Amazon Virtual Private Cloud
사용 설명서

AWS 관리형 VPN 연결

기본적으로 Amazon VPC로 시작하는 인스턴스는 자체(원격) 네트워크와 통신할 수 없습니다. VPC에 가상 프라이빗 게이트웨이를 연결하고 사용자 지정 라우팅 테이블을 생성하며 보안 그룹 규칙을 업데이트하고 AWS 관리형 VPN 연결을 생성하여 VPC에서 원격 네트워크에 액세스하도록 할 수 있습니다.

VPN 연결이라는 용어는 일반적인 용어지만 Amazon VPC 설명서에서 VPN 연결은 VPC와 자체 네트워크 사이의 연결을 의미합니다. AWS는 인터넷 프로토콜 보안(IPsec) VPN 연결을 지원합니다.

AWS 관리형 VPN 연결은 AWS Classic VPN 또는 AWS VPN입니다. 자세한 내용은 AWS 관리형 VPN 범주 단원을 참조하십시오.

중요

현재 VPN 연결을 통한 IPv6 트래픽은 지원하지 않습니다.

VPC에 VPN 연결을 사용할 경우 요금 부과 방법에 대한 자세한 정보는 Amazon VPC 제품 페이지를 참조하십시오.

VPN의 구성 요소

VPN 연결은 다음과 같은 구성 요소로 이루어집니다. VPN 제한에 대한 자세한 내용은 Amazon VPC 제한 단원을 참조하십시오.

가상 프라이빗 게이트웨이

가상 프라이빗 게이트웨이는 VPN 연결의 Amazon 측 VPN 집선기입니다. 가상 프라이빗 게이트웨이를 만든 후 VPN 연결을 생성할 VPC에 연결합니다.

가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 프라이빗 자율 시스템 번호(ASN)를 지정할 수 있습니다. ASN을 지정하지 않는 경우 가상 프라이빗 게이트웨이는 기본 ASN(64512)으로 생성됩니다. 가상 프라이빗 게이트웨이를 만든 후에는 ASN을 변경할 수 없습니다. ASN에서 가상 프라이빗 게이트웨이를 확인하려면, Amazon VPC 콘솔의 가상 프라이빗 게이트웨이 화면의 세부 정보를 확인하거나 describe-vpn-gateways AWS CLI 명령을 사용합니다.

참고

2018-06-30 이전에 가상 프라이빗 게이트웨이를 생성한 경우, 기본 ASN은 아시아 태평양(싱가포르) 리전에서 17493이고, 아시아 태평양(도쿄) 리전에서 10124이고, EU(아일랜드) 리전에서 9059이며, 그 외 모든 리전에서 7224입니다.

고객 게이트웨이

고객 게이트웨이는 VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션입니다.

VPN 연결을 만들기 위해 AWS에서 고객 게이트웨이 디바이스에 대한 정보를 AWS에 제공하는 고객 게이트웨이 리소스를 만들어야 합니다. 다음 표는 고객 게이트웨이 리소스를 만들 때 필요한 정보에 대한 설명입니다.

항목 설명

고객 게이트웨이 외부 인터페이스의 인터넷 라우팅 가능 IP 주소(고정)

퍼블릭 IP 주소 값은 고정 주소여야 합니다. 고객 게이트웨이가 NAT-T(NAT traversal)를 지원하는 NAT(Network Address Translation) 디바이스 뒤에 상주하는 경우 NAT 디바이스의 퍼블릭 IP 주소를 사용하고 방화벽 규칙을 수정하여 UDP 포트 4500 차단을 해제합니다.

정적 또는 동적 라우팅 유형

자세한 내용은 VPN 라우팅 옵션 단원을 참조하십시오.

(동적 라우팅만 해당) 고객 게이트웨이의 BGP(Border Gateway Protocol) ASN(자율 시스템 번호)

네트워크에 할당된 기존 ASN을 사용할 수 있습니다. 기존 ASN이 없는 경우에는 (64512–65534 범위의) 프라이빗 ASN을 사용할 수 있습니다.

