Amazon Virtual Private Cloud - VPC 피어링

Transcription

1 Amazon Virtual Private Cloud VPC 피어링

2 Amazon Virtual Private Cloud: VPC 피어링 Copyright 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.

3 Table of Contents VPC 피어링이란?... 1 VPC 피어링 기본 사항... 1 VPC 피어링 연결 수명 주기... 2 여러 VPC 피어링 연결... 3 VPC 피어링 연결 요금... 4 VPC 피어링 제한... 4 VPC 피어링 연결 작업... 5 생성 및 수락... 5 계정에 있는 다른 VPC와의 VPC 피어링 연결 생성... 5 또 다른 AWS 계정에 있는 VPC와의 VPC 피어링 연결 생성... 6 VPC 피어링 연결 허용... 7 VPC 피어링 연결 보기... 8 거부... 8 업데이트... 9 피어 VPC 보안 그룹 참조 참조된 보안 그룹 식별 무효 보안 그룹 규칙으로 작업 피어링 옵션 수정 VPC 피어링 연결에 대한 DNS 확인 지원 활성화 삭제 VPC 피어링 연결에 대한 액세스 제어 VPC 피어링 시나리오 리소스에 대한 모든 권한을 제공하기 위한 두 개 이상의 VPC 피어링 중앙 집중식 리소스에 액세스하기 위해 한 VPC에 피어링 ClassicLink와 피어링 VPC 피어링 구성 전체 CIDR 블록에 대한 경로를 포함하는 구성 함께 피어링된 두 개의 VPC VPC 두 개와 피어링된 하나의 VPC 함께 피어링된 세 개의 VPC IPv6를 위해 여러 VPC와 피어링된 하나의 VPC 서로 피어링된 여러 VPC 특정 경로로 구성 VPC 1개에 속한 서브넷 2개로 피어링되는 VPC 2개 VPC 2개가 VPC 1개의 특정 CIDR 블록으로 피어링 VPC 2개의 특정 서브넷으로 피어링되는 VPC 1개 VPC 2개의 인스턴스로 피어링되는 VPC 1개의 인스턴스 가장 긴 접두사 일치 항목을 사용하여 VPC 2개와 피어링되는 VPC 1개 여러 VPC 구성 ClassicLink로 구성 ClassicLink 인스턴스와 피어 VPC 간의 통신 설정 지원되지 않는 VPC 피어링 구성 겹치는 CIDR 블록 전이적 피어링 게이트웨이 또는 프라이빗 연결을 통한 엣지 간 라우팅 문서 기록 iii

4 VPC 피어링 기본 사항 VPC 피어링이란? Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 정의한 가상 네트워크에서 AWS 리소스를 시작할 수 있습니다. VPC 피어링 연결은 프라이빗 IPv4 주소 또는 IPv6 주소를 사용하여 두 VPC 간에 트래픽을 라우팅할 수 있도 록 하기 위한 두 VPC 사이의 네트워킹 연결입니다. 동일한 네트워크에 속하는 경우와 같이 VPC의 인스턴스 가 서로 통신할 수 있습니다. 사용자의 자체 VPC 또는 다른 AWS 계정의 VPC와 VPC 피어링 연결을 만들 수 있습니다. VPC는 다른 리전에 있을 수 있습니다(리전 간 VPC 피어링 연결이라고도 함). AWS는 VPC의 기존 인프라를 사용하여 VPC 피어링 연결을 생성합니다. 이는 게이트웨이도, VPN 연결도 아 니며 물리적 하드웨어 각각에 의존하지 않습니다. 그러므로 통신 또는 대역폭 병목에 대한 단일 지점 장애가 없습니다. VPC 피어링 연결은 원활한 데이터 전송에 도움이 됩니다. 예를 들어 AWS 계정이 두 개 이상인 경우 이들 계 정을 대상으로 VPC를 피어링하여 파일 공유 네트워크를 만들 수 있습니다. VPC 피어링 연결을 사용하여 다 른 VPC가 사용자의 VPC 중 하나에 있는 리소스에 액세스하도록 허용할 수도 있습니다. 자세한 내용은 다음 자료를 참조하십시오. VPC 피어링 기본 사항 (p. 1) VPC 피어링 연결 작업 (p. 5) VPC 피어링 시나리오 (p. 16) 전체 CIDR 블록에 대한 경로를 포함하는 구성 (p. 18) 특정 경로로 구성 (p. 36) 지원되지 않는 VPC 피어링 구성 (p. 57) VPC 피어링 기본 사항 VPC 피어링 연결을 설정하려면 다음 작업을 수행합니다. 1

5 VPC 피어링 연결 수명 주기 1. 요청자 VPC의 소유자가 수락자 VPC의 소유자에게 VPC 피어링 연결을 생성하도록 요청을 보냅니다. 수 락자 VPC는 사용자 또는 다른 AWS 계정에서 소유할 수 있으며, 요청자 VPC의 CIDR 블록과 중첩되는 CIDR 블록은 사용할 수 없습니다. 2. 수락자 VPC의 소유자가 VPC 피어링 연결 요청을 수락하여 VPC 피어링 연결을 활성화합니다. 3. 프라이빗 IP 주소를 사용하여 VPC 간의 트래픽 흐름을 활성화하려면 VPC 피어링 연결 내 각 VPC의 소유 자가 다른 VPC(피어 VPC)의 IP 주소 범위를 가리키는 경로를 하나 이상의 VPC 에 수동으 로 추가해야 합니다. 4. 필요한 경우 피어 VPC에서 주고 받는 트래픽이 제한되지 않도록 인스턴스와 연결되어 있는 보안 그룹을 업데이트합니다. 두 VPC가 동일한 리전에 있는 경우 보안 그룹 규칙의 수신 또는 송신 규칙에 대한 소스 나 대상으로 피어 VPC의 보안 그룹을 참조할 수 있습니다. 5. 두 VPC가 동일한 리전에 있는 경우 DNS 호스트 이름 확인을 활성화하도록 VPC 연결을 수정할 수 있습니 다. 기본적으로, VPC 피어링 연결의 어느 한 쪽에 위치하는 인스턴스가 퍼블릭 DNS 호스트 이름을 사용 하여 상대방을 참조하는 경우 호스트 이름은 인스턴스의 퍼블릭 IP 주소로 확인됩니다. 자세한 내용은 VPC 피어링 연결 작업 (p. 5) 단원을 참조하십시오. VPC 피어링 연결 수명 주기 VPC 피어링 연결은 요청이 시작될 때부터 시작하는 다양한 단계를 거칩니다. 각 단계에는 취사선택할 수 있 는 몇 가지 작업이 있을 수 있고, 수명 주기가 끝날 때 VPC 피어링 연결은 Amazon VPC 콘솔과 API 또는 명 령줄 출력에 일정 시간 동안 표시됩니다. Initiating-request: VPC 피어링 연결 요청이 시작되었습니다. 이 단계에서는 피어링 연결이 실패하거나 pending-acceptance로 이동할 수 있습니다. Failed: VPC 피어링 연결 요청이 실패했습니다. 이 상태 중에는 VPC 피어링 연결 요청을 수락, 거부하거나 삭제할 수 없습니다. 실패한 VPC 피어링 연결은 2시간 동안 요청자에게 보이는 상태로 남습니다. Pending-acceptance: VPC 피어링 연결 요청이 수락자 VPC 소유자의 수락을 기다리고 있습니다. 이 상태 에서 요청자 VPC의 소유자가 요청을 삭제할 수 있고 수락자 VPC의 소유자는 요청을 수락하거나 거부할 수 있습니다. 요청에 대해 아무런 조치도 취하지 않으면 요청이 7일 후에 만료됩니다. 2

6 여러 VPC 피어링 연결 Expired: VPC 피어링 연결 요청이 만료되었으며, 어느 한 VPC 소유자가 만료된 요청에 대해 어떤 조치도 취할 수 없습니다. 만료된 VPC 피어링 연결은 2일 동안 양쪽 VPC 소유자에게 모두 보이는 상태로 남습니 다. Rejected: 수락자 VPC의 소유자가 pending-acceptance VPC 피어링 연결 요청을 거부했습니다. 이 상 태 중에는 요청을 수락할 수 없습니다. 거부된 VPC 피어링 연결은 2일 동안 요청자 VPC의 소유자에게 표 시되고, 수락자 VPC의 소유자에게는 2시간 동안 표시됩니다. 같은 AWS 계정 내에서 요청이 생성되었다 면, 거부된 요청은 2시간 동안 보이는 상태로 남습니다. Provisioning: VPC 피어링 연결 요청이 수락되었으며, 곧 active 상태가 됩니다. Active: VPC 피어링 연결이 활성화되고, VPC 사이에서 트래픽이 전달될 수 있습니다(보안 그룹 및 라우팅 테이블에서 트래픽 전달을 허용). 이 상태 중에는 어느 한 VPC 소유자가 VPC 피어링 연결을 삭제할 수 있 지만, 거부할 수는 없습니다. Note VPC가 상주하는 리전에서 발생하는 이벤트로 인해 트래픽 전달을 막는 경우 VPC 피어링 연결 상태는 그대로 Active를 유지합니다. Deleting: 삭제 중인 리전 간 VPC 피어링 연결에 적용됩니다. 한 쪽 VPC 소유자가 active 상태인 VPC 피 어링 연결 삭제 요청을 제출했거나 요청자 VPC의 소유자가 pending-acceptance 상태인 VPC 피어링 연결 요청을 삭제하는 요청을 제출했습니다. Deleted: 어느 한 VPC 소유자가 active VPC 피어링 연결을 삭제했거나, 요청자 VPC의 소유자가 pending-acceptance VPC 피어링 연결 요청을 삭제했습니다. 이 상태 중에는 VPC 피어링 연결을 수락 하거나 거부할 수 없습니다. VPC 피어링 연결은 2시간 동안 해당 연결을 삭제한 쪽에 보이는 상태로 남고, 다른 쪽에는 2일 동안 보이는 상태로 남습니다. 같은 AWS 계정 내에서 VPC 피어링 연결이 생성되었다면, 삭제된 요청은 2시간 동안 보이는 상태로 남습니다. 여러 VPC 피어링 연결 VPC 피어링 연결은 두 VPC 간에 일대일 관계로 수행됩니다. 소유하고 있는 각 VPC에 대한 VPC 피어링 연 결을 여러 개 생성할 수 있지만, 전이성 피어링 관계는 지원되지 않으므로 VPC가 직접 피어링되지 않은 VPC 와의 피어링 관계는 없습니다. 다음 다이어그램은 한 VPC가 다른 두 VPC에 피어링되는 예를 보여줍니다. 두 개의 VPC 피어링 연결이 있는 데, VPC A는 VPC B 및 VPC C와 모두 피어링되고 VPC B와 VPC C는 피어링되지 않습니다. VPC B와 VPC C 사이의 피어링을 위해 VPC A를 중계점으로 사용할 수 없습니다. VPC B와 VPC C 간의 트래픽 라우팅을 활성화하려면 둘 사이에 고유한 VPC 피어링 연결을 생성해야 합니다. 3

7 VPC 피어링 연결 요금 VPC 피어링 연결 요금 VPC 피어링 연결의 VPC가 동일한 리전 내에 있는 경우 VPC 피어링 연결 내에서의 데이터 전송에 대한 요금 은 가용 영역에서의 데이터 전송 요금과 동일합니다. VPC가 다른 리전에 있는 경우 리전 간 데이터 전송 비 용이 적용됩니다. 자세한 내용은 Amazon EC2 요금을 참조하십시오. VPC 피어링 제한 다른 VPC와의 VPC 피어링 연결이 이루어지도록 하려면 다음 제한과 규칙을 인지해야 합니다. 일치하거나 중첩되는 IPv4 또는 IPv6 CIDR 블록이 있는 VPC 간에는 VCP 피어링 연결을 생성할 수 없습 니다. Amazon은 항상 VPC에 고유한 IPv6 CIDR 블록을 할당합니다. IPv6 CIDR 블록이 고유하지만 IPv4 블록은 고유하지 않은 경우, 피어링 연결을 생성할 수 없습니다. VPC당 보유할 수 있는 활성 및 보류 중인 VPC 피어링 연결 수는 제한됩니다. 자세한 내용은 Amazon VPC 사용 설명서의 Amazon VPC 제한을 참조하십시오. VPC 피어링은 전이적 피어링 관계를 지원하지 않습니다. VPC 피어링 연결에서 VPC는 피어 VPC가 피어 링될 수 있는 다른 VPC에 액세스할 수 없습니다. 이 경우 자체 AWS 계정 내에서 전적으로 설정되는 VPC 피어링 연결이 포함됩니다. 지원되지 않는 피어링 관계에 대한 자세한 내용은 지원되지 않는 VPC 피어링 구성 (p. 57) 단원을 참조하십시오. 지원되는 피어링 관계의 예는 VPC 피어링 시나리오 (p. 16) 단원 을 참조하십시오. 동일한 두 VPC 간에 둘 이상의 VPC 피어 연결을 동시에 사용할 수 없습니다. VPC 피어링 연결에서의 유니캐스트 역경로 전송은 지원되지 않습니다. 자세한 내용은 응답 트래픽을 위 한 라우팅 (p. 43) 단원을 참조하십시오. VPC가 동일한 리전에 있는 경우 VPC 피어링 연결의 어느 한 쪽에 있는 리소스가 IPv6를 통해 서로 통신 하도록 할 수 있습니다. IPv6 통신은 자동 실행되지 않습니다. IPv6 CIDR 블록을 각 VPC와 연결하고, IPv6 통신을 위해 VPC의 인스턴스를 활성화하며, 피어 VPC를 위한 IPv6 트래픽을 VPC 피어링 연결로 라우팅 하는 에 경로를 추가해야 합니다. 자세한 내용은 Amazon VPC 사용 설명서의 VPC 및 서브 넷 단원을 참조하십시오. VPC 피어링 연결에 대해 생성한 모든 태그는 태그를 생성한 계정 또는 리전에서만 적용됩니다. VPC 피어링 연결에서 VPC의 IPv4 CIDR 블록이 RFC 1918에 의해 지정된 프라이빗 IPv4 주소 범위를 벗 어나는 경우, 해당 VPC의 프라이빗 DNS 호스트 이름을 프라이빗 IP 주소로 확인할 수 없습니다. 프라이빗 DNS 호스트 이름을 프라이빗 IP 주소로 확인하려면 VPC 피어링 연결에 대한 DNS 확인 지원을 활성화할 수 있습니다. 자세한 내용은 VPC 피어링 연결에 대한 DNS 확인 지원 활성화 (p. 13) 단원을 참조하십시 오. 리전 간 VPC 피어링 연결에는 추가 제한 사항이 있습니다. 피어 VPC 보안 그룹을 참조하는 보안 그룹을 생성할 수 없습니다. 피어 VPC와 통신하도록 ClassicLink를 통해 VPC와 연결된 EC2-Classic 인스턴스에 대한 지원을 활성화 할 수 없습니다. DNS 확인 지원을 활성화할 수 없습니다(피어 VPC의 인스턴스로부터 쿼리될 때 퍼블릭 IPv4 DNS 호스트 이름을 프라이빗 IPv4 주소로 확인할 수 없음). IPv6를 통한 통신이 지원되지 않습니다. VPC 피어링 연결 간의 최대 전송 단위(MTU)는 1500바이트입니다(점보 프레임은 지원되지 않음). 4

