확장 가능하고 안전한 다중 VPC AWS 네트워크 인프라 구축 - 확장 가능하고 안전한 다중 VPC AWS 네트워크 인프라 구축

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

확장 가능하고 안전한 다중 VPC AWS 네트워크 인프라 구축

발행일: 2024년 4월 17일 () 문서 이력

Amazon Web Services (AWS) 고객은 워크로드를 분할하고 설치 공간을 확장하기 위해 수백 개의 계정과 가상 사설 클라우드 (VPC) 를 사용하는 경우가 많습니다. 이러한 수준의 확장으로 인해 리소스 공유, VPC 간 연결, 온프레미스 시설과 VPC 연결과 관련하여 문제가 발생하는 경우가 많습니다.

이 백서에서는 Amazon Virtual Private Cloud (Amazon VPC),,,, 게이트웨이 AWS Direct Connect로드 밸런서 AWS Transit GatewayAWS PrivateLink, Amazon Route 53와 같은 AWS 서비스를 사용하여 대규모 네트워크에서 확장 가능하고 안전한 네트워크 아키텍처를 만드는 모범 사례를 설명합니다. AWS Network Firewall 이 백서는 오버헤드 비용을 낮게 유지하면서 확장성, 고가용성 및 보안을 보장하는 등 성장하는 인프라를 관리하기 위한 솔루션을 보여줍니다.

소개

AWS 고객은 먼저 권한, 비용, 서비스를 구분하는 관리 경계를 나타내는 단일 AWS 계정에 리소스를 구축하는 것부터 시작합니다. 그러나 고객 조직이 성장함에 따라 비용을 모니터링하고 액세스를 제어하며 보다 쉽게 환경을 관리할 수 있도록 서비스를 더 세분화해야 합니다. 다중 계정 솔루션은 조직 내 IT 서비스 및 사용자를 위한 특정 계정을 제공하여 이러한 문제를 해결합니다. AWS 다음을 포함하여 AWS Control Tower이 인프라를 관리하고 구성하는 데 사용할 수 있는 여러 도구를 제공합니다. 

AWS Control Tower 초기 배포를 보여 주는 다이어그램

AWS Control Tower 초기 배포

를 사용하여 다중 계정 환경을 설정하면 다음과 AWS Control Tower같은 두 개의 OU (조직 구성 단위) 가 생성됩니다.

  • 보안 OU - 이 OU 내에서 두 개의 계정을 AWS Control Tower 생성합니다.

  • 로그 아카이브

  • 감사 (이 계정은 지침에서 앞서 설명한 보안 도구 계정에 해당합니다.)

  • 샌드박스 OU — 이 OU는 내에서 생성된 계정의 기본 대상입니다. AWS Control Tower여기에는 팀의 허용 가능한 사용 정책에 따라 빌더가 AWS 서비스, 기타 도구 및 서비스를 탐색하고 실험할 수 있는 계정이 포함됩니다.

AWS Control Tower 추가 OU를 만들고, 등록하고, 관리하여 초기 환경을 확장하여 지침을 구현할 수 있습니다.

다음 다이어그램은 에서 처음 배포한 OU를 보여줍니다 AWS Control Tower. 다이어그램에 포함된 모든 권장 OU를 요구 사항에 맞게 구현하도록 AWS 환경을 확장할 수 있습니다.

AWS 조직 OU를 나타내는 다이어그램.

AWS 조직 OU

다중 계정 환경 사용에 대한 자세한 내용은 다중 계정을 사용한 AWS Control Tower환경 구성 백서의 부록 E를 참조하십시오. AWS

참고

이 백서에서 “Control Tower”는 워크로드를 배포하는 확장 가능하고 안전하며 성능이 뛰어난 다중 계정/다중 VPC 설정을 포괄하는 용어입니다. 이 설정은 다양한 도구를 사용하여 구축할 수 있습니다. 다중 계정을 사용하여 AWS 환경 구성 백서에서 다중 계정 클라우드 기반의 모범 사례, 설계 원칙 및 이점에 대한 자세한 내용을 확인할 수 있습니다.

대부분의 고객은 먼저 VPC 몇 대를 가지고 인프라를 배포합니다. 고객이 생성하는 VPC의 수는 일반적으로 계정, 사용자, 단계적 환경 (프로덕션, 개발, 테스트 등) 의 수와 관련이 있습니다. 클라우드 사용량이 증가하면 고객이 상호 작용하는 사용자, 사업부, 애플리케이션 및 지역의 수도 증가하여 새로운 VPC가 생성됩니다.

