AWS/AWS QnA

AWS QnA - VPC(Virtual Private Cloud)

SALEE 2022. 6. 11. 23:14
728x90

1. How can I map Availability Zones across my accounts?

여러 계정에 걸쳐 가용 영역을 매핑하려면 어떻게 해야 합니까?

https://aws.amazon.com/premiumsupport/knowledge-center/vpc-map-cross-account-availability-zones/

 

계정 간 가용 영역 매핑 | AWS re:Post

내 계정의 가용 영역(AZ)이 다른 계정에 있는 동일한 이름의 AZ와 같은 위치에 매핑되지 않습니다. 내결함성을 확인하거나, 성능을 개선하거나, 비용을 최적화하기 위해 내 리소스가 여러 계정에

repost.aws

 

 

가용 영역 이름은 여러 계정에 걸쳐 동일한 위치로 매핑되지 않지만, 가용 영역 ID(AZ ID)를 사용하여 계정 간 가용 영역을 매핑할 수는 있습니다.

 

2. How do I monitor traffic in my VPC by using flow logs?

흐름 로그를 사용하여 VPC의 트래픽을 모니터링하려면 어떻게 해야 합니까?

https://aws.amazon.com/premiumsupport/knowledge-center/set-up-vpc-flow-logs/

 

Monitor VPC traffic with flow logs | AWS re:Post

How do I use flow logs to monitor the traffic to and from network interfaces in my virtual private cloud (VPC)?

repost.aws

 

 

VPC flow Logs는 VPC, 서브넷 또는 네트워크 인터페이스에서 들어오고 나가는 트래픽을 추적하고 이해하는 데 도움이 됩니다. 이 데이터는 나중에 분석하기 위해 Amazon CloudWatch에 저장됩니다.

  • VPC flow Logs 제한 사항 을 검토하고 사용 사례에 적합한지 확인
  • VPC flow Logs에 대한 IAM 역할 을 생성한 다음 흐름 로그를 생성
  • AWS CloudFormation 템플릿 을 사용하여 VPC flow Logs를 생성 할 수 있음
  • CloudFormation 스택을 삭제하여 VPC flow Logs를 끌 수 있음
  • CloudFormation 스택을 삭제해도 CloudWatch Logs에 이미 저장된 VPC flow Logs는 제거되지 않음
  • VPC flow Logs를 Amazon S3로 전달할 수도 있음

 

3. How can I reduce data transfer charges for my NAT gateway?

NAT 게이트웨이의 데이터 전송 비용을 줄이려면 어떻게 해야 합니까?

https://aws.amazon.com/premiumsupport/knowledge-center/vpc-reduce-nat-gateway-transfer-costs/

 

NAT 게이트웨이 데이터 전송 비용 절감 | AWS re:Post

Amazon VPC에서 NAT 게이트웨이를 지나는 트래픽에 대한 데이터 전송 청구서 비용을 줄여야 합니다.

repost.aws

 

 

먼저 NAT 게이트웨이에서 발생하는 주요 트래픽 소스를 판단하십시오. 그런 다음, 데이터 전송 및 처리 비용을 줄이기 위해 다음 전략을 고려하십시오.

