안전 카지노 대형 AWS NW 관리
(안전 카지노 엔드 포인트, Route53 공유) (1)
게시 : 2025/2/26
소개
안녕하세요, 소노다입니다
마지막 기사를 게시 한 지 오래되었습니다
나는 통제의 관점에서 다양한 기사를 썼습니다 그러나 이번에는 NW에 관한 기사를 작성한 지 오래되었습니다
NW의 다음 4 개의 기사가 지금까지 나열되었으므로 원하는 경우 참조하십시오
나의 첫 AWS NW (1 부)
기본 NW 구성 및 설정을 설명합니다
나의 첫 AWS NW (2 부)
DirectConnect 및 VPN으로 온 프레미스 연결을 설명합니다
나의 첫 AWS NW (Part 3)
대규모 NW 사용을위한 공유 안전 카지노 인 Transit Gateway를 설명합니다
나의 첫 AWS NW (4 부)
이 기사는 AWS 'NW를 사용할 때 이름 해상도 (Route53 Resolver)를 설명합니다
This time, we will explain how to design and operate the large-scale AWS NW when actually managing it? 이 점에 대해 이야기하고 싶습니다
대규모 NW를 어떻게 설계합니까?
우선, 대규모 NW를 어떻게 설계합니까?
3111_3161
신체 나 은밀한 것이 없지만 기본 옵션은 "공유 VPC 사용"또는 "Transit Gateway 사용"을 사용하는 것입니다
내 개인적인 취향에서 "공유 VPC"는 매우 좋습니다
그 이유는 계정을 관리함으로써 (편의를 위해, "시스템 공통 계정"을 참조 함) 모든 NW가 생성되고 개별 계정과 공유하기 때문입니다 (편의를 위해 "개별 시스템 계정"을 참조 할 것입니다) 개별 시스템 계정은 더 이상 NWS를 설계 할 필요가 없습니다
불필요한 것 외에도, "개별 시스템 계정은 NW 설정을 변경할 수 없으며, 의도하지 않게 NW 제어에서 발생합니다
Transit Gateway를 사용하는 경우에도 SCP 또는 기타 수단을 사용하여 NW 운영을 허용하지 않도록 개별 계정을 설계 할 수 있지만 (글로벌 관리자 이외의 다른 사람이 접촉하지 않도록 할 수는 있지만, 솔직히 말하면 놀랍게도 어렵습니다
*SCP에 대한 정보는 아래 기사를 참조하십시오
https : //wwwctc-gcojp/solutions/cloud/column/article/53html
SCP를 사용하지 않고 NW 컨트롤을 허용하는 공유 안전 카지노는 매우 좋습니다
그러나 1 점 공유 안전 카지노에는 단점이 있으며 공유 안전 카지노를 사용하는 모든 계정은 동일한 조직에 있어야합니다
이것이 의미하는 바는 외부 공급 업체에 연결하려면 공급 업체의 조직이 기본적으로 다르기 때문에 회사 계정의 조직을 공유 할 수 없다는 것입니다
이러한 이유로 엄격한 의미로 표준화하기가 어렵고 설계 실패가 발생할 수 있습니다
"미래에 모든 유형의 서비스를 활성화하려는"을 목표로하는 경우 Transit Gateway를 사용하는 것이 더 안전합니다
(개인적으로 나는 공유 안전 카지노와 Transit Gateway의 하이브리드 아키텍처가 좋다고 생각하지만, 하이브리드로 만들어지면 운영자가 따라갈 수 없을 것이라는 위험이 있습니다 어려운 부분)
그래서 트랜지 시티 게이트웨이의 설계를 진행합시다
이것은 대중 교통 게이트웨이로 대규모 환경을 만들 때 발생합니다
트랜지 시트 게이트웨이를 사용할 때 NW 구성 다이어그램
갑자기 결론을 내 렸기 때문에 정말 유감입니다 그러나 그것은 대략적인 것입니다
지금은 NW 구성 다이어그램 (?)을 간단히 살펴 보겠습니다
공유 시스템 계정
회사의 일반적인 기능 등을 요약하는 계정
각각 개인 및 공개 세그먼트가 있습니다
모든 개인 및 공개 세그먼트는 "서버"및 "관리"에 사용할 수 있습니다
솔직히, 서버가 필요합니까? 이것은 아마도 그렇습니다 그러나 IP 관리에 대한 수요를 고려할 때 우리는 그것을 관리 제품으로 나누었습니다 (내 개인적인 의견은 대다수의 사람들에게 일반적인 모범 사례가 최선이 아니라는 것입니다 (모범 사례는 무엇입니까?))
