메뉴
Amazon Virtual Private Cloud
사용 설명서

AWS VPN 연결 설정

다음 절차에 따라 VPN 연결을 수동으로 설정하십시오. VPC 생성 마법사를 통해 다음 중 여러 단계를 자동으로 처리할 수 있습니다. VPC 생성 마법사를 사용하여 가상 프라이빗 게이트웨이를 설정하는 방법에 대한 자세한 정보는 시나리오 3: 퍼블릭 및 프라이빗 서브넷이 있고 AWS 관리형 VPN 액세스를 제공하는 VPC 또는 시나리오 4: 프라이빗 서브넷만 있고 AWS 관리형 VPN 액세스를 제공하는 VPC 단원을 참조하십시오.

VPN 연결을 설정하려면 다음 단계를 완료해야 합니다.

이 절차에서는 하나 이상의 서브넷이 있는 VPC를 사용하는 것으로 간주합니다.

고객 게이트웨이 생성

고객 게이트웨이는 고객 게이트웨이 디바이스 또는 소프트웨어 애플리케이션에 대한 정보를 AWS에 제공합니다. 자세한 내용은 고객 게이트웨이 단원을 참조하십시오.

콘솔을 사용하여 고객 게이트웨이를 생성하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Customer Gateways]를 선택한 후 [Create Customer Gateway]를 선택합니다.

  3. 다음 정보를 입력한 다음 [Create Customer Gateway]를 선택합니다.

    • (선택 사항) [Name]에서 고객 게이트웨이 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

    • [Routing] 목록에서 라우팅 유형을 선택합니다.

    • [BGP ASN]의 동적 라우팅에서 BGP(Border Gateway Protocol) ASN(자율 시스템 번호) 입력합니다.

    • [IP Address]에 고객 게이트웨이 디바이스의 인터넷 라우팅 가능한 고정 IP 주소를 입력합니다. 고객 게이트웨이가 NAT-T를 지원하는 NAT 디바이스 뒤에 상주하는 경우 NAT 디바이스의 퍼블릭 IP 주소를 사용합니다.

명령줄 또는 API를 사용하여 고객 게이트웨이를 생성하는 방법

가상 프라이빗 게이트웨이 생성

가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 프라이빗 자율 시스템 번호(ASN)를 선택적으로 지정할 수 있습니다. ASN은 고객 게이트웨이에 지정된 BGP ASN과 달아야 합니다.

가상 프라이빗 게이트웨이를 생성한 후 VPC에 연결해야 합니다.

가상 프라이빗 게이트웨이를 생성하여 VPC에 연결하는 방법

  1. 탐색 창에서 [Virtual Private Gateways], [Create Virtual Private Gateway]를 차례로 선택합니다.

  2. (선택 사항) 가상 프라이빗 게이트웨이에 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

  3. ASN에서 기본 선택 항목을 그대로 두고 기본 Amazon ASN을 사용합니다. 그렇지 않으면, [Custom ASN]을 선택하고 값을 입력합니다. 16비트 ASN의 경우, 값은 64512~65534 범위여야 합니다. 32비트 ASN의 경우, 값은 4200000000~4294967294 범위여야 합니다.

  4. [Create Virtual Private Gateway]를 선택합니다.

  5. 생성된 가상 프라이빗 게이트웨이를 선택한 후 [Actions], [Attach to VPC]를 선택합니다.

  6. 목록에서 VPC를 선택하고 [Yes, Attach]를 선택합니다.

명령줄 또는 API를 사용하여 가상 프라이빗 게이트웨이를 만드는 방법

명령줄 또는 API를 사용하여 가상 프라이빗 게이트웨이를 VPC에 연결하는 방법

라우팅 테이블에서 경로 전파 활성화

VPC의 인스턴스가 고객 게이트웨이에 도달하도록 하려면 VPN 연결에 사용되는 경로를 포함하고 이 경로를 가상 프라이빗 게이트웨이로 연결하도록 라우팅 테이블을 구성해야 합니다. 라우팅 테이블의 경로 전파가 자동으로 해당 경로를 테이블로 전파하도록 할 수 있습니다.