8 생성 및 수락 VPC 피어링 연결 작업 Amazon VPC 콘솔을 사용하여 VPC 피어링 연결을 생성하고 사용할 수 있습니다. 작업 VPC 피어링 연결 생성 및 수락 (p. 5) VPC 피어링 연결 거부 (p. 8) VPC 피어링 연결을 위한 업데이트 (p. 9) 피어 VPC 그룹을 참조하도록 보안 그룹 업데이트 (p. 10) VPC 피어링 연결 옵션 수정 (p. 13) VPC 피어링 연결 삭제 (p. 14) VPC 피어링 연결에 대한 액세스 제어 (p. 15) VPC 피어링 연결 생성 및 수락 VPC 피어링 연결을 생성하려면, 우선 다른 VPC와 피어링하기 위한 요청을 생성합니다. 계정 내의 다른 VPC 또는 다른 AWS 계정에 있는 VPC와의 VPC 피어링 연결을 요청할 수 있습니다. 다른 리전에 있는 VPC에 대 한 리전 간 VPC 피어링 연결의 경우 요청자 VPC의 리전에서 요청이 생성되어야 합니다. 요청을 활성화하려면 수락자 VPC의 소유자가 요청을 수락해야 합니다. 리전 간 VPC 피어링 연결의 경우 수 락자 VPC의 리전에서 요청이 수락되어야 합니다. 시작하기 전에, VPC 피어링 연결에 대한 제한 사항 및 규칙 (p. 4)을 알고 있어야 합니다. 작업 계정에 있는 다른 VPC와의 VPC 피어링 연결 생성 (p. 5) 또 다른 AWS 계정에 있는 VPC와의 VPC 피어링 연결 생성 (p. 6) VPC 피어링 연결 허용 (p. 7) VPC 피어링 연결 보기 (p. 8) 계정에 있는 다른 VPC와의 VPC 피어링 연결 생성 계정에 있는 VPC와의 VPC 피어링 연결을 요청하려면 VPC 피어링 연결을 생성하려는 VPC의 ID가 있어야 합니다. 자신이 직접 VPC 피어링 연결 요청을 생성하고 수락해야 활성화할 수 있습니다. 동일한 리전 또는 다른 리전에 있는 VPC와 VPC 피어링 연결을 생성할 수 있습니다. Important VPC에 겹치는 IPv4 CIDR 블록이 없는지 확인합니다. 겹치는 CIDR 블록이 있으면 VPC 피어링 연 결의 상태가 즉시 failed로 바뀝니다. 이 제한 사항은 VPC에 고유한 IPv6 CIDR 블록이 있는 경우 에도 적용됩니다. IPv6을 통한 통신은 리전 간 VPC 피어링 연결이 지원되지 않습니다. 동일한 리전의 VPC와 VPC 피어링 연결을 생성하려면 Amazon VPC 콘솔을 엽니다. 탐색 창에서 [Peering Connections], [Create Peering Connection]을 선택합니다. 다음 정보를 구성하고 구성을 완료하면 [Create Peering Connection]을 선택합니다. [Peering connection name tag]: 선택 사항으로 VPC 피어링 연결의 이름을 지정할 수 있습니다. 이름 을 지정하면 Name 키와 사용자가 지정하는 값을 가진 태그가 생성됩니다. 5

9 또 다른 AWS 계정에 있는 VPC와의 VPC 피어링 연결 생성 [VPC (Requester)]: 계정에서 VPC 피어링 연결을 생성하려는 VPC를 선택합니다 [Select another VPC to peer with]에서 [My account]가 선택되었는지 확인하고, 다른 VPC를 선택합니 다. 확인 대화 상자에서 [OK]를 선택합니다. 생성한 VPC 피어링 연결을 선택하고 [Actions], [Accept Request]를 선택합니다. 확인 대화 상자에서 [Yes, Accept]를 선택합니다. 두 번째 확인 대화 상자가 표시되면 [Modify my route tables now]를 선택하여 페이지로 직접 이동하거나 [Close]를 선택하여 나중에 라우팅 테 이블로 이동합니다. 다른 리전의 VPC와 VPC 피어링 연결을 생성하려면 1. Amazon VPC 콘솔을 엽니다 탐색 창에서 [Peering Connections], [Create Peering Connection]을 선택합니다. 다음 정보를 구성하고 구성을 완료하면 [Create Peering Connection]을 선택합니다. [Peering connection name tag]: 선택 사항으로 VPC 피어링 연결의 이름을 지정할 수 있습니다. 이름 을 지정하면 Name 키와 사용자가 지정하는 값을 가진 태그가 생성됩니다. [VPC (Requester)]: 계정에서 VPC 피어링 연결을 요청하려는 요청자 VPC를 선택합니다. [Account]: [My account]가 선택되었는지 확인합니다. [Region]: [Another region]을 선택하고 수락자 VPC가 있는 리전을 선택합니다. [VPC (Accepter)]: 수락자 VPC의 ID를 입력합니다 확인 대화 상자에서 [OK]를 선택합니다. 리전 선택기에서 수락자 VPC의 리전을 선택합니다. 탐색 창에서 [Peering Connections]를 선택합니다. 생성한 VPC 피어링 연결을 선택하고 [Actions], [Accept Request]를 선택합니다. 7. 확인 대화 상자에서 [Yes, Accept]를 선택합니다. 두 번째 확인 대화 상자가 표시되면 [Modify my route tables now]를 선택하여 페이지로 직접 이동하거나 [Close]를 선택하여 나중에 라우팅 테 이블로 이동합니다. VPC 피어링 연결이 활성 상태이므로, 트래픽이 피어링된 VPC 사이로 전달되도록 VPC 에 항 목을 추가해야 합니다. 자세한 내용은 VPC 피어링 연결을 위한 업데이트 (p. 9) 단원을 참 조하십시오. 또 다른 AWS 계정에 있는 VPC와의 VPC 피어링 연결 생성 또 다른 AWS 계정에 있는 VPC와의 VPC 피어링 연결을 요청할 수 있습니다. 시작하기 전에 AWS 계정 번호 와 피어링할 VPC의 VPC ID가 있는지 확인합니다. 요청을 생성한 후, 수락자 VPC의 소유자가 VPC 피어링 연결을 수락하여 활성화해야 합니다. 동일한 리전 또는 다른 리전에 있는 VPC와 VPC 피어링 연결을 생성할 수 있습니다. Important VPC에 겹치는 IPv4 CIDR 블록이 있거나 계정 ID와 VPC ID가 잘못되었거나 서로 응답하지 않는 경 우, VPC 피어링 연결의 상태는 즉시 failed로 바뀝니다. 동일한 리전의 다른 계정에 있는 VPC와의 VPC 피어링 연결을 요청하려면 Amazon VPC 콘솔을 엽니다. 탐색 창에서 [Peering Connections], [Create Peering Connection]을 선택합니다. 다음 정보를 구성하고 구성을 완료하면 [Create Peering Connection]을 선택합니다. 6

10 VPC 피어링 연결 허용 [Peering connection name tag]: 선택 사항으로 VPC 피어링 연결의 이름을 지정할 수 있습니다. 이름 을 지정하면 Name 키와 사용자가 지정하는 값을 가진 태그가 생성됩니다. 이 태그는 사용자 자신에게 만 보입니다. 피어 VPC의 소유자는 VPC 피어링 연결을 위해 고유의 태그를 생성할 수 있습니다. [VPC (Requester)]: 계정에서 VPC 피어링 연결을 생성할 VPC를 선택합니다. [Account]: [Another account]를 선택합니다. [Account ID]: 수락자 VPC의 소유자의 AWS 계정 ID를 입력합니다. [VPC (Accepter)]: VPC 피어링 연결을 생성할 VPC의 ID를 입력합니다. 4. 확인 대화 상자에서 [OK]를 선택합니다. 다른 리전의 다른 계정에 있는 VPC와의 VPC 피어링 연결을 요청하려면 1. Amazon VPC 콘솔을 엽니다. 2. 탐색 창에서 [Peering Connections], [Create Peering Connection]을 선택합니다. 3. 다음 정보를 구성하고 구성을 완료하면 [Create Peering Connection]을 선택합니다. [Peering connection name tag]: 선택 사항으로 VPC 피어링 연결의 이름을 지정할 수 있습니다. 이름 을 지정하면 Name 키와 사용자가 지정하는 값을 가진 태그가 생성됩니다. 이 태그는 사용자 자신에게 만 보입니다. 피어 VPC의 소유자는 VPC 피어링 연결을 위해 고유의 태그를 생성할 수 있습니다. [VPC (Requester)]: 계정에서 VPC 피어링 연결을 생성할 VPC를 선택합니다. [Account]: [Another account]를 선택합니다. [Account ID]: 수락자 VPC의 소유자의 AWS 계정 ID를 입력합니다. [Region]: [Another region]을 선택하고 수락자 VPC가 있는 리전을 선택합니다. [VPC (Accepter)]: VPC 피어링 연결을 생성할 VPC의 ID를 입력합니다. 4. 확인 대화 상자에서 [OK]를 선택합니다. 생성한 VPC 피어링 연결이 활성 상태가 아닙니다. 연결을 활성화하려면 수락자 VPC의 소유자가 VPC 피어 링 연결 요청을 수락해야 합니다. 트래픽이 피어 VPC로 전달되도록 하려면 VPC 을 업데이트 합니다. 자세한 내용은 VPC 피어링 연결을 위한 업데이트 (p. 9) 단원을 참조하십시오. 명령줄 또는 API를 사용하여 VPC 피어링 연결을 생성하려면 create-vpc-peering-connection(aws CLI) New-EC2VpcPeeringConnection(Windows PowerShell용 AWS 도구) CreateVpcPeeringConnection(Amazon EC2 쿼리 API) VPC 피어링 연결 허용 pending-acceptance 상태의 VPC 피어링 연결은 활성화할 수락자 VPC의 소유자가 수락해야 합니다. 또 다른 AWS 계정으로 보낸 VPC 피어링 연결 요청은 수락할 수 없습니다. 같은 AWS 계정에서 VPC 피어링 연 결을 생성하는 경우 직접 요청을 생성하고 수락도 해야 합니다. VPC가 다른 리전에 있는 경우 수락자 VPC의 리전에서 요청이 수락되어야 합니다. Important 알 수 없는 AWS 계정에서의 VPC 피어링 연결은 수락하지 마십시오. 악의적 사용자가 VPC에 대한 무단 네트워크 액세스를 위해 VPC 피어링 연결 요청을 보냈을 수도 있기 때문입니다. 이런 수법은 피어 피싱으로 알려져 있습니다. 요청자가 사용자의 AWS 계정이나 VPC에 관한 정보에 대한 액세 스 권한을 얻게 될 위험 부담 없이 불필요한 VPC 피어링 연결 요청은 거부해도 괜찮습니다. 자세한 내용은 VPC 피어링 연결 거부 (p. 8) 단원을 참조하십시오. 요청을 무시하고 그냥 만료되도록 할 수도 있습니다. 기본적으로, 요청은 7일 후에 만료됩니다. 7

