메뉴
Amazon Virtual Private Cloud
사용 설명서

시나리오 4: 프라이빗 서브넷만 있고 AWS 관리형 VPN 액세스를 제공하는 VPC

이 시나리오의 구성에는 단일 프라이빗 서브넷이 있는 Virtual Private Cloud(VPC)와, IPsec VPN 터널을 통해 귀사의 네트워크와 통신하기 위한 가상 프라이빗 게이트웨이가 포함됩니다. 인터넷을 통한 통신을 지원하는 인터넷 게이트웨이가 없습니다. 네트워크를 인터넷에 노출하지 않고 Amazon의 인프라를 사용하여 네트워크를 클라우드로 확장하려는 경우 이 시나리오를 사용하는 것이 좋습니다.

이 단원에서는 Amazon VPC 콘솔의 VPC 마법사를 사용하여 VPC와 VPN 연결을 생성한다고 가정합니다.

이 시나리오를 IPv6—에 맞게 구성할 수도 있습니다. 즉 VPC 마법사를 이용해 VPC, 그리고 연결된 IPv6 CIDR 블록이 있는 서브넷을 만들 수 있습니다. 서브넷에서 시작한 인스턴스는 IPv6 주소를 받을 수 있습니다. 현재 Amazon은 VPN 연결을 통한 IPv6 통신을 지원하지 않습니다. 하지만 VPC의 인스턴스들은 IPv6를 통해 서로 통신할 수 있습니다. IPv4 및 IPv6 주소 지정에 대한 자세한 내용은 VPC의 IP 주소 지정 단원을 참조하십시오.

개요

다음 다이어그램은 이 시나리오를 위한 구성의 주요 구성 요소를 보여줍니다.

 시나리오 4의 다이어그램: 가상 프라이빗 게이트웨이만 있는 VPC

중요

이 시나리오를 위해 Amazon VPC 네트워크 관리자 안내서에서는 귀사의 VPN 연결에서 네트워크 관리자가 Amazon VPC 고객 게이트웨이를 구성하기 위해 해야 할 사항을 설명합니다.

이 시나리오를 위한 구성에는 다음 정보가 포함됩니다.

  • CIDR의 크기가 /16(예: 10.0.0.0/16)인 가상 프라이빗 클라우드(VPC). 이는 65,536개의 프라이빗 IP 주소를 제공합니다.

  • CIDR의 크기가 /24(예: 10.0.0.0/24)인 VPN 전용 서브넷. 이는 256개의 프라이빗 IP 주소를 제공합니다.

  • VPC와 네트워크 사이의 VPN 연결. VPN 연결은 VPC 연결의 Amazon 측에 있는 가상 프라이빗 게이트웨이와 VPN 연결의 사용자 측에 있는 고객 게이트웨이로 구성됩니다.

  • 프라이빗 IP 주소가 서브넷 범위(예: 10.0.0.5, 10.0.0.6 및 10.0.0.7)에 있는 인스턴스는 서로 통신할 수 있고 또한 VPC의 다른 인스턴스와도 통신이 가능합니다.

  • 서브넷과 연결된 사용자 정의 라우팅 테이블. 이 라우팅 테이블에는 서브넷의 인스턴스가 VPC의 다른 인스턴스와 통신할 수 있게 하는 경로와, 서브넷의 인스턴스가 네트워크와 직접 통신할 수 있게 하는 항목이 들어 있습니다.

서브넷에 대한 자세한 내용은 VPC 및 서브넷VPC의 IP 주소 지정을 참조하십시오. VPN 연결에 대한 자세한 내용은 AWS 관리형 VPN 연결을 참조하십시오. 고객 게이트웨이 구성에 대한 자세한 내용은 Amazon VPC 네트워크 관리자 안내서를 참조하십시오.

IPv6 개요

이 시나리오에 IPv6를 사용할 수도 있습니다. 위에 나열된 구성 요소뿐 아니라 다음 요소도 구성에 포함됩니다.

