프라이빗 서브넷의 AWS Fargate에서 Amazon Elastic Container Service(Amazon ECS) 작업을 실행하고 싶습니다.
간략한 설명
프라이빗 서브넷에서 Fargate 작업을 실행할 수 있습니다. 하지만 용도에 따라 특정 작업에 인터넷 액세스가 필요할 수 있습니다. 예를 들어, 공용 저장소에서 이미지를 가져오기를 원할 수 있습니다. 또는 작업 시 인터넷 액세스를 차단하고 싶을 수도 있습니다.
인터넷 액세스 없이 프라이빗 서브넷에서 Fargate 작업을 실행하려면 가상 프라이빗 클라우드(VPC) 엔드포인트를 사용하세요. VPC 엔드포인트를 사용하면 작업에 인터넷 액세스 권한을 부여하지 않고도 Fargate 작업을 실행할 수 있습니다. 필수 엔드포인트는 프라이빗 IP 주소를 통해 액세스됩니다.
작업이 프라이빗 서브넷에서 인터넷에 액세스해야 하는 경우 NAT 게이트웨이를 사용하여 인터넷 액세스를 허용하세요. 필요한 엔드포인트는 NAT 게이트웨이의 퍼블릭 IP 주소를 통해 액세스됩니다.
해결 방법
VPC 만들기
퍼블릭 또는 프라이빗 서브넷을 사용하여 Amazon Virtual Private Cloud(Amazon VPC)를 생성합니다. 그런 다음 용도에 따라 **인터넷 액세스 없이 프라이빗 서브넷 사용(VPC 엔드포인트 방법)**의 단계를 따르세요. 또는 인터넷 액세스를 통한 프라이빗 서브넷 사용의 단계를 따르세요.
인터넷 액세스 없이 프라이빗 서브넷 사용(VPC 엔드포인트 방식)
인터페이스 엔드포인트와 Amazon Simple Storage Solution(Amazon S3) 게이트웨이 엔드포인트를 생성하려면 다음 단계를 완료하세요.
- Amazon S3 게이트웨이 엔드포인트를 생성합니다.
- Amazon Elastic Container Registry(Amazon ECR) 인터페이스 엔드포인트를 생성합니다.
- AWS Secrets Manager를 사용하여 작업 및 Amazon CloudWatch Logs에 암호를 삽입하는 작업의 경우, 두 서비스 모두에 대한 인터페이스 엔드포인트를 생성하세요.
참고: 이러한 VPC 엔드포인트의 보안 그룹은 Fargate 작업 보안 그룹 또는 Fargate 작업 VPC CIDR 범위의 TCP 포트 443에서 인바운드 트래픽을 허용합니다.
- 이 문서의 Amazon ECS 클러스터 및 서비스 생성 섹션에 있는 지침을 따르세요.
인터넷 액세스가 가능한 프라이빗 서브넷 사용
NAT 게이트웨이를 생성합니다. NAT 게이트웨이를 생성할 때 다음 작업을 완료하세요.
- NAT 게이트웨이를 퍼블릭 서브넷에 배치하세요.
- 프라이빗 서브넷의 라우팅 테이블을 업데이트합니다.
목적지에 0.0.0.0/0을 입력합니다.
타겟에 NAT 게이트웨이의 ID를 선택합니다.
그런 다음 이 문서의 Amazon ECS 클러스터 및 서비스 생성 섹션에 있는 지침을 따르세요.
Amazon ECS 클러스터 및 서비스 생성
- Amazon ECS 클러스터를 생성합니다. 인프라에서 **AWS Fargate(서버리스)**를 선택합니다.
- Amazon ECS 서비스를 생성합니다.
Fargate 서비스를 위한 네트워크를 구성할 때 다음 작업을 완료하세요.
- 앞서 선택한 방법에 따라 VPC 엔드포인트에 구성한 프라이빗 서브넷을 선택합니다. 또는 NAT 게이트웨이에 구성한 서브넷을 선택합니다.
- 보안 그룹의 경우 포트 443에서 아웃바운드 트래픽이 Amazon ECS 엔드포인트에 액세스하도록 허용하세요.