기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon VPC Lattice의 VPC 리소스
VPC 리소스를 조직의 다른 팀 또는 외부 독립 소프트웨어 공급업체(ISV) 파트너와 공유할 수 있습니다. VPC 리소스는 Amazon RDS 데이터베이스, 도메인 이름 또는 IP 주소와 같은 AWS네이티브 리소스일 수 있습니다. 리소스는 VPC 또는 온프레미스 네트워크에 있을 수 있으며 로드 밸런싱할 필요가 없습니다. AWS RAM 를 사용하여 리소스에 액세스할 수 있는 보안 주체를 지정합니다. 리소스에 액세스할 수 있는 리소스 게이트웨이를 생성합니다. 또한 공유하려는 리소스 또는 리소스 그룹을 나타내는 리소스 구성을 생성합니다.
리소스를 공유하는 보안 주체는 VPC 엔드포인트를 사용하여 이러한 리소스에 비공개로 액세스할 수 있습니다. 리소스 VPC 엔드포인트를 사용하여 하나의 리소스에 액세스하거나 VPC Lattice 서비스 네트워크의 여러 리소스를 풀링하고 서비스 네트워크 VPC 엔드포인트를 사용하여 서비스 네트워크에 액세스할 수 있습니다.
다음 섹션에서는 VPC Lattice에서 VPC 리소스를 생성하고 관리하는 방법을 설명합니다.
**Topics**
+ [리소스 게이트웨이](resource-gateway.md)
+ [리소스 구성](resource-configuration.md)
# VPC Lattice의 리소스 게이트웨이
*리소스 게이트웨이*는 리소스가 있는 VPC로 트래픽을 수신하는 지점입니다. 여러 가용 영역에 걸쳐 구성됩니다.
다른 VPC나 계정에서 VPC 내 리소스에 액세스할 계획이라면, 해당 VPC에는 반드시 리소스 게이트웨이가 있어야 합니다. 공유하는 모든 리소스는 리소스 게이트웨이와 연결됩니다. 다른 VPC 또는 계정의 클라이언트가 사용자 VPC에 있는 리소스에 액세스하면 해당 리소스는 트래픽이 그 VPC 내의 리소스 게이트웨이에서 로컬로 들어오는 것처럼 인식합니다. 트래픽의 소스 IP 주소는 가용 영역에 있는 리소스 게이트웨이의 IP 주소입니다. 각각 리소스가 여러 개인 여러 리소스 구성을 리소스 게이트웨이에 연결할 수 있습니다.
다음 다이어그램은 클라이언트가 리소스 게이트웨이를 통해 리소스에 액세스하는 방법을 보여줍니다.
![\[리소스 게이트웨이를 통해 리소스에 액세스하는 클라이언트입니다.\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/images/resource-gateway-to-resource.png)
**Topics**
+ [고려 사항](#resource-gateway-considerations)
+ [보안 그룹](#resource-gateway-security-groups)
+ [IP 주소 유형](#resource-gateway-ip-address-type)
+ [ENI당 IPv4 주소](#ipv4-address-type-per-eni)
+ [리소스 게이트웨이 생성](create-resource-gateway.md)
+ [리소스 게이트웨이 삭제](delete-resource-gateway.md)
## 고려 사항
리소스 게이트웨이에는 다음과 같은 고려 사항이 적용됩니다.
+ 리소스가 모든 [가용 영역](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)에서 액세스 가능하도록 하려면, 리소스 게이트웨이를 가능한 많은 가용 영역에 걸쳐 생성하는 것이 좋습니다.
+ VPC 엔드포인트와 리소스 게이트웨이는 최소 1개 이상 가용 영역이 겹쳐야 합니다.
+ 하나의 VPC에는 최대 100개의 리소스 게이트웨이를 생성할 수 있습니다. 자세한 내용은 [VPC Lattice 할당량](https://docs.aws.amazon.com/vpc-lattice/latest/ug/quotas.html)을 참조하세요.
+ VPC Lattice는 리소스 게이트웨이에 새 ENIs 추가할 수 있습니다.
+ 공유 VPC 서브넷이 있는 리소스 게이트웨이:
+ 리소스 게이트웨이는 VPC를 소유한 계정만 공유 VPC 서브넷에 배포할 수 있습니다.
+ 리소스 게이트웨이에 대한 리소스 구성은 리소스 게이트웨이를 소유한 계정에서만 생성할 수 있습니다.
## 보안 그룹
리소스 게이트웨이에 보안 그룹을 연결할 수 있습니다. 리소스 게이트웨이에 대한 보안 그룹 규칙은 리소스 게이트웨이에서 리소스로 향하는 아웃바운드 트래픽을 제어합니다.
**데이터베이스 리소스로 향하는 리소스 게이트웨이 트래픽에 권장되는 아웃바운드 규칙**
리소스 게이트웨이에서 리소스로 트래픽이 흐르도록 하려면, 리소스에서 허용하는 리스너 프로토콜과 포트 범위에 대한 아웃바운드 규칙을 생성해야 합니다.
| Destination | 프로토콜 | 포트 범위 | 설명 |
| --- | --- | --- | --- |
| 리소스의 CIDR 범위 | TCP | 3306 | 리소스 게이트웨이에서 데이터베이스로 향하는 트래픽을 허용합니다. |
## IP 주소 유형
리소스 게이트웨이에는 IPv4, IPv6 또는 듀얼 스택 주소가 있을 수 있습니다. 리소스 게이트웨이의 IP 주소 유형은 여기에 설명된 대로 리소스 게이트웨이의 서브넷과 리소스의 IP 주소 유형과 호환되어야 합니다.