  • VPC와 연결된 /56 크기의 IPv6 CIDR 블록(예: 2001:db8:1234:1a00::/56). AWS는 CIDR을 자동 할당하므로 범위를 직접 선택할 수는 없습니다.

  • VPN 전용 서브넷과 연결된 /64 크기의 IPv6 CIDR 블록(예: 2001:db8:1234:1a00::/64). VPC에 할당된 범위 내에서 서브넷의 범위를 선택할 수 있습니다. IPv6 CIDR의 크기는 선택할 수 없습니다.

  • 서브넷 범위에서 인스턴스에 할당된 IPv6 주소(예: 2001:db8:1234:1a00::1a).

  • 프라이빗 서브넷의 인스턴스가 IPv6를 사용하여 서로 통신할 수 있도록 해주는 사용자 지정 라우팅 테이블의 라우팅 테이블 항목.

 VPN 전용 서브넷이 있는 IPv6 사용 VPC

라우팅

VPC에는 라우터가 내재되어 있습니다(이 시나리오의 구성 다이어그램 참조). 이 시나리오에서 VPC 마법사는 VPC 외부 주소로 경로가 지정된 모든 트래픽을 VPN 연결로 라우팅하는 라우팅 테이블을 생성하고, 이 라우팅 테이블을 서브넷과 연결합니다.

아래에서는 이 시나리오의 라우팅 테이블에 대해 설명합니다. 첫 번째 항목은 VPC의 로컬 라우팅에 대한 기본 항목으로서, 이 VPC의 인스턴스가 서로 통신할 수 있게 해줍니다. 두 번째 항목에서는 기타 서브넷 트래픽을 모두 가상 프라이빗 게이트웨이(예: vgw-1a2b3c4d)로 라우팅합니다.

목적지 Target

10.0.0.0/16

local

0.0.0.0/0

vgw-id

VPN 연결은 고정 라우팅 VPN 연결 또는 동적 라우팅 VPN 연결(BGP 사용)로 구성됩니다. 고정 라우팅을 선택하는 경우, VPN 연결을 생성할 때 네트워크의 IP 접두사를 수동으로 입력하라는 메시지가 표시됩니다. 동적 라우팅을 선택할 경우 BGP를 통해 VPC에 IP 접두사가 자동으로 알려집니다.

VPC의 인스턴스는 인터넷에 직접 액세스할 수 없습니다. 인터넷 바운드 트래픽은 먼저 가상 프라이빗 게이트웨이를 통과해야 귀사의 네트워크에 액세스하며, 이러한 트래픽에는 귀사의 방화벽과 기업 보안 정책이 적용됩니다. 인스턴스에서 AWS 바운드 트래픽(예: Amazon S3 또는 Amazon EC2에 대한 요청)을 전송할 경우 이 요청은 가상 프라이빗 게이트웨이를 거쳐 귀사의 네트워크에 도달한 다음에 인터넷에 도달한 후 AWS에 도달해야 합니다. 현재 VPN 연결에는 IPv6를 지원하지 않습니다.

IPv6에 대한 라우팅

IPv6 CIDR 블록을 VPC 및 서브넷에 연결하는 경우, 라우팅 테이블에는 IPv6 트래픽에 대한 별도의 경로가 포함됩니다. 아래에서는 이 시나리오의 사용자 지정 라우팅 테이블에 대해 설명합니다. 두 번째 항목은 IPv6를 통한 VPC의 로컬 라우팅에 자동으로 추가된 기본 경로입니다.