  • 가장 많은 트래픽을 전송하는 인스턴스가 NAT 게이트웨이와 동일한 가용 영역에 없는 경우
    • 리소스와 동일한 가용 영역에 새 NAT 게이트웨이를 생성하여 교차 AZ 데이터 전송 요금을 줄이십시오.
  • NAT 게이트웨이 요금이 대부분 동일한 리전의 Amazon Simple Storage Service 또는 Amazon DynamoDB에 대한 트래픽에서 발생한 경우
    • 게이트웨이 VPC 종단점을 설정하십시오. NAT 게이트웨이 대신 게이트웨이 VPC 종단점을 통해 AWS 리소스에 대해 트래픽을 양방향으로 라우팅하십시오. 게이트웨이 VPC 종단점을 사용할 때는 데이터 처리 요금이나 시간당 요금이 부과되지 않습니다.
  • NAT 게이트웨이를 통과하는 트래픽이 대부분 인터페이스 VPC 종단점을 지원하는 AWS 서비스를 대상으로 하는 경우
    • 서비스에 대한 인터페이스 VPC 종단점을 생성하십시오. 잠재적인 비용 절감액을 확인하려면 인터페이스 VPC 종단점의 요금 세부 정보를 참조하십시오.
  • 대부분의 인터넷 트래픽이 AWS가 아닌 리소스를 대상으로 하는 경우
    • 가장 높은 트래픽을 생성하는 인스턴스에 대해 인터넷 게이트웨이를 사용하는 방안을 고려해 보십시오. 인터넷 게이트웨이는 NAT 게이트웨이와 달리 인스턴스에 무료 인터넷 액세스를 직접 제공합니다. 보안 그룹 및 네트워크 액세스 제어 목록은 보안 정책에 따라 인스턴스에 대한 무단 액세스를 방지하도록 구성될 수 있습니다. 인터넷 게이트웨이를 통한 연결의 경우, 인스턴스는 퍼블릭 서브넷에 있어야 하며 퍼블릭 IP 또는 해당 네트워크 인터페이스와 연결된 탄력적 IP 주소가 있어야 합니다.

 

4. How do I increase my security group rule quota in Amazon VPC?

Amazon VPC에서 보안 그룹 한도는 늘리려면 어떻게 해야 합니까??

https://aws.amazon.com/premiumsupport/knowledge-center/increase-security-group-rule-limit/

 

Amazon VPC에서 보안 그룹 규칙 할당량 증가 | AWS re:Post

Amazon Virtual Private Cloud(Amazon VPC)에서 “보안 그룹당 규칙 수” 또는 “네트워크 인터페이스당 보안 그룹” 할당량에 도달했습니다. Amazon VPC에서 보안 그룹 할당량을 늘리려면 어떻게 해야 합니까

repost.aws

 

 

기본 보안 그룹 한도는 늘리거나 줄일 수 있습니다. 최대 한도는 보안 그룹당 규칙 수 및 인터페이스당 보안 그룹과 같은 두 개의 한도를 기반으로 계산됩니다. 네트워크 인터페이스당 보안 그룹 한도에 보안 그룹당 규칙 수 한도를 곱한 값은 1000을 초과할 수 없습니다.

 

5. Why can’t I connect to an S3 bucket using a gateway VPC endpoint?

게이트웨이 VPC 엔드포인트를 사용하여 S3 버킷에 연결할 수 없는 이유는 무엇인가요?

https://aws.amazon.com/premiumsupport/knowledge-center/connect-s3-vpc-endpoint/

 

VPC 엔드포인트에서 Amazon S3로의 연결 문제 해결 | AWS re:Post

게이트웨이 엔드포인트를 사용하여 Amazon Virtual Private Cloud(VPC)의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 Amazon Simple Storage Service(S3) 버킷에 연결하려고 합니다. 하지만 연결이 작동하지 않습

repost.aws

 

 

Amazon VPC에서 Amazon S3로 연결을 허용하는 보안 규칙 또는 네트워크 액세스로 인해 게이트웨이 VPC 엔드포인트 연결 문제가 발생할 수 있습니다. 연결 문제를 해결하려면 다음 리소스와 구성을 확인하세요.