+ **IPv4** - 리소스 게이트웨이 네트워크 인터페이스에 IPv4 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 주소 범위가 있고, 리소스에도 IPv4 주소가 있는 경우에만 지원됩니다. 이 옵션을 사용하면 리소스 게이트웨이 ENI당 IPv4 주소 수를 구성할 수 있습니다.
+ **IPv6** - 리소스 게이트웨이 네트워크 인터페이스에 IPv6 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷이 IPv6 전용 서브넷이고, 리소스에도 IPv6 주소가 있는 경우에만 지원됩니다. 이 옵션을 사용하면 IPv6 주소가 자동으로 할당되므로 관리할 필요가 없습니다.
+ **듀얼 스택** - 리소스 게이트웨이 네트워크 인터페이스에 IPv4 및 IPv6 주소를 모두 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4와 IPv6 주소 범위가 모두 있고, 리소스에 IPv4 또는 IPv6 주소가 있는 경우에만 지원됩니다. 이 옵션을 사용하면 리소스 게이트웨이 ENI당 IPv4 주소 수를 구성할 수 있습니다.
리소스 게이트웨이의 IP 주소 유형은 클라이언트의 IP 주소 유형 또는 리소스에 액세스하는 VPC 엔드포인트와 독립적입니다.
## ENI당 IPv4 주소
리소스 게이트웨이가 IPv4 또는 듀얼 스택 IP 주소 유형을 사용하는 경우, 리소스 게이트웨이의 각 ENI에 할당할 IPv4 주소 수를 구성할 수 있습니다. 리소스 게이트웨이를 생성할 때 1에서 62까지의 IPv4 주소 중에서 선택합니다. 한 번 설정한 IPv4 주소 수는 변경할 수 없습니다.
IPv4 주소는 네트워크 주소 변환에 사용되며, 리소스에 대한 동시 IPv4 연결의 최대 수를 결정합니다. 각 IPv4 주소는 대상 IP당 최대 55,000개의 동시 연결을 지원할 수 있습니다. 기본적으로 모든 리소스 게이트웨이에는 ENI당 16개의 IPv4 주소가 할당됩니다.
리소스 게이트웨이가 IPv6 주소 유형을 사용하는 경우, 리소스 게이트웨이는 자동으로 ENI당 /80 CIDR을 수신합니다. 이 값은 변경할 수 없습니다. 연결당 최대 전송 단위(MTU)는 8,500바이트입니다.
# VPC Lattice에서 리소스 게이트웨이 생성
콘솔을 사용하여 리소스 게이트웨이를 생성합니다.
**콘솔을 사용하여 리소스 게이트웨이 엔드포인트 생성하기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **PrivateLink 및 Lattice**에서 **리소스 게이트웨이**를 선택합니다.
1. **리소스 게이트웨이 생성**을 선택합니다.
1. **리소스 게이트웨이 이름**에 AWS 계정 내에서 고유한 이름을 입력합니다.
1. **IP 주소 유형**에서 리소스 게이트웨이트의 IP 주소 유형을 선택합니다.
1. **IPv4** 또는 **듀얼 스택**을 **IP 주소 유형**으로 선택한 경우, 리소스 게이트웨이의 각 ENI에 할당할 IPv4 주소 수를 입력할 수 있습니다.
기본값은 ENI당 16개의 IPv4 주소입니다. 이는 백엔드 리소스와 연결을 형성하기에 적절한 IP 수입니다.
1. **VPC**에서 리소스 게이트웨이를 생성할 VPC 및 서브넷을 선택합니다.
1. **보안 그룹에서** 최대 5개의 보안 그룹을 선택하여 VPC에서 서비스 네트워크로의 인바운드 트래픽을 제어합니다.
1. (선택 사항) 태그를 추가하려면 **새 태그 추가**를 선택하고 태그 키와 태그 값을 입력합니다.
1. **리소스 게이트웨이 생성**을 선택합니다.
**를 사용하여 리소스 게이트웨이를 생성하려면 AWS CLI**
[create-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-resource-gateway.html) 명령을 사용합니다.
# VPC Lattice에서 리소스 게이트웨이 삭제
리소스 게이트웨이를 사용하여 리소스를 삭제합니다.
**콘솔을 사용하여 리소스 게이트웨이 삭제하기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **PrivateLink 및 Lattice**에서 **리소스 게이트웨이**를 선택합니다.
1. 삭제하려는 리소스 게이트웨이의 확인란을 선택한 후 **작업**, **삭제**를 차례로 선택합니다. 확인 메시지가 나타나면 **confirm**을 입력한 다음 **삭제**를 선택합니다.
**를 사용하여 리소스 게이트웨이를 삭제하려면 AWS CLI**
[delete-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-resource-gateway.html) 명령을 사용합니다.