목적지 Target

10.0.0.0/16

local

2001:db8:1234:1a00::/56

local

0.0.0.0/0

vgw-id

보안

AWS는 VPC의 보안을 강화하기 위해 사용할 수 있는 두 가지 기능, 보안 그룹네트워크 ACL을 제공합니다. 보안 그룹은 인스턴스용 인바운드 및 아웃바운드 트래픽을 제어하고, 네트워크 ACL은 서브넷용 인바운드 및 아웃바운드 트래픽을 제어합니다. 대부분의 경우 보안 그룹은 사용자의 요구 사항을 맞출 수 있지만, 원하는 경우 네트워크 ACL을 사용하여 VPC에 보안 계층을 더 추가할 수 있습니다. 자세한 내용은 보안 단원을 참조하십시오.

시나리오 4의 경우, 네트워크 ACL이 아닌 VPC에 대한 기본 보안 그룹을 사용합니다. 네트워크 ACL을 사용하려는 경우 시나리오 4를 위한 권장 규칙을 참조하십시오.

VPC에는 기본 보안 그룹이 있으며, 이 보안 그룹의 초기 설정은 인바운드 트래픽을 모두 거부하고, 아웃바운드 트래픽을 모두 허용하며, 보안 그룹에 지정된 인스턴스 간의 모든 트래픽을 허용합니다. 이 시나리오의 경우에는 네트워크에서 발생하는 SSH 트래픽(Linux) 및 원격 데스크톱 트래픽(Windows)을 허용하는 인바운드 규칙을 기본 보안 그룹에 추가하는 것이 좋습니다.

중요

기본 보안 그룹은 배정된 인스턴스가 서로 통신하도록 자동으로 허용하므로, 이를 허용하기 위한 규칙을 추가할 필요가 없습니다. 다른 보안 그룹을 사용하는 경우 이를 허용하는 규칙을 추가해야 합니다.

다음 표에서는 VPC에 대한 기본 보안 그룹을 추가해야 하는 인바운드 규칙을 설명합니다.

기본 보안 그룹: 권장 규칙

인바운드
소스 프로토콜 포트 범위 설명

네트워크의 프라이빗 IPv4 주소 범위

TCP

22

(Linux 인스턴스)네트워크로부터의 인바운드 SSH 트래픽 허용.

네트워크의 프라이빗 IPv4 주소 범위

TCP

3389

(Windows 인스턴스)네트워크로부터의 인바운드 RDP 트래픽 허용.

IPv6의 보안

IPv6 CIDR 블록을 VPC 및 서브넷에 연결하는 경우, 보안 그룹에 별도의 규칙을 추가하여 인스턴스에 대한 인바운드 및 아웃바운드 IPv6 트래픽을 제어해야 합니다. 이 시나리오에서 데이터베이스 서버는 IPv6를 사용하는 VPN 연결을 통해 접속할 수 없습니다. 따라서 추가 보안 그룹 규칙은 필요 없습니다.

시나리오 4 구현

시나리오 4를 구현하려면 고객 게이트웨이 관련 정보를 얻은 후 VPC 마법사를 사용하여 VPC를 생성합니다. VPC 마법사는 고객 게이트웨이 및 가상 프라이빗 게이트웨이와의 VPN 연결을 생성해줍니다.

고객 게이트웨이를 준비하려면

  1. 고객 게이트웨이로 사용할 디바이스를 결정합니다. 테스트를 통해 검증된 디바이스에 대한 자세한 내용은 Amazon VPC FAQ를 참조하십시오. 고객 게이트웨이 요구 사항에 대한 자세한 내용은 Amazon VPC 네트워크 관리자 안내서를 참조하십시오.

  2. 고객 게이트웨이 외부 인터페이스의 인터넷 라우팅 가능 IP 주소를 얻습니다. 주소는 고정 주소여야 하며 네트워크 주소 변환(NAT)을 수행하는 디바이스를 사용할 수 있습니다.

  3. 고정 라우팅된 VPN 연결을 생성하고자 하는 경우, VPN 연결을 통해 가상 프라이빗 게이트웨이로 알려야 하는 내부 IP 범위의 목록(CIDR 표기법)을 얻어야 합니다. 자세한 내용은 VPN 라우팅 옵션 단원을 참조하십시오.