  • 리전 구성
    • S3 객체가 Amazon S3 게이트웨이 VPC 엔드포인트와 동일한 리전에 있는 경우에만 VPC 엔드포인트를 사용하여 Amazon S3 객체에 액세스
  • VPC의 DNS 설정
    • VPC에서 DNS 확인이 활성화되어야 함
  • Amazon S3에 대한 라우팅 테이블 설정
    • 게이트웨이 VPC 엔드포인트를 사용하는 Amazon S3에 대한 경로가 있는지 확인
  • 보안 그룹 아웃바운드 규칙
    • 사용 가능한 아웃바운드 규칙이 Amazon S3으로의 트래픽을 허용하는지 확인
  • 네트워크 ACL 규칙
    • 인바운드 규칙에서 임시 TCP 포트 1024-65535에서 Amazon S3의 인바운드 리턴 트래픽을 허용하는지 확인
    • 아웃바운드 규칙에서 규칙이 HTTPS 포트의 Amazon S3로 트래픽을 허용해야 함
  • 게이트웨이 VPC 엔드포인트 정책
    • 엔드포인트가 버킷과 동일한 리전에 있는지 확인
  • S3 버킷 정책
    • 버킷 정책이 연결하려는 게이트웨이 VPC 엔드포인트 및 VPC에서 액세스를 허용해야 함
  • IAM 정책
    • IAM 사용자 또는 역할에 연결된 사용자에게 Amazon S3에 액세스하기 위한 올바른 권한이 있어야 함
  • AWS CLI 구성
    • AWS CLI를 구성하고 기본 AWS 리전을 설정
  • AWS SDK 구성
    • 이트웨이 VPC 엔드포인트를 사용하여 S3 버킷에 요청하는 경우에는 올바른 리전을 사용하도록 SDK (또는 클라이언트 객체)를 구성해야 함

 

6. Why can't my EC2 instances access the internet using a NAT gateway?

EC2 인스턴스가 NAT 게이트웨이를 사용하여 인터넷에 액세스할 수 없는 이유는 무엇인가요?

https://aws.amazon.com/premiumsupport/knowledge-center/ec2-access-internet-with-NAT-gateway/

 

EC2 인스턴스가 NAT 게이트웨이를 사용하여 인터넷에 액세스하는 문제 해결 | AWS re:Post

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 인터넷에 연결할 수 있게 하려고 네트워크 주소 변환(NAT) 게이트웨이를 생성했습니다. 그런데 EC2 인스턴스에서 인터넷에 액세스할 수가 없습니다. EC2

repost.aws

 

 

NAT 게이트웨이의 인터넷 연결 문제는 일반적으로 서브넷 구성 오류 또는 경로 누락으로 인해 발생합니다. NAT 게이트웨이를 사용하여 인터넷에 연결할 때 발생하는 문제를 해결하려면 다음을 확인하세요.

  • NAT 게이트웨이를 시작한 서브넷은 인터넷 게이트웨이에 대한 기본 경로가 있는 라우팅 테이블과 연결됩니다.
  • EC2 인스턴스를 시작한 서브넷은 NAT 게이트웨이에 대한 기본 경로가 있는 라우팅 테이블과 연결됩니다.
  • 아웃바운드 인터넷 트래픽은 소스 인스턴스와 연결된 보안 그룹 및 네트워크 액세스 제어 목록(ACL) 모두에서 허용됩니다.
  • NAT 게이트웨이를 시작한 서브넷과 연결된 네트워크 ACL은 EC2 인스턴스 및 인터넷 호스트로부터의 인바운드 트래픽을 허용합니다. 또한 네트워크 ACL이 인터넷 호스트 및 EC2 인스턴스에 대한 아웃바운드 트래픽을 허용하는지 확인합니다. 예를 들어 EC2 인스턴스가 HTTPS 웹 사이트에 액세스하도록 허용하려면 NAT 게이트웨이 서브넷과 연결된 네트워크 ACL에 이 표에 나열한 규칙이 있어야 합니다.

 

7. What is an interface VPC endpoint and how can I create one for my VPC?

인터페이스 VPC 엔드포인트는 무엇이고 VPC에서 이를 생성하려면 어떻게 해야 합니까?

https://aws.amazon.com/premiumsupport/knowledge-center/create-an-interface-vpc-endpoint/

 

VPC용 인터페이스 VPC 엔드포인트 생성 | AWS re:Post

Amazon Virtual Private Cloud(VPC)의 인터페이스 엔드포인트를 생성하고 싶습니다.

repost.aws

 

 

인터페이스 VPC 엔드포인트를 사용하면 Amazon VPC를 지원되는 AWS 서비스, 다른 AWS 고객 및 파트너가 호스팅하는 엔드포인트 서비스, AWS Marketplace 파트너 서비스에 비공개로 연결할 수 있습니다.