11 VPC 피어링 연결 보기 VPC 피어링 연결을 허용하려면 1. Amazon VPC 콘솔을 엽니다 리전 선택기를 사용하여 수락자 VPC의 리전을 선택합니다. 탐색 창에서 [Peering Connections]를 선택합니다. 4. 보류 중인 VPC 피어링 연결(상태는 pending-acceptance)을 선택하고 [Actions], [Accept Request]를 선택합니다. Note 대기 중인 VPC 피어링 연결을 볼 수 없는 경우 리전을 확인하십시오. 리전 간 VPC 피어링 요청 은 수락자 VPC의 리전에서 수락되어야 합니다. 5. 확인 대화 상자에서 [Yes, Accept]를 선택합니다. 두 번째 확인 대화 상자가 표시되면 [Modify my route tables now]를 선택하여 페이지로 직접 이동하거나 [Close]를 선택하여 나중에 라우팅 테 이블로 이동합니다. VPC 피어링 연결이 활성 상태이므로, 트래픽이 피어 VPC로 전달되도록 하려면 VPC 에 항목 을 추가해야 합니다. 자세한 내용은 VPC 피어링 연결을 위한 업데이트 (p. 9) 단원을 참조 하십시오. 명령줄 또는 API를 사용하여 VPC 피어링 연결을 수락하려면 accept-vpc-peering-connection(aws CLI) Approve-EC2VpcPeeringConnection(Windows PowerShell용 AWS 도구) AcceptVpcPeeringConnection(Amazon EC2 쿼리 API) VPC 피어링 연결 보기 Amazon VPC 콘솔에서 모든 VPC 피어링 연결을 볼 수 있습니다. 기본적으로, 콘솔에는 최근에 삭제되거나 거부되었을 수도 있는 것을 포함하여 다른 상태에 있는 모든 VPC 피어링 연결이 표시됩니다. VPC 피어링 연 결의 수명 주기에 대한 자세한 내용은 VPC 피어링 연결 수명 주기 (p. 2) 단원을 참조하십시오. VPC 피어링 연결을 보려면 1. Amazon VPC 콘솔을 엽니다 탐색 창에서 [Peering Connections]를 선택합니다. 모든 VPC 피어링 연결이 나열됩니다. 필터 검색 창을 사용하여 결과를 좁힙니다. 명령줄 또는 API를 사용하여 VPC 피어링 연결을 설명하려면 describe-vpc-peering-connections(aws CLI) Get-EC2VpcPeeringConnections(Windows PowerShell용 AWS 도구) DescribeVpcPeeringConnections(Amazon EC2 쿼리 API) VPC 피어링 연결 거부 pending-acceptance 상태로 받은 VPC 피어링 연결 요청을 거부할 수 있습니다. 알고 있고 신뢰하는 AWS 계정으로부터의 VPC 피어링 연결만 허용해야 합니다. 불필요한 요청은 거부할 수 있습니다. VPC 피어링 연결을 거부하려면 1. Amazon VPC 콘솔을 엽니다. 8

12 업데이트 2. 탐색 창에서 [Peering Connections]를 선택합니다 VPC 피어링 연결을 선택한 다음 [Actions], [Reject Request]를 선택합니다. 확인 대화 상자에서 [Yes, Reject]를 선택합니다. 명령줄 또는 API를 사용하여 VPC 피어링 연결을 거부하려면 reject-vpc-peering-connection(aws CLI) Deny-EC2VpcPeeringConnection(Windows PowerShell용 AWS 도구) RejectVpcPeeringConnection(Amazon EC2 쿼리 API) VPC 피어링 연결을 위한 업데이트 사용자 인스턴스에서 피어 VPC의 인스턴스로 프라이빗 IPv4 트래픽을 전송하려면 인스턴스가 상주하는 사 용자 서브넷과 연결된 에 경로를 추가해야 합니다. 이 경로는 VPC 피어링 연결에서 피어 VPC 의 CIDR 블록(또는 CIDR 블록의 일부)을 가리킵니다. 이와 마찬가지로 VPC 피어링 연결의 VPC들에 연결된 IPv6 CIDR 블록이 있는 경우, IPv6를 통해 피어 VPC 와 통신할 수 있게 해주는 경로를 에 추가해야 합니다. 서브넷이 과 명시적으로 연결되지 않은 경우 서브넷은 기본적으로 기본 을 사용 합니다. 당 추가할 수 있는 항목 수에 한도가 있습니다. VPC의 VPC 피어링 연결 수가 하나의 라우팅 테이블의 항목 한도를 초과하는 경우, 사용자 지정 과 각각 연결된 여러 서브넷 을 사용하는 것도 좋습니다. 또한 피어링 연결에서 다른 VPC의 소유자는 트래픽을 다시 사용자의 VPC로 전달하기 위해 소유자 자신의 서브넷 에 경로를 추가해야 합니다. VPC 피어링 연결을 위해 지원되는 구성에 대한 자세한 내용은 VPC 피어링 구성 (p. 18)을 참조하십시오. pending-acceptance 상태에 있는 VPC 피어링 연결을 위한 경로를 추가할 수 있지만, 이 경로는 blackhole의 상태를 가지고 VPC 피어링 연결이 active 상태가 될 때까지 아무런 효과도 미치지 않습니 다. Warning 겹치거나 일치하는 IPv4 CIDR 블록이 있는 여러 VPC와 피어링된 VPC가 있는 경우, 이 자신의 VPC에서 잘못된 VPC로 응답 트래픽을 전송하지 못하도록 구성되어 있는지 확인하십시 오. AWS에서는 현재 패킷의 원본 IP를 확인하고 응답 패킷을 다시 원본으로 라우팅하는 VPC 피어 링 연결에서 유니캐스트 역경로 전달을 지원하지 않습니다. 자세한 내용은 응답 트래픽을 위한 라우 팅 (p. 43) 단원을 참조하십시오. VPC 피어링 연결을 위한 IPv4 경로를 추가하려면 Amazon VPC 콘솔을 엽니다. 탐색 창에서 [Route Tables]를 선택합니다. 3. 인스턴스가 상주하는 서브넷과 연결된 을 선택합니다. Note 그 서브넷과 연결된 이 없는 경우, 서브넷이 기본적으로 이 을 사용 하므로 VPC에 대한 기본 을 선택합니다. [Routes], [Edit], [Add Route]를 선택합니다. Destination에 VPC 피어링 연결에서 네트워크 트래픽을 전달해야 할 IPv4 주소 범위를 입력합니다. 피 어 VPC의 전체 IPv4 CIDR 블록, 특정 범위 또는 개별 IPv4 주소(예: 통신할 인스턴스의 IP 주소)를 지정 9

13 피어 VPC 보안 그룹 참조 할 수 있습니다. 예를 들어 피어 VPC의 CIDR 블록이 인 경우 /28 부분이나 특 정 IP 주소 /32를 지정할 수 있습니다. 6. []에서 VPC 피어링 연결을 선택한 후 [Save]를 선택합니다. VPC 피어링 연결의 두 VPC이 동일한 리전에 있고, IPv6 CIDR 블록이 있고 VPC의 리소스에서 IPv6를 사용 할 수 있는 경우, IPv6 통신을 위한 경로를 추가할 수도 있습니다. VPC 피어링 연결을 위한 IPv6 경로를 추가하려면 1. Amazon VPC 콘솔을 엽니다. 2. 탐색 창에서 Route Tables를 선택하고 서브넷에 연결된 을 선택합니다. 3. Routes 탭에서 Edit, Add another route를 선택합니다. 4. Destination에 피어 VPC의 IPv6 주소 범위를 입력합니다. 피어 VPC의 전체 IPv6 CIDR 블 록, 특정 범위 또는 개별 IPv6 주소를 지정합니다. 예를 들어 피어 VPC의 CIDR 블록이 2001:db8:1234:1a00::/56인 경우 2001:db8:1234:1a00::/64 부분이나 특정 IP 주소 2001:db8:1234:1a00::123/128를 지정할 수 있습니다. 5. 에서 VPC 피어링 연결을 선택하고 Save를 선택합니다. 자세한 내용은 Amazon VPC 사용 설명서의 단원을 참조하십시오. 명령줄 또는 API를 사용하여 경로를 추가하거나 바꾸려면 create-route(aws CLI) New-EC2Route(Windows PowerShell용 AWS 도구) CreateRoute(Amazon EC2 쿼리 API) replace-route(aws CLI) Set-EC2Route(Windows PowerShell용 AWS 도구) ReplaceRoute(Amazon EC2 쿼리 API) 피어 VPC 그룹을 참조하도록 보안 그룹 업데이트 피어링된 VPC의 보안 그룹을 참조하도록 VPC 보안 그룹의 인바운드 또는 아웃바운드 규칙을 업데이트할 수 있습니다. 그렇게 하면 피어링된 VPC의 참조 보안 그룹과 연결된 인스턴스 간에 트래픽을 주고받을 수 있 습니다. 요구 사항 피어 VPC는 자신의 계정의 VPC이거나 다른 AWS 계정의 VPC일 수 있습니다. 다른 AWS 계정의 보 안 그룹을 참조하려면 소스 또는 대상 주소 필드에 계정 번호를 포함시키십시오(예: / sg-1a2b3c4d). 10

14 참조된 보안 그룹 식별 다른 리전에 있는 피어 VPC의 보안 그룹을 참조할 수 없습니다. 그 대신 피어 VPC의 CIDR 블록을 사용하 십시오. 피어 VPC의 보안 그룹을 참조하려면 VPC 피어링 연결이 active 상태여야 합니다. 콘솔을 사용하여 보안 그룹 규칙을 업데이트하려면 1. Amazon VPC 콘솔을 엽니다. 2. 탐색 창에서 [Security Groups]를 선택합니다. 3. 보안 그룹을 선택한 다음 인바운드 규칙을 수정하려면 인바운드 규칙을, 아웃바운드 규칙을 수정하려면 아웃바운드 규칙을 선택합니다. 4. [Edit], [Add another rule]을 선택합니다. 5. 필요에 따라 유형, 프로토콜 및 포트 범위를 지정합니다. 소스(아웃바운드 규칙의 경우에는 대상 주소)에 피어 VPC의 보안 그룹 ID(동일 리전에 있는 경우) 또는 피어 VPC의 CIDR 블록(다른 리전에 있는 경우) 을 입력합니다. Note 피어 VPC의 보안 그룹은 목록에 자동으로 표시되지 않습니다. 6. [Save]를 선택합니다. 명령줄을 사용하여 인바운드 규칙을 업데이트하려면 authorize-security-group-ingress(aws CLI) Grant-EC2SecurityGroupIngress(Windows PowerShell용 AWS 도구) Revoke-EC2SecurityGroupIngress(Windows PowerShell용 AWS 도구) revoke-security-group-ingress(aws CLI) 명령줄을 사용하여 아웃바운드 규칙을 업데이트하려면 authorize-security-group-egress(aws CLI) Grant-EC2SecurityGroupEgress(Windows PowerShell용 AWS 도구) Revoke-EC2SecurityGroupEgress(Windows PowerShell용 AWS 도구) revoke-security-group-egress(aws CLI) 예를 들어, 피어 VPC에 있는 sg-aaaa1111의 HTTP를 통해 인바운드 액세스를 허용하도록 보안 그룹 sgbbbb2222을 업데이트하려면 다음 AWS CLI 명령을 사용할 수 있습니다. aws ec2 authorize-security-group-ingress --group-id sg-aaaa protocol tcp --port 80 -source-group sg-bbbb2222 보안 그룹 규칙을 업데이트한 후 describe-security-groups 명령을 사용하여 보안 그룹 규칙에서 참조된 보안 그룹을 볼 수 있습니다. 참조된 보안 그룹 식별 보안 그룹이 피어 VPC의 보안 그룹 규칙에서 참조되고 있는지 여부를 확인하려면 계정의 하나 이상의 보안 그룹에 대해 다음 명령 중 하나를 사용할 수 있습니다. describe-security-group-references(aws CLI) Get-EC2SecurityGroupReference(Windows PowerShell용 AWS 도구) 11

15 무효 보안 그룹 규칙으로 작업 DescribeSecurityGroupReferences(Amazon EC2 쿼리 API) 다음 예의 응답은 보안 그룹 sg-bbbb2222가 VPC 의 보안 그룹 vpc-aaaaaaaa에서 참조되고 있음을 나타 냅니다. aws ec2 describe-security-group-references --group-id sg-bbbb2222 { } "SecurityGroupsReferenceSet": [ { "ReferencingVpcId": "vpc-aaaaaaaa", "GroupId": "sg-bbbb2222", "VpcPeeringConnectionId": "pcx-b04deed9" } ] VPC 피어링 연결을 삭제하거나 피어 VPC의 소유자가 참조된 보안 그룹을 삭제하면, 보안 그룹 규칙은 무효 로 됩니다. 무효 보안 그룹 규칙으로 작업 무효 보안 그룹 규칙이란 VPC 피어링 연결이 삭제되었거나 피어 VPC의 보안 그룹이 삭제된 상태에서 피어 VPC의 보안 그룹을 참조하는 규칙입니다. 보안 그룹 규칙이 무효로 되면, 해당 규칙은 보안 그룹 에서 자동 으로 제거되지 않습니다. 따라서 해당 규칙을 수동으로 제거해야 합니다. VPC 피어링 연결이 삭제되었기 때 문에 보안 그룹 규칙 기한이 경과되었고, 동일한 VPC로 새 VPC 피어링 연결을 생성하는 경우 더 이상 기한 경과로 표시되지 않습니다. Amazon VPC 콘솔을 사용하여 VPC에 대한 무효 보안 그룹 규칙을 보고 삭제할 수 있습니다. 무효 보안 그룹 규칙을 보고 삭제하려면 1. Amazon VPC 콘솔을 엽니다. 2. 탐색 창에서 [Security Groups]를 선택합니다. 3. 오른쪽의 알림 아이콘에서 [View your stale rules]를 선택합니다(이 아이콘은 무효 보안 그룹 규칙이 있 는 경우에만 표시됨). 4. 무효 규칙을 삭제하려면 [Edit]를 선택한 다음 규칙을 삭제합니다. [Save Rules]를 선택합니다. [VPC] 필 드에 VPC ID를 입력하면 다른 VPC의 무효 규칙을 확인할 수 있습니다. 5. 완료되면 [Close]를 선택합니다. 명령줄 또는 API를 사용하여 부실한 보안 그룹 규칙을 설명하려면 describe-stale-security-groups(aws CLI) Get-EC2StaleSecurityGroup(Windows PowerShell용 AWS 도구) DescribeStaleSecurityGroups(Amazon EC2 쿼리 API) 다음 예에서는 VPC A (vpc-aaaaaaaa)와 VPC B가 피어링되었고, VPC 피어링 연결이 삭제되었습니다. VPC A의 보안 그룹 sg-aaaa1111은 VPC B의 sg-bbbb2222를 참조합니다. VPC에 대해 describestale-security-groups 명령을 실행하면, 응답은 보안 그룹 sg-aaaa1111에 sg-bbbb2222를 참조하 는 무효 SSH 규칙이 있음을 나타냅니다. aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa 12