VPC 마법사를 사용하여 VPC 및 VPN 연결을 생성합니다.

VPC 마법사를 사용하여 VPC를 생성하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 대시보드에서 [Start VPC Wizard]를 선택합니다.

  3. 네 번째 옵션인 [VPC with a Private Subnet Only and Hardware VPN Access]를 선택한 후 [Select]를 선택합니다.

  4. 마법사의 첫 페이지에서 VPC 및 프라이빗 서브넷에 대한 세부 정보를 확인합니다. VPC와 서브넷에 이름을 붙이면 나중에 콘솔에서 이들을 식별하는 데 도움이 됩니다.

  5. (선택 사항, IPv6 전용) IPv6 CIDR block에 대해 Amazon-provided IPv6 CIDR block을 선택합니다. Private subnet's IPv6 CIDR에 대해 Specify a custom IPv6 CIDR을 선택합니다. IPv6 서브넷에 16진수 페어 값을 지정하거나 기본값을 그대로 둡니다(00).

  6. [Next]를 선택합니다.

  7. Configure your VPN 페이지에서 다음을 수행한 후 Create VPC를 선택합니다.

    • Customer Gateway IP에서 VPN 라우터의 퍼블릭 IP 주소를 지정합니다.

    • 선택적으로, 고객 게이트웨이와 VPN 연결의 이름을 지정합니다.

    • Routing Type에서 다음과 같은 라우팅 옵션 중 하나를 선택합니다.

      • VPN 라우터가 BGP(Border Gateway Protocol)를 지원할 경우 Dynamic (requires BGP)을 선택합니다.

      • VPN 라우터에서 BGP를 지원하지 않으면 Static을 선택합니다. IP Prefix에서 CIDR 표기법으로 네트워크에 대한 각각의 IP 범위를 추가합니다.

      자세한 내용은 VPN 라우팅 옵션 단원을 참조하십시오.

  8. 마법사가 완료되면 탐색 창에서 [VPN Connections]를 선택합니다. 마법사가 생성한 VPN 연결을 선택하고 [Download Configuration]을 선택합니다. 대화 상자에서 고객 게이트웨이 공급업체, 플랫폼, 소프트웨어 버전을 선택하고 [Yes, Download]를 선택합니다.

  9. VPN 구성을 포함하는 텍스트 파일을 저장하여 본 가이드 Amazon VPC 네트워크 관리자 안내서와 함께 네트워크 관리자에게 제공합니다. 네트워크 관리자가 고객 게이트웨이를 구성할 때까지는 VPN이 작동하지 않습니다.

이 시나리오의 경우, 기본 보안 그룹을 네트워크에서의 SSH 및 원격 데스크톱(RDP) 액세스를 허용하는 새로운 인바운드 규칙으로 업데이트해야 합니다. 인스턴스가 아웃바운드 통신을 시작하기를 원하지 않는 경우, 기본 아웃바운드 규칙을 제거할 수도 있습니다.

기본 보안 그룹에 대한 규칙을 업데이트하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택한 후 VPC의 기본 보안 그룹을 선택합니다. 세부 정보 창에는 인바운드 및 아웃바운드 규칙 작업을 위한 탭과 함께 보안 그룹에 대한 세부 정보가 표시됩니다.

  3. [Inbound Rules] 탭에서 [Edit]를 선택한 후, 다음과 같이 인바운드 트래픽에 대한 규칙들을 추가합니다.

    1. [Type] 목록에서 [SSH]를 선택한 후 [Source] 필드에 네트워크의 프라이빗 IP 주소 범위(예: 172.0.0.0/8)를 입력합니다.

    2. [Add another rule]을 선택한 후 [Type] 목록에서 [RDP]를 선택하고 [Source] 필드에 네트워크의 프라이빗 IP 주소 범위를 입력합니다.

    3. [Save]를 선택합니다.