콘솔에서 VPC 마법사를 사용하여 VPC를 설정하는 경우 자동으로 65000이 ASN으로 사용됩니다.

VPN 연결에서 Amazon VPC를 사용하려면 사용자 또는 네트워크 관리자가 원격 네트워크에서 고객 게이트웨이 디바이스 또는 애플리케이션도 구성해야 합니다. VPN 연결을 생성하고 나면 사용자에게 필요한 구성 정보가 제공되고 네트워크 관리자가 대개 이 구성을 수행합니다. 고객 게이트웨이 요구 사항 및 구성에 대한 정보는 Amazon VPC 네트워크 관리자 안내서에서 고객 게이트웨이 단원을 참조하십시오.

VPN 연결의 사용자 쪽에서 트래픽이 생성될 때 VPN 터널이 가동됩니다. 가상 프라이빗 게이트웨이는 개시 장치가 아닙니다. 고객 게이트웨이가 터널을 시작해야 합니다. VPN 연결에 유휴 시간이 발생할 경우(대개 10초, 구성에 따라 다름) 터널이 다운될 수 있습니다. 이를 방지하기 위해 네트워크 모니터링 도구를 사용하여 keepalive ping을 생성할 수 있습니다(예: IP SLA 사용).

Amazon VPC 항목을 사용하여 테스트한 고객 게이트웨이 목록은 Amazon Virtual Private Cloud FAQs를 참조하십시오.

AWS 관리형 VPN 범주

AWS 관리형 VPN 연결은 AWS Classic VPN 연결 또는 AWS VPN 연결입니다. 새로 만든 VPN 연결은 AWS VPN 연결입니다. 다음 기능은 AWS VPN 연결에서만 지원됩니다.

  • NAT 순회

  • 4바이트 ASN(2바이트 ASN 외에)

  • CloudWatch 지표

  • 고객 게이트웨이에서 재사용 가능한 IP 주소

  • AES 256비트 암호화, SHA-2 해싱, 추가 Diffie-Hellman 그룹을 포함한 추가 암호화 옵션

  • 구성 가능 터널 옵션

  • Amazon 측의 BGP 세션에서 사용자 지정 프라이빗 ASN

Amazon VPC 콘솔이나 명령줄 도구를 사용하여 AWS 관리형 VPN 연결 범주를 찾을 수 있습니다.

콘솔을 사용하여 VPN 범주를 식별하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [VPN Connections]를 선택합니다.

  3. VPN 연결을 선택하고, 세부 정보 창에서 [Category] 값을 확인합니다. VPN 값은 AWS VPN 연결을 나타냅니다. VPN-Classic 값은 AWS Classic VPN 연결을 나타냅니다.

명령줄 도구를 사용해서 VPN 범주를 식별하는 방법

  • describe-vpn-connections AWS CLI 명령을 사용할 수 있습니다. 반환된 출력에 표시된 Category 값을 메모해 둡니다. VPN 값은 AWS VPN 연결을 나타냅니다. VPN-Classic 값은 AWS Classic VPN 연결을 나타냅니다.

    다음 예제에서 VPN 연결은 AWS VPN 연결입니다.

    aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1a2b3c4d
    { "VpnConnections": [ { "VpnConnectionId": "vpn-1a2b3c4d", ... "State": "available", "VpnGatewayId": "vgw-11aa22bb", "CustomerGatewayId": "cgw-ab12cd34", "Type": "ipsec.1", "Category": "VPN" } ] }

또는 다음 명령 중 하나를 사용합니다.

AWS VPN으로 마이그레이션

기존 VPN 연결이 AWS Classic VPN 연결인 경우 새 가상 프라이빗 게이트웨이 및 VPN 연결을 만들고 VPC에서 이전 가상 프라이빗 게이트웨이를 분리하고 VPC에 새 가상 프라이빗 게이트웨이를 연결하여 AWS VPN 연결로 마이그레이션할 수 있습니다.

