에 대해 고유한 IPCIDRs( IPv4 및 모두IPv6)를 지정합니다.

  • 겹치는 IP를 사전에 방지하고 추적합니다CIDRs.

  • 규모 조정 및 향후 성장을 위해 IP의 크기를 CIDRs 적절하게 조정합니다.

  • IPv6 또는 듀얼 스택 호환성을 위한 워크로드를 활성화하여 IP 충돌을 줄이고 IPv4 공간 고갈을 해결합니다.

Amazon VPC IP Address Manager(IPAM)를 사용하여 AWS 워크로드에 대한 퍼블릭 및 프라이빗 IP 주소의 계획, 추적 및 모니터링을 간소화할 수 있습니다. IPAM를 사용하면 여러 AWS 리전 및 간에 IP 주소 공간을 구성, 할당, 모니터링 및 공유할 수 있습니다 AWS 계정. 또한 특정 비즈니스 규칙을 VPCs 사용하여를에 자동으로 할당CIDRs하는 데 도움이 됩니다.

Amazon VPC IP Address Manager 모범 사례, Amazon IP Address Manager를 사용하여 VPCs 및 리전 간 VPC IP 풀 관리, 블로그 게시물용 IP 주소 관리를 AWS Control Tower 참조하여 IP 주소 지정 모범 사례와를 사용하여 VPCs AWS 리전, 및 전체에서 IP 풀을 IPAM 관리하는 방법을 알아봅니다 AWS Control Tower.

귀사는 Well-Architected입니까?

AWS Well-Architected 프레임워크는 클라우드에서 시스템을 구축할 때 내리는 결정의 장단점을 이해하는 데 도움이 됩니다. 이 프레임워크를 사용하여 클라우드에서 안정적이고 안전하며 효율적이고 비용 효율적인 시스템을 설계하고 운영하기 위한 아키텍처 모범 사례를 살펴볼 수 있습니다. AWS Management Console에서 무료로 제공되는 AWS Well-Architected Tool를 사용하면 각 요소에 대한 일련의 질문에 답하여, 이러한 모범 사례와 비교하여 워크로드를 검토할 수 있습니다.

참조 아키텍처 배포, 다이어그램, 백서 등 클라우드 아키텍처에 대한 더 많은 전문가 지침과 모범 사례를 보려면 AWS 아키텍처 센터를 참조하세요.