이 계정은 DirectConnect 기능 (Transit Gateway 포함), 안전 카지노 엔드 포인트, Route53 Resolvers (아웃 바운드) 등을 관리합니다
개별 시스템 계정
이것은 LOB 부서와 같이 회사에 공통적이지 않은 시스템을 배포하기위한 계정입니다
계정은 권한 및 예산 문제 (RI)를 고려하여 고려하여 분할됩니다
나중에 올바르게 작성하겠습니다 그러나 개별 계정에서 안전 카지노 엔드 포인트 또는 Route53 Resolvers (아웃 바운드)를 생성하지는 않지만 공유 시스템 계정의 사용을 사용합니다
Transit Gateway Subnet
aws는 "독립적 인 서브넷으로 만드십시오"라고 말했습니다
Transit Gateway로 NW를 제어 할 필요가 없다면 서브넷을 분리 할 필요가 없지만 안전하기 만하면 "요구 사항이 변경 될 수 있기 때문에 나뉘어집니다 (무엇이 동일할지 확실하지 않음) 분할하십시오
다중 IP를 안전 카지노에 할당 할 수 있으므로 IPS를 서버의 다른 IPS에 대해 GaeWay를 트랜스이트하고 관리하는 것을 선호합니다
(서버 및 관리되는 사용 범위는 10000/16이지만 Transit Gateway는 10100/16을 사용합니다 의도적으로 분리 된 것처럼 보입니다 한눈에 이해하기 쉽게하는 것이 매우 중요합니다)
안전 카지노 엔드 포인트를 공유 해야하는 이유
그래서 우리는 이와 같은 대규모 NW를 설계했으며, 보시다시피 많은 계정이 있습니다
가능한 한 많이 설계하고 비용을 피함으로써 가능한 한 동일하게 관리하지 않으려면 안전 카지노 엔드 포인트를 공유하십시오
안전 카지노 엔드 포인트 가란?
안전 카지노와 기타 서비스 간의 통신을 허용하는 안전 카지노 구성 요소 (가상 장치)입니다
일반적으로 EC2가 다른 서비스와 통신하는 경우 인터넷을 통과해야합니다
구체적으로
EC2 → (NAT 게이트웨이) → IGW → 인터넷 → AWS 서비스
온 프레미스를 통과하는 경우 서비스는 EC2 → 온 프레미스 (프록시 포함) → 인터넷 → AWS 서비스입니다
AWS 'IGW를 겪을 때 인터넷이지만 AWS 내의 인터넷 일 뿐이므로 개인적으로는 괜찮다고 생각하지만 (어쨌든 인터넷을 통과하고 싶지 않은 경우에도 괜찮습니다
안전 카지노 엔드 포인트는 그러한 경우에 매우 유용한 옵션입니다
이 안전 카지노 엔드 포인트 사용,
경로는 EC2 → 안전 카지노 엔드 포인트 → AWS 서비스에서 이루어지며 인터넷을 통한 것이 아닙니다
이것은보다 안전하게 사용할 수 있음을 의미합니다
VPC 엔드 포인트에는 게이트웨이 및 인터페이스 유형이 있습니다 (이하 "IF 유형"이라고 함)
안전 카지노 엔드 포인트 문제점
설명을 듣고 나면 "VPC 엔드 포인트가 좋습니다" 그러나 몇 가지 놀라운 문제가 있습니다
두 가지 주요 문제가 있습니다
문제 1 :
놀랍게도 비쌉니다
IF 유형 엔드 포인트의 경우 비용은 "$ 1008 (30 일/단일 AZ)"입니다
따라서 Multi-AZ 구성에서는 "$ 2016 (30 일/Multi-AZ)"입니다
(게이트웨이 유형은 S3 및 DynamoDB에 불과하므로 기본 유형은 유형입니다)
$ 2016은 큰 금액이 아닙니다 그렇게 생각할 수도 있지만 각 서비스에 대한 엔드 포인트를 만들어야합니다
예를 들어 SSM 세션 관리자를 사용하려면 다음 세 가지 엔드 포인트를 만들어야합니다
(이것은 AWS의 이상한 디자인이라고 생각합니다 )
SSM 세션 관리자를 사용할 때 필요한 엔드 포인트
SSMAP-Northeast-1amazonawscom
SSMMESSAGESAP-NORTHEAST-1amazonawscom
ec2messagesap--northeast-1amazonawscom
CloudWatch, Athena, CodeCommit 및 EC와 같은 말을하는 다른 많은 것들도 있습니다 매번 돈이 듭니다
또한, 각 계정에 안전 카지노 엔드 포인트를 생성하는 경우, 예를 들어, 각각 50 개의 계정에 각각 10 개의 안전 카지노 엔드 포인트가있는 경우
$ 2016 x 10 안전 카지노 엔드 포인트 x 50 = $ 10080