기존 가상 프라이빗 게이트웨이가 여러 VPN 연결과 연결된 경우 새 가상 프라이빗 게이트웨이에서 각 VPN 연결을 다시 만들어야 합니다. 가상 프라이빗 게이트웨이에 여러 AWS Direct Connect 프라이빗 가상 인터페이스가 연결되어 있으면, 새 가상 프라이빗 게이트웨이에 각 프라이빗 가상 인터페이스를 다시 만들어야 합니다. 자세한 내용은 AWS Direct Connect 사용 설명서에서 가상 인터페이스 생성 단원을 참조하십시오.

기존 AWS 관리형 VPN 연결이 AWS VPN 연결인 경우, AWS Classic VPN 연결로 마이그레이션할 수 없습니다.

참고

이 절차를 수행하는 동안 경로 전파를 비활성화하고 VPC에서 이전 가상 프라이빗 게이트웨이를 분리하면 현재 VPC 연결을 통한 연결이 중단됩니다. 새 가상 프라이빗 게이트웨이가 VPC에 연결되고 새 VPN 연결이 활성화되어 있으면 연결이 복원됩니다. 예상된 가동 중지를 계획해야 합니다.

AWS VPN 연결로 마이그레이션하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Virtual Private Gateways], [Create Virtual Private Gateway]를 선택하고 가상 프라이빗 게이트웨이를 생성합니다.

  3. 탐색 창에서 [VPN Connections], [Create VPN Connection]을 선택합니다. 다음 정보를 지정하고 [Yes, Create]를 선택합니다.

    • [Virtual Private Gateway]: 이전 단계에서 만든 가상 프라이빗 게이트웨이를 선택합니다.

    • [Customer Gateway]: [Existing]을 선택하고, 최신 AWS Classic VPN 연결에서 기존 고객 게이트웨이를 선택합니다.

    • 필요에 따라 라우팅 옵션을 지정합니다.

  4. 새 VPN 연결을 선택한 후 [Download Configuration]을 선택합니다. 고객 게이트웨이 디바이스에 적절한 구성을 다운로드합니다.

  5. 고객 게이트웨이 디바이스에서 VPN 터널을 구성할 구성 파일을 사용합니다. 예제는 Amazon VPC 네트워크 관리자 안내서을 참조하십시오. 아직 터널을 활성화하지 마십시오. 새로 구성된 터널을 비활성화된 상태로 유지하는 방법에 대한 지침이 필요하면 벤더에 문의하십시오.

  6. (선택 사항) 테스트 VPC를 만들고 가상 프라이빗 게이트웨이를 이 테스트 VPC에 연결합니다. 필요에 따라 암호화 도메인/소스 대상 주소를 변경하고 로컬 네트워크의 호스트에서 테스트 VPC의 테스트 인스턴스로 연결을 테스트합니다.

  7. 라우팅 테이블에서 라우팅 전파를 사용하고 있는 경우 탐색 창에서 [Route Tables]를 선택합니다. VPC에서 라우팅 테이블을 선택하고 [Route Propagation], [Edit]를 선택합니다. 이전 가상 프라이빗 게이트웨이 확인란 선택을 취소하고 [Save]를 선택합니다.

    참고

    이 단계부터는 새 가상 프라이빗 게이트웨이가 연결되고 새 VPN 연결이 활성화될 때까지 연결이 중단됩니다.

  8. 탐색 창에서 [Virtual Private Gateways]를 선택합니다. 이전 가상 프라이빗 게이트웨이를 선택하고 작업, VPC에서 분리, 예, 분리를 선택합니다. 새 가상 프라이빗 게이트웨이를 선택하고 작업, VPC에 연결을 선택합니다. VPN 연결에서 VPC를 지정하고 [Yes, Attach]를 선택합니다.

  9. 탐색 창에서 [Route Tables]를 선택합니다. VPC에서 라우팅 테이블을 선택하고 다음 작업 중 하나를 수행합니다.

    • 라우팅 전파를 사용하고 있는 경우 [Route Propagation], [Edit]를 선택합니다. VPC에 연결된 새 가상 프라이빗 게이트웨이를 선택한 후 [Save]를 선택합니다.