# VPC 리소스에 대한 리소스 구성
리소스 구성은 다른 VPC 및 계정의 클라이언트가 액세스할 수 있는 리소스 또는 리소스 그룹을 나타냅니다. 리소스 구성을 정의하면, 다른 VPC 및 계정의 클라이언트가 사용자 VPC의 리소스에 대한 안전한 프라이빗 단방향 네트워크 연결을 허용할 수 있습니다. 리소스 구성은 트래픽을 수신하는 리소스 게이트웨이와 연결됩니다. 다른 VPC에서 리소스에 액세스하려면 리소스 구성이 있어야 합니다.
**Topics**
+ [리소스 구성 유형](#resource-configuration-types)
+ [프로토콜](#resource-configuration-protocol)
+ [리소스 게이트웨이](#resource-gateway)
+ [리소스 공급자의 사용자 지정 도메인 이름](#custom-domain-name-resource-providers)
+ [리소스 소비자의 사용자 지정 도메인 이름](#custom-domain-name-resource-consumers)
+ [서비스 네트워크 소유자의 사용자 지정 도메인 이름](#resource-configuration-custom-domain-name-service-network-owners)
+ [리소스 정의](#resource-definition)
+ [포트 범위](#resource-configuration-port)
+ [리소스 액세스](#resource-configuration-accessing)
+ [서비스 네트워크 유형과의 연결](#resource-configuration-service-network-association)
+ [서비스 네트워크 유형](#service-network-types)
+ [를 통해 리소스 구성 공유 AWS RAM](#sharing-resource-configuration-ram)
+ [모니터링](#resource-configuration-monitoring)
+ [도메인 생성 및 확인](create-and-verify.md)
+ [리소스 구성 생성](create-resource-configuration.md)
+ [연결 관리](resource-configuration-associations.md)
## 리소스 구성 유형
리소스 구성은 여러 유형이 있을 수 있습니다. 서로 다른 유형은 다양한 종류의 리소스를 표현하는 데 사용됩니다. 다음과 같은 유형이 있습니다.
+ **단일 리소스 구성**: IP 주소 또는 도메인 이름을 나타냅니다. 독립적으로 공유할 수 있습니다.
+ **그룹 리소스 구성**: 하위 리소스 구성의 모음입니다. DNS 및 IP 주소 엔드포인트 그룹을 나타내는 데 사용할 수 있습니다.
+ **하위 리소스 구성**: 그룹 리소스 구성의 멤버입니다. IP 주소 또는 도메인 이름을 나타냅니다. 독립적으로 공유할 수 없으며 그룹의 일부로만 공유할 수 있습니다. 그룹에서 추가 및 제거할 수 있습니다. 추가하면 해당 그룹에 액세스할 수 있는 모든 사람이 자동으로 액세스할 수 있게 됩니다.
+ **ARN 리소스 구성**: AWS 서비스에 의해 프로비저닝되는 지원되는 리소스 유형을 나타냅니다. 모든 그룹-하위 관계는 자동으로 처리됩니다.
다음 이미지는 단일, 하위 및 그룹 리소스 구성을 보여줍니다.
![\[단일, 하위 및 그룹 리소스 구성.\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/images/resource-config-types.png)
## 프로토콜
리소스 구성을 생성할 때 리소스가 지원할 프로토콜을 정의할 수 있습니다. 현재는 TCP 프로토콜만 지원됩니다.
## 리소스 게이트웨이
리소스 구성은 리소스 게이트웨이와 연결됩니다. 리소스 게이트웨이는 해당 리소스가 위치한 VPC로 들어오는 진입 지점 역할을 하는 탄력적 네트워크 인터페이스(ENI)의 집합입니다. 여러 리소스 구성을 동일한 리소스 게이트웨이에 연결할 수 있습니다. 다른 VPCs 또는 계정의 클라이언트가 VPC의 리소스에 액세스하면 리소스는 해당 VPC의 리소스 게이트웨이 IP 주소에서 로컬로 들어오는 트래픽을 확인합니다.
## 리소스 공급자의 사용자 지정 도메인 이름
리소스 공급자는 리소스 소비자가 리소스 구성에 액세스하는 데 사용할 수 `example.com`있는와 같은 리소스 구성에 사용자 지정 도메인 이름을 연결할 수 있습니다. 사용자 지정 도메인 이름은 리소스 공급자가 소유 및 확인하거나 타사 또는 AWS 도메인일 수 있습니다. 리소스 공급자는 리소스 구성을 사용하여 캐시 클러스터 및 Kafka 클러스터, TLS 기반 애플리케이션 또는 기타 AWS 리소스를 공유할 수 있습니다.
리소스 구성 공급자에는 다음 고려 사항이 적용됩니다.
+ 리소스 구성에는 사용자 지정 도메인이 하나만 있을 수 있습니다.
+ 리소스 구성의 사용자 지정 도메인 이름은 변경할 수 없습니다.
+ 사용자 지정 도메인 이름은 모든 리소스 구성 소비자에게 표시됩니다.
+ VPC Lattice의 도메인 이름 확인 프로세스를 사용하여 사용자 지정 도메인 이름을 확인할 수 있습니다. 자세한 내용은 단원을 참조하십시오[도메인 생성 및 확인](create-and-verify.md).
+ 유형 그룹 및 하위 유형의 리소스 구성의 경우 먼저 그룹 리소스 구성에서 그룹 도메인을 지정해야 합니다. 이후 하위 리소스 구성에는 그룹 도메인의 하위 도메인인 사용자 지정 도메인이 있을 수 있습니다. 그룹에 그룹 도메인이 없는 경우 하위에 대한 사용자 지정 도메인 이름을 사용할 수 있지만 VPC Lattice는 리소스 소비자의 VPC에서 하위 도메인 이름에 대한 호스팅 영역을 프로비저닝하지 않습니다.
