Amazon VPC Lattice FAQ

페이지 주제

일반

일반

Amazon VPC Lattice는 애플리케이션 네트워킹 서비스로, 사전 네트워킹 전문 지식 없이도 서비스 간 통신 및 서비스와 리소스 간 통신을 연결, 보호 및 모니터링할 수 있는 일관된 방법을 제공합니다. VPC Lattice를 사용하면 네트워크 액세스, 트래픽 관리 및 네트워크 모니터링을 구성하여 기본 컴퓨팅 유형과 관계없이 VPC와 계정에서 일관되게 서비스 간 통신 및 서비스와 리소스 간 통신을 활성화할 수 있습니다.

VPC Lattice는 다음 사용 사례를 해결하는 데 도움이 됩니다.

대규모 서비스 및 리소스 연결 – 네트워크 복잡성을 가중시키지 않고 VPC와 계정에 수천 개의 서비스 및 리소스를 연결합니다.

세분화된 액세스 권한 적용 – 서비스 간 보안 및 서비스와 리소스 간 보안을 개선하고 중앙 집중식 액세스 제어, 인증 및 컨텍스트별 권한 부여를 통해 제로 트러스트 아키텍처를 지원합니다.

고급 트래픽 제어 구현 – 블루/그린 및 카나리 배포를 위한 요청 수준 라우팅 및 가중치 기반 대상과 같은 세분화된 트래픽 제어를 적용합니다.

서비스 간 상호 작용 및 서비스와 리소스 간 상호 작용 관찰 - 요청 유형, 트래픽 볼륨, 오류, 응답 시간 등에 대한 서비스 간 통신 및 서비스와 리소스 간 통신을 모니터링하고 문제를 해결합니다.

VPC Lattice는 역할별 기능을 제공하여 개발자와 클라우드 관리자 간의 격차를 해소하는 데 도움이 됩니다. VPC Lattice는 최신 애플리케이션을 신속하게 실행하는 데 필요한 공통 인프라 및 네트워킹 작업을 배워서 수행하는 것을 원하지 않는 개발자에게 매력적입니다. 개발자는 네트워크가 아닌 애플리케이션 구축에 집중할 수 있어야 합니다. 또한 VPC Lattice는 혼합 컴퓨팅 환경(인스턴스, 컨테이너, 서버리스)과 VPC 및 계정 전반에서 일관된 방식으로 인증, 권한 부여 및 암호화를 사용 설정하여 조직의 보안 태세를 강화하려는 클라우드 및 네트워크 관리자에게도 매력적일 것입니다.

VPC Lattice를 사용하여 Virtual Private Cloud(VPC)와 계정 경계에서 서비스 간 통신 및 서비스와 리소스 간 통신을 가능하게 하는 서비스 네트워크인 논리적 애플리케이션 네트워크를 생성하여 네트워크 복잡성을 추상화할 수 있습니다. VPC Lattice 내의 전용 데이터 플레인을 통해 HTTP/HTTPS, gRPC 및 TCP 프로토콜을 통한 연결을 제공합니다. 이 데이터 플레인은 VPC 내에서만 액세스할 수 있는 링크-로컬 엔드포인트와 VPC 내부 및 VPC 외부에서도 액세스할 수 있는 서비스 네트워크 유형의 VPC 엔드포인트를 통해 노출됩니다.

관리자는 AWS Resource Access Manager(AWS RAM)를 사용하여 서비스 네트워크를 통해 통신을 설정할 수 있는 계정과 VPC를 제어할 수 있습니다. VPC가 서비스 네트워크와 연결되면 VPC 내의 클라이언트가 서비스 네트워크의 서비스 및 리소스 모음을 자동으로 검색하고 연결할 수 있습니다. 서비스 소유자는 VPC Lattice 컴퓨팅 통합을 사용하여 Amazon Elastic Compute Cloud(Amazon EC2), Amazon Elastic Kubernetes Service(Amazon EKS), Amazon Elastic Container Service(Amazon ECS), AWS Fargate 및 AWS Lambda에서 서비스를 온보딩하고 가입할 하나 이상의 서비스 네트워크를 선택할 수 있습니다. 서비스 소유자는 블루/그린 및 canary 스타일 배포와 같은 일반적인 패턴을 지원하기 위해 요청을 처리하는 방법을 정의하는 고급 트래픽 관리 규칙을 구성할 수도 있습니다. 리소스 소유자는 계정 간에 RDS 데이터베이스 등의 리소스를 공유하고 이러한 리소스를 서비스 네트워크에 추가할 수 있습니다. 서비스 및 리소스 소유자 및 관리자는 트래픽 관리 외에도 VPC Lattice Auth 정책을 통해 인증 및 권한 부여를 수행하여 추가 액세스 제어를 구현할 수 있습니다. 관리자는 서비스 네트워크 수준에서 가드레일을 적용하고 개별 서비스 및 리소스에 세분화된 액세스 제어를 적용할 수 있습니다. VPC Lattice는 비침습적이며 기존 아키텍처 패턴과 함께 작동하도록 설계되어 조직 전체의 개발 팀이 장시간에 걸쳐 점진적으로 서비스 및 리소스를 온보딩할 수 있습니다.

