향상된 VPC 라우팅은 Amazon Redshift에서 어떻게 작동합니까?

4분 분량
0

Amazon Redshift에서 향상된 VPC 라우팅을 켜려고 합니다. 향상된 VPC 라우팅은 어떻게 작동하며 이를 사용할 때 중요하게 고려해야 할 몇 가지 사항은 무엇입니까?

간략한 설명

Amazon Redshift에서는 COPY, UNLOAD 및 Amazon Redshift Spectrum으로 생성된 네트워크 트래픽이 네트워크 인터페이스를 통해 흐릅니다. 이 네트워크 인터페이스는 Amazon Redshift 클러스터 내부에 있으며 Amazon Virtual Private Cloud(Amazon VPC) 외부에 있습니다. 기본적으로 네트워크 트래픽은 퍼블릭 인터넷을 통해 라우팅되어 대상에 도달합니다.

그러나 Amazon Redshift의 향상된 VPC 라우팅을 켜면 Amazon Redshift가 대신 VPC를 통해 네트워크 트래픽을 라우팅합니다. Amazon Redshift의 향상된 VPC 라우팅은 사용 가능한 라우팅 옵션을 통해 네트워크 트래픽에 대한 가장 구체적인 경로의 우선 순위를 지정합니다. VPC 엔드포인트는 첫 번째 라우팅 우선 순위로 우선 순위가 지정됩니다. VPC 엔드포인트를 사용할 수 없는 경우 Amazon Redshift는 인터넷 게이트웨이, NAT 인스턴스 또는 NAT 게이트웨이를 통해 네트워크 트래픽을 라우팅합니다.

Amazon Redshift의 향상된 VPC 라우팅을 켤지 여부를 결정하려면 다음 사용 사례를 고려하세요.

  • 퍼블릭 인터넷을 통과하는 대신 VPC 게이트웨이 엔드포인트를 통과하는 COPY 또는 UNLOAD의 Amazon S3 트래픽
  • VPC 또는 온프레미스 서버에서 원격 호스트의 SSH 트래픽(SSH 수집을 통해 COPY 명령 실행)
  • VPC 인터페이스 엔드포인트를 통과하는 Redshift Spectrum의 AWS Glue, Amazon Athena 또는 Apache Hive Metastore 트래픽
  • 피어링된 VPC에 있는 프라이빗 Amazon Relational Database Service(Amazon RDS) 인스턴스의 연합 쿼리

Amazon Redshift의 향상된 VPC 라우팅이 클러스터 요구 사항을 지원하는지 여부를 확인하려면 다음 사항을 고려해야 합니다.

  • 네트워크 트래픽을 제어할 수 있습니다.
  • 네트워크 트래픽에 프라이빗 IP 주소를 사용하므로 보안이 강화됩니다.
  • Amazon Redshift가 다른 리소스에 액세스하는 방식에 영향을 줍니다. 따라서 보안 그룹, 네트워크 액세스 제어 목록(네트워크 ACL) 또는 라우팅 테이블을 구성할 때 때때로 향상된 VPC 라우팅이 추가 오버헤드를 생성할 수 있습니다.
    참고: 잘못 구성된 경우 향상된 VPC 라우팅으로 인해 COPY, UNLOAD 또는 Redshift Spectrum 작업이 실패할 수 있습니다.
  • 클러스터 성능이 향상되지 않습니다.

​해결 방법

Amazon Redshift의 라우팅 방법 우선 순위 지정

중요: 향상된 VPC 라우팅이 켜져 있는 경우 VPC를 통한 트래픽 흐름을 자동으로 켜지 않습니다. VPC 엔드포인트를 만들어 서브넷의 라우팅 테이블에 지정해야 합니다.

네트워크 경로가 여러 개인 경우 Amazon Redshift는 사용 가능한 가장 구체적인 라우팅을 통해 트래픽을 라우팅합니다.

예 1: Amazon Simple Storage Service(Amazon S3) 게이트웨이 엔드포인트

다음 예에서 Amazon Redshift는 Amazon S3 게이트웨이 엔드포인트(“vpce-xxxxx”)를 통해 네트워크 트래픽을 라우팅합니다.