## 리소스 소비자의 사용자 지정 도메인 이름
리소스 소비자가 사용자 지정 도메인 이름이 있는 리소스 구성에 대한 연결을 활성화하면 VPC Lattice가 VPC에서 Route 53 프라이빗 호스팅 영역을 관리하도록 허용할 수 있습니다. 리소스 소비자는 VPC Lattice가 프라이빗 호스팅 영역을 관리할 수 있도록 허용할 도메인에 대해 세분화된 옵션을 제공합니다.
리소스 소비자는 리소스 엔드포인트, 서비스 네트워크 엔드포인트 또는 서비스 네트워크 VPC 연결을 통해 리소스 구성에 대한 연결을 활성화할 때 `private-dns-enabled` 파라미터를 설정할 수 있습니다. `private-dns-enabled` 파라미터와 함께 소비자는 DNS 옵션을 사용하여 VPC Lattice가 프라이빗 호스팅 영역을 관리할 도메인을 지정할 수 있습니다. 소비자는 다음 프라이빗 DNS 기본 설정 중에서 선택할 수 있습니다.
**`ALL_DOMAINS`**
VPC Lattice는 모든 사용자 지정 도메인 이름에 프라이빗 호스팅 영역을 프로비저닝합니다.
**`VERIFIED_DOMAINS_ONLY`**
VPC Lattice는 공급자가 사용자 지정 도메인 이름을 확인한 경우에만 프라이빗 호스팅 영역을 프로비저닝합니다.
**`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`**
VPC Lattice는 확인된 모든 사용자 지정 도메인 이름 및 리소스 소비자가 지정하는 기타 도메인 이름에 대해 프라이빗 호스팅 영역을 프로비저닝합니다. 리소스 소비자는 `private DNS specified domains` 파라미터에 도메인 이름을 지정합니다.
**`SPECIFIED_DOMAINS_ONLY`**
VPC Lattice는 리소스 소비자가 지정한 도메인 이름에 대해 프라이빗 호스팅 영역을 프로비저닝합니다. 리소스 소비자는 `private DNS specified domains ` 파라미터에 도메인 이름을 지정합니다.
프라이빗 DNS를 활성화하면 VPC Lattice는 리소스 구성과 연결된 사용자 지정 도메인 이름에 대한 프라이빗 호스팅 영역을 VPC에 생성합니다. 기본적으로 프라이빗 DNS 기본 설정은 로 설정됩니다`VERIFIED_DOMAINS_ONLY`. 즉, 리소스 공급자가 사용자 지정 도메인 이름을 확인한 경우에만 프라이빗 호스팅 영역이 생성됩니다. 프라이빗 DNS 기본 설정을 `ALL_DOMAINS` 또는 로 설정하면 `SPECIFIED_DOMAINS_ONLY` VPC Lattice는 사용자 지정 도메인 이름의 확인 상태에 관계없이 프라이빗 호스팅 영역을 생성합니다. 지정된 도메인에 대해 프라이빗 호스팅 영역이 생성되면 VPC에서 해당 도메인으로 가는 모든 트래픽이 VPC Lattice를 통해 라우팅됩니다. 이러한 사용자 지정 도메인 이름에 대한 트래픽이 VPC Lattice를 통과하도록 하려는 경우에만 `ALL_DOMAINS``VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`, 또는 `SPECIFIED_DOMAINS_ONLY` 기본 설정을 사용하는 것이 좋습니다.
리소스 소비자는 프라이빗 DNS 기본 설정을 로 설정하는 것이 좋습니다`VERIFIED_DOMAINS_ONLY`. 이를 통해 소비자는 VPC Lattice만 리소스 소비자 계정의 확인된 도메인에 프라이빗 호스팅 영역을 프로비저닝하도록 허용하여 보안 경계를 좁힐 수 있습니다.
프라이빗 DNS 지정 도메인에서 도메인을 선택하기 위해 리소스 소비자는와 같은 정규화된 도메인 이름을 입력`my.example.com`하거나와 같은 와일드카드를 사용할 수 있습니다`*.example.com`.
리소스 구성 소비자에게는 다음 고려 사항이 적용됩니다.
+ 프라이빗 DNS 활성화 파라미터는 변경할 수 없습니다.
+ VPC에서 프라이빗 호스팅을 생성하려면 서비스 네트워크 리소스 연결에서 프라이빗 DNS를 활성화해야 합니다. 리소스 구성의 경우 서비스 네트워크 리소스 연결의 프라이빗 DNS 활성화 상태는 서비스 네트워크 엔드포인트 또는 서비스 네트워크 VPC 연결의 프라이빗 DNS 활성화 상태를 재정의합니다.
## 서비스 네트워크 소유자의 사용자 지정 도메인 이름
서비스 네트워크 리소스 연결의 프라이빗 DNS 지원 속성은 서비스 네트워크 엔드포인트 및 서비스 네트워크 VPC 연결의 프라이빗 DNS 지원 속성을 재정의합니다.