VPC의 수가 증가함에 따라 VPC 간 관리는 고객의 클라우드 네트워크 운영에 필수적입니다. 이 백서는 VPC 간 및 하이브리드 연결의 세 가지 특정 영역에 대한 모범 사례를 다룹니다.

IP 주소 계획 및 관리

확장 가능한 다중 계정 다중 VPC 네트워크 설계를 구축하려면 IP 주소 계획 및 관리가 필수적입니다. 올바른 IP 주소 지정 체계는 현재와 미래의 네트워킹 요구 사항을 고려해야 합니다. IP 주소 체계 IP는 온프레미스 워크로드와 클라우드 워크로드를 포괄해야 하며 향후 확장 (예: 신규 AWS 리전, 사업부 추가, 인수 합병) 도 가능해야 합니다. 또한 팀이 실수로 중복되는 IP CIDR을 생성하는 일도 방지할 수 있습니다. 분리되거나 연결이 끊긴 워크로드와 같이 중복되는 IP CIDR이 필요한 경우 이 결정은 신중하게 내려야 하며 라우팅, 보안 및 비용에 미치는 영향을 고려해야 합니다. 또한 이러한 예외에 필요한 승인 프로세스를 마련하는 것도 고려해야 할 수 있습니다. 올바른 IP 주소 지정 체계는 네트워크 설계 및 라우팅 구성을 단순화하는 데도 도움이 됩니다.

주요 고려 사항:

  • IP 주소 지정 체계 (공용 및 사설 IP 모두) 를 미리 계획하고 IP 주소 관리 도구를 선택하여 모든 워크로드에서 IP 주소 사용을 할당, 관리 및 추적하십시오.

  • 계층적이고 요약된 IP 주소 지정 체계를 사용하십시오.

  • 환경 AWS 리전, 조직 또는 사업부에 따라 일관된 IP 할당을 계획하세요.

  • 온프레미스 및 클라우드 네트워크를 위한 별도의 IP CIDR (IPv4 및 IPv6 모두) 을 지정하십시오.

  • 중복되는 IP CIDR을 사전에 방지하고 추적합니다.

  • 확장 및 향후 성장에 맞게 IP CIDR 크기를 적절하게 조정하십시오.

  • 워크로드에 IPv6 또는 이중 스택 호환성을 지원하여 IP 충돌을 줄이고 IPv4 공간 고갈을 해결하십시오.

Amazon VPC IP 주소 관리자 (IPAM) 를 사용하여 워크로드에 대한 퍼블릭 및 프라이빗 IP 주소 모두의 계획, 추적 및 모니터링을 간소화할 수 있습니다. AWS IPAM을 사용하면 여러 채널에서 IP 주소 공간을 구성, 할당, 모니터링 및 공유할 수 있습니다. AWS 리전 AWS 계정또한 특정 비즈니스 규칙을 사용하여 VPC에 CIDR을 자동으로 할당하는 데도 도움이 됩니다.

IP 주소 지정 모범 사례와 IPAM을 사용하여 VPC에서 IP 풀을 관리하는 방법을 알아보려면 Amazon VPC IP 주소 관리자 모범 사례, Amazon VPC IP 주소 관리자를 사용한 VPC 및 지역 간 IP 풀 관리 및 AWS Control Tower블로그 게시물의 IP 주소 관리를 참조하십시오. AWS 리전 AWS Control Tower

귀사는 Well-Architected입니까?

AWS Well-Architected 프레임워크는 클라우드에서 시스템을 구축할 때 내리는 결정의 장단점을 이해하는 데 도움이 됩니다. 이 프레임워크를 사용하여 클라우드에서 안정적이고 안전하며 효율적이고 비용 효율적인 시스템을 설계하고 운영하기 위한 아키텍처 모범 사례를 살펴볼 수 있습니다. AWS Management Console에서 무료로 제공되는 AWS Well-Architected Tool를 사용하면 각 요소에 대한 일련의 질문에 답하여, 이러한 모범 사례와 비교하여 워크로드를 검토할 수 있습니다.

참조 아키텍처 배포, 다이어그램, 백서 등 클라우드 아키텍처에 대한 더 많은 전문가 지침과 모범 사례를 보려면 AWS 아키텍처 센터를 참조하세요.