    • 정적 라우팅을 사용하고 있는 경우 [Routes], [Edit]를 선택합니다. 경로가 새 가상 프라이빗 게이트웨이를 가리키도록 수정하고 [Save]를 선택합니다.

  10. 고객 게이트웨이 디바이스에서 새 터널을 활성화하고 이전 터널을 비활성화합니다. 터널을 가져오려면 로컬 네트워크에서 연결을 시작해야 합니다.

    해당하는 경우, 라우팅 테이블을 확인하여 경로가 전파되고 있는지 보장합니다. VPN 터널 상태가 UP인 경우 경로는 라우팅 테이블로 전파합니다.

    참고

    이전 구성으로 되돌리려면 새 가상 프라이빗 게이트웨이를 분리하고 8단계 및 9단계를 수행하여 이전 가상 프라이빗 게이트웨이를 다시 연결하고 경로를 업데이트합니다.

  11. AWS Classic VPN 연결이 더 이상 필요하지 않아 요금을 계속 청구하지 않으려면 고객 게이트웨이 디바이스에서 이전 터널 구성을 제거하고 VPN 연결을 삭제합니다. 이 작업을 하려면 [VPN Connections]으로 이동하고, VPN 연결을 선택하고 나서 [Delete]를 선택합니다.

    중요

    AWS Classic VPN 연결을 삭제한 후에는 새로운 AWS VPN 연결을 AWS Classic VPN 연결로 되돌리거나 마이그레이션할 수 없습니다.

VPN 구성의 예

다음 다이어그램은 단일 및 다중 VPN 연결을 보여 줍니다. VPC에는 가상 프라이빗 게이트웨이가 연결되어 있고, 원격 네트워크에는 고객 게이트웨이가 있습니다. 이 고객 게이트웨이는 VPN 연결을 사용하도록 구성해야 합니다. 네트워크로 바인딩되는 VPC의 모든 트래픽이 가상 프라이빗 게이트웨이로 라우팅되도록 라우팅을 설정합니다.

단일 VPC에 대해 여러 VPN 연결을 생성할 때 같은 외부 위치에 대해 중복 연결을 생성하도록 두 번째 고객 게이트웨이를 구성할 수 있습니다. 이 고객 게이트웨이를 사용하여 여러 지리적 위치에 대해 VPN 연결을 생성할 수도 있습니다.

단일 VPN 연결

 VPN 레이아웃

여러 VPN 연결

 다중 VPN 레이아웃

VPN 라우팅 옵션

VPN 연결을 생성하는 경우, 다음을 수행해야 합니다.

  • 사용하려는 라우팅 유형 지정(정적 또는 동적)

  • 서브넷용 라우팅 테이블 업데이트

라우팅 테이블에 추가할 수 있는 경로의 수에는 제한이 있습니다. 자세한 내용은 Amazon VPC 제한의 라우팅 테이블 단원을 참조하십시오.

정적 및 동적 라우팅

VPN 디바이스 모델과 메이커에 따라 라우팅 유형을 선택할 수 있습니다. VPN 디바이스에서 BGP(Border Gateway Protocol)를 지원할 경우 VPN 연결을 구성할 때 동적 라우팅을 지정하십시오. 장치에서 BGP를 지원하지 않을 경우 고정 라우팅을 지정하십시오. Amazon VPC 항목을 사용하여 테스트한 고정 및 동적 라우팅 디바이스 목록은 Amazon Virtual Private Cloud FAQ를 참조하십시오.

BGP 디바이스를 사용할 때는 디바이스에서 BGP를 사용하여 그 경로를 가상 프라이빗 게이트웨이에 알리기 때문에 VPN 연결에 대한 고정 경로를 지정할 필요가 없습니다. BGP를 지원하지 않는 디바이스를 사용하는 경우 고정 라우팅을 선택하고, 가상 프라이빗 게이트웨이에 전달할 경로(IP 접두사)를 네트워크에 대해 입력해야 합니다.

