Today Keys : ALB, IPAM, IPv4, Pool, BYOIP, 고정 IP, VPC, Application Load Balancer
이번 포스팅은 25년 3월 7일에 신규로 발표된 Application Load Balancer(이하 ALB)와 Amazon VPC IP Address Manager (이하 IPAM)간의 통합 기능에 대한 내용입니다.
Amazon에서 제공하는 IPv4 주소 블록 혹은 고객이 갖고 있는 BYOIP(Bring Your Own IP)로 Public IPAM 풀을 ALB에 사용함으로써, ALB가 고정된 IP 주소를 사용하는 효과를 얻을 수 있을 뿐 아니라, BYOIP를 사용하여 Public IPv4 비용을 절감할 수 있습니다.
ALB에서 고정 IP를 사용할 수 없는 문제
기존에는 ALB는 서비스 요청을 처리하는 ALB 노드들이 동적으로 Scale-Out/In이 되면서 ALB 서비스 도메인에 대한 IP주소가 동적으로 변경되었습니다. 이 경우에 IP 주소로 보안 정책을 관리할 때 IP 주소의 변화로 정책을 적용하기 어려운 문제가 있습니다.
ALB에서 고정된 IP 주소를 사용할 수 없기 때문에 이러한 문제를 해결하기 위해서 Network Load Balancer(NLB)를 ALB 앞단에 두고 Targer을 ALB로 설정하여 NLB의 고정 IP 주소로 접근하는 등의 방법으로 ALB의 고정 IP 적용 불가 이슈를 대응했습니다.
ALB와 IPAM 간의 통합
ALB가 IPAM과의 통합을 통해 Application Load Balancer 노드에 Public IPv4 주소 풀(pool)을 제공 할 수 있게 되었습니다.
Amazon에서 제공하는 IPv4 주소 블록 혹은 고객이 갖고 있는 BYOIP(Bring Your Own IP)로 Public IPAM 풀을 ALB에 사용함으로써, ALB가 고정된 IP 주소를 사용하는 효과를 얻을 수 있습니다.
또한, BYOIP 사용을 통해 Pubilc IPv4 비용을 절감 할 수 있습니다.
사용자가 관리하는 IPAM의 Public IPv4 주소 풀을 이용해서 ALB를 사용함으로써 ALB에 대한 IP 주소 형태의 보안 정책을 손쉽게 관리할 수 있게 된 것입니다.
ALB와 IPAM 간의 통합 시의 고려 사항
IPAM IP 주소풀은 공개 IPv4를 사용하는 Public ALB에서 사용 됩니다.
ALB와 통합된 IPAM IP 주소풀에 할당 가능한 IP 주소가 부족한 상태에서 추가되는 ALB는 AWS 관리IP주소로 할당됩니다.
ALB에서 사용 중인 IPAM IP 주소풀의 IP주소는 삭제 할 수 없습니다. 다른 IPAM IP주소 풀로 전환 시에는 기존 연결(Connection)은 Load Balancer HTTP Client keepalive 지속 시간에 따라서 종료됩니다.
ALB와 IPAM 간의 통합 시의 비용
ALB에서 IPAM IP 주소 풀을 사용하는 데, 추가적인 비용은 없지만, 선택한 IPAM 계층(에 따른 비용이 발생 할 수 있습니다.
| IPAM 계층 |
| IPAM은 Free Tier와 Advanced Tier가 있으며, Advnaced Tier의 경우 IPAM에서 관리되는 활성 IP 주소에 대해 시간당 $0.00027의 요금이 발생됩니다. Advanced Tier의 경우 Free Tier에서 제공되는 기능에 추가적으로 Private IPv4 주소 관리, AWS 계정 간 IPAM 풀 고유, IP 기록 감사 기능을 제공합니다. |
ALB와 IPAM 간의 통합 방법 및 확인
ALB와 IPAM 통합 전에, 미리 IPAM의 Public Pool을 생성합니다.
ALB 생성 시에, 네트워크 매핑에서 IP-pools에 'Use IPAM pool for public IPv4 addresses'를 체크합니다.
그리고, Public IPv4 IPAM pool에서 앞서 만들어 둔 IPAM Pool을 연결합니다.
나머지 ALB 설정은 기존 ALB 설정과 동일합니다.
이제 ALB를 생성하고 나면, 다음과 같이 IPAM Pool의 프로비저닝된 IP 풀에서 IP가 할당된 것을 볼 수 있습니다.
ALB의 DNS 네임으로 Query를 해보면 다음과 같이 IPAM에 할당된 CIDR 중, 프로비저닝된 IP 주소가 응답하는 것을 볼 수 있습니다 .
