외부 서비스를 이용하는 입장에서 서비스 업체는 방화벽을 통해서 서비스 포트를…

외부 서비스를 이용하는 입장에서 서비스 업체는 방화벽을 통해서 서비스 포트를 특정 아이피만 허용하고 있는 상태입니다.

방화벽이다보니 도메인으로는 허용이 의미가 없고,
현재 생성되어 있는 EC2는 IP 추가가 되어있지만 ELB와 오토스케일링 정책으로 인해 변경/추가 되는 EC2의 경우는 어찌 처리 할지 고민입니다.

이 경우 매번 수동으로 추가 해주어야 하는 것인지..
이러한 경우를 해결 해보신 적 있는지 궁금합니다.

제가 생각 해본 것은 “EIP를 몇 개 선할당 해놓고 해당 IP를 방화벽에 허용 => AG 정책에 EIP 자동 추가” 정도입니다.

7 thoughts on “외부 서비스를 이용하는 입장에서 서비스 업체는 방화벽을 통해서 서비스 포트를…

  1. 외부 서비스와 통신하는 인스턴스를 분리하거나해서 EIP를 할당해야하는 인스턴스를 일정 갯수로 일정하게 유지시킬 수 있다면… 당장은 쉬운 방법이겠지만… 오토스케일을 사용하셔야 한다면 말씀하신 방법대로 하시면 될 것 같습니다. AutoScalingGroup의 LifeCycleHook 기능을 이용하시면 스케일아웃/스케일인 될때 이벤트를 통지받아 EIP를 자동으로 연결시키는 등의 처리를 할 수 있을 듯 합니다.
    http://docs.aws.amazon.com/ko_kr/AutoScaling/latest/DeveloperGuide/introducing-lifecycle-hooks.html

  2. 말씀하신걸 정확히 이해했는지 모르겠지만 SE 관점에서는 VPN 터널링 솔루션이 필요하여 보입니다. AWS Direct Connect 가 관련있어보이고 저렴하게 하려면 openVPN 라이선스 구매후 터널링으로 연결해서 라우팅을 통해 사설 IP 를 서로 바라보게 해야할 것 같습니다.

  3. 글을 다시 읽어보니 외부 서비스 업체의 인프라를 바꾸지 못하면 AWS NAT서버를 구축해서 해당 서비스만 NAT 서버를 통해서 한개의 IP로 내보내도 되겠다는 생각이 드네요.

  4. 그리고 요새 방화벽은 FQDN(도메인) 처리 대부분 가능합니다. 예전 방화벽들이 이름풀이 부하때문에 막아놨던거구요. 한번만 더 확인해 보세요.

  5. 이종엽 NAT를 이용한 방법도 있겠군요. 이건 좀 고민을 해봐야 하는 문제인거 같네요 시스템 사이즈가 그리 크지 않다보니 NAT를 별도로 두는 것도 고민을 해봤었는데 그렇게 되면 NAT가 장애 발생시의 문제도 고려해야 하는 딜레마에 빠지고 있습니다. 해당 업체의 방화벽의 경우는 도메인 처리가 되지 않는다고 하네요 도움 말씀 감사드립니다!

  6. API를 위해서 외부서비스로 접속하는 케이스(outbound)는 NAT를 HA해서 쓰시면 될것이구요.. (보통 이런 케이스입니다만…)
    http://aws.amazon.com/articles/2781451301784570

    외부에서 내부로 접속하는 케이스(inbound) 이고 방화벽이 도메인 지원을 안하면.. ELB 앞쪽에 ELB를 묶어 주는 EC2기반 로드밸런서를 하나 더 두셔야 합니다.역시 HA도 고려해야 겠고.. 대역폭에 따른 타입 선정도 필요하겠죠..
    http://midgetontoes.com/blog/2015/01/21/use-synapse-to-workaround-aws-elb-static-ip-limitations

    좀 손이 더 가셔도 된다면 그냥 ELB 빼고 HAProxy등으로 HA구성 로드밸런서를 구성하시고 Autoscale 연동하시는 방법을 찾아보시면 됩니다. (젤 무난하고 자료도 잘 검색됩니다)

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.