16 피어링 옵션 수정 { } "StaleSecurityGroupSet": [ { "VpcId": "vpc-aaaaaaaa", "StaleIpPermissionsEgress": [], "GroupName": "Access1", "StaleIpPermissions": [ { "ToPort": 22, "FromPort": 22, "UserIdGroupPairs": [ { "VpcId": "vpc-bbbbbbbb", "PeeringStatus": "deleted", "UserId": " ", "GroupName": "Prod1", "VpcPeeringConnectionId": "pcx-b04deed9", "GroupId": "sg-bbbb2222" } ], "IpProtocol": "tcp" } ], "GroupId": "sg-aaaa1111", "Description": "Reference remote SG" } ] 무효 보안 그룹 규칙을 식별한 후, revoke-security-group-ingress 또는 revoke-security-group-egress 명령을 사용하여 해당 규칙을 삭제할 수 있습니다. VPC 피어링 연결 옵션 수정 다음과 같이 VPC 피어링 연결을 수정할 수 있습니다. ClassicLink를 통해 VPC에 연결된 하나 이상의 EC2-Classic 인스턴스를 피어 VPC의 인스턴스와 통신할 수 있도록 설정하거나, VPC의 인스턴스가 피어 VPC의 연결된 EC2-Classic 인스턴스와 통신할 수 있도록 설정합니다. 자세한 내용은 ClassicLink로 구성 (p. 50) 섹션을 참조하십시오. EC2-Classic 인스턴스가 IPv6를 통해 피어 VPC의 인스턴스와 통신하도록 할 수는 없습니다. 피어 VPC의 인스턴스가 쿼리를 보낼 때 VPC가 퍼블릭 IPv4 DNS 호스트 이름을 프라이빗 IPv4 주소로 확 인하도록 설정합니다. 자세한 내용은 VPC 피어링 연결에 대한 DNS 확인 지원 활성화 (p. 13) 단원을 참 조하십시오. VPC 피어링 연결에 대한 DNS 확인 지원 활성화 피어 VPC의 인스턴스가 쿼리를 보낼 때 VPC가 퍼블릭 IPv4 DNS 호스트 이름을 프라이빗 IPv4 주소로 확인 하도록 설정하려면 피어링 연결을 수정해야 합니다. DNS 호스트 이름과 DNS 확인에 대해 두 VPC를 모두 활성화해야 합니다. 리전 간 VPC 피어링 연결에 대한 DNS 확인 지원을 활성화할 수 없습니다. 피어링 연결에 대한 DNS 확인 지원을 활성화하려면 Amazon VPC 콘솔을 엽니다. 탐색 창에서 [Peering Connections]를 선택합니다. 13

17 삭제 3. VPC 피어링 연결을 선택하고 [Actions], [Edit DNS Settings]를 선택합니다. 4. 피어 VPC에서 보낸 쿼리가 VPC의 프라이빗 IP 주소로 확인되도록 하려면 피어 VPC에서 보낸 쿼 리에 대해 DNS 확인을 활성화하는 옵션을 선택합니다. 5. 피어 VPC가 동일한 AWS 계정일 경우, VPC에서 보낸 쿼리에 대해 DNS 확인을 활성화하는 옵션 을 선택할 수 있습니다. 그러면 VPC에서 보낸 쿼리가 피어 VPC의 프라이빗 IP 주소로 확인됩니다. 피어 VPC가 다른 AWS 계정일 경우 이 옵션은 사용할 수 없습니다. 6. [Save]를 선택합니다. 7. 피어 VPC가 다른 AWS 계정에 있는 경우, 피어 VPC의 소유자가 VPC 콘솔에 로그인하여 2~4단계를 수 행하고 Save를 선택해야 합니다. 명령줄 또는 API를 사용하여 DNS 확인을 활성화하려면 modify-vpc-peering-connection-options(aws CLI) Edit-EC2VpcPeeringConnectionOption(Windows PowerShell용 AWS 도구) ModifyVpcPeeringConnectionOptions(Amazon EC2 Query API) 사용자가 VPC 피어링 연결의 요청자일 경우 요청자 VPC 피어링 옵션을 수정해야 하며, VPC 피어링 연결 의 수락자일 경우 수락자 VPC 피어링 옵션을 수정해야 합니다. describe-vpc-peering-connections 또는 GetEC2VpcPeeringConnections 명령을 사용하여 VPC 피어링 연결에 대해 수락자인 VPC와 요청자인 VPC를 확인할 수 있습니다. 이 예에서는 사용자가 VPC 피어링 연결의 요청자이므로 다음과 같이 AWS CLI를 사용하여 피어링 연결 옵 션을 수정해야 합니다. aws ec2 modify-vpc-peering-connection-options --vpc-peering-connection-id -requester-peering-connection-options AllowDnsResolutionFromRemoteVpc=true VPC 피어링 연결 삭제 피어링 연결에서 VPC의 어느 한 소유자가 언제든 VPC 피어링 연결을 삭제할 수 있습니다. 자신이 요청하여 아직도 pending-acceptance 상태에 있는 VPC 피어링 연결도 삭제할 수 있습니다. Amazon VPC 콘솔에서 활성 VPC 피어링 연결에 속한 VPC를 삭제하면 해당 VPC 피어링 연결도 삭제됩니 다. 또 다른 계정에서 VPC와의 VPC 피어링 연결을 요청했는데 상대방이 그 요청을 수락하기 전에 자신의 VPC를 삭제하면 VPC 피어링 연결도 삭제됩니다. 또 다른 계정의 VPC에서 보낸 pending-acceptance 요 청이 있는 VPC는 삭제할 수 없습니다. 우선 VPC 피어링 연결 요청을 거부해야 합니다. VPC 피어링 연결을 삭제하려면 1. Amazon VPC 콘솔을 엽니다. 2. 탐색 창에서 [Peering Connections]를 선택합니다. 3. VPC 피어링 연결을 선택한 다음 [Actions], [Delete VPC Peering Connection]을 선택합니다. 4. 확인 대화 상자에서 [Yes, Delete]를 선택합니다. 명령줄 또는 API를 사용하여 VPC 피어링 연결을 삭제하려면 delete-vpc-peering-connection(aws CLI) Remove-EC2VpcPeeringConnection(Windows PowerShell용 AWS 도구) DeleteVpcPeeringConnection(Amazon EC2 쿼리 API) 14

18 VPC 피어링 연결에 대한 액세스 제어 VPC 피어링 연결에 대한 액세스 제어 기본적으로, IAM 사용자는 VPC 피어링 연결을 생성하거나 수정할 수 없습니다. VPC 피어링 연결을 작업하 기 위한 권한을 사용자에게 부여하는 IAM 정책을 생성할 수 있고, 해당 요청 중에 사용자가 액세스할 수 있 는 리소스를 제어할 수 있습니다. VPC 피어링 연결을 사용하기 위한 정책의 예는 Amazon VPC 사용 설명 서의 Amazon VPC 리소스 액세스 권한 제어를 참조하십시오. Amazon EC2의 IAM 정책에 대한 자세한 내용 은 Linux 인스턴스용 Amazon EC2 사용 설명서에서 Amazon EC2의 IAM 정책을 참조하십시오. 15

19 리소스에 대한 모든 권한을 제공하 기 위한 두 개 이상의 VPC 피어링 VPC 피어링 시나리오 자신의 VPC 간 또는 자신이 소유한 VPC와 다른 AWS 계정의 VPC 간에 VPC 피어링 연결을 설정해야 할 여 러 가지 이유가 있습니다. 다음 시나리오는 어떤 구성이 자신의 네트워킹 요구 사항에 가장 적합한지 결정하 는 데 도움이 될 수 있습니다. 시나리오 리소스에 대한 모든 권한을 제공하기 위한 두 개 이상의 VPC 피어링 (p. 16) 중앙 집중식 리소스에 액세스하기 위해 한 VPC에 피어링 (p. 16) ClassicLink와 피어링 (p. 17) 리소스에 대한 모든 권한을 제공하기 위한 두 개 이 상의 VPC 피어링 이 시나리오에서는 모든 VPC 간에 리소스를 완전히 공유할 수 있도록 피어링할 VPC가 두 개 이상 있습니다. 다음은 몇 가지 예입니다: 회사에 재무부서용 VPC가 하나 있고, 회계부서용 VPC도 따로 하나가 있습니다. 재무부서로서는 회계부 서에 있는 모든 리소스에 액세스할 필요가 있고, 회계부서 역시 재무부서의 모든 리소스에 액세스할 필요 가 있습니다. 회사에 여러 IT 부서가 있는데, 각 부서마다 자체 VPC가 있습니다. 일부 VPC는 같은 AWS 계정 내에 있고, 다른 VPC는 다른 AWS 계정에 있습니다. IT 부서들이 서로의 리소스에 대해 모든 권한을 가질 수 있도록 모든 VPC를 함께 피어링하려고 합니다. 이 시나리오에 적합한 VPC 피어링 연결 구성 및 설정 방법에 관한 자세한 내용은 다음 문서를 참조하십시오. 함께 피어링된 두 개의 VPC (p. 18) 함께 피어링된 세 개의 VPC (p. 22) 서로 피어링된 여러 VPC (p. 28) Amazon VPC 콘솔에서 VPC 피어링 연결을 생성하고 사용하는 방법에 대한 자세한 내용은 VPC 피어링 연 결 작업 (p. 5)을 참조하십시오. 중앙 집중식 리소스에 액세스하기 위해 한 VPC에 피 어링 이 시나리오에서는 다른 VPC와 공유하려는 리소스가 포함되어 있는 중앙 VPC가 하나 있습니다. 중앙 VPC 는 피어 VPC에 대한 모든 권한 또는 일부 권한이 필요할 수 있으며, 마찬가지로 피어 VPC 역시 중앙 VPC에 대해 모든 권한 또는 일부 권한이 필요할 수 있습니다. 다음은 몇 가지 예입니다: 회사의 IT 부서에 파일 공유를 위한 VPC가 있습니다. 다른 VPC를 중앙 VPC에 피어링하고 싶지만, 다른 VPC가 서로 트래픽을 보내도록 하고 싶지는 않습니다. 16

20 ClassicLink와 피어링 회사에 고객과 공유하려는 VPC가 있습니다. 각각의 고객이 VPC와의 VPC 피어링 연결을 생성할 수 있지 만, 고객은 회사 VPC에 피어링되어 있는 다른 VPC로 트래픽을 라우팅할 수 없고 다른 고객의 라우팅을 인 식하지도 못합니다. Active Directory 서비스에서 사용하는 중앙 VPC가 있습니다. 피어 VPC의 특정 인스턴스가 Active Directory 서버로 요청을 보내고 중앙 VPC에 대한 모든 권한이 필요합니다. 중앙 VPC는 피어 VPC에 대해 모든 권한을 요구하지 않으며, 단지 특정 인스턴스로 응답 트래픽을 라우팅만 하면 됩니다. 이 시나리오에 적합한 VPC 피어링 연결 구성 및 설정 방법에 관한 자세한 내용은 다음 주제를 참조하십시오. VPC 두 개와 피어링된 하나의 VPC (p. 20) IPv6를 위해 여러 VPC와 피어링된 하나의 VPC (p. 24) VPC 1개에 속한 서브넷 2개로 피어링되는 VPC 2개 (p. 37) VPC 2개의 특정 서브넷으로 피어링되는 VPC 1개 (p. 42) VPC 2개의 인스턴스로 피어링되는 VPC 1개의 인스턴스 (p. 45) 가장 긴 접두사 일치 항목을 사용하여 VPC 2개와 피어링되는 VPC 1개 (p. 47) Amazon VPC 콘솔에서 VPC 피어링 연결을 생성하고 사용하는 방법에 대한 자세한 내용은 VPC 피어링 연 결 작업 (p. 5)을 참조하십시오. ClassicLink와 피어링 ClassicLink를 통해 VPC에 연결된 하나 이상의 EC2-Classic 인스턴스가 피어 VPC의 인스턴스와 통신하 도록 VPC 피어링 연결을 수정할 수 있습니다. 마찬가지로, VPC의 인스턴스가 피어 VPC의 연결된 EC2Classic 인스턴스와 통신하도록 VPC 피어링 연결을 수정할 수 있습니다. 이 시나리오에 적합한 VPC 피어링 연결 구성 및 설정 방법에 대한 자세한 내용은 ClassicLink 로 구성 (p. 50) 단원을 참조하십시오. 17

