Cloud Technology Blog

1. VPC Reachability Analyzer 경로를 생성합니다.

2. 출발지 소스를 지정합니다.

3. 대상으로 지정합니다.

4. Amazon Simple Notification Service(Amazon SNS)

5. AWS Lambda 함수를 생성하여 Reachability Analyzer를 시작하고 분석이 실패할 경우 SNS 주제에 메시지를 게시합니다.

6. Lambda 함수를 호출하는 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성합니다.

-> EventBridge 를 Cron 으로 설정하여 주기적으로 Lambda 를 실행하게 설정

[참고 코드]

import boto3

def lambda_handler(event, context):
    aws_region = 'your_aws_region'

    instance_id = 'your_instance_id'
    service_id = 'your_service_id'

    sns_topic_arn = 'your_sns_topic_arn'

    client = boto3.client('networkmanager', region_name=aws_region)

    try:
        # Reachability Analyzer 실행
        response = client.create_connectivity_test(
            GlobalNetworkId=service_id,
            TestDescription='Reachability Analyzer Test',
            ResourceType='EC2_INSTANCE',
            Source={
                'Ec2InstanceId': instance_id
            }
        )

        # Reachability Analyzer 실행 결과 반환
        test_id = response['ConnectivityTest']['ConnectivityTestId']
        return {
            'statusCode': 200,
            'body': f'Reachability Analyzer test started. Test ID: {test_id}'
        }
    except Exception as e:
        # Reachability Analyzer 실행 실패 시 SNS 알림 발생
        sns_client = boto3.client('sns', region_name=aws_region)
        sns_client.publish(
            TopicArn=sns_topic_arn,
            Message=f'Reachability Analyzer test failed: {str(e)}'
        )
        return {
            'statusCode': 500,
            'body': f'Reachability Analyzer test failed. Error: {str(e)}'
        }

Amazon Route 53 Resolver는 퍼블릭 레코드,Amazon VPC별 DNS 이름, Amazon Route 53 프라이빗 호스팅 영역에 관한 AWS 리소스의 DNS 쿼리에 재귀적으로 응답하며 모든 VPC에서 기본적으로 사용할 수 있습니다.

VPC와 온프레미스 리소스를 모두 활용하는 워크로드가 있는 경우 온프레미스에서 호스팅되는 DNS 레코드도 확인해야 합니다. 마찬가지로 이러한 온프레미스 리소스는 AWS에서 호스팅되는 이름을 확인해야 할 수 있습니다. Resolver 엔드포인트 및 조건부 전달 규칙을 통해 온프레미스 리소스와 VPC 간의 DNS 쿼리를 확인하여 VPN 또는 Direct Connect(DX)를 통해 하이브리드 클라우드 설정을 생성할 수 있습니다. 구체적으로 설명하면 다음과 같습니다.

https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/resolver.html

TGW 어플라이언스 모드를 사용하면 트래픽이 소스 또는 대상이 아닌 다른 AZ에서 트래픽 검사를 수행할 수 있습니다.

AWS Transit Gateway Appliance 모드를 사용하면 흐름의 방향과 시작된 가용 영역에 관계없이 동일한 AZ에서 네트워크 흐름을 전달해야 하는 연결을 지정할 수 있습니다. AWS Transit Gateway 어플라이언스 모드는 네트워크 흐름 이 동일한 AZ 및 네트워크 어플라이언스로 대칭적으로 라우팅되도록 합니다. 

TGW 어플라이언스 모드 활성화 인경우 트래픽

Transit Gateway는 흐름 해시 알고리즘을 사용하여 어플라이언스 VPC에서 단일 네트워크 인터페이스를 선택하여 흐름 수명 동안 트래픽을 전송합니다. Transit Gateway는 반환 트래픽에 대해 동일한 네트워크 인터페이스를 사용합니다. 이렇게 하면 양방향 트래픽이 대칭적으로 라우팅됩니다. 즉, 트래픽 흐름은 수명이 다할 때까지 VPC 연결의 동일한 가용 영역을 통해 라우팅됩니다. 아키텍처에 여러 Transit Gateway가 있는 경우 각 Transit Gateway는 자체 세션 선호도를 유지하며 각 Transit Gateway는 다른 네트워크 인터페이스를 선택할 수 있습니다.