  • 자신의 사용 사례와 관련이 있는 서비스에 대한 인터페이스 엔드포인트를 생성
  • 해당 서비스에 대한 트래픽의 진입점 역할을 하는 프라이빗 IP 주소를 통해 엔드포인트 네트워크 인터페이스가 선택한 서브넷에 생성
  • 보안 그룹을 인터페이스 엔드포인트와 연결하여 Amazon VPC의 리소스에서 엔드포인트 네트워크 인터페이스로 이동하는 트래픽을 제한할 수 있음

 

8. Why can't I connect to an Amazon EC2 instance within my Amazon VPC from the internet?

Amazon VPC에서 인터넷을 통해 Amazon EC2 인스턴스에 연결할 수 없는 이유는 무엇입니까?

https://aws.amazon.com/premiumsupport/knowledge-center/vpc-connect-instance/

 

인터넷에서 Amazon EC2 인스턴스에 연결 | AWS re:Post

인터넷에서 Amazon Virtual Private Cloud(Amazon VPC) 내의 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스에 연결할 수 없습니다. 해결하려면 어떻게 해야 합니까?

repost.aws

 

 

Amazon VPC에서 Amazon EC2 인스턴스에 연결하는 문제는 일반적으로 보안 그룹, ACL(네트워크 액세스 제어 목록) 또는 라우팅 테이블의 구성과 관련이 있습니다.

  • 보안 그룹 확인
    • 인스턴스의 탄력적 네트워크 인터페이스와 연관된 보안 그룹이 필요한 포트의 연결을 허용하는지 확인
  • 네트워크 ACL 확인
    • VPC 서브넷과 연관된 네트워크 ACL이 필요한 포트를 통한 트래픽을 허용하는지 확인
    • 바운드 및 아웃바운드 트래픽이 모두 허용되는지 확인
    • 아웃바운드 ACL에서 임시 포트만 열어야 함
  • 라우팅 테이블 확인
  • IP 주소 확인
    • 퍼블릭 IP 주소가 VPC 인스턴스에 할당되어 있는지 또는 탄력적인 IP 주소가 인스턴스의 네트워크 인터페이스에 연결되어 있는지 확인

 

9. I host a website on an EC2 instance. How do I allow my users to connect on HTTP (80) or HTTPS (443)?

EC2 인스턴스에서 웹 사이트를 호스팅합니다. 사용자가 HTTP (80) 또는 HTTPS (443)에서 연결하도록 허용하려면 어떻게 해야 합니까?

https://aws.amazon.com/premiumsupport/knowledge-center/connect-http-https-ec2/

 

HTTP 또는 HTTPS 포트에서 Amazon EC2 인스턴스에 연결 | AWS re:Post

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 내 웹 사이트를 호스팅합니다. 사용자가 HTTP(포트 80) 또는 HTTPS(포트 443)에서 내 웹 사이트에 연결하기를 원합니다. 어떻게 해야 합니까?

repost.aws

 

 

포트 80 및 443에서 트래픽을 허용하려면 연결된 보안 그룹과 네트워크 액세스 제어 목록(네트워크 ACL)을 구성해야 합니다.

  • 보안 그룹 규칙
    • HTTP 트래픽의 경우 소스 주소 0.0.0.0/0에서 포트 80에 대한 인바운드 규칙을 추가
    • HTTPS 트래픽의 경우 소스 주소 0.0.0.0/0에서 포트 443에 대한 인바운드 규칙을 추가
    • 보안 그룹의 아웃바운드 규칙은 수정할 필요가 없음
  • 네트워크 ACL
    • 기본 네트워크 ACL에서 모든 인바운드 및 아웃바운드 트래픽을 허용
    • 더욱 제한적인 규칙으로 사용자 지정 네트워크 ACL을 사용할 경우, 포트 80과 443에서 트래픽을 명시적으로 허용해야 함
    • 네트워크 ACL은 상태 비저장 상태이므로 웹 사이트에 연결하려면 인바운드 및 아웃바운드 규칙을 추가해야 함
728x90