8435_8470
(일본 엔화 1,512,000 엔 (월 수수료, 150 엔 계산)
솔직히 말해서, 그것은 당신이 지불하고 싶지 않은 금액입니다
문제 2 :
무엇이든지 IP 주소도 소비합니다
IF 유형 엔드 포인트의 경우 하나의 IP 주소가 소비됩니다
따라서 10 안전 카지노 엔드 포인트를 만들면 10 개의 IP가 소비됩니다
때로는 "/27"또는 온-프레미스와 같은 서브넷이 생성되는 경우를 볼 수 있습니다
그 안에 10 개의 안전 카지노 엔드 포인트를 생성하는 경우
- NW 주소 및 방송 주소
- 서브넷 +1, +2 is iss use
- 10 안전 카지노 엔드 포인트
9204_9260
이 경우 실제 IP가 서브넷의 절반 이상이됩니다
(이러한 것들을 기반으로 /28 이상의 서브넷을 만드는 것이 제정신이라고 생각하기가 어렵습니다 (이것은 드 rare)
최소한 /26 이상을 만들고 싶습니다 )
이러한 요소에 따라 각 AWS 계정으로 안전 카지노를 만드는 것이 좋지 않다는 것을 이해할 수 있습니다
NW에 디자인이 중요합니다
실제로 안전 카지노 엔드 포인트를 공유
예, 안전 카지노 엔드 포인트를 즉시 공유하겠습니다
이렇게 보입니다
안전 카지노 엔드 포인트 공유
위의 이미지에 표시된대로, 이번에는
- 공유 계정으로 안전 카지노 엔드 포인트 생성 (바람직하게는 계정 a)
- 개별 계정 (예 : 계정 b) 공유 계정의 안전 카지노를 공유
이런 식으로 시도하고 싶습니다
먼저 계정 A가됩니다
실제로 각 계정은 Transit Gateway를 통해 연결되어야하지만 Transit Gateway에 연결하면 매우 길어 지므로 건너 뛸 것입니다
전제 조건으로서 "Transit Gateway는 각 계정의 VPC간에 연결을 허용합니다"
(적절한 라우팅도 포함)
계정으로해야 할 일 A :
- 1 1 안전 카지노 엔드 포인트를 생성 (개인 DNS 비활성화)
- 2 개인 호스팅 영역을 만들어
- 3 Share Private Hosted Zone을 계정 B
반면에 계정 B,
계정으로해야 할 일 b :
- 4 공유 신청, 개인 호스팅 영역의 승인
11176_11192
솔직히 말해서, 이것이 바로입니다
이 제품을 사용할 때는 "3"및 "4"만 괜찮습니다 (첫 번째 세션 만 "1"과 "2")
특히 SSM 세션 관리자를 사용하기 때문에 다음 3 개의 엔드 포인트를 작성하면 세 영역에 대해 "2"~ "4"를 구현해야합니다
SSMAP-Northeast-1amazonawscom
SSMMESSAGESAP-NORTHEAST-1amazonawscom
ec2messagesap-- 나트 타이스트 -1amazonawscom
약 10 개의 엔드 포인트를 갖는 것은 번거 로움입니다
도움이 될 수는 없지만 많은 노력이 필요하지 않기를 바랍니다
■ 1 단계 안전 카지노 엔드 포인트 생성 (개인 DNS 비활성화)
이것은 실제 작업 내용입니다
먼저, 빠른 안전 카지노 엔드 포인트를 만들어 봅시다
단순히 이와 같은 엔드 포인트를 만듭니다
포인트로, 단순히 "DNS 이름 활성화"를 선택 취소하십시오
나는 이미 그것을 만들었습니다 이 경우 "개인 DNS 이름 설정 변경"을 선택 취소 할 수 있습니다
(생성 된 엔드 포인트 → 액션 → "엔드 포인트 설정 변경")를 확인하여 다음 화면이 표시됩니다)
이것은 "개인 DNS 비활성화"이지만,이를 수행 할 때 발생하는 일은 VPC 엔드 포인트를 만들었음에도 불구하고 DNS에서 이름을 찾을 수 없으므로 사용할 수 없다는 것입니다 (개인 호스팅 영역을 만들지 않으면 이름이 해결되면 IP 주소가 글로벌 IP 주소가됩니다)
따라서 기존 VPC 엔드 포인트에서 "개인 DNS를 비활성화"할 때주의해야합니다 (종말점이 갑자기 더 이상 접근 할 수 없기 때문에 실패가 발생할 수 있습니다)
나는 그것을 공유 할 계획이 없습니다 이 경우 "개인 DNS 활성화"로 만드십시오 더 쉽기 때문입니다
그래서 왜 DNS 레코드 (개인 호스팅 영역)가 없으면 공유 할 수 없기 때문에 "개인 DNS를 비활성화"하는 방법을 벗어나는 이유는 무엇입니까?