  4. (선택 사항) [Outbound Rules] 탭에서 [Edit]를 선택하고, 모든 아웃바운드 트래픽을 활성화하는 기본 규칙을 찾고, [Remove]를 선택한 다음, [Save]를 선택합니다.

네트워크 관리자가 고객 게이트웨이를 구성한 후 VPC로 인스턴스를 시작할 수 있습니다. VPC 외부의 인스턴스를 시작하는 방법을 이미 익혔다면, 인스턴스를 VPC로 시작하기 위해 알아야 할 내용을 대부분 이미 알고 있는 셈입니다.

인스턴스를 시작하려면 다음을 수행합니다.

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 대시보드에서 [Launch Instance]를 선택합니다.

  3. 마법사의 지침대로 진행합니다. AMI를 선택하고 인스턴스 유형을 선택한 후 [Next: Configure Instance Details]를 선택합니다.

    참고

    IPv6 통신 용도로 인스턴스를 사용하고자 하는 경우, 지원되는 인스턴스 유형(예: T2)을 선택해야 합니다. 자세한 내용은 Amazon EC2 인스턴스 유형 단원을 참조하십시오.

  4. [Configure Instance Details] 페이지의 [Network] 목록에서, 앞서 생성한 VPC를 선택한 후 서브넷을 선택합니다. [Next: Add Storage]를 선택합니다.

  5. 마법사의 다음 두 페이지에서 인스턴스의 스토리지를 구성하고 태그를 추가할 수 있습니다. [Configure Security Group] 페이지에서 [Select an existing security group] 옵션을 선택하고, 기본 보안 그룹을 선택합니다. [Review and Launch]를 선택합니다.

  6. 선택한 설정을 검토합니다. 필요한 사항을 변경한 후 [Launch]를 선택하여 키 페어를 선택하고 인스턴스를 시작합니다.

시나리오 4에서는 네트워크의 서버와 통신하려면 VPN 전용 서브넷을 사용하는 DNS 서버가 필요합니다. DNS 서버를 포함하는 새로운 DHCP 옵션 세트를 생성한 후 그 옵션 세트를 사용하도록 VPC를 구성해야 합니다.

참고

VPC의 DHCP 옵션은 자동으로 domain-name-servers=AmazonProvidedDNS으로 설정됩니다. 이것은 Amazon이 VPC에 있는 어떤 퍼블릭 서브넷이든 인터넷 게이트웨이를 통해 인터넷과 통신할 수 있도록 하기 위해 제공하는 DNS 서버입니다. 시나리오 4에는 어떤 퍼블릭 서브넷도 없으므로, 이 DHCP 옵션 세트가 필요하지 않습니다.

DHCP 옵션을 업데이트하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [DHCP Options Sets]를 선택합니다.

  3. [Create DHCP Options Set]를 선택합니다.

  4. [Create DHCP Options Set] 대화 상자의 [Domain name servers] 상자에 DNS 서버의 주소를 입력한 후 [Yes, Create]를 선택합니다. 이 예제에서 DNS 서버는 192.0.2.1입니다.

  5. 탐색 창에서 [Your VPCs]를 선택합니다.

  6. VPC를 선택한 후 [Summary] 탭에서 [Edit]를 선택합니다.

  7. [DHCP options set] 목록에서 새로운 옵션 설정의 ID를 선택하고 [Save]를 선택합니다.

  8. (선택 사항) VPC는 이제 이 새로운 DHCP 옵션 세트를 사용하므로 사용자의 DNS 서버를 사용합니다. 원한다면, VPC가 사용한 원래의 옵션 세트를 삭제할 수 있습니다.

이제 SSH 또는 RDP를 사용하여 VPC의 인스턴스에 연결할 수 있습니다. Linux 인스턴스 연결 방법에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서Linux 인스턴스에 연결을 참조하십시오. Windows 인스턴스 연결 방법에 대한 자세한 내용은 Windows 인스턴스용 Amazon EC2 사용 설명서Windows 인스턴스에 연결을 참조하십시오.