21 전체 CIDR 블록에 대한 경로를 포함하는 구성 VPC 피어링 구성 다음 문서에서는 지원되는 VPC 피어링 구성을 설명합니다. 각 VPC의 전체 CIDR 블록 간에 라우팅을 허용 하는 구성 또는 특정 서브넷이나 IP 주소로의 라우팅을 제한하는 구성이 필요할 수 있습니다. Configurations 전체 CIDR 블록에 대한 경로를 포함하는 구성 (p. 18) 특정 경로로 구성 (p. 36) ClassicLink로 구성 (p. 50) 전체 CIDR 블록에 대한 경로를 포함하는 구성 이 피어 VPC의 전체 CIDR 블록에 액세스하도록 VPC 피어링 연결을 구성할 수 있습니다. 특 정 VPC 피어링 연결 구성이 필요할 수 있는 시나리오에 대한 자세한 정보는 VPC 피어링 시나리오 (p. 16)를 참조하십시오. Amazon VPC 콘솔에서 VPC 피어링 연결을 생성하고 사용하는 방법에 대한 자세한 내용은 VPC 피어링 연결 작업 (p. 5)을 참조하십시오. Configurations 함께 피어링된 두 개의 VPC (p. 18) VPC 두 개와 피어링된 하나의 VPC (p. 20) 함께 피어링된 세 개의 VPC (p. 22) IPv6를 위해 여러 VPC와 피어링된 하나의 VPC (p. 24) 서로 피어링된 여러 VPC (p. 28) 함께 피어링된 두 개의 VPC 동일한 AWS 계정에 있는 VPC A와 VPC B 간에 VPC 피어링 연결(pcx )이 있으며 중첩 CIDR 블 록이 없습니다. 이러한 구성은 서로의 리소스를 필요로 하는 두 개의 VPC가 있을 경우 사용할 수 있습니다. 예를 들어 회계 레코드에 VPC A를 설정하고, 재무 레코드에 VPC B를 설정하여 각 VPC가 서로의 리소스를 제한 없이 액세 스하게 할 수 있습니다. 각 VPC의 은 피어 VPC의 전체 CIDR 블록을 액세스하기 위해 해당 VPC 피어링 연결을 가리 킵니다. VPC A 18

22 함께 피어링된 두 개의 VPC VPC B pcx pcx 업데이트에 대한 자세한 내용은 VPC 피어링 연결을 위한 업데이트 (p. 9) 단원 을 참조하십시오. IPv6를 위해 함께 피어링된 VPC 두 개 위와 같이 VPC 피어링 구성에 동일한 VPC가 두 개 있습니다. 이 예시에서 VPC A와 VPC B는 둘 다 연결된 IPv6 CIDR 블록이 있습니다. 각 VPC의 은 피어 VPC의 전체 IPv6 CIDR 블록에 액세스하기 위해 VPC 피어링 연결을 가리 킵니다. VPC A 2001:db8:1234:aa00::/56 pcx :db8:5678:bb00::/56 pcx :db8:5678:bb00::/56 pcx :db8:1234:aa00::/56 pcx VPC B Important IPv6을 통한 통신은 리전 간 VPC 피어링 연결이 지원되지 않습니다. VPC의 IPv6에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC 및 서브넷 단원을 참조하십시오. CIDR이 여러 개인 VPC 2개가 함께 피어링 VPC에 IPv4 CIDR 블록을 추가할 수 있습니다. 이 예시에서 VPC A와 VPC B는 여러 개의 IPv4 CIDR 블록을 가지고 있습니다. 19

23 VPC 두 개와 피어링된 하나의 VPC 각 VPC의 은 피어 VPC의 모든 IPv4 CIDR 블록에 액세스하기 위해 VPC 피어링 연결을 가리 킵니다. VPC A / /16 pcx /16 pcx / /16 pcx /16 pcx VPC B 자세한 내용은 Amazon VPC 사용 설명서의 VPC에 IPv4 CIDR 블록 추가를 참조하십시오. VPC 두 개와 피어링된 하나의 VPC 중앙 VPC(VPC A)가 있고 VPC A와 VPC B 사이(pcx ), VPC A와 VPC C 사이(pcx ) 에 VPC 피어링 연결이 있습니다. 이들 VPC는 동일한 AWS 계정에 있으며, 중첩 CIDR 블록이 없습니다. 20

24 VPC 두 개와 피어링된 하나의 VPC 서비스 저장소처럼, 다른 VPC가 액세스해야 하는 리소스를 중앙 VPC에 둔 경우 이 '플라잉 V' 구성을 사용할 수 있습니다. 다른 VPC는 서로의 리소스를 액세스할 필요가 없으며 중앙 VPC의 리소스만 액세스하면 됩니 다. Note VPC B와 VPC C는 VPC A를 통해 서로에게 직접 트래픽을 보낼 수 없습니다. VPC 피어링은 전이 성(transitive) 피어링 관계를 지원하지 않으며 엣지투엣지 라우팅도 지원하지 않습니다. VPC B와 VPC C 간에 트래픽을 직접 라우팅하려면 두 VPC 간에 피어링 연결을 생성해야 합니다. 자세한 내 용은 함께 피어링된 세 개의 VPC (p. 22) 단원을 참조하십시오. 지원되지 않는 피어링 시나리오 에 대한 자세한 내용은 지원되지 않는 VPC 피어링 구성 (p. 57)을 참조하십시오. 각 VPC의 은 피어 VPC의 전체 CIDR 블록을 액세스하기 위해 해당 VPC 피어링 연결을 가리 킵니다. VPC A pcx pcx pcx pcx VPC B VPC C 업데이트에 대한 자세한 내용은 VPC 피어링 연결을 위한 업데이트 (p. 9) 단원 을 참조하십시오. IPv6를 위한 VPC 두 개와 피어링되는 VPC 1개 위와 같이 VPC 피어링 구성에 동일한 VPC가 세 개 있습니다. 이 예시에서 VPC 세 개는 모두 연결된 IPv6 CIDR 블록이 있습니다. 각 VPC의 은 피어 VPC의 전체 IPv6 CIDR 블록에 액세스하기 위해 VPC 피어링 연결을 가리 킵니다. 21

25 함께 피어링된 세 개의 VPC VPC A 2001:db8:1234:aa00::/56 pcx pcx :db8:1234:bb00::/56 pcx :db8:1234:cc00::/56 pcx :db8:1234:bb00::/56 pcx :db8:1234:aa00::/56 pcx :db8:1234:cc00::/56 pcx :db8:1234:aa00::/56 pcx VPC B VPC C 함께 피어링된 세 개의 VPC 풀 메시 구성에서 VPC 3개를 함께 피어링했습니다. 이들 VPC는 동일한 AWS 계정에 있으며, 중첩 CIDR 블 록이 없습니다: VPC A는 VPC 피어링 연결 를 통해 VPC B와 피어링됩니다. VPC A는 VPC 피어링 연결 를 통해 VPC C와 피어링됩니다. VPC B는 VPC 피어링 연결 pcx-bbbbcccc를 통해 VPC C와 피어링됩니다. 22

26 함께 피어링된 세 개의 VPC 파일 공유 시스템처럼 서로의 리소스를 제한 없이 공유해야 하는 여러 VPC가 있을 경우 이 풀 메시 구성을 사용할 수 있습니다. 각 VPC의 은 피어 VPC의 전체 CIDR 블록을 액세스하기 위해 해당 VPC 피어링 연결을 가리 킵니다. VPC A pcx-bbbbcccc pcx-bbbbcccc VPC B VPC C 업데이트에 대한 자세한 내용은 VPC 피어링 연결을 위한 업데이트 (p. 9) 단원 을 참조하십시오. IPv6를 위해 피어링된 VPC 세 개 위와 같이 VPC 피어링 구성에 동일한 VPC가 세 개 있습니다. 이 예시에서 VPC A와 VPC B는 둘 다 연결된 IPv6 CIDR 블록이 있습니다. VPC C는 연결된 IPv6 CIDR 블록이 없습니다. VPC A 및 VPC B의 에는 피어 VPC의 전체 IPv6 CIDR 블록에 액세스하기 위해 VPC 피어링 연결 를 가리키는 경로가 포함되어 있습니다. VPC A와 VPC B는 VPC 피어링 연결을 통해 IPv6로 통신할 수 있습니다. VPC C는 IPv6로는 VPC A 또는 VPC B와 통신할 수 없습니다. 23

27 IPv6를 위해 여러 VPC와 피어링된 하나의 VPC VPC A 2001:db8:1234:aa00::/ :db8:1234:bb00::/ :db8:1234:bb00::/56 pcx-bbbbcccc 2001:db8:1234:aa00::/56 pcx-bbbbcccc VPC B VPC C VPC C 소유자는 IPv6 CIDR 블록을 VPC(2001:db8:1234:cc00::/56)와 연결합니다. VPC C는 이제 기 존 VPC 피어링 연결을 사용하여 VPC A 및 VPC B와 IPv6를 통해 통신할 수 있습니다. 이를 위해서는 기존 에 다음 경로를 추가해야 합니다. VPC A 2001:db8:1234:cc00::/56 VPC B 2001:db8:1234:cc00::/56 pcx-bbbbcccc VPC C 2001:db8:1234:aa00::/56 pcx-aaaaacccc 2001:db8:1234:bb00::/56 pcx-bbbbcccc VPC의 IPv6에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC 및 서브넷 단원을 참조하십시오. IPv6를 위해 여러 VPC와 피어링된 하나의 VPC 다음과 같은 VPC와 피어링된 하나의 중앙 VPC(VPC A)가 있습니다. VPC B - 를 통해 피어링 VPC C - 를 통해 피어링 VPC D - pcx-aaaadddd를 통해 피어링 VPC E - pcx-aaaaeeee를 통해 피어링 VPC F - pcx-aaaaffff를 통해 피어링 VPC G - pcx-aaaagggg를 통해 피어링 24

28 IPv6를 위해 여러 VPC와 피어링된 하나의 VPC VPC A는 다른 모든 VPC와 피어링되지만 다른 VPC들은 서로 피어링되지 않습니다. 이들 VPC는 동일한 AWS 계정에 있으며, 중첩 CIDR 블록이 없습니다. Note 다른 VPC들은 VPC A를 통해 서로에게 직접 트래픽을 보낼 수 없습니다. VPC 피어링은 전이성 (transitive) 피어링 관계를 지원하지 않으며 엣지투엣지 라우팅도 지원하지 않습니다. 다른 VPC들 간에 트래픽을 직접 라우팅하려면 그들 간에 피어링 연결을 생성해야 합니다. 자세한 내용은 서로 피어링된 여러 VPC (p. 28) 단원을 참조하십시오. 지원되지 않는 피어링 시나리오에 대한 자세한 내용은 지원되지 않는 VPC 피어링 구성 (p. 57)을 참조하십시오. 서비스 저장소처럼, 다른 VPC가 액세스해야 하는 리소스를 중앙 VPC에 둔 경우 이 스포크 구성을 사용할 수 있습니다. 다른 VPC는 서로의 리소스를 액세스할 필요가 없으며 중앙 VPC의 리소스만 액세스하면 됩니다. 각 VPC의 은 피어 VPC의 전체 CIDR 블록을 액세스하기 위해 해당 VPC 피어링 연결을 가리 킵니다. VPC A /16 pcx-aaaadddd /16 pcx-aaaaeeee 25

29 IPv6를 위해 여러 VPC와 피어링된 하나의 VPC VPC B VPC C VPC D VPC E VPC F VPC G /16 pcx-aaaaffff /16 pcx-aaaagggg /16 pcx-aaaadddd /16 pcx-aaaaeeee /16 pcx-aaaaffff /16 pcx-aaaagggg 업데이트에 대한 자세한 내용은 VPC 피어링 연결을 위한 업데이트 (p. 9) 단원 을 참조하십시오. IPv6를 위한 VPC 여러 개와 피어링되는 VPC 1개 위와 같이 VPC 피어링 구성에 동일한 VPC가 있습니다. 모든 VPC는 연결된 IPv6 CIDR 블록이 있습니다. 26

30 IPv6를 위해 여러 VPC와 피어링된 하나의 VPC 각 VPC의 은 피어 VPC의 전체 IPv6 CIDR 블록에 액세스하기 위해 해당 VPC 피어링 연결을 가리킵니다. VPC A 2001:db8:1234:aa00::/ :db8:1234:bb00::/ :db8:1234:cc00::/ /16 pcx-aaaadddd 2001:db8:1234:dd00::/56 pcx-aaaadddd /16 pcx-aaaaeeee 2001:db8:1234:ee00::/56 pcx-aaaaeeee 27

31 서로 피어링된 여러 VPC VPC B VPC C VPC D VPC E VPC F VPC G /16 pcx-aaaaffff 2001:db8:1234:ff00::/56 pcx-aaaaffff /16 pcx-aaaagggg 2001:db8:1234:7700::/56 pcx-aaaagggg 2001:db8:1234:bb00::/ :db8:1234:aa00::/ :db8:1234:cc00::/ :db8:1234:aa00::/ / :db8:1234:dd00::/56 pcx-aaaadddd 2001:db8:1234:aa00::/56 pcx-aaaadddd / :db8:1234:ee00::/56 pcx-aaaaeeee 2001:db8:1234:aa00::/56 pcx-aaaaeeee / :db8:1234:ff00::/56 pcx-aaaaffff 2001:db8:1234:aa00::/56 pcx-aaaaffff / :db8:1234:7700::/56 pcx-aaaagggg 2001:db8:1234:aa00::/56 pcx-aaaagggg 서로 피어링된 여러 VPC 풀 메시 구성에서 VPC 7개를 함께 피어링했습니다. 28