공유하고 싶지 않다면 AWS가 만든 DNS 레코드 (개인 호스팅 영역)로 충분합니다
이것뿐만 아니라 AWS는 그것에 대해 아무것도 모르고 사용할 수 있으므로 간과한다는 사실에 놀랄 수 있습니다 조심하세요
■ 2 단계 개인 호스팅 영역 생성
다음, 2 단계
계정 A가있는 개인 호스팅 영역을 만듭니다
Route53의 함수 일뿐 만 아니라 개인 호스팅 구역 생성입니다
기사에서 언급했듯이 각 안전 카지노 엔드 포인트에 대해 개인 호스팅 영역을 만들어야합니다
이번에는 SSM 세션 관리자를 사용하는 예를 사용하고 싶습니다 세션 관리자를 사용하려면 3 개의 개인 호스팅 영역이 필요합니다
sSM 세션 관리자를 사용하는 경우 필요한 호스팅 영역 (3 필수)
실제로 호스팅 된 영역을 만들 때 설정
도메인 이름 :
"ec2messagesap-northeast-1amazonawscom"과 같은 엔드 포인트 이름을 작성하십시오
*서비스 이름에 따라 "EC2Messages"부분을 변경하십시오
*"ap-northeast-1amazonawscom"섹션은 VPC 엔드 포인트를 만든 지역에 따라 변경해야합니다
안전 카지노 호스팅 된 영역과 연결 :
안전 카지노 엔드 포인트를 만든 안전 카지노를 선택하십시오
호스팅 영역에서 레코드 생성
생성 된 VPC 엔드 포인트의 생성 된 "EC2Messages"를 생성 된 "ec2messagesap-northeast-1amazonawscom"영역으로 연결합니다
Route53에서 알몸 도메인은 별칭 레코드에서 사용할 수 있으므로 별칭으로 설정하십시오
레코드 이름 :
입력 없음
별칭 :
활성화
트래픽이 진행되었습니다 :
- "VPC Endpoint alias"
- 안전 카지노 엔드 포인트가있는 영역을 선택하십시오
- 생성 된 엔드 포인트 (※)
*이미지의 3 개의 "ec2messages"가 출력됩니다
각 AZ와 연결되는 엔드 포인트가 아닌 "각 지역에 대해 자동으로 생성 된 공개 DNS 이름"을 사용하십시오
( "AP-NORTHEAST-1A"또는 "AP-NORTHEAST-1C"와 같은 특정 항목을 선택하지 마십시오)
이 "호스팅 된 영역 만들기"및 "호스팅 된 영역에서 레코드 생성"이 각 엔드 포인트에 대해 수행됩니다
SSM 세션 관리자를 사용하려면 다음 세 가지 작업을 수행해야합니다
"호스팅 영역 만들기"및 "호스팅 영역에서 레코드 생성"
SSMAP-Northeast-1amazonawscom
SSMMESSAGESAP-NORTHEAST-1amazonawscom
ec2messagesap-northeast-1amazonawscom
■ 3 단계 계정에 개인 호스팅 영역을 공유합니다 b
이제 준비가 완료되었으므로 계정 A와 계정으로 생성 된 개인 호스팅 영역을 공유하기 위해 신청하고 싶습니다
응용 프로그램 공유와 관련하여 RAM (AWS Resource Access Manager)이지만이 작업은 RAM으로 수행 할 수 없습니다
(복잡하므로 통일되기를 바랍니다 )
또한 CLI 용일 것이며 관리 콘솔에서 수행 할 수 없습니다
"Cli와 함께해라"라는 AWS의 감사 진술
내가 할 수있는 일은 없으므로 CLI를 사용하여 해보자
CloudShell은 CLI에서 수행 할 때 유용합니다
CloudShell은 무엇입니까? 관심이 있으시면이 페이지를 참조하십시오 시간이 있다면 CloudShell에 대해서도 쓰고 싶지만 지금은 AWS 문서에 인내하십시오
https : //docsawsamazoncom/ja_jp/cloudshell/latest/userguide/welcomehtml
따라서 CloudShell을 구현하는 계정은 안전 카지노에 대한 운영 권한이 필요합니다
기본 PowerUser 또는 더 높은 권한으로 수행하십시오
실행할 명령은 다음과 같습니다
명령 1 :
#aws Route53 List-Host-Zones-No-Cli-Pager
실행하면 이와 유사한 출력을 얻게됩니다