서비스 네트워크 소유자가 서비스 네트워크 리소스 연결을 생성하고 프라이빗 DNS를 활성화하지 않는 경우 VPC Lattice는 서비스 네트워크 엔드포인트 또는 서비스 네트워크 VPCs 연결에서 프라이빗 DNS가 활성화되어 있더라도 서비스 네트워크가 연결된 VPC에서 해당 리소스 구성에 대한 프라이빗 호스팅 영역을 프로비저닝하지 않습니다.
ARN 유형의 리소스 구성의 경우 프라이빗 DNS 플래그는 true이고 변경할 수 없습니다.
## 리소스 정의
리소스 구성에서 리소스를 다음 방법 중 하나로 식별할 수 있습니다.
+ **Amazon 리소스 이름(ARN)**으로: AWS 서비스에서 프로비저닝하는 지원되는 리소스 유형은 해당 ARN으로 식별할 수 있습니다. 지원되는 리소스는 Amazon RDS 데이터베이스뿐입니다. 공개적으로 액세스할 수 있는 클러스터에 대한 리소스 구성은 생성할 수 없습니다.
+ **도메인 이름 대상**별: 공개적으로 확인할 수 있는 모든 도메인 이름을 사용할 수 있습니다. 도메인 이름이 VPC 외부의 IP를 가리키는 경우, VPC 내에 NAT 게이트웨이가 있어야 합니다.
+ **IP 주소**로 식별: IPv4의 경우 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16 범위 내의 프라이빗 IP를 지정합니다. IPv6의 경우 VPC 내의 IP를 지정합니다. 퍼블릭 IP는 지원되지 않습니다.
## 포트 범위
리소스 구성을 생성할 때 요청을 수락할 포트를 정의할 수 있습니다. 다른 포트에 대한 클라이언트 액세스는 허용되지 않습니다.
## 리소스 액세스
소비자는 VPC 엔드포인트를 사용하거나 서비스 네트워크를 통해 리소스 구성을 직접 액세스할 수 있습니다. 소비자로서, 자신의 VPC에서 동일 계정 내 리소스 구성이나 다른 계정에서 AWS RAM을 통해 공유된 리소스 구성에 대한 액세스를 활성화할 수 있습니다.
+ *리소스 구성에 직접 액세스*
AWS PrivateLink VPC에서 리소스 유형의 VPC 엔드포인트(리소스 엔드포인트)를 생성하여 VPC에서 리소스 구성에 비공개로 액세스할 수 있습니다. 리소스 엔드포인트를 생성하는 방법에 대한 자세한 내용은 *AWS PrivateLink사용 설명서*의 [VPC 리소스 액세스를](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-resources.html) 참조하세요.
+ *서비스 네트워크를 통한 리소스 구성 액세스*
리소스 구성을 서비스 네트워크에 연결하고 VPC를 서비스 네트워크에 연결할 수 있습니다. 연결을 통해 또는 서비스 네트워크 VPC 엔드포인트를 사용하여 VPC를 AWS PrivateLink 서비스 네트워크에 연결할 수 있습니다.
서비스 네트워크 연결에 대한 자세한 내용은 [VPC Lattice 서비스 네트워크 연결 관리](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-network-associations.html)를 참조하세요.
서비스 네트워크 VPC 엔드포인트에 대한 자세한 내용은 *AWS PrivateLink 사용 설명서*의 [서비스 네트워크 액세스](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-service-networks.html)를 참조하세요.
VPC에서 프라이빗 DNS가 활성화된 경우, 동일한 리소스 구성에 대해 리소스 엔드포인트와 서비스 네트워크 엔드포인트를 동시에 생성할 수 없습니다.
## 서비스 네트워크 유형과의 연결
Account-B와 같은 소비자 계정과 리소스 구성을 공유하는 경우 Account AWS RAM-B는 리소스 VPC 엔드포인트 또는 서비스 네트워크를 통해 리소스 구성에 직접 액세스할 수 있습니다.
서비스 네트워크를 통해 리소스 구성에 액세스하려면, Account-B가 해당 리소스 구성을 서비스 네트워크에 연결해야 합니다. 서비스 네트워크는 계정 간에 공유할 수 있습니다. 따라서 Account-B는 (리소스 구성이 연결된) 자신의 서비스 네트워크를 Account-C와 공유하여 Account-C에서도 해당 리소스에 액세스할 수 있습니다.
이러한 전이적 공유를 방지하려면, 리소스 구성을 계정 간 공유가 가능한 서비스 네트워크에 추가할 수 없도록 지정할 수 있습니다. 이 설정을 하면 Account-B는 해당 리소스를 앞으로 다른 계정과 공유되거나 공유 가능한 서비스 네트워크에 추가할 수 없습니다.
## 서비스 네트워크 유형
Account-B와 같은 다른 계정과 리소스 구성을 공유할 때 Account AWS RAM-B는 다음 세 가지 방법 중 하나로 리소스 구성에 지정된 리소스에 액세스할 수 있습니다.
+ *리소스* 유형의 VPC 엔드포인트 사용(리소스 VPC 엔드포인트).
+ *서비스 네트워크* 유형의 VPC 엔드포인트 사용(서비스 네트워크 VPC 엔드포인트).
+ 서비스 네트워크 VPC 연결 사용.