정적 라우팅의 경우, VPN 구성에 지정하는 고정 IP 접두사는 VPN 연결 상태가 UP일 때 라우팅 테이블로 전파됩니다. 이와 마찬가지로 동적 라우팅의 경우, BGP를 통해 알려지고 고객 게이트웨이에서 받은 경로는 VPN 연결 상태가 UP일 때 라우팅 테이블에 전파됩니다.

참고

연결이 중단된 경우 라우팅 테이블의 모든 전파된 라우팅은 자동적으로 제거되지 않습니다. 예를 들어 장애 조치로의 트래픽과 정적 경로로의 트래픽을 원하는 경우 라우팅 전파를 비활성화하여 전파된 라우팅을 삭제해야 할 수 있습니다.

콘솔을 사용하여 라우팅 전파를 활성화하는 방법

  1. 탐색 창에서 [Route Tables]를 선택한 후 서브넷에 연결된 라우팅 테이블을 선택합니다. 기본적으로 VPC의 기본 라우팅 테이블입니다.

  2. 세부 정보 창의 [Route Propagation] 탭에서 [Edit]를 선택하고 이전 절차에서 생성된 가상 프라이빗 게이트웨이를 선택한 후 [Save]를 선택합니다.

참고

고정 라우팅의 경우 경로 전파를 활성화하지 않으면 VPN 연결에 사용되는 고정 경로를 수동으로 입력해야 합니다. 이 작업을 하려면 라우팅 테이블을 선택하고 [Routes], [Edit]를 차례로 선택합니다. [Destination]에서 VPN 연결에서 사용하는 정적 경로를 추가합니다. [Target]에서 가상 프라이빗 게이트웨이 ID를 선택하고 [Save]를 선택합니다.

콘솔을 사용하여 라우팅 전파를 비활성화하는 방법

  1. 탐색 창에서 [Route Tables]를 선택한 후 서브넷에 연결된 라우팅 테이블을 선택합니다.

  2. [Route Propagation], [Edit]를 선택합니다. 가상 프라이빗 게이트웨이의 [Propagate] 확인란을 지운 후 [Save]를 선택합니다.

명령줄 또는 API를 사용하여 라우팅 전파를 활성화하는 방법

명령줄 또는 API를 사용하여 정적 경로를 비활성화하는 방법

보안 그룹 업데이트

네트워크에서 VPC의 인스턴스에 액세스하려면 보안 그룹 규칙을 업데이트하여 인바운드 SSH, RDP, ICMP 액세스를 활성화해야 합니다.

보안 그룹에 규칙을 추가하여 인바운드 SSH, RDP 및 ICMP 액세스를 활성화하려면

  1. 탐색 창에서 [Security Groups]를 선택한 후 VPC의 기본 보안 그룹을 선택합니다.

  2. 세부 정보 창의 [Inbound] 탭에서 네트워크로부터 인바운드 SSH, RDP 및 ICMP 액세스를 허용하는 규칙을 추가한 후 [Save]를 선택합니다. 인바운드 규칙 추가에 대한 자세한 정보는 규칙 추가, 제거 및 업데이트 단원을 참조하십시오.

AWS CLI를 사용하는 보안 그룹 작업에 대한 자세한 정보는 VPC의 보안 그룹 단원을 참조하십시오.

VPN 연결 생성 및 고객 게이트웨이 구성

VPN 연결을 만든 후 구성 정보를 다운로드하고 이것을 사용하여 고객 게이트웨이 디바이스 또는 소프트웨어 애플리케이션을 구성합니다.

VPN 연결을 생성하고 고객 게이트웨이를 구성하려면

  1. 탐색 창에서 [VPN Connections], [Create VPN Connection]을 선택합니다.

  2. 다음 정보를 입력한 다음 [Create VPN Connection]을 선택합니다.

    • (선택 사항) [Name tag]에서 VPN 연결 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

    • 앞에서 생성한 가상 프라이빗 게이트웨이를 선택합니다.

    • 앞에서 생성한 고객 게이트웨이를 선택합니다.

    • VPN 라우터에서 BGP(Border Gateway Protocol)를 지원하는지 여부에 따라 라우팅 옵션 중 하나를 선택합니다.

      • VPN 라우터에서 BGP를 지원하면 [Dynamic (requires BGP)]를 선택합니다.