VPC 연결이 여러 가용 영역에 걸쳐 있고 상태 저장 검사를 위해 소스 및 대상 호스트 간의 트래픽을 동일한 어플라이언스를 통해 라우팅해야하는 경우, 어플라이언스가 있는 VPC 연결에 대한 어플라이언스 모드 지원을 활성화합니다.

TGW 어플라이언스 모드 비활성화 인경우 트래픽

Transit Gateway는 대상에 도달할 때까지 트래픽이 원래 가용 영역의 VPC 연결 간에 라우팅을 유지하려고 합니다. 트래픽은 가용 영역 장애가 있거나 가용 영역에 VPC 연결과 연결된 서브넷이 없는 경우에만 연결 사이의 가용 영역을 지납니다.

다음 다이어그램은 어플라이언스 모드 지원이 활성화되지 않은 경우의 트래픽 흐름을 보여 줍니다. VPC B의 가용 영역 2에서 시작된 응답 트래픽은 Transit Gateway에 의해 VPC C의 동일한 가용 영역으로 라우팅됩니다. 따라서 가용 영역 2의 어플라이언스가 VPC A에 있는 소스의 원래 요청을 인식하지 못하기 때문에 트래픽이 삭제됩니다.

요약하자면, 어플라이언스 모드를 사용하면 VPC간 트래픽을 검사하며, VPC 연결의 동일한 가용 영역을 통해 라우팅됩니다

https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/transit-gateway-appliance-scenario.html

S3 정책설정으로 특정 VPC 엔드포인트, 특정 IP 등으로 제어 할 수있다

1. 특정 VPC 엔드포인트에 대해서만 S3 버킷 접근 허용

• 기본적으로 Deny 정책을 지니며, Condition 에 해당하는 SourceVpce 에 대해서만 허용하는 규칙

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

2. 특정 IP에 대해서만 S3 버킷 접근 허용

• 기본적으로 Deny 정책을 지니며, Condition에 해당하는 SourceIP에 대해서만 허용하는 규칙
• 주의 : SourceIP는 공인 IP만 지정할 수 있음
• 참고 : 사설IP에 대한 IP 지정은 aws:VpcSourceIp 조건으로 사용 가능

{
    "Version": "2012-10-17",
    "Id": "S3PolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "192.0.2.0/24"
                }
            }
        }
    ]
}

3. 특정 VPC 에서만 S3 버킷 접근 허용

• 기본적으로 Deny 정책을 지니며, Condition에 해당하는 SourveVpc에 대해서만 허용하는 규칙

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpc": "vpc-111bbb22"
         }
       }
     }
   ]
}

https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/add-bucket-policy.html

https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/amazon-s3-condition-keys.html

요약 : 여러 VPC 환경에 동일한 서비스를 배포하고 싶을때, Service Catalog 에 관련 템플릿을 생성 후, OU 단에서 공유하여 배포할 수 있습니다.

AWS Service Catalog를 사용하면 배포된 IT 서비스, 애플리케이션, 리소스 및 메타데이터를 중앙에서 관리하여 코드형 인프라(IaC) 템플릿에 일관된 거버넌스를 적용할 수 있습니다. AWS Service Catalog를 사용하면 규정 준수 요구 사항을 충족하는 동시에 승인된 IT 서비스를 고객에게 제공하여 필요한 서비스를 빠르게 배포하도록 지원할 수 있습니다.

AWS Service Catalog는 개발자가 모든 환경에서 인프라 구성 요소를 빠르고 안전하며 쉽게 배포할 수 있도록 지원합니다. 다음 다이어그램은 이 워크플로를 보여줍니다. 여기에서 AWS Service Catalog는 프로덕션 및 비프로덕션 인프라 구성 요소를 모두 애플리케이션 개발/QA/프로덕션 계정에 공유하는 데 사용됩니다.

https://aws.amazon.com/ko/blogs/mt/standardizing-infrastructure-delivery-in-distributed-environments-using-aws-service-catalog/