[AWS] Amazon VPC IPAM과 Infoblox Universal IPAM 연동 자동 IP 할당 구성 가이드

AWS는 최근 Amazon VPC IP Address Manager(IPAM)이 온프레미스 Infoblox Universal IPAM과 자동 IP 할당 연동을 지원하도록 기능을 확장했습니다. 이를 통해 하이브리드 네트워크 환경에서 발생하는 수동 IP 할당 작업을 대폭 줄이고, 온-프레미스와 AWS 간 중복 없는(Non-overlapping) IP 주소 공간 관리를 자동화할 수 있게 되었습 니다. 이는 특히 엔터프라이즈 네트워크 팀이 기존 Infoblox IPAM 흐름을 크게 변경하지 않고 AWS와 통합 IPAM을 운영하고자 할 때 유용합니다.

 

사전 준비

VPC IPAM 기능 확인

먼저 AWS 계정에서 VPC IPAM이 활성화되어 있어야 합니다. IPAM은 IP 주소 풀 생성, CIDR 할당/추적 등 네트워크 주소 공간을 중앙에서 관리하는 서비스입니다. 기본적으로 IPAM은 VPC, Subnet 등 기존 AWS 리소스의 IP 할당을 중앙 집중적으로 관리하고 모니터링할 수 있게 설계되어 있습니다.

IAM 역할 설정

Infoblox가 AWS IPAM 리소스를 조회/작업할 수 있도록 IAM 역할을 준비합니다. 역할에는 다음 권한이 필요합니다.

ec2:DescribeIpamPools  
ec2:DescribeIpams  
ec2:DescribeIpamScopes  
ec2:GetIpamPoolAllocations  
ec2:GetIpamPoolCidrs  
ec2:GetIpamResourceCidrs

 

이 역할은 Infoblox 측에서 Assume Role 하도록 구성해야 하며, 이를 위해 해당 IAM 역할의 신뢰 관계(Trust Relationship)에 Infoblox 계정 정보가 포함되어야 합니다.

IPAM Scope 생성 및 Infoblox 연동 설정

IPAM Scope 생성

1. AWS 콘솔에서 VPC → IPAM → Scopes 메뉴로 이동합니다.
2. Create scope를 선택합니다.
3. 이름, 설명 등 메타데이터를 입력합니다.
4. Scope authority에서 Infoblox IPAM을 선택합니다.
5. Infoblox 리소스 식별자(식별자 형식: <version>.identity.account.<entity_realm>.<entity_id>)를 입력합니다.
6. 생성합니다.

이 단계에서 Scope는 Infoblox를 외부 권한으로 지정해 AWS IPAM이 CIDR 블록을 요청할 대상이 되도록 설정합니다.

참고: 이 연동은 프라이빗 Scope에서만 가능하며, Public Scope에서는 지원되지 않습니다.

기존 Scope 수정

이미 Scope가 존재하는 경우에는 해당 Scope의 설정을 Scope authority를 Infoblox IPAM으로 변경하면 됩니다. 이 과정은 UI 또는 AWS CLI로 수행할 수 있으며, 변경 시 Scope와 연결된 풀(Pool)의 CIDR 할당 기준이 Infoblox 쪽으로 전환됩 니다.

IP 풀(Pool) 생성 및 Infoblox CIDR 할당

Top-Level Pool 생성

1. Scope 생성/수정이 완료되면 해당 Scope 내에서 Top-Level Pool을 만듭니다.
2. Pool은 CIDR이 아직 할당되지 않은 상태로 생성합니다.
3. 이 Pool은 Infoblox로부터 CIDR을 자동으로 수신할 엔트리 포인트가 됩니다.

Infoblox와 동기화

IPAM이 Infoblox와 통신하여 비중첩(Non-overlapping) IP CIDR 블록을 요청하고 할당받습니다. 요청 방식은 다음과 두 가지가 가능합니다.

• Infoblox 쪽에서 허용된 범위 중 자동으로 선택된 CIDR 블록을 요청.
• Infoblox 쪽에서 특정 CIDR을 기반으로 정해진 범위를 선택하도록 요청.

할당 요청이 정상 처리되면 AWS IPAM이 이를 Pool에 자동으로 프로비저닝합니다.

추가 Pool 및 리전별 분리

할당된 Top-Level Pool CIDR을 기반으로 IPAM에서 리전별 하위 Pool을 다시 생성할 수 있습니다. 하위 Pool은 VPC CIDR 할당, Subnet CIDR 정의 등에 이용되며, 조직 및 네트워크 구조에 맞춰 유연하게 분리할 수 있습니다.

이 구조는 특히 대규모 하이브리드 네트워크에서 IP를 일관성 있게 관리하면서도 리전 또는 팀 단위로 구분해 운영할 때 유리합니다.

고려 사항

자동화의 이점

이 연동을 적용하면 더 이상 티켓 기반, 이메일 기반의 수동 IP 요청/할당 절차가 불필요해집니다. 이는 운영 효율성과 안정성을 모두 개선하며 IP 충돌로 인한 서비스 장애 위험을 줄입니다.

팀 간 협업

Infoblox는 기존 NetOps 팀이 사용하는 도구로 계속 활용하면서도 CloudOps 팀이 AWS 콘솔 및 CLI 기반으로 IPAM을 조작할 수 있도록 확장됩니다. 이렇게 함으로써 중앙 통제와 유연한 클라우드 작업이 공존할 수 있습 니다.

제한 사항

• 이 연동은 프라이빗 범위(Pool)에만 적용되며, 공개 IP CIDR 등 퍼블릭 할당에는 활용할 수 없습니다.
• Infoblox 측에서 AWS IAM 역할을 Assume 하는 구조이므로 정확한 권한 설정이 필수입니다.

마무리

위 절차대로 구성하면 AWS IPAM과 Infoblox Universal IPAM 간의 IP 자동 할당 및 비중첩 CIDR 관리를 실무 환경에서도 문제 없이 운영할 수 있습니다.

이 구조는 대규모 하이브리드 네트워크에 특히 적합하며, 중앙 집중식 IPAM 솔루션을 유지하면서 서비스 속도를 높이고, IP 충돌로 인한 장애 위험을 줄이는 데 큰 도움이 될 것으로 기대됩 니다.