      • VPN 라우터에서 BGP를 지원하지 않으면 Static을 선택합니다. [Static IP Prefixes]에서 VPN 연결의 프라이빗 네트워크에 대한 IP 접두사를 각기 지정합니다.

    • [Tunnel Options]에서 선택 사항으로 각 터널별로 다음 정보를 지정할 수 있습니다.

      • 내부 터널 IP 주소에서 169.254.0.0/16 범위의 크기/30 CIDR 블록.

      • IKE 사전 공유 키(PSK)

      이러한 옵션에 대한 자세한 내용은 VPN 연결을 위한 VPN 터널 구성 단원을 참조하십시오.

    VPN 연결이 생성되는 데 몇 분 정도 걸릴 수 있습니다. 준비가 되면 연결을 선택한 후 [Download Configuration]을 선택합니다.

  3. [Download Configuration] 대화 상자에서 고객 게이트웨이 디바이스나 소프트웨어에 해당하는 공급업체, 플랫폼 및 소프트웨어를 선택한 후 [Yes, Download]를 선택합니다.

  4. Amazon VPC 네트워크 관리자 안내서 문서와 함께 구성 파일을 네트워크 관리자에게 제공합니다. 네트워크 관리자가 고객 게이트웨이를 구성한 후 VPN 연결을 사용할 수 있습니다.

명령줄 또는 API를 사용하여 VPN 연결을 만드는 방법

VPN 연결의 고정 경로 편집

고정 라우팅의 경우 VPN 구성의 고정 경로를 추가, 수정 또는 삭제할 수 있습니다.

고정 경로를 추가, 수정 또는 제거하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [VPN Connections]를 선택합니다.

  3. [Static Routes], [Edit]를 선택합니다.

  4. 기존의 고정 IP 접두사를 수정하거나 [Remove]를 선택하여 이 접두사를 삭제합니다. [Add Another Rule]를 선택하여 구성에 새 IP 접두사를 추가합니다. 마치면 [Save]를 선택합니다.

참고

라우팅 테이블에 대해 경로 전파를 활성화하지 않은 경우 라우팅 테이블의 경로를 수동으로 업데이트하여 업데이트된 고정 IP 접두사를 VPN 연결에 반영해야 합니다. 자세한 내용은 라우팅 테이블에서 경로 전파 활성화 단원을 참조하십시오.

명령줄 또는 API를 사용하여 정적 경로를 추가하는 방법

명령줄 또는 API를 사용하여 정적 경로를 삭제하는 방법

손상된 자격 증명 교체

VPN 연결의 터널 자격 증명이 손상된 것 같으면 IKE 사전 공유 키를 변경할 수 있습니다. 그러려면 VPN 연결을 삭제하고 동일한 가상 프라이빗 게이트웨이를 사용하여 새 VPN 연결을 생성한 후 고객 게이트웨이에 새 키를 구성하십시오. VPN 연결을 만들 때 자체 사전 공유 키를 지정할 수 있습니다. 또한 VPN 연결을 다시 생성할 때 터널의 내부 및 외부 주소가 변경될 수 있으므로 이 주소가 일치하는지 확인해야 합니다. 이 절차를 수행하는 동안 VPC의 인스턴스와 통신이 중단되지만 인스턴스는 중단되지 않고 계속 실행됩니다. 네트워크 관리자가 새 구성 정보를 구현한 후 새 자격 증명이 VPN 연결에 사용되며 VPC의 인스턴스에 대한 네트워크 연결이 재개됩니다.

중요

이 절차에서는 네트워크 관리자 그룹의 도움이 필요합니다.

IKE 사전 공유 키를 변경하려면

  1. VPN 연결을 삭제합니다. 자세한 내용은 VPN 연결 삭제 단원을 참조하십시오. VPC나 가상 프라이빗 게이트웨이는 삭제할 필요가 없습니다.

  2. 새 VPN 연결을 만들고 터널에 대한 사전 공유 키를 지정하거나 AWS가 새로운 사전 공유 키를 자동 생성하도록 합니다. 자세한 내용은 VPN 연결 생성 및 고객 게이트웨이 구성 단원을 참조하십시오.

  3. 새 구성 파일을 다운로드합니다.