AWS Storage Gateway의 파일 인터페이스(파일 게이트웨이)와 Amazon Simple Storage Service(Amazon S3) 간에 프라이빗 네트워크 연결을 설정하려고 합니다. 게이트웨이가 인터넷을 통해 AWS 서비스와 통신하는 것을 원하지 않습니다. 어떻게 해야 합니까?
간략한 설명
게이트웨이 어플라이언스가 내부 프라이빗 네트워크를 통해 서비스 엔드포인트와 연결하는 Amazon Virtual Private Cloud(Amazon VPC) 내에서 파일 게이트웨이와 Amazon S3 간에 프라이빗 네트워크 연결을 설정할 수 있습니다. VPC 내에서 이 프라이빗 연결을 설정하려면 다음을 수행합니다.
- Amazon S3에 대한 VPC 게이트웨이 엔드포인트 또는 인터페이스 엔드포인트를 생성합니다.
- VPC 엔드포인트를 사용하여 파일 게이트웨이를 생성합니다.
Amazon S3 File Gateway는 2개의 Amazon S3 엔드포인트를 지원합니다. 그러나 사용 사례에 따라 한 가지 유형의 엔드포인트만 생성하면 됩니다.
참고: Amazon S3 게이트웨이 엔드포인트는 온프레미스 게이트웨이에서 사용할 수 없습니다. Amazon S3 게이트웨이 엔드포인트는 Amazon EC2 인스턴스 기반 게이트웨이에서 사용됩니다. Amazon S3 인터페이스 엔드포인트는 온프레미스 및 EC2 인스턴스 기반 게이트웨이 모두에서 사용할 수 있습니다.
해결 방법
Amazon S3에 대한 VPC 게이트웨이 엔드포인트 생성
- Amazon VPC 콘솔을 엽니다.
- 탐색 창에서 [엔드포인트(Endpoints)]를 선택합니다.
- [엔드포인트 생성(Create Endpoint)]을 선택합니다.
- [서비스 카테고리(Service category)]에서 [AWS 서비스(AWS services)]를 선택합니다.
- [서비스 이름(Service Name)]에서 s3로 끝나고 [유형(Type)]이 [게이트웨이(Gateway)]인 서비스 이름을 선택합니다.
- [VPC]에서 Storage Gateway에 액세스할 때 사용하려는 VPC를 선택합니다.
- [라우팅 테이블 구성(Configure route tables)]에서 구성에 대한 [라우팅 테이블 ID(Route Table ID)]를 선택합니다.
- [엔드포인트 생성(Create endpoint)]을 선택합니다.
게이트웨이 VPC 엔드포인트를 사용할 때 VPC 엔드포인트 정책은 액세스를 제한하고 인증된 사용자의 S3 버킷에 대한 요청만 허용하는 데 사용됩니다. 또한, 특정 VPC에서 액세스할 수 있는 버킷을 제어할 수 있습니다. 이는 동일한 리전의 VPC에서 S3에 액세스하는 모범 사례 모델입니다. 온프레미스 애플리케이션에서 게이트웨이 VPC 엔드포인트를 사용하거나 다른 AWS 리전의 VPC에서 S3에 액세스하려면 VPC에 프라이빗 IP 주소가 있는 프록시 서버 플릿을 설정해야 합니다. 그 결과 온프레미스 애플리케이션이 변경되어 프록시 서버로 요청을 전달한 다음, VPC 엔드포인트를 통해 S3로 전달합니다.
Amazon S3용 VPC 인터페이스 엔드포인트 생성
- Amazon VPC 콘솔을 엽니다.
- 탐색 창에서 [엔드포인트(Endpoints)]를 선택합니다.
- [엔드포인트 생성(Create Endpoint)]을 선택합니다.
- [서비스 카테고리(Service category)]에서 [AWS 서비스(AWS services)]를 선택합니다.
- [서비스 이름(Service Name)]에서 s3로 끝나고 [유형(Type)]이 [인터페이스(Interface)]인 서비스 이름을 선택합니다.
- [VPC]에서 Storage Gateway에 액세스할 때 사용하려는 VPC와 서브넷을 선택합니다.
- [보안 그룹(Security group)]에서 포트 443이 열려 있는 보안 그룹을 선택합니다.
- [엔드포인트 생성(Create endpoint)]을 선택합니다.
VPC 엔드포인트를 사용하여 파일 게이트웨이 생성
VPC 엔드포인트를 사용하여 파일 게이트웨이를 생성하려면 Storage Gateway용 VPC 엔드포인트를 생성하고, 파일 게이트웨이를 생성 및 구성한 다음, VPC에서 게이트웨이를 활성화해야 합니다.
참고: AWS와의 프라이빗 연결을 사용하여 온프레미스 Storage Gateway를 사용하는 경우 Amazon Elastic Compute Cloud(Amazon EC2) 프록시 없이 작동하는 Amazon S3용 인터페이스 엔드포인트를 사용할 수 있습니다.
Amazon S3용 VPC 인터페이스 엔드포인트를 사용하여 파일 공유 생성
Amazon S3 File Gateway를 사용하면 네트워크 파일 시스템(NFS) 또는 서버 메시지 블록(SMB) 프로토콜로 액세스할 수 있는 파일 공유를 생성할 수 있습니다. 파일 공유 생성에 대한 자세한 내용은 파일 공유 생성을 참조하세요.
네트워크 연결 테스트
참고: 연결을 테스트하면 Storage Gateway 어플라이언스가 필요한 TCP 포트를 통해 서비스 엔드포인트와 연결할 수 있는지 확인하는 데 도움이 됩니다.
- SSH를 사용하여 파일 게이트웨이의 Amazon EC2 호스트 인스턴스에 연결합니다.
- SSH 세션에서 3을 입력하여 [3: 네트워크 연결 테스트(3: Test Network Connectivity)]를 선택합니다.
- 테스트는 네트워크 연결 성공 시 **[ PASSED ]**를 반환합니다.
관련 정보
사용 사례(AWS PrivateLink 및 VPC endpoints)
로컬 콘솔에서 유지 관리 태스크 수행
AWS PrivateLink를 사용하여 Amazon S3에 대한 하이브리드 액세스를 보호합니다.