본 포스팅에서는 고객 관리형 접두사 목록을 통해 여러 CIDR 블록을 하나의 접두사로 관리하는 방법에 대해 알아보겠습니다.
관리형 접두사 목록에는 AWS 관리형 접두사 목록과 고객 관리형 접두사 목록, 총 2가지 유형이 있습니다.
AWS 관리형 접두사 목록이란?
– AWS가 관리하는 IP 주소 범위 세트입니다.
– AWS가 S3, DynamoDB, EC2 Instance Connect 등 서비스 별로 사용하는 IP 대역을 AWS 리소스에서 바로 참조할 수 있게하는 구조입니다.
– AWS 서비스의 IP를 수동으로 유지하는 부담을 줄이거나, AWS 서비스의 라우팅 수준을 컨트롤 할 때 유용합니다.
고객 관리형 접두사 목록이란?
– 고객은 자신만의 IP 주소 범위 세트를 관리형 접두사 목록을 통해 직접 정의하고 관리할 수 있습니다.
– 고객 관리형 접두사 목록을 다른 계정과 공유하여 해당 계정이 접두사 목록을 참조하도록 할 수 있습니다.
고객 관리형 접두사 목록은 다음과 같은 사용 사례에 적합합니다.
- 보안 그룹이나 라우팅 테이블에 여러 CIDR 블록을 추가 및 제거해야하는 경우
– 다수의 CIDR 블록을 추가 또는 제거하는 단순 반복 작업으로 인한 시간 소요 - CIDR 블록을 하나의 그룹으로 묶어서 관리하고자 하는 경우
– 같은 지사의 여러 CIDR 블록이지만, 라우팅 테이블이나 보안 그룹에서 개별로 관리되어 변경 사항 발생 시 수정이 어려움 - IP 주소 또는 대역 변경으로 인해 관련 리소스들을 전부 수정해야하는 경우
– 개발사의 IP가 변경되어 관련 리소스에서 기존 IP를 제거하고 신규 IP를 등록하는 등 번거로운 수정 작업
그럼 관리형 접두사 목록을 사용자가 어떻게 직접 정의하고 관리하는 지 알아보도록 하겠습니다.
고객 관리형 접두사 목록
관리형 접두사 목록을 통해 사용자는 AWS 내에서 IP 주소 범위 세트를 직접 정의하고 관리할 수 있습니다.
이를 통해 IP 주소 관리를 간소화하고 AWS 운영 환경에서 일관성과 재사용성을 향상시킬 수 있습니다.
특히 해당 관리형 접두사 목록을 다른 AWS 계정과 공유하여 다중 계정 환경에서도 유용하게 사용 가능합니다.
아래에서 관리형 접두사 목록을 어떻게 직접 생성하고 관리하는지 알아보도록 하겠습니다.
- VPC 대시보드의 좌측 메뉴에서 “관리형 접두사 목록” 항목을 클릭합니다.
2. 우측 상단의 “접두사 목록 생성” 버튼을 클릭합니다.
3. 접두사 목록을 생성합니다.
– 접두사 목록 이름과 최대 항목, 주소 패밀리를 선택합니다.
– 최대 항목의 경우 해당 접두사 목록에 추가할 CIDR 블록 개수를 의미하며, 생성 이후에도 수정할 수 있습니다.
– ⚠️ 접두사 목록의 최대 항목은 보안 그룹 규칙이나 라우팅 할당량에 포함되기 때문에 할당량 초과 문제가 발생할 수 있습니다. 따라서 항목을 적절하게 조절하거나, 리소스 할당량 제한 증가 요청을 수행해야합니다.
4. 접두사 목록에 관리할 CIDR 블록 항목을 추가합니다.
– 예시에서는 하나의 접두사 목록에 Office A, Office B, Office C 대역을 나눠놓았지만, 실제 사용 시에는 각 Office 별 접두사 목록으로 관리하실 수도 있습니다.
– 항목을 추가한 이후 접두사 목록을 생성합니다.
5. 관련 리소스에 접두사 목록을 추가합니다.
– 예시와 같이 보안 그룹이나 라우팅 테이블에 사용하실 수 있습니다.
– 기존에 추가해야할 항목이 5개였다면 리소스에 일일히 5개의 항목을 추가해야했지만, 관리형 접두사를 통해 이러한 작업을 간소화할 수 있게됩니다.
6. 참조 중인 리소스는 해당 관리형 접두사 목록에서 한 눈에 파악할 수 있습니다.
– 관리형 접두사 목록의 “연결” 탭에서 참조 중인 보안 그룹이나 라우팅 테이블 등을 확인할 수 있습니다.
– “공유 중” 탭에서는 해당 관리형 접두사 목록이 공유되어 있는 보안 주체가 나타납니다.
접두사 목록 관리
- 접두사 목록 항목 수정
– 만약 리소스 할당량 제한 등에 걸린다면, 접두사 목록 크기 조정을 통해 항목을 수정하여 해결할 수 있습니다.
2. 접두사 목록의 버전 관리
– 접두사 목록은 버전 관리를 지원하고 있어 수정 사항이 생기는 경우, 버전이 변경됩니다.
만약 수정 후 문제가 발생하는 경우, 접두사 목록 복원을 통해 이전 버전으로 롤백하여 해결할 수 있습니다.
3. 접두사 목록 삭제
– 직접 관리하는 접두사 목록을 삭제하기 위해서는 연결된 리소스에서 해당 접두사 목록을 모두 삭제해야합니다. 그렇지 않으면 삭제 작업이 실패합니다.
여기까지 관리형 접두사 목록을 통해 사용자가 직접 IP 세트를 정의하고 관리하는 방법에 대해 개략적으로 알아보았습니다.
만약 운영 중인 환경에서 특정 CIDR 블록을 그룹핑하여 사용해야하거나, 블록의 변경과 업데이트가 잦아 관리에 번거로움이 있으셨던 경우 관리형 접두사 목록을 활용해보실 것을 권장드립니다.
감사합니다.
📖 가이드 링크
– 관리형 접두사 목록
– AWS 관리형 접두사 목록
– 고객 관리형 접두사 목록
– 고객 관리형 접두사 목록 작업
– 고객 관리형 접두사 목록 공유