이것은 실제로 xxxxx 문자열에 대한 공유 신청서를 제출할 때 필요한 ID입니다 "/hostedZone/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX과 함께합니다 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 메모장이나 무언가에 보관하십시오
명령 2 :
명령 1에서 확인 된 ID를 사용하여 공유 애플리케이션 생성
명령은 다음과 같습니다
aws Route53 Create-안전 카지노-Association Authorization \[링크 할 안전 카지노 ID]는 계정 B의 안전 카지노 ID입니다 B 계정 B에 로그인하고 ID를 확인하십시오
이것은 실제로 명령을 입력 할 때의 모습입니다
이와 같은 오류가 없으면 문제없이 실행할 수 있습니다
"호스트 영역"작업도 필요합니다
영구적이지만 SSM 세션 관리자를 사용할 때는 세 가지 작업을 수행해야합니다
이것은 계정 A와의 작업을 완료합니다
■Step 4 Shared application, approval of private hosted zone
이것은 계정에서 수행됩니다
이것은 또한 CLI 전용입니다
그래서 CloudShell을 시작합시다 CloudShell에서 주목해야 할 사항은 3 단계와 동일합니다
명령 수락
aws Route53 Associate-안전 카지노-with-Host-Zone \3 단계와 거의 동일합니다
step3은 "Create-VPC-Association Authorization"이고 STEP4는 "Associate-VPC-With-Host-Zone"이지만 나머지는 동일합니다
이것은 실제로 명령을 입력 할 때의 모습입니다
이와 같은 오류가 없으면 문제없이 실행할 수 있습니다
■ 마지막 작업 확인
마지막으로 실제로 작동 검사를 수행합시다
방법
- 핑 안전 카지노 계정의 CloudShell의 안전 카지노 엔드 포인트 b
- 체크인 계정 A의 개인 호스팅 영역
- 핑 안전 카지노 계정의 CloudShell의 안전 카지노 엔드 포인트 b
이 확인을 수행 할 때 계정 A에 대한 안전 카지노 엔드 포인트의 IP 주소가 출력인지 확인하십시오
- 체크인 계정 A의 개인 호스팅 영역
이 경우 추가 된 안전 카지노는 이와 같이 호스팅 된 영역에서 공유됩니다
공유되었습니다
그것은 영구적이지만, 당신이 만든 호스팅 된 영역에서 몇 분 동안 구현해야합니다
조심하십시오
대형 AWS NWS 관리 요약 (안전 카지노 엔드 포인트, Route53 공유)
이번에는 대규모 AWS NWS를 관리하고 안전 카지노 엔드 포인트를 공유하여이를 구현하기위한 구성에 대해 이야기했습니다
이 외에도 DNS Resolver를 공유하는 것이 더 낫지 만 2 부에서 그것에 대해 이야기하고 싶습니다
솔직히 말해서,이 구성에있을 필요가 없다고 말하는 한 괜찮습니다 안전 카지노 엔드 포인트를 별도로 공유하지 않는 데는 아무런 문제가 없습니다
그러나 안전 카지노 엔드 포인트의 문제에 언급 된 바와 같이 공유하지 않으면 너무 비싸거나 자원이 낭비되는 것과 같은 운영 적 관점에서 많은 문제가 될 수 있습니다
온-프레미스 및 구름에 공통적으로, 우리는 먼저 제대로 구현하지 않으면 NW를 설계하고 운영하는 것을 후회하는 가장 중요한 것을 고려하고 있습니다
(클라우드 환경이더라도 나중에 NW를 변경하기가 어렵습니다 또한 NW의 특성은 처음에는 디자인하지 않고도 관리 할 수 있다고 생각합니다)
NW 부분, 특히 디자인에 들어가기가 어려울 수 있지만이 기사가 도움이되기를 바랍니다
NW 디자인을 좋아하는 더 많은 사람들이 클라우드 환경에서 증가하기를 바랍니다
CTC는 AWS 비즈니스를 활용하기 위해 고객의 단계에 맞는 광범위한 건설 및 운영 지원 서비스를 제공합니다
숙련 된 엔지니어는 원 스톱 및 유연한 지원을 제공합니다
그렇게 해주세요마닐라 카지노 문의 | CTC 그룹제발