32 서로 피어링된 여러 VPC VPC VPC 피어링 연결 A및B A와 C A와 D pcx-aaaadddd A와 E pcx-aaaaeeee A와 F pcx-aaaaffff A와 G pcx-aaaagggg B및C pcx-bbbbcccc B및D pcx-bbbbdddd B와 E pcx-bbbbeeee B와 F pcx-bbbbffff B와 G pcx-bbbbgggg C와 D pcx-ccccdddd C와 E pcx-cccceeee C와 F pcx-ccccffff C와 G pcx-ccccgggg D와 E pcx-ddddeeee D와 F pcx-ddddffff D와 G pcx-ddddgggg E와 F pcx-eeeeffff E와 G pcx-eeeegggg F와 G pcx-ffffgggg 이들 VPC는 동일한 AWS 계정에 있으며, 중첩 CIDR 블록이 없습니다. 29

33 서로 피어링된 여러 VPC 파일 공유 네트워크처럼 서로의 리소스를 제한 없이 액세스할 수 있어야 하는 여러 VPC가 있을 경우 이 풀 메시 구성을 사용할 수 있습니다. 각 VPC의 은 피어 VPC의 전체 CIDR 블록을 액세스하기 위해 해당 VPC 피어링 연결을 가리 킵니다. VPC A /16 pcx-aaaadddd /16 pcx-aaaaeeee /16 pcx-aaaaffff /16 pcx-aaaagggg pcx-bbbbcccc VPC B 30

34 서로 피어링된 여러 VPC VPC C VPC D VPC E VPC F /16 pcx-bbbbdddd /16 pcx-bbbbeeee /16 pcx-bbbbffff /16 pcx-bbbbgggg pcx-bbbbcccc /16 pcx-ccccdddd /16 pcx-cccceeee /16 pcx-ccccffff /16 pcx-ccccgggg /16 pcx-aaaadddd pcx-bbbbdddd pcx-ccccdddd /16 pcx-ddddeeee /16 pcx-ddddffff /16 pcx-ddddgggg /16 pcx-aaaaeeee pcx-bbbbeeee pcx-cccceeee /16 pcx-ddddeeee /16 pcx-eeeeffff /16 pcx-eeeegggg /16 pcx-aaaaffff pcx-bbbbffff pcx-ccccffff /16 pcx-ddddffff /16 pcx-eeeeffff 31

35 서로 피어링된 여러 VPC VPC G /16 pcx-ffffgggg /16 pcx-aaaagggg pcx-bbbbgggg pcx-ccccgggg /16 pcx-ddddgggg /16 pcx-eeeegggg /16 pcx-ffffgggg 업데이트에 대한 자세한 내용은 VPC 피어링 연결을 위한 업데이트 (p. 9)를 참 조하십시오. IPv6를 위해 함께 피어링된 여러 개의 VPC 위와 같이 VPC 피어링 구성에 동일한 VPC가 있습니다. 모든 VPC는 연결된 IPv6 CIDR 블록이 있습니다. 32

36 서로 피어링된 여러 VPC 각 VPC의 은 피어 VPC의 전체 IPv6 CIDR 블록에 액세스하기 위해 VPC 피어링 연결을 가리 킵니다. VPC A 2001:db8:1234:aa00::/ :db8:1234:bb00::/ :db8:1234:cc00::/ /16 pcx-aaaadddd 2001:db8:1234:dd00::/56 pcx-aaaadddd /16 pcx-aaaaeeee 33

37 서로 피어링된 여러 VPC VPC B VPC C 2001:db8:1234:ee00::/56 pcx-aaaaeeee /16 pcx-aaaaffff 2001:db8:1234:ff00::/56 pcx-aaaaffff /16 pcx-aaaagggg 2001:db8:1234:7700::/56 pcx-aaaagggg 2001:db8:1234:bb00::/ :db8:1234:aa00::/56 pcx-bbbbcccc 2001:db8:1234:cc00::/56 pcx-bbbbcccc /16 pcx-bbbbdddd 2001:db8:1234:dd00::/56 pcx-bbbbdddd /16 pcx-bbbbeeee 2001:db8:1234:ee00::/56 pcx-bbbbeeee /16 pcx-bbbbffff 2001:db8:1234:ff00::/56 pcx-bbbbffff /16 pcx-bbbbgggg 2001:db8:1234:7700::/56 pcx-bbbbgggg 2001:db8:1234:cc00::/ :db8:1234:aa00::/56 pcx-bbbbcccc 2001:db8:1234:bb00::/56 pcx-bbbbcccc /16 pcx-ccccdddd 2001:db8:1234:dd00::/56 pcx-ccccdddd /16 pcx-cccceeee 2001:db8:1234:ee00::/56 pcx-cccceeee /16 pcx-ccccffff 2001:db8:1234:ff00::/56 pcx-ccccffff 34

38 서로 피어링된 여러 VPC VPC D VPC E VPC F /16 pcx-ccccgggg 2001:db8:1234:7700::/56 pcx-ccccgggg / :db8:1234:dd00::/56 pcx-aaaadddd 2001:db8:1234:aa00::/56 pcx-aaaadddd pcx-bbbbdddd 2001:db8:1234:bb00::/56 pcx-bbbbdddd pcx-ccccdddd 2001:db8:1234:cc00::/56 pcx-ccccdddd /16 pcx-ddddeeee 2001:db8:1234:ee00::/56 pcx-ddddeeee /16 pcx-ddddffff 2001:db8:1234:ff00::/56 pcx-ddddffff /16 pcx-ddddgggg 2001:db8:1234:7700::/56 pcx-ddddgggg / :db8:1234:ee00::/56 pcx-aaaaeeee 2001:db8:1234:aa00::/56 pcx-aaaaeeee pcx-bbbbeeee 2001:db8:1234:bb00::/56 pcx-bbbbeeee pcx-cccceeee 2001:db8:1234:cc00::/56 pcx-cccceeee /16 pcx-ddddeeee 2001:db8:1234:dd00::/56 pcx-ddddeeee /16 pcx-eeeeffff 2001:db8:1234:ff00::/56 pcx-eeeeffff /16 pcx-eeeegggg 2001:db8:1234:7700::/56 pcx-eeeegggg /16 35

39 특정 경로로 구성 VPC G 2001:db8:1234:ff00::/56 pcx-aaaaffff 2001:db8:1234:aa00::/56 pcx-aaaaffff pcx-bbbbffff 2001:db8:1234:bb00::/56 pcx-bbbbffff pcx-ccccffff 2001:db8:1234:cc00::/56 pcx-ccccffff /16 pcx-ddddffff 2001:db8:1234:dd00::/56 pcx-ddddffff /16 pcx-eeeeffff 2001:db8:1234:ee00::/56 pcx-eeeeffff /16 pcx-ffffgggg 2001:db8:1234:7700::/56 pcx-ffffgggg / :db8:1234:7700::/56 pcx-aaaagggg 2001:db8:1234:aa00::/56 pcx-aaaagggg pcx-bbbbgggg 2001:db8:1234:bb00::/56 pcx-bbbbgggg pcx-ccccgggg 2001:db8:1234:cc00::/56 pcx-ccccgggg /16 pcx-ddddgggg 2001:db8:1234:dd00::/56 pcx-ddddgggg /16 pcx-eeeegggg 2001:db8:1234:ee00::/56 pcx-eeeegggg /16 pcx-ffffgggg 2001:db8:1234:ff00::/56 pcx-ffffgggg 특정 경로로 구성 CIDR 블록의 일부분, 특정 CIDR 블록(VPC에 여러 개의 CIDR 블록이 있는 경우) 또는 피어 VPC 내의 특정 인스턴스에 대한 액세스를 제공하도록 VPC 피어링 연결을 구성할 수 있습니다. 여기서는 겹치는 CIDR 블록 이 있는 2개 이상의 VPC로 중앙 VPC가 피어링됩니다. 특정 VPC 피어링 연결 구성이 필요한 시나리오의 예 36

40 VPC 1개에 속한 서브넷 2개로 피어링되는 VPC 2개 는 VPC 피어링 시나리오 (p. 16) 단원을 참조하십시오. VPC 피어링 연결을 생성하고 사용하는 방법에 대한 자세한 내용은 VPC 피어링 연결 작업 (p. 5) 단원을 참조하십시오. 업데이트에 대한 자세한 내 용은 VPC 피어링 연결을 위한 업데이트 (p. 9) 단원을 참조하십시오. Configurations VPC 1개에 속한 서브넷 2개로 피어링되는 VPC 2개 (p. 37) VPC 2개가 VPC 1개의 특정 CIDR 블록으로 피어링 (p. 41) VPC 2개의 특정 서브넷으로 피어링되는 VPC 1개 (p. 42) VPC 2개의 인스턴스로 피어링되는 VPC 1개의 인스턴스 (p. 45) 가장 긴 접두사 일치 항목을 사용하여 VPC 2개와 피어링되는 VPC 1개 (p. 47) 여러 VPC 구성 (p. 48) VPC 1개에 속한 서브넷 2개로 피어링되는 VPC 2개 중앙 VPC(VPC A)가 있고 VPC A와 VPC B 사이(), VPC A와 VPC C 사이() 에 VPC 피어링 연결이 있습니다. VPC A에 VPC 피어링 연결마다 하나씩 2개의 서브넷이 있습니다. 서로 다른 서브넷에 별도의 리소스 세트가 있는 중앙 VPC가 있는 경우 이런 종류의 구성을 사용할 수 있습니 다. 다른 VPC는 리소스 전부가 아니라 일부에 대한 액세스가 필요할 수 있습니다. 서브넷 X의 은 VPC B의 전체 CIDR 블록에 액세스하기 위해 VPC 피어링 연결 pcxaaaabbbb를 가리킵니다. VPC B의 은 VPC A에 있는 서브넷 X의 CIDR 블록에만 액세스하기 위해 를 가리킵니다. 마찬가지로 서브넷 Y의 은 VPC C의 전체 CIDR 블록에 액세스하기 위해 VPC 피어링 연결 를 가리킵니다. VPC C의 은 VPC A에서 서브넷 Y의 CIDR 블록에만 액세스하기 위해 를 가리킵니다. 37

41 VPC 1개에 속한 서브넷 2개로 피어링되는 VPC 2개 VPA A의 서브넷 X / /24 VPA A의 서브넷 Y VPC B VPC C 마찬가지로 중앙 VPC (VPC A)에는 여러 개의 CIDR 블록이 있을 수 있고, VPC B와 VPC C에는 각 CIDR 블 록의 서브넷에 대한 VPC 피어링 연결이 있을 수 있습니다. VPA A의 서브넷 X / /16 38

42 VPC 1개에 속한 서브넷 2개로 피어링되는 VPC 2개 VPA A의 서브넷 Y VPC B VPC C / / / /24 자세한 내용은 Amazon VPC 사용 설명서의 VPC에 IPv4 CIDR 블록 추가를 참조하십시오. IPv6를 위한 VPC 1개에 속한 서브넷 2개로 피어링되는 VPC 2개 위와 같이 VPC 피어링 구성이 동일합니다. VPC A와 VPC B에서는 IPv6를 사용할 수 있습니다. 두 VPC는 연 결된 IPv6 CIDR 블록이 있고, VPC A의 서브넷 X는 연결된 IPv6 CIDR 블록이 있습니다. 39

43 VPC 1개에 속한 서브넷 2개로 피어링되는 VPC 2개 VPC B가 VPC 피어링 연결을 사용하여 IPv6를 통해 VPC A의 서브넷 X와 통신하도록 할 수 있습니다. 이렇 게 하려면 VPC B용 IPv6 CIDR 블록이 대상인 VPC A 용도의 에 대한 경로, 그리고 VPC A에서 서브넷 X의 IPv6 CIDR이 대상인 VPC B 용도의 에 대한 경로를 추가해야 합니다. VPA A의 서브넷 X 2001:db8:abcd:aa00::/56 VPC 내부의 IPv6 통신에 자동으로 추가되는 경로. 2001:db8:1234:bb00::/56 VPA A의 서브넷 Y 참고 VPC B의 IPv6 CIDR 블 록에 대한 경로. 2001:db8:abcd:aa00::/56 40 VPC 내부의 IPv6 통신에 자동으로 추가되는 경로.

44 VPC 2개가 VPC 1개의 특정 CIDR 블록으로 피어링 VPC B 2001:db8:1234:bb00::/ /24 VPC 내부의 IPv6 통신에 자동으로 추가되는 경로. 2001:db8:abcd:aa00::/64 VPC C 참고 /24 VPC A의 IPv6 CIDR 블 록에 대한 경로. VPC 2개가 VPC 1개의 특정 CIDR 블록으로 피어링 중앙 VPC(VPC A)가 있고 VPC A와 VPC B 사이(), VPC A와 VPC C 사이() 에 VPC 피어링 연결이 있습니다. VPC A에는 VPC 피어링 연결마다 하나씩 2개의 CIDR 블록이 있습니다. VPA A의 서브넷 X 2001:db8:abcd:aa00::/ :db8:1234:bb00::/ /24 VPC 내부의 IPv6 통신에 자동으로 추가되는 경로. VPC 내부의 IPv6 통신에 자동으로 추가되는 경로. 2001:db8:abcd:aa00::/64 VPC C VPC B의 IPv6 CIDR 블 록에 대한 경로. 2001:db8:abcd:aa00::/56 VPC B VPC 내부의 IPv6 통신에 자동으로 추가되는 경로. 2001:db8:1234:bb00::/56 VPA A의 서브넷 Y 참고 /24 41 VPC A의 IPv6 CIDR 블 록에 대한 경로.

