EC2 : AutoScaling을 사용하여 여러 지역의 보안 그룹 방화벽 규칙

Question

지리적 중복성 및 성능상의 이유 때문에 Amazon의 자동 크기 조정을 사용하여 필요에 따라 확장 및 축소되는 여러 지역에 여러 개의 EC2 서버를 설치하려고합니다. 그러나 우리는 모든 지역의 모든 서버가 서로 통신 할 수 있어야한다는 점에서 다소 독특한 요구 사항이 있습니다. 방화벽을 단일 영역에서 허용하도록 방화벽을 설정하는 것은 매우 쉬운 일이지만 다른 영역의 방화벽에서 참조하는 보안 그룹은 지원되지 않으므로 영역에서이를 달성하는 방법은 분명하지 않습니다.

모든 서버가 특정 포트에서 서로 액세스 할 수있는 최선의 방법을 아는 사람이 있습니까? 아마존의 AutoScaling에 의해 서버가 추가되고 제거 될 것이므로 IP 주소를 수동으로 입력하는 것은 구식이 될 것입니다. AutoScaling을 사용하여 서버를 추가하거나 제거 할 때마다 API 호출을 수행하는 대신 구성을 통해이를 달성 할 수있는 방법이 필요합니다.

Answer 1

나는 이것이 가능하다고 생각하지 않습니다. 이름 대신 보안 그룹 ID를 사용할 수는 있지만 그 작업이 영역을 교차하는지 확신 할 수 없습니다. 방금 해보니 제대로 작동하지 않았습니다. 규칙은 잘 작성되었지만 사실 계정에 보안 그룹을 추가 할 수 있기 때문에 보안 그룹을 실제로 내 계정에서 추가했다고 보장 할 수는 없습니다. VPN을 사용하면 방화벽 규칙을 훨씬 더 많이 제어 할 수 있기 때문에 VPN 연결이 가능할 가능성이 높습니다. 그러나 결코 시도한 적이 없습니다.

모든 것이 언급되고 있습니다. 귀하의 신청서 요건을 다시 검토해야한다고 생각합니다. 왜 두 지역을 연결해야하는지 모르겠다. 나는 당신의 목표가 지리적 중복성을 달성하고 있음을 이해한다. 그러나 내결함성을 고려할 때 두 환경이 서로 연결되도록 요구하면 내게 빨간색 플래그가 표시됩니다. 환경이 어떤 식 으로든 연결되어 있다면 한 환경에서 오류가 발생하더라도 완전한 실패의 위험을 감수해야합니다. 지연 또는 내결함성 이외의 다른 목적으로 두 지역의 인스턴스를 시작하는 것은 무엇입니까? 내 요점은 서버가 보안 그룹에서 규칙을 필요로한다면 환경이 너무 연결되어 있고 두 개의 지리적 위치를 가지면 아무런 이점도 얻을 수 없다는 것입니다.

각 EC2 영역은 강력한 아키텍처 설계 결정을 촉진하기 위해 격리되어 있습니다. 그들은 또한 어떤 이슈를 단일 지역으로 격리시키고 자 노력해야합니다.