서비스 네트워크 연결을 사용하는 경우 각 리소스에는 AWS 소유되고 라우팅할 수 없는 129.224.0.0/17 블록의 서브넷당 IP가 할당됩니다. 이는 VPC Lattice가 트래픽을 VPC Lattice 네트워크를 통해 서비스로 라우팅할 때 사용하는 [관리형 접두사 목록](security-groups.md#managed-prefix-list)과 별도로 적용됩니다. 이 두 IP 모두 VPC 라우팅 테이블에 업데이트됩니다.
서비스 네트워크 VPC 엔드포인트 및 서비스 네트워크 VPC 연결의 경우 리소스 구성을 Account-B의 서비스 네트워크와 연결해야 합니다. 서비스 네트워크는 계정 간에 공유할 수 있습니다. 따라서 Account-B는 (리소스 구성을 포함한) 자신의 서비스 네트워크를 Account-C와 공유하여 Account-C에서도 리소스에 액세스할 수 있습니다. 이러한 전이적 공유를 방지하려면, 리소스 구성이 계정 간 공유 가능한 서비스 네트워크에 추가되지 않도록 지정할 수 있습니다. 이 설정을 하면 Account-B는 해당 리소스를 공유되거나 공유 가능한 서비스 네트워크에 추가할 수 없습니다.
## 를 통해 리소스 구성 공유 AWS RAM
리소스 구성은와 통합됩니다 AWS Resource Access Manager. AWS RAM을 통해 리소스 구성을 다른 계정과 공유할 수 있습니다. 리소스 구성을 AWS 계정과 공유하면 해당 계정의 클라이언트가 리소스에 비공개로 액세스할 수 있습니다. 리소스 구성은 AWS RAM의 [리소스 공유](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html)를 사용하여 공유할 수 있습니다.
AWS RAM 콘솔을 사용하여 추가된 리소스 공유, 액세스할 수 있는 공유 리소스, 리소스를 공유한 AWS 계정을 볼 수 있습니다. 자세한 내용은 *AWS RAM 사용 설명서*의 [공유받은 리소스](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html)를 참조하세요.
리소스 구성과 동일한 계정의 다른 VPC에서 리소스에 액세스하려면 리소스 구성을 공유할 필요가 없습니다 AWS RAM.
## 모니터링
리소스 구성에서 모니터링 로그를 활성화할 수 있습니다. 로그를 전송할 대상을 선택할 수 있습니다.
# 도메인 생성 및 확인
도메인 이름 확인은 지정된 도메인의 소유권을 증명할 수 있는 엔터티입니다. 리소스 공급자는 도메인과 하위 도메인을 리소스 구성의 사용자 지정 도메인 이름으로 사용할 수 있습니다. 리소스 소비자는 리소스 구성을 설명할 때 사용자 지정 도메인 이름의 확인 상태를 볼 수 있습니다.
## 도메인 확인 시작
VPC Lattice를 사용하여 도메인 이름 확인을 시작한 다음 DNS 영역을 사용하여 프로세스를 완료합니다.
------
#### [ AWS Management Console ]
**도메인 이름 확인을 시작하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **PrivateLink 및 Lattice**에서 **도메인 확인을 선택합니다.**
1. **도메인 확인 시작**을 선택합니다.
1. **도메인 이름**에 소유한 도메인 이름을 입력합니다.
1. (선택 사항) 태그를 추가하려면 **새 태그 추가**를 선택하고 태그 키와 태그 값을 입력합니다.
1. **도메인 이름 확인 시작**을 선택합니다.
도메인 이름 확인이 성공적으로 시작되면 VPC Lattice는 `Id` 및를 반환합니다`txtMethodConfig`. `txtMethodConfig`를 사용하여 도메인 이름 확인을 완료합니다.
------
#### [ AWS CLI ]
다음 `start-domain-verification` 명령은 도메인 이름 확인을 시작합니다.
```
aws vpc-lattice start-domain-verification \
--domain-name example.com
```
출력은 다음과 같습니다.
```
{
"id": "dv-aaaa0000000111111",
"arn": "arn:aws:vpc-lattice:us-west-2:111122223333:domainverification/dv-aaaa0000000111111",
"domainName": "example.com",
"status": "PENDING",
"txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
}
```
VPC Lattice는 `Id` 및를 반환합니다`txtMethodConfig`. `txtMethodConfig`를 사용하여 도메인 이름 확인을 완료합니다. 이 예제에서 `txtMethodConfig`는 다음과 같습니다.
```
txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
```
------
## 도메인 이름 확인 완료
도메인 이름 확인을 완료하려면 DNS 영역에 TXT 레코드를 추가합니다. Route 53을 사용하는 경우 도메인 이름의 호스팅 영역을 사용합니다. 도메인 이름을 확인하면 모든 하위 도메인도 확인됩니다. 예를 들어 `example.com`를 확인하는 경우 추가 확인을 수행하지 `beta.example.com` 않고 리소스 구성을 `alpha.example.com` 및와 연결할 수 있습니다.
를 사용하여 TXT 레코드를 생성하려면 Amazon Route 53 콘솔을 사용하여 레코드 생성을 AWS Management Console참조하세요. [ ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)
**Route 53 AWS CLI 용를 사용하여 TXT 레코드를 생성하려면**
1. 다음 예제 `TXT-record.json` 파일과 함께 [change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/r53/change-resource-record-sets.html) 명령을 사용합니다.