VPC Lattice는 다음과 같은 6가지 주요 구성 요소를 도입했습니다.

서비스 – 특정 작업이나 기능을 제공하는 독립적으로 배포 가능한 소프트웨어 단위입니다. 서비스는 모든 VPC 또는 계정에서 운영될 수 있으며 인스턴스, 컨테이너 또는 서버리스 컴퓨팅 환경에서 실행할 수 있습니다. 서비스는 AWS Application Load Balancer와 유사한 리스너, 규칙 및 대상 그룹으로 구성됩니다.

서비스 디렉터리 – 모든 서비스의 중앙 집중식 레지스트리로, AWS RAM을 통해 생성했거나 계정과 공유한 VPC Lattice에 등록되어 있습니다.

리소스 구성 - 리소스 구성은 RDS 데이터베이스, 도메인 이름 대상 또는 IP 주소와 같이 VPC 또는 온프레미스에 있는 TCP 기반 리소스를 나타냅니다. 계정 간에 리소스 구성을 공유할 수 있습니다. 다른 계정과 리소스 구성을 공유하면 해당 계정이 비공개로 리소스에 액세스할 수 있습니다.

리소스 게이트웨이 - 리소스 게이트웨이는 리소스 구성에서 공유되는 TCP 리소스로 보내진 트래픽에 대한 VPC의 수신 지점입니다.

서비스 네트워크 - 사용자가 연결을 활성화하고 공통 정책을 서비스 및 리소스 모음에 적용하는 방법을 단순화하는 논리적으로 그룹화된 메커니즘입니다. 서비스 네트워크는 AWS RAM으로 계정 간에 공유되고 VPC와 연결되어 서비스 및 리소스 그룹에 연결할 수 있습니다.

Auth 정책 – Auth 정책은 액세스 제어를 정의하기 위해 서비스 네트워크 및 개별 서비스 및 리소스와 연결할 수 있는 AWS Identity and Access Management(IAM) 리소스 정책입니다. Auth 정책은 IAM을 사용하며, 사용자는 다양한 PARC(principal-action-resource-condition) 스타일 질문을 지정하여 VPC Lattice 서비스에서 컨텍스트별 권한 부여를 수행할 수 있습니다. 일반적으로 조직은 서비스 네트워크에서는 ‘내 조직 ID 내에서 인증된 요청만 허용’과 같은 대략적인 Auth 정책을 적용하고 서비스 및 리소스 수준에서는 보다 세분화된 정책을 적용합니다.

VPC Lattice는 현재 미국 동부(오하이오), 미국 동부(버지니아 북부), 미국 서부(오레곤), 미국 서브(캘리포니아 북부), 아프리카(케이프타운), 아시아 태평양(뭄바이), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(서울), 아시아 태평양(도쿄), 캐나다(중부), 유럽(아일랜드), 유럽(프랑크푸르트), 유럽(런던), 유럽(밀라노), 유럽(파리), 유럽(스톡홀름), 남아메리카(상파울루) AWS 리전에서 사용 가능합니다.

Lattice는 VPC의 기능이며 별도의 평가 또는 요청이 필요하지 않습니다. 범위 내 서비스의 기능은 ‘평가 완료/적용 범위에 포함’된 것으로 간주되며 규정 준수 프로그램 제공 AWS 범위 내 서비스에도 명시되어 있습니다. 특별히 제외하지 않는 한, 각 서비스의 정식 출시된 기능은 보증 프로그램의 범위에 포함됩니다.

Amazon VPC Lattice에는 교차 AZ 데이터 전송에 대한 추가 요금이 없습니다. 가용 영역 간의 데이터 전송은 VPC Lattice 서비스 요금의 데이터 처리 차원에 포함되어 있습니다.

트래픽 흐름과 연결 가능성을 모니터링하려면 서비스, 리소스 및 서비스 네트워크 수준에서 액세스 로그를 사용하면 됩니다. 환경을 완벽하게 관찰하려는 경우에는 서비스 및 VPC Lattice 대상 그룹에 대한 지표를 볼 수도 있습니다. 서비스 네트워크, 서비스 및 리소스 수준 로그를 Amazon CloudWatch Logs, Amazon Simple Storage Service(S3) 또는 Amazon Data Firehose로 내보낼 수 있습니다. 또한 VPC 흐름 로그 및 AWS X-Ray와 같은 다른 AWS 관찰성 기능을 사용하여 네트워크 흐름, 서비스 상호 작용 및 API 직접 호출을 추적할 수 있습니다.