BGP 프로토콜은 첫 번째 터널이 다운될 경우 두 번째 VPN 터널에 대한 장애 조치를 지원할 수 있는 강력한 라이브니스 탐지 검사를 제공하므로 가능하다면 BGP 지원 디바이스를 사용하는 것이 좋습니다. 또한 BGP를 지원하지 않는 디바이스는 상태 확인을 수행하여 필요할 경우 두 번째 터널로 장애 조치를 지원할 수 있습니다.

라우팅 테이블 및 VPN 라우팅 우선 순위

라우팅 테이블에 따라 네트워크 트래픽이 전달되는 위치가 결정됩니다. 라우팅 테이블에서, 원격 네트워크에 대한 경로를 추가하고 가상 프라이빗 게이트웨이를 대상으로 지정해야 합니다. 이렇게 하면 사용자의 원격 네트워크로 향하는 VPC의 트래픽이 가상 프라이빗 게이트웨이를 통해서, 그리고 VPN 터널 중 하나를 따라 라우팅됩니다. 라우팅 테이블의 경로 전파가 자동으로 네트워크 경로를 테이블로 전파하도록 할 수 있습니다.

BGP 광고 또는 정적 라우팅 항목을 통해 가상 프라이빗 게이트웨이에 알려진 IP 접두사만 VPC에서 오는 트래픽을 수신할 수 있습니다. 가상 프라이빗 게이트웨이는 수신된 BGP 알림, 정적 라우팅 항목 또는 연결된 VPC CIDR의 외부로 전달되는 다른 모든 트래픽을 라우팅하지 않습니다.

가상 프라이빗 게이트웨이는 라우팅 정보를 받으면, 경로 선택을 사용하여 사용자의 원격 네트워크로 트래픽을 라우팅하는 방법을 결정합니다. 가장 긴 접두사 일치 항목이 적용되며, 그렇지 않으면 다음 규칙이 적용됩니다.

  • VPN 연결 또는 AWS Direct Connect 연결에서 전파된 경로가 VPC의 로컬 경로와 중첩되는 경우, 전파된 경로가 더 특정하더라도 로컬 경로가 가장 우선적으로 적용됩니다.

  • VPN 연결 또는 AWS Direct Connect 연결에서 전파된 경로에 다른 기존 정적 경로와 동일한 대상 CIDR 블록이 있는 경우(가장 긴 접두사 일치 항목이 적용될 수 없음) 대상이 인터넷 게이트웨이, 가상 프라이빗 게이트웨이, 네트워크 인터페이스, 인스턴스 ID, VPC 피어링 연결, NAT 게이트웨이 또는 VPC 종단점인 정적 경로가 우선적으로 적용됩니다.

VPN 연결에 겹치는 라우팅이 존재하고, 가장 긴 접두사 일치를 적용할 수 없으면 VPC 연결에서 가장 선호하는 경로부터 가장 선호하지 않은 경로의 순으로 다음과 같이 우선순위가 지정됩니다.

  • AWS Direct Connect 연결로부터의 BGP 전파 라우팅

  • VPN 연결에 수동으로 추가된 고정 라우팅

  • VPN 연결로부터의 BGP 전파 라우팅

이 예에서 라우팅 테이블에는 인터넷 게이트웨이로의 정적 라우팅(수동으로 추가됨)과 가상 프라이빗 게이트웨이로 전파되는 라우팅이 있습니다. 두 라우팅은 모두 목적지가 172.31.0.0/24입니다. 이 경우 목적지가 172.31.0.0/24인 모든 트래픽은 인터넷 게이트웨이로 라우팅됩니다. 이 라우팅은 정적 라우팅이므로 전파된 라우팅보다 우선합니다.

목적지 Target
10.0.0.0/16 로컬
172.31.0.0/24 vgw-1a2b3c4d(전파됨)
172.31.0.0/24 igw-11aa22bb

VPN 연결을 위한 VPN 터널 구성

VPN 연결을 사용하여 원격 네트워크를 VPC에 연결합니다. VPN 연결마다 2개의 터널이 있으며, 고유의 가상 프라이빗 게이트웨이 퍼블릭 IP 주소가 각 터널에 사용됩니다. 중복성을 위해 두 터널 모두 구성해야 합니다. 유지 관리를 위해 가동을 중지하는 등의 이유로 한 터널을 사용할 수 없을 때 특정 VPN 연결에 사용 가능한 터널로 네트워크 트래픽이 자동 라우팅됩니다.