```
{
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "_11111aaaaaaaaa",
"Type": "TXT",
"ResourceRecords": [
{
"value": "vpc-lattice:1111aaaaaaa"
}
]
}
}
]
}
```
1. 다음 AWS CLI 명령을 사용하여 이전 단계의 TXT 레코드를 Route 53 호스팅 영역에 추가합니다.
```
aws route53 change-resource-record-sets \
--hosted-zone-id ABCD123456 \
--change-batch file://path/to/your/TXT-record.json
```
를 계정에 있는 호스팅 영역의 Route 53 호스팅 영역 ID`hosted-zone-id`로 바꿉니다. change-batch 파라미터 값은 폴더(path/to/your)의 JSON 파일(TXT-record.json)을 가리킵니다.
도메인 이름의 확인 상태를 확인하려면 VPC Lattice 콘솔 또는 `get-domain-verification` 명령을 사용할 수 있습니다.
도메인 이름을 확인하면 삭제할 때까지 확인된 상태로 유지됩니다. DNS 영역에서 TXT 레코드를 삭제하면 VPC Lattice가를 삭제`verification-id`하므로 도메인 이름을 다시 확인해야 합니다. DNS 영역에서 TXT 레코드를 삭제하면 VPC Lattice는 도메인 이름 확인 상태를 로 설정합니다`UNVERIFIED`. 이는 기존 리소스 엔드포인트, 서비스 네트워크 엔드포인트 또는 리소스 구성에 대한 서비스 네트워크 VPC 연결에는 영향을 주지 않습니다. 도메인 이름을 다시 확인하려면 도메인 이름 확인 프로세스를 다시 시작합니다.
# VPC Lattice에서 리소스 구성 생성
리소스 구성을 생성합니다.
------
#### [ AWS Management Console ]
**콘솔을 사용하여 리소스 구성 생성하기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **PrivateLink 및 Lattice**에서 **리소스 구성을** 선택합니다.
1. **리소스 구성 생성**을 선택합니다.
1. AWS 계정 내에서 고유한 이름을 입력합니다. 리소스 구성이 생성된 후에는 이 이름을 변경할 수 없습니다.
1. **구성 유형**에서 단일 또는 하위 리소스용 **리소스** 또는 하위 리소스 그룹용 **리소스 그룹**을 선택합니다.
1. 이전에 생성한 리소스 게이트웨이를 선택하거나 새로 생성합니다.
1. (선택 사항) 사용자 지정 도메인 이름을 입력하려면 다음 중 하나를 수행합니다.
+ 단일 유형의 리소스 구성이 있는 경우 사용자 지정 도메인 이름을 입력할 수 있습니다. 리소스 소비자는이 도메인 이름을 사용하여 리소스 구성에 액세스할 수 있습니다.
+ 유형 그룹 및 하위의 리소스 구성이 있는 경우 먼저 그룹 리소스 구성에서 그룹 도메인을 지정해야 합니다. 다음으로 하위 리소스 구성에는 그룹 도메인의 하위 도메인인 사용자 지정 도메인이 있을 수 있습니다.
1. (선택 사항) 확인 ID를 입력합니다.
도메인 이름을 확인하려는 경우 확인 ID를 제공합니다. 이를 통해 리소스 소비자는 사용자가 도메인 이름을 소유하고 있음을 알 수 있습니다.
1. 이 리소스 구성으로 나타낼 리소스의 식별자를 선택합니다.
1. 리소스를 공유할 포트 범위를 선택합니다.
1. **연결 설정**에서 이 리소스 구성을 공유 가능한 서비스 네트워크와 연결할 수 있는지 여부를 지정합니다.
1. **리소스 구성 공유**에서 이 리소스에 액세스할 수 있는 보안 주체를 식별하는 리소스 공유를 선택합니다.
1. (선택 사항) **모니터링**에서 **리소스 액세스 로그**와 전송 대상을 활성화하여 리소스 구성을 오가는 요청과 응답을 모니터링할 수 있습니다.
1. (선택 사항) 태그를 추가하려면 **새 태그 추가**를 선택하고 태그 키와 태그 값을 입력합니다.
1. **리소스 구성 생성**을 선택합니다.
------
#### [ AWS CLI ]
다음 [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html) 명령은 단일 리소스 구성을 생성하고 이를 사용자 지정 도메인 이름과 연결합니다`example.com`.
```
aws vpc-lattice create-resource-configuration \
--name my-resource-config \
--type SINGLE \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--resource-configuration-definition 'ipResource={ipAddress=10.0.14.85}' \
--custom-domain-name example.com \
--verification-id dv-aaaa0000000111111
```
다음 [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html) 명령은 그룹 리소스 구성을 생성하고 이를 사용자 지정 도메인 이름과 연결합니다`example.com`.
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-group \
--type GROUP \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--domain-verification-identifier dv-aaaa0000000111111
```
다음 [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html) 명령은 하위 리소스 구성을 생성하고 이를 사용자 지정 도메인 이름과 연결합니다`child.example.com`.
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-child \
--type CHILD \
--resource-configuration-definition 'dnsResource={domainName=my-alb-123456789.us-west-2.elb.amazonaws.com,ipAddressType=IPV4}' \
--resource-configuration-group-identifier rcfg-07129f3acded87626 \
--custom-domain-name child.example.com
```
------
# VPC Lattice 리소스 구성을 위한 연결 관리
리소스 구성을 공유하는 소비자 계정 및 계정의 클라이언트는 리소스 유형의 VPC 엔드포인트를 직접 사용하거나 서비스-네트워크 유형의 VPC 엔드포인트를 통해 리소스 구성에 액세스할 수 있습니다. 따라서 리소스 구성에는 엔드포인트 연결과 서비스 네트워크 연결이 있습니다.