45 VPC 2개의 특정 서브넷으로 피어링되는 VPC 1개 자세한 내용은 Amazon VPC 사용 설명서의 VPC에 IPv4 CIDR 블록 추가를 참조하십시오. VPC 2개의 특정 서브넷으로 피어링되는 VPC 1개 서브넷이 1개인 중앙 VPC(VPC A)가 있고 VPC A와 VPC B 사이(), VPC A와 VPC C 사이 ()에 VPC 피어링 연결이 있습니다. VPC B와 VPC C에는 서브넷이 2개씩 있고 각 VPC의 서 브넷 1개만 VPC A와의 피어링 연결에 사용됩니다. 다른 VPC가 액세스해야 하는 Active Directory 서비스 등의 단일 리소스 세트가 포함된 중앙 VPC가 있는 경 우 이런 종류의 구성을 사용할 수 있습니다. 중앙 VPC에는 피어링할 VPC에 대한 모든 액세스 권한이 필요하 지 않습니다. VPC A의 은 VPC B와 VPC C의 특정 서브넷에만 액세스하기 위해 VPC 피어링 연결을 둘 다 가리킵니다. VPC B와 VPC C에 있는 서브넷의 은 VPC A 서브넷에 액세스하기 위해 해당 VPC 피어링 연결을 가리킵니다. VPC A 42

46 VPC 2개의 특정 서브넷으로 피어링되는 VPC 1개 VPA B의 서브넷 A VPA C의 서브넷 B / / / /24 응답 트래픽을 위한 라우팅 겹치거나 일치하는 CIDR 블록을 가진 여러 VPC와 피어링된 VPC가 있는 경우, 이 자신의 VPC에서 잘못된 VPC로 응답 트래픽을 보내지 못하도록 구성되어 있는지 확인하십시오. AWS에서는 현재 패킷의 원본 IP를 확인하고 응답 패킷을 다시 원본으로 라우팅하는 VPC 피어링 연결에서 유니캐스트 역경로 전달을 지원하지 않습니다. 예를 들어, VPC A는 VPC B 및 VPC C와 피어링됩니다. VPC B 및 VPC C에는 일치하는 CIDR 블록이 있 으며, 해당 서브넷에는 일치하는 CIDR 블록이 있습니다. VPC B에서 서브넷 B의 이 VPC A 서브넷에 액세스하기 위해 VPC 피어링 연결 를 가리킵니다. VPC A 은 트래픽을 피어링 연결 c로 보내도록 구성됩니다. VPA B의 서브넷 B / /24 VPC A 43

47 VPC 2개의 특정 서브넷으로 피어링되는 VPC 1개 프라이빗 IP 주소 /32를 가진 VPC B에서 서브넷 B의 인스턴스가 VPC 피어링 연결 pcxaaaabbbb를 사용하여 VPC A에 있는 Active Directory 서버로 트래픽을 전송합니다. VPC A에서 /32에 응답 트래픽을 전송합니다. 그러나 VPC A 은 범위의 IP 주 소 내 모든 트래픽을 VPC 피어링 연결 로 보내도록 구성됩니다. VPC C의 서브넷 B에 IP 주 소가 /32인 인스턴스가 있는 경우, VPC A로부터 응답 트래픽을 받습니다. VPC B의 서브넷 B에 있는 인스턴스는 VPC A에 대한 요청의 응답을 받지 않습니다. 이를 방지하려면 VPC A의 에 가 /24이고 대상이 인 구체적 인 경로를 추가할 수 있습니다 /24 트래픽에 대한 경로가 더 구체적이므로 /24 IP 주 소 범위가 인 트래픽은 VPC 피어링 연결 를 통해 이동합니다. 다음 예에서 VPC A의 에는 각 VPC 피어링 연결의 각 서브넷에 대한 경로가 있습니다. VPC A 는 VPC B의 서브넷 B 및 VPC C의 서브넷 C와 통신할 수 있습니다. 이 시나리오는 IP 주소 범위 내에 속하는 다른 서브넷을 사용하는 다른 VPC 피어링 연결을 추가해야 하는 경우에 유용합니다. 해 당 서브넷에 대해 다른 경로를 추가할 수 있습니다. 44

48 VPC 2개의 인스턴스로 피어링되는 VPC 1개의 인스턴스 / /24 그 대신, 사용 사례에 따라 다음과 같이 트래픽이 올바른 서버로 다시 라우팅되도록 VPC B에서 특정 IP 주소 에 대한 경로를 생성할 수 있습니다(은 가장 긴 접두사 일치 항목을 사용하여 경로의 우선 순위 를 지정함) /32 VPC 2개의 인스턴스로 피어링되는 VPC 1개의 인스턴 스 서브넷이 1개인 중앙 VPC(VPC A)가 있고 VPC A와 VPC B 사이(), VPC A와 VPC C 사이 ()에 VPC 피어링 연결이 있습니다. VPC A에는 피어링되는 VPC마다 1개씩, 여러 인스턴스 를 가진 서브넷 하나가 있습니다. 이런 종류의 구성을 사용하여 특정 인스턴스에 대한 피어링 트래픽을 제한 할 수 있습니다. 45

49 VPC 2개의 인스턴스로 피어링되는 VPC 1개의 인스턴스 각 VPC 은 피어 VPC의 단일 IP 주소(더불어 특정 인스턴스)에 액세스하기 위해 관련 VPC 피 어링 연결을 가리킵니다. VPC A / / / /32 VPC B VPC C 46

50 가장 긴 접두사 일치 항목을 사용하 여 VPC 2개와 피어링되는 VPC 1개 가장 긴 접두사 일치 항목을 사용하여 VPC 2개와 피어 링되는 VPC 1개 서브넷이 1개인 중앙 VPC(VPC A)가 있고 VPC A와 VPC B 사이(), VPC A와 VPC C 사이 ()에 VPC 피어링 연결이 있습니다. VPC B와 VPC C에 일치하는 CIDR 블록이 있습니다. VPC 피어링 연결 를 사용하여 VPC A와 VPC B의 특정 인스턴스 간에 트래픽을 라우팅 할 수 있습니다. IP 주소 범위로 향하는 다른 모든 트래픽은 VPC A와 VPC C 사이에 pcxaaaacccc를 통해 라우팅됩니다. VPC 은 가장 긴 접두사 일치 항목을 사용하여 의도하는 VPC 피어링 연결에서 가장 구체적인 경로를 선택합니다. 다른 모든 트래픽은 그 다음 일치하는 경로를 통해 라우팅되며 여기서는 VPC 피어링 연 결 입니다. VPC A 47

51 여러 VPC 구성 VPC B VPC C /32 Important VPC B에서 /32 이외의 인스턴스가 VPC A로 트래픽을 전송할 경우 응답 트래 픽은 VPC B가 아닌 VPC B로 라우팅될 수 있습니다. 자세한 정보는 응답 트래픽을 위한 라우 팅 (p. 43) 단원을 참조하십시오. 여러 VPC 구성 여기서는 중앙 VPC(VPC A)가 스포크 구성에서 여러 VPC와 피어링됩니다. 이런 종류의 구성에 대한 자세한 정보는 IPv6를 위해 여러 VPC와 피어링된 하나의 VPC (p. 24) 단원을 참조하십시오. 또한 풀 메시 구성에 서 VPC 3개(VPC M, N, P)가 함께 피어링됩니다. 이런 종류의 구성에 대한 자세한 정보는 함께 피어링된 세 개의 VPC (p. 22) 단원을 참조하십시오. 또한 VPC C에는 VPC M과의 VPC 피어링 연결(pcx-ccccmmmm)이 있습니다. VPC A와 VPC M에 중첩되는 CIDR 블록이 있습니다. 즉, VPC A와 VPC C 사이의 피어링 트래픽이 VPC C의 특정 서브넷(서브넷 A)으로 제한되어 VPC C가 VPC A나 VPC M에서 요청을 받을 경우 올바른 VPC로 응답 트래픽을 전송할 수 있습니 다. AWS에서는 현재 패킷의 원본 IP를 확인하고 응답 패킷을 다시 원본으로 라우팅하는 VPC 피어링 연결에 서 유니캐스트 역경로 전달을 지원하지 않습니다. 자세한 내용은 응답 트래픽을 위한 라우팅 (p. 43) 단원 을 참조하십시오. 마찬가지로 VPC C와 VPC P에 겹치는 CIDR 블록이 있습니다. VPC M과 VPC C 사이의 피어링 트래픽이 VPC C의 서브넷 B로 제한되며 VPC M과 VPC P 사이의 피어링 트래픽이 VPC P의 서브넷 A로 제한되어 VPC M이 VPC C나 VPC P에서 피어링 트래픽을 받을 경우 올바른 VPC로 응답 트래픽을 다시 전송할 수 있 습니다. 48

52 여러 VPC 구성 VPC B, D, E, F 및 G의 은 VPC A의 전체 CIDR 블록에 액세스하기 위해 해당 피어링 연결 을 가리키고, VPC A 은 전체 CIDR 블록에 액세스하기 위해 VPC B, D, E, F 및 G의 해당 피 어링 연결을 가리킵니다. 피어링 연결 의 경우, VPC A 이 VPC C의 서브넷 A( /24)로만 트래픽을 라우팅하고 VPC C의 서브넷 A 이 VPC A의 전체 CIDR 블록을 가리킵니다. VPC N 은 VPC M과 VPC P의 전체 CIDR 블록에 액세스하기 위해 해당 피어링 연결을 가리키 고, VPC P 은 VPC N의 전체 CIDR 블록에 액세스하기 위해 해당 피어링 연결을 가리킵니다. VPC P의 서브넷 A 은 VPC M의 전체 CIDR 블록에 액세스하기 위해 해당 피어링 연결을 가리 킵니다. VPC M 은 VPC C의 서브넷 B와 VPC P의 서브넷 A에 액세스하기 위해 해당 피어링 연결을 가리킵니다. VPC A / /16 pcx-aaaadddd /16 pcx-aaaaeeee /16 pcx-aaaaffff 49

53 ClassicLink로 구성 VPC B VPA C의 서브넷 A VPA C의 서브넷 B VPC D VPC E VPC F VPC G VPC M VPC N VPC P /16 pcx-aaaagggg pcx-ccccmmmm /16 pcx-aaaadddd /16 pcx-aaaaeeee /16 pcx-aaaaaffff /16 pcx-aaaagggg /24 pcx-ccccmmmm pcx-mmmmnnnn /24 pcx-mmmmpppp pcx-mmmmnnnn pcx-nnnnpppp pcx-nnnnpppp pcx-mmmmpppp ClassicLink로 구성 두 VPC 간에 VPC 피어링 연결이 있으며 ClassicLink를 사용하여 이 두 VPC 중 하나 또는 두 개 모두에 연결 된 하나 이상의 EC2-Classic 인스턴스가 있는 경우, EC2-Classic 인스턴스와 VPC 피어링 연결의 다른 쪽에 있는 VPC의 인스턴스 간에 통신하도록 VPC 피어링 연결을 확장할 수 있습니다. 이렇게 하면 EC2-Classic 인스턴스와 VPC의 인스턴스가 프라이빗 IP 주소를 사용하여 통신할 수 있습니다. 이렇게 하려면 VPC 가 피어 VPC의 연결된 EC2-Classic 인스턴스와 통신하도록 하거나, 연결된 EC2-Classic 인스턴스가 피어 VPC의 VPC 인스턴스와 통신하도록 합니다. 50