다음 다이어그램은 VPN 연결의 두 터널을 보여 줍니다.

VPN 연결을 만들 때 각 터널 구성 정보를 포함하여 장치를 구성하기 위한 정보가 들어 있는 고객 게이트웨이 장치에 특정한 구성 파일을 다운로드합니다. VPN 연결을 만들 때 선택적으로 일부 터널 옵션을 직접 지정할 수 있습니다. 그렇지 않으면 AWS는 기본값을 제공합니다.

다음 표에서는 구성 가능한 터널 옵션에 대해 설명합니다.

항목 설명 AWS 제공 기본값

터널 CIDR 내부

VPN 터널의 내부 IP 주소 범위. 169.254.0.0/16 범위에서 크기/30 CIDR 블록을 지정할 수 있습니다. CIDR 블록은 동일한 가상 프라이빗 게이트웨이를 사용하는 모든 VPN 연결에서 고유해야 합니다.

다음 CIDR 블록은 예약되어 사용할 수 없습니다.

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

169.254.0.0/16 범위의 크기/30 CIDR 블록

사전 공유 키(PSK)

사전 공유 키(PSK)는 가상 프라이빗 게이트웨이와 고객 게이트웨이 사이의 IKE 보안 연결을 설정합니다.

PSK 길이는 8~64자 사이여야 하며 0으로 시작해서는 안 됩니다. 영숫자, 마침표(.), 밑줄(_)을 사용할 수 있습니다.

32자 영숫자 문자열

VPN 연결을 만든 후에는 터널 옵션을 변경할 수 없습니다. 기존 연결에서 내부 터널 IP 주소 또는 PSK를 변경하려면 VPN 연결을 삭제하고 새 연결을 만들어야 합니다. AWS Classic VPN 연결에서는 터널 옵션을 구성할 수 없습니다.

중복 VPN 연결을 사용하여 장애 조치 제공

앞에서 설명한 대로 VPN 연결에는 터널 2개가 있어 VPN 연결 중 하나를 사용할 수 없어도 연결이 보장됩니다. 고객 게이트웨이를 사용할 수 없을 때 연결이 끊어지지 않도록 두 번째 고객 게이트웨이를 사용하여 VPC와 가상 프라이빗 게이트웨이에 대한 두 번째 VPN 연결을 설정할 수 있습니다. 중복 VPN 연결 및 고객 게이트웨이를 사용하면 고객 게이트웨이 중 하나에서 유지 관리를 수행하는 동안에도 두 번째 고객 게이트웨이의 VPN 연결을 통해 트래픽이 계속 전송됩니다. 원격 네트워크에 중복 VPN 연결 및 고객 게이트웨이를 설정하려면 두 번째 VPN 연결을 설정해야 합니다. 두 번째 VPN 연결에 사용되는 고객 게이트웨이 IP 주소는 공개적으로 액세스할 수 있어야 합니다.

다음 다이어그램은 각 VPN 연결의 터널 2개와 고객 게이트웨이 2개를 보여 줍니다.

동적으로 라우팅되는 VPN 연결은 BGP(Border Gateway Protocol)를 사용하여 고객 게이트웨이와 가상 프라이빗 게이트웨이 간에 라우팅 정보를 교환합니다. 고정으로 라우팅되는 VPN 연결에서는 고객 게이트웨이의 사용자 측 원격 네트워크의 고정 경로를 입력해야 합니다. BGP를 통해 알려지고 고정으로 입력된 경로 정보를 사용하여 양 측의 게이트웨이는 사용 가능한 터널을 확인하고 오류가 발생할 경우 트래픽을 다시 라우팅할 수 있습니다. BGP(사용 가능한 경우)에서 제공한 라우팅 정보를 사용하여 사용 가능한 경로를 선택하도록 네트워크를 구성하는 것이 좋습니다. 네트워크의 아키텍처에 따라 정확한 구성이 결정됩니다.