## 서비스 네트워크 리소스 연결 관리
서비스 네트워크 연결을 생성하거나 삭제할 수 있습니다.
**참고**
서비스 네트워크와 리소스 구성 간의 연결을 생성하는 동안 액세스 거부 메시지가 표시되면 AWS RAM 정책 버전을 확인하고 버전 2인지 확인합니다. 자세한 내용은 [AWS RAM 사용 설명서를](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 참조하세요.
**콘솔을 사용하여 서비스-네트워크 연결 관리하기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **PrivateLink 및 Lattice**에서 **리소스 구성을** 선택합니다.
1. 리소스 구성의 이름을 선택하여 세부 정보 페이지를 엽니다.
1. **서비스 네트워크 연결** 탭을 선택합니다.
1. **연결 생성**을 선택합니다.
1. **VPC Lattice 서비스 네트워크**에서 서비스 네트워크를 선택합니다. 서비스 네트워크를 생성하려면 **VPC Lattice 네트워크 생성**을 선택합니다.
1. (선택 사항) 태그를 추가하려면 **서비스 연결 태그**를 확장하고 **새 태그 추가**를 선택하여 태그 키와 태그 값을 입력합니다.
1. (선택 사항)이 서비스 네트워크 리소스 연결에 프라이빗 DNS 이름을 활성화하려면 **프라이빗 DNS 이름 활성화**를 선택합니다. 자세한 내용은 [서비스 네트워크 소유자의 사용자 지정 도메인 이름](resource-configuration.md#resource-configuration-custom-domain-name-service-network-owners) 단원을 참조하십시오.
1. **변경 사항 저장**을 선택합니다.
1. 연결을 삭제하려면 연결의 확인란을 선택한 다음 **작업**, **삭제**를 선택합니다. 확인 메시지가 나타나면 **confirm**을 입력한 다음 **삭제**를 선택합니다.
**를 사용하여 서비스 네트워크 연결을 생성하려면 AWS CLI**
[create-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-resource-association.html) 명령을 사용합니다.
**를 사용하여 서비스 네트워크 연결을 삭제하려면 AWS CLI**
[delete-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-resource-association.html) 명령을 사용합니다.
## 리소스 VPC 엔드포인트 연결 관리
리소스 구성에 액세스할 수 있는 소비자 계정 또는 계정의 클라이언트는 리소스 VPC 엔드포인트를 사용하여 리소스 구성에 액세스할 수 있습니다. 리소스 구성에 사용자 지정 도메인 이름이 있는 경우 프라이빗 DNS 활성화를 사용하여 VPC Lattice가 리소스 엔드포인트 또는 서비스 네트워크 엔드포인트에 프라이빗 호스팅 영역을 프로비저닝하도록 허용할 수 있습니다. 이를 통해 클라이언트는 도메인 이름을 직접 컬링하여 리소스 구성에 액세스할 수 있습니다. 자세한 내용은 [리소스 소비자의 사용자 지정 도메인 이름](resource-configuration.md#custom-domain-name-resource-consumers) 단원을 참조하십시오.
------
#### [ AWS Management Console ]
1. 새 엔드포인트 연결을 생성하려면 왼쪽 탐색 창에서 **PrivateLink 및 Lattice**로 이동하여 **엔드포인트**를 선택합니다.
1. **엔드포인트 생성**을 선택합니다.
1. VPC에 연결할 리소스 구성을 선택합니다.
1. VPC, 서브넷 및 보안 그룹을 선택합니다.
1. (선택 사항) 프라이빗 DNS를 켜고 DNS 옵션을 구성하려면 **프라이빗 DNS 이름 활성화**를 선택합니다.
1. (선택 사항) VPC 엔드포인트에 태그를 지정하려면 **새 태그 추가**를 선택하고 태그 키와 태그 값을 입력합니다.
1. **엔드포인트 생성**을 선택합니다.
------
#### [ AWS CLI ]
다음 [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html) 명령은 프라이빗 DNS를 사용하는 VPC 엔드포인트를 생성합니다. 프라이빗 DNS 기본 설정은 로 설정`VERIFIED_AND_SELECTED`되고 선택한 도메인은 `example.com` 및 입니다`example.org`. VPC Lattice는 확인된 도메인 또는 `example.com`에 대해서만 프라이빗 호스팅 영역을 프로비저닝합니다`example.org`.
```
aws ec2 create-vpc-endpoint \
--vpc-endpoint-type Resource \
--vpc-id vpc-111122223333aabbc \
--subnet-ids subnet-0011aabbcc2233445 \
--resource-configuration-arn arn:aws:vpc-lattice:us-west-2:111122223333:resourceconfiguration/rcfg-07129f3acded87625 \
--private-dns-enabled \
--private-dns-preferences VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS \
--private-domains-set example.com, example.org
```
------
**를 사용하여 VPC 엔드포인트 연결을 생성하려면 AWS CLI**
[create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) 명령을 사용합니다.
**를 사용하여 VPC 엔드포인트 연결을 삭제하려면 AWS CLI**
[delete-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint.html) 명령을 사용합니다.