Destination  |  Target
-------------------------
10.0.0.0/16  |  local
0.0.0.0/0    |  igw-xxxxx
pl-6fa54006  |  vpce-xxxxx

참고: VPC의 각 서브넷은 라우팅 테이블과 연결되어 있어야 합니다.

예 2: 인터넷, NAT 게이트웨이 또는 NAT 인스턴스

다음은 Amazon S3 트래픽이 인터넷 게이트웨이("igw-xxxxx")를 통해 라우팅되는 서브넷 라우팅 테이블의 예입니다.

Destination  |  Target
-------------------------
10.0.0.0/16  |  local
0.0.0.0/0    |  igw-xxxxx

예 3: 대상에 대해 사용 가능한 라우팅 없음

사용 가능한 라우팅 방법이 없고 라우팅 테이블이 S3에 도달할 수 없는 경우 COPY 및 UNLOAD에 대한 네트워크 트래픽이 다음과 같이 시간 초과됩니다.

Destination   |  Target
------------------------------
10.0.0.0/16   |  local

여러 번 다시 시도한 후 S3에 연결할 수 없는 라우팅 방법으로 인해 다음과 같은 오류 메시지가 나타납니다.

"ERROR:  S3CurlException: Connection timed out after 50001 milliseconds, CurlError 28, multiCurlError 0, CanRetry 1, UserError 0"

향상된 VPC 라우팅이 켜져 있는지 여부 확인

다음 방법 중 하나를 사용하여 Amazon Redshift 에서 향상된 VPC 라우팅이 켜져 있는지 여부를 확인할 수 있습니다.

  • Amazon Redshift 콘솔: Amazon Redshift 콘솔을 사용하여 향상된 VPC 라우팅이 켜져 있는지 여부를 확인할 수 있습니다. 자세한 내용은 향상된 VPC 라우팅 켜기를 참조하세요.
  • AWS Command Line Interface(AWS CLI): describe-clusters 및 grep 명령을 사용하여 향상된 VPC 라우팅이 "true"로 설정되어 있는지 확인합니다.
  • VPC 흐름 로그: 흐름 로그를 사용하면 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 캡처할 수 있습니다.

다음은 향상된 VPC 라우팅 설정을 확인하는 데 사용되는 AWS CLI 명령 구문의 예입니다.

$ aws redshift describe-clusters --cluster-id <cluster-id> | grep EnhancedVpcRouting 

|| EnhancedVpcRouting | True

다음은 프라이빗 Amazon Redshift IP 주소와 S3 버킷 간의 COPY 네트워크 트래픽을 보여주는 VPC 흐름 로그의 예입니다.

Account_ID    ENI    Source_IP    Destination_IP    Source_Port    Destination_Port    Protocol   Packets    Bytes    Start_Time    End_Time
......
2 540754XXXXXX eni-01783841dad81XXXX 52.216.29.118 172.31.13.236 443 37516 6 279740 390798072 1589668161 1589668221 ACCEPT OK
2 540754XXXXXX eni-01783841dad81XXXX 172.31.13.236 52.216.29.118 37516 443 6 9206 368276 1589668161 1589668221 ACCEPT OK
......

추가 고려 사항

  • Amazon S3 VPC 엔드포인트를 사용하는 경우 S3 버킷은 Amazon Redshift 클러스터와 동일한 리전에 있어야 합니다.
  • VPC에 DNS 지원이 켜져 있어야 합니다. 사용자 지정 DNS를 사용하는 경우 Amazon S3 및 AWS Glue 서비스 엔드포인트가 해결할 수 있는지 확인하세요.
  • 트래픽이 VPC를 통해 Redshift Spectrum부터 AWS Glue까지 비공개로 전송되도록 AWS Glue 인터페이스 엔드포인트를 구성해야 합니다. 그렇지 않으면 NAT 게이트웨이 또는 인터넷 게이트웨이가 필요합니다.

AWS 공식
AWS 공식업데이트됨 2년 전
댓글 없음