VPC Lattice 서비스가 생성되면 AWS에서 관리하는 Route 53 퍼블릭 호스팅 영역에 정규화된 도메인 이름(FQDN)이 생성됩니다. 서비스 네트워크에 연결되어 있는 VPC와 연결된 자체 프라이빗 호스팅 영역의 CNAME 별칭 레코드에서 이러한 DNS 이름을 사용할 수 있습니다. 사용자 지정 서비스 이름을 확인할 사용자 지정 도메인 이름을 지정할 수 있습니다. 사용자 지정 도메인 이름을 지정하는 경우 서비스를 생성한 후 DNS 라우팅을 구성해야 합니다. 이는 사용자 지정 도메인 이름에 대한 DNS 쿼리를 VPC Lattice 엔드포인트에 매핑하기 위한 것입니다. Route 53를 DNS 서비스로 사용하는 경우 Amazon Route 53 퍼블릭 또는 프라이빗 호스팅 영역 내에 CNAME 별칭 레코드를 구성할 수 있습니다. HTTPS의 경우 사용자 지정 도메인 이름과 일치하는 SSL/TLS 인증서도 지정해야 합니다.

예. Amazon VPC Lattice는 HTTP를 지원하며, 각 서비스에 대해 Amazon Certificate Manager(ACM)를 통해 관리되는 인증서를 생성합니다. Lattice는 클라이언트 측 인증에 AWS SIGv4를 사용합니다.

예. Amazon VPC Lattice는 고가용성의 분산형 리전 서비스입니다. VPC Lattice에 서비스를 등록할 때는 대상을 여러 가용 영역에 분산하는 것이 가장 좋습니다. VPC Lattice 서비스는 구성된 규칙 및 조건에 따라 정상 상태의 대상으로 트래픽을 라우팅합니다.

Amazon VPC Lattice는 Kubernetes Gateway API의 구현인 AWS Gateway API Controller를 통해 Amazon Elastic Kubernets Service(EKS) 및 자체 관리형 Kubernetes 워크로드와 기본적으로 통합됩니다. 따라서 기존 또는 새 서비스를 Lattice에 쉽게 등록하고 HTTP 경로를 Kubernetes 리소스에 동적으로 매핑할 수 있습니다.

Amazon VPC Lattice 서비스, 리소스, 리소스 구성 및 서비스 네트워크는 리전 구성 요소입니다. 다중 리전 환경인 경우 모든 리전에서 서비스, 리소스, 리소스 구성 및 서비스 네트워크를 사용할 수 있습니다. 크로스 리전 및 온프레미스 통신 패턴의 경우 현재 크로스 리전 VPC 피어링, AWS Transit Gateway, AWS Direct Connect 또는 AWS Cloud WAN과 같은 AWS 글로벌 연결 서비스를 사용할 수 있습니다. 교차 리전 연결 패턴에 대한 자세한 내용은 이 블로그를 참조하세요.

예. Amazon VPC Lattice는 IPv6를 지원하며 여러 VPC와 계정에서 VPC Lattice 서비스 및 리소스에 대해 겹치는 IPv4와 IPv6 주소 공간 간에 네트워크 주소 변환을 수행할 수 있습니다. Amazon VPC Lattice는 IPv4와 IPv6 서비스 및 리소스 모두를 안전하게 연결하고 다양한 컴퓨팅 유형에서 간단하고 일관된 방식으로 통신 흐름을 모니터링하는 데 도움이 됩니다. 기본 IP 주소 지정과 관계없이 IP 서비스 및 리소스 간의 기본 상호 운용성을 제공하므로 AWS의 서비스 및 리소스 전반에서 IPv6를 쉽게 채택할 수 있습니다. 자세한 내용은 이 블로그를 참조하세요.

태그를 사용하여 Amazon VPC Lattice 리소스 연결의 추가 및 제거를 자동화할 수 있습니다. 크로스 계정 리소스 공유는 Amazon EventBridge, AWS Lambda, AWS CloudTrailAWS Resource Access Manager(AWS RAM)를 사용하여 자동화할 수 있습니다. 단일 AWS Organization 내에서 또는 여러 AWS 계정에 걸쳐 이러한 방법을 사용할 수 있으며, 공급업체/클라이언트 애플리케이션과 같은 여러 사용 사례를 지원합니다. 자세한 내용 및 구현 예제는 이 블로그를 참조하세요.

서비스 네트워크 배포의 설계는 조직 구조 및 운영 모델에 매핑되어야 합니다. 조직 전체의 도메인별 서비스 네트워크를 선택하고 그에 따라 액세스 정책을 구성할 수 있습니다. 또는 서비스 네트워크를 각 라우팅 도메인 및 조직의 독립 사업부에 연결하여 서비스 네트워크에 대한 보다 세분화된 접근 방식을 취할 수도 있습니다.

예. AWS PrivateLink로 구동되는 VPC 엔드포인트를 사용하여 온프레미스에서 서비스와 리소스에 액세스할 수 있습니다. 서비스와 리소스를 서비스 네트워크에 넣고 VPC 엔드포인트(’서비스 네트워크’ 유형)를 생성하여 온프레미스에서 해당 서비스와 리소스 간의 연결을 활성화할 수 있습니다.

VPC 엔드포인트를 사용하여 VPC에 여러 서비스 네트워크를 등록할 수 있습니다. 서로 다른 서비스 네트워크에 연결되는 ’서비스 네트워크’ 유형의 VPC 엔드포인트를 여러 개 생성할 수 있습니다.