54 ClassicLink로 구성 ClassicLink를 통한 통신은 VPC 피어링 연결에 있는 두 VPC가 모두 동일한 리전에 있을 경우에만 작동합니 다. Important EC2-Classic 인스턴스는 IPv6 통신에는 사용할 수 없습니다. VPC 피어링 연결의 어느 한쪽에 있는 VPC 인스턴스가 IPv6를 통해 서로 통신하도록 할 수 있습니다. 그러나 VPC와 ClassicLink되어 있 는 EC2-Classic 인스턴스는 IPv4를 통해서만 VPC 피어링 연결의 어느 한 쪽에 있는 VPC 인스턴스 와 통신할 수 있습니다. VPC 피어링 연결이 연결된 EC2-Classic 인스턴스와 통신하도록 하려면, VPC 피어링 연결의 요청자인 경우 요청자 VPC 피어링 옵션을 수정해야 하며, VPC 피어링 연결의 수락자인 경우 수락자 VPC 피어링 옵션을 수 정해야 합니다. describe-vpc-peering-connections 명령을 사용하여 VPC 피어링 연결에 대해 수락자인 VPC 와 요청자인 VPC를 확인할 수 있습니다. 다음과 같이 VPC 피어링 연결 옵션을 수정할 수 있습니다. 연결된 EC2-Classic 인스턴스가 피어 VPC의 인스턴스와 통신하도록 설정 이 경우, ClassicLink 연결에서 VPC 피어링 연결 반대쪽의 피어 VPC로의 아웃바운드 통신을 지원하 도록 VPC 피어링 연결 옵션을 수정합니다. 피어 VPC의 소유자는 VPC에서 원격 ClassicLink 연결로 의 아웃바운드 통신을 지원하도록 VPC 피어링 연결 옵션을 수정합니다. VPC가 피어 VPC의 연결된 EC2-Classic 인스턴스와 통신하도록 설정 이 경우, VPC에서 VPC 피어링 연결 반대쪽의 원격 ClassicLink 연결로의 아웃바운드 통신을 지원하 도록 VPC 피어링 연결 옵션을 수정합니다. 연결된 EC2-Classic 인스턴스가 있는 피어 VPC의 소유자는 로 컬 ClassicLink 연결에서 원격 VPC로의 아웃바운드 통신을 지원하도록 VPC 피어링 연결 옵션을 수정합니 다. 연결된 EC2-Classic 인스턴스가 피어 VPC의 인스턴스와 통신하도록 설정하는 경우, 가 피어 VPC CIDR 블록이고 대상이 VPC 피어링 연결인 VPC의 기본 에 경로를 수동으로 추가해 야 합니다. 연결된 EC2-Classic 인스턴스는 VPC의 서브넷과 연결되지 않으며, 피어 VPC와의 통신에 기본 을 사용합니다. Important VPC 피어링 연결 경로는 피어링 연결에 대한 기존 경로가 있는 사용자 지정 에 관계 없이 기본 에 추가해야 합니다. 그렇지 않으면, EC2-Classic 인스턴스는 피어 VPC와 통신할 수 없습니다. VPC가 원격 ClassicLink 연결과 통신하도록 설정하면, 가 /8이고 대상이 Local인 모 든 VPC 에 경로가 자동으로 추가됩니다. 이렇게 하면 원격 연결된 EC2-Classic 인스턴스 와 통신할 수 있습니다. 의 /8 IP 주소 범위에 기존의 고정 경로가 있는 경우(VPC 피어링 연결 경로 포함), VPC는 원격 ClassicLink 연결과 통신할 수 없습니다. 리전 지원 다음 리전에서 VPC 피어링 연결 옵션을 수정할 수 있습니다. 미국 동부(버지니아 북부) 미국 서부(캘리포니아 북부 지역) 미국 서부(오레곤) EU(아일랜드) 아시아 태평양(도쿄) 아시아 태평양(싱가포르) 남아메리카(상파울루) 51

55 ClassicLink 인스턴스와 피어 VPC 간의 통신 설정 아시아 태평양(시드니) ClassicLink 인스턴스와 피어 VPC 간의 통신 설정 다음 시나리오에서는 VPC A에서 ClassicLink를 사용하고, 인스턴스 A가 ClassicLink를 사용하여 VPC A에 연결되어 있습니다. VPC B는 다른 AWS 계정에 있으며, VPC 피어링 연결 를 사용하여 VPC A에 피어링됩니다. VPC 피어링 연결은 VPC A에서 요청하고 VPC B에서 수락했습니다. 인스턴스 A가 프라 이빗 IP를 통해 VPC B의 인스턴스와 통신하도록 하고, VPC B의 인스턴스가 프라이빗 IP를 통해 인스턴스 A 와 통신하도록 하려고 합니다. Note 이 시나리오에서 VPC B는 EC2-Classic을 지원하는 계정의 VPC이거나 EC2-VPC만 지원하는 계정 의 VPC일 수 있습니다. VPC A의 에는 VPC 트래픽 경로 및 연결된 EC2-Classic 인스턴스에 대한 통신을 지원하 는 경로가 포함되어 있습니다. VPC A의 사용자 지정 에는 서브넷의 인스턴스가 VPC 피어링 연결을 통해 피어 VPC와 통신할 수 있는 경로 및 모든 인터넷 트래픽을 인터넷 게이트웨이로 라우팅하는 경 로가 포함되어 있습니다. VPC B의 사용자 지정 에는 서브넷의 인스턴스가 VPC 피어링 연결 을 통해 피어 VPC와 통신할 수 있는 경로가 포함되어 있습니다. 참고 VPC A 사용자 지정 /16 VPC A의 기본 경로 VPC A와 VPC B 간의 피 어링 연결을 위해 수동으 로 추가된 경로 /8 ClassicLink 통신을 지원 하도록 자동으로 추가된 경로(인스턴스를 VPC A 에 연결할 때 추가) 52

56 ClassicLink 인스턴스와 피어 VPC 간의 통신 설정 VPC A 기본 VPC B 사용자 지정 참고 /0 igw-11aa22bb 인터넷 트래픽을 인터넷 게이트웨이로 라우팅하 도록 수동으로 추가된 경 로 /16 VPC A의 기본 경로 /8 ClassicLink 통신을 지원 하도록 자동으로 추가된 경로(인스턴스를 VPC A 에 연결할 때 추가) VPC B의 기본 경로 /16 VPC A와 VPC B 간의 피 어링 연결을 위해 수동으 로 추가된 경로 VPC A의 소유자는 인스턴스 A가 VPC B와 통신할 수 있도록 VPC 피어링 연결을 수정하고 기본 라우팅 테이 블을 업데이트해야 합니다. VPC B의 소유자는 VPC B가 인스턴스 A와 통신할 수 있도록 VPC 피어링 연결을 수정해야 합니다. Note EC2-Classic이 있는 리전에 VPC가 하나 있고 EC2-Classic이 없는 리전에 또 다른 VPC가 있는 경 우, EC2-Classic이 없는 리전에서는 콘솔에 ClassicLink 설정을 업데이트하는 옵션이 비활성화됩니 다. 따라서 대신 AWS CLI를 사용해야 합니다. 작업 VPC A에 대한 VPC 피어링 연결 수정 (p. 53) VPC B에 대한 VPC 피어링 연결 수정 (p. 54) VPC 피어링 연결 옵션 보기 (p. 55) VPC A에 대한 VPC 피어링 연결 수정 EC2-Classic 인스턴스에서 VPC B로의 통신을 지원하려면, VPC A의 AWS 계정 소유자는 ClassicLink 연결이 피어 VPC의 인스턴스로 트래픽을 보낼 수 있도록 VPC 피어링 연결 옵션을 수정해야 합니다. 콘솔을 사용하여 VPC 피어링 연결을 수정하려면 1. Amazon VPC 콘솔을 엽니다. VPC A의 소유자는 콘솔에 로그인해야 합니다. 2. 탐색 창에서 [Peering Connections]를 선택합니다. 3. VPC 피어링 연결을 선택하고 [Actions], [Edit ClassicLink Settings]를 선택합니다. 4. 연결된 EC2-Classic 인스턴스가 피어 VPC와 통신하도록 허용하는 옵션을 선택하고 [Save]를 선택 합니다. AWS CLI를 사용하여 VPC 피어링 연결을 수정하려면 modify-vpc-peering-connection-options 명령을 사용할 수 있습니다. 이 경우, VPC A는 VPC 피어링 연결의 요청자였으므로 요청자 옵션을 다음과 같이 수정합니다. 53

57 ClassicLink 인스턴스와 피어 VPC 간의 통신 설정 aws ec2 modify-vpc-peering-connection-options --vpc-peering-connection-id -requester-peering-connection-options AllowEgressFromLocalClassicLinkToRemoteVpc=true 기본 을 업데이트하려면 VPC B의 또는 VPC A의 사용자 지정 은 변경되지 않습니다. VPC A의 소유자는 연결된 EC2-Classic 인스턴스가 VPC 피어링 연결을 통해 통신하도록 지원하는 기본 에 경로 를 수동으로 추가해야 합니다 / /8 경로 추가에 대한 자세한 내용은 Amazon VPC 사용 설명서의 에 경로 추가 및 에서 경로 제거를 참조하십시오. VPC B에 대한 VPC 피어링 연결 수정 그런 다음, VPC B의 AWS 계정 소유자는 VPC B가 EC2-Classic 인스턴스 A로 트래픽을 보낼 수 있도록 VPC 피어링 연결 옵션을 수정해야 합니다. 콘솔을 사용하여 VPC 피어링 연결을 수정하려면 1. Amazon VPC 콘솔을 엽니다. VPC B의 소유자는 콘솔에 로그인해야 합니다. 2. 탐색 창에서 [Peering Connections]를 선택합니다. 3. VPC 피어링 연결을 선택하고 [Actions], [Edit ClassicLink Settings]를 선택합니다. 4. VPC 인스턴스가 피어 VPC의 EC2-Classic 인스턴스와 통신하도록 허용하는 옵션을 선택하고 [Save]를 선택합니다. AWS CLI를 사용하여 VPC 피어링 연결을 수정하려면 VPC B가 VPC 피어링 연결을 수락했으므로, 수락자 옵션을 다음과 같이 수정합니다. aws ec2 modify-vpc-peering-connection-options --vpc-peering-connection-id -accepter-peering-connection-options AllowEgressFromLocalVpcToRemoteClassicLink=true VPC A의 은 변경되지 않습니다. VPC B의 인스턴스가 VPC A의 연결된 EC2-Classic 인스턴스 와 통신하도록 허용하는 새 경로가 VPC B의 에 자동으로 추가됩니다. 참고 VPC A 사용자 지정 /16 VPC A의 기본 경로 VPC A와 VPC B 간의 피 어링 연결을 위해 수동으 로 추가된 경로 54

58 ClassicLink 인스턴스와 피어 VPC 간의 통신 설정 VPC A 기본 VPC B 사용자 지정 참고 /8 ClassicLink 통신을 지원 하도록 자동으로 추가된 경로(인스턴스를 VPC A 에 연결할 때 추가) /0 igw-11aa22bb 인터넷 트래픽을 인터넷 게이트웨이로 라우팅하 도록 수동으로 추가된 경 로 /16 VPC A의 기본 경로 /8 ClassicLink 통신을 지원 하도록 자동으로 추가된 경로(인스턴스를 VPC A 에 연결할 때 추가) 연결된 EC2-Classic 인 스턴스가 VPC 피어링 연 결을 통해 VPC B와 통신 할 수 있도록 수동으로 추가된 경로 VPC B의 기본 경로 /16 VPC A와 VPC B 간의 피 어링 연결을 위해 수동으 로 추가된 경로 /8 ClassicLink가 VPC A의 연결된 인스턴스와 통신 할 수 있도록 자동으로 추가된 경로 VPC 피어링 연결 옵션 보기 Amazon VPC 콘솔 또는 AWS CLI를 사용하여 수락자 VPC 및 요청자 VPC에 대한 VPC 피어링 연결 옵션을 볼 수 있습니다. 콘솔을 사용하여 VPC 피어링 연결 옵션을 보려면 Amazon VPC 콘솔을 엽니다. 탐색 창에서 [Peering Connections]를 선택합니다. 3. VPC 피어링 연결을 선택한 다음 [ClassicLink]를 선택합니다. 활성화되거나 비활성화된 VPC 피어링 연 결 옵션에 대한 정보가 표시됩니다. AWS CLI를 사용하여 VPC 피어링 연결 옵션을 보려면 describe-vpc-peering-connections 명령을 사용할 수 있습니다. aws ec2 describe-vpc-peering-connections --vpc-peering-connection-id { "VpcPeeringConnections": [ 55

59 ClassicLink 인스턴스와 피어 VPC 간의 통신 설정 { } ] } "Status": { "Message": "Active", "Code": "active" }, "Tags": [ { "Value": "MyPeeringConnection", "Key": "Name" } ], "AccepterVpcInfo": { "PeeringOptions": { "AllowEgressFromLocalVpcToRemoteClassicLink": "AllowEgressFromLocalClassicLinkToRemoteVpc": "AllowDnsResolutionFromRemoteVpc": false }, "OwnerId": " ", "VpcId": "vpc-80cb52e4", "CidrBlock": " /16" }, "VpcPeeringConnectionId": "", "RequesterVpcInfo": { "PeeringOptions": { "AllowEgressFromLocalVpcToRemoteClassicLink": "AllowEgressFromLocalClassicLinkToRemoteVpc": "AllowDnsResolutionFromRemoteVpc": false }, "OwnerId": " ", "VpcId": "vpc-f527be91", "CidrBlock": "" } 56 true, false, false, true,

60 겹치는 CIDR 블록 지원되지 않는 VPC 피어링 구성 다음 VPC 피어링 연결 구성은 지원되지 않습니다. VPC 피어링 제한에 대한 자세한 내용은 VPC 피어링 제한 (p. 4) 단원을 참조하십시오. 잘못된 구성 겹치는 CIDR 블록 (p. 57) 전이적 피어링 (p. 58) 게이트웨이 또는 프라이빗 연결을 통한 엣지 간 라우팅 (p. 58) 겹치는 CIDR 블록 일치하거나 중첩되는 IPv4 CIDR 블록이 있는 VPC 간에는 VCP 피어링 연결을 만들 수 없습니다. VPC에 여러 개의 IPv4 CIDR 블록이 있을 경우, 중첩되는 CIDR 블록이 있으면 VPC 피어링 연결을 만들 수 없습니다(VPC 피어링 연결을 사용하려는 목적이 오직 비중첩 CIDR 블록들 간의 통신이든 아니든 관계 없 이). 이 제한 사항은 중첩되지 않는 IPv6 CIDR 블록이 있는 VPC에도 적용됩니다. IPv6 통신 전용 VPC 피어링 연 결을 사용하고자 한다 해도 VPC에 일치하거나 중첩되는 IPv4 CIDR 블록이 있는 경우에는 VPC 피어링 연결 을 만들 수 없습니다. IPv6을 통한 통신은 리전 간 VPC 피어링 연결이 지원되지 않습니다. 57