Client VPN 엔드포인트

모든 클라이언트 VPN 세션은 Client VPN 엔드포인트에서 종료됩니다. Client VPN 엔드포인트를 구성하여 모든 클라이언트 VPN 세션을 관리하고 제어합니다.

Client VPN 엔드포인트를 생성합니다.

클라이언트가 VPN 세션을 설정할 수 있도록 하려면 Client VPN 엔드포인트를 생성합니다.

Client VPN은 의도한 대상 네트워크가 프로비저닝되는 AWS 계정과 동일한 계정에서 생성되어야 합니다.

사전 조건

시작하기 전에 다음이 있는지 확인하십시오.

• 의 규칙 및 모범 사례 AWS Client VPN에서 규칙 및 제한 사항을 검토합니다.

• 서버 인증서를 생성하고, 필요한 경우 클라이언트 인증서를 생성합니다. 자세한 설명은 클라이언트 인증 섹션을 참조하세요.

Client VPN 엔드포인트를 생성하려면(콘솔)

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

2. 탐색 창에서 Client VPN Endpoints(Client VPN 엔드포인트)를 선택한 다음 Create Client VPN Endpoint(Client VPN 엔드포인트 생성)를 선택합니다.

3. (선택 사항) Client VPN 엔드포인트의 이름 태그와 설명을 입력합니다.

4. 클라이언트 IPv4 CIDR에서 클라이언트 IP 주소를 할당할 IP 주소 범위(CIDR 표기법)를 지정합니다. 예: 10.0.0.0/22.

   참고

   주소 범위는 Client VPN 엔드포인트와 연결될 대상 네트워크 주소 범위, VPC 주소 범위 또는 경로와 중복될 수 없습니다. 클라이언트 주소 범위는 최소 /22 이상이어야 하며 /12 CIDR 블록 크기를 넘지 않아야 합니다. Client VPN 엔드포인트를 생성한 후에는 클라이언트 주소 범위를 변경할 수 없습니다.

5. Server certificate ARN(서버 인증서 ARN)에 서버에서 사용할 TLS 인증서의 ARN을 지정합니다. 클라이언트는 서버 인증서를 사용하여 연결할 Client VPN 엔드포인트를 인증합니다.

   참고

   서버 인증서는 Client VPN 엔드포인트를 생성하는 리전의 AWS Certificate Manager(ACM)에 위치해야 합니다. 인증서는 ACM을 사용하여 프로비저닝하거나 ACM으로 가져올 수 있습니다.

6. 클라이언트가 VPN 연결을 설정할 때 클라이언트를 인증하는 데 사용할 인증 방법을 지정합니다. 인증 방법을 선택해야 합니다.

   • 사용자 기반 인증을 사용하려면 사용자 기반 인증 사용을 선택하고 다음 중 하나를 선택합니다.

     • Active Directory 인증: Active Directory 인증을 사용하려면 이 옵션을 선택합니다. 디렉터리 ID에는 사용할 Active Directory의 ID를 지정합니다.

     • 연동 인증: SAML 기반 연동 인증을 사용하려면 이 옵션을 선택합니다.

       SAML 제공업체 ARN에는 IAM SAML 자격 증명 공급자의 ARN을 지정합니다.

       (선택 사항) Self-service SAML provider ARN(셀프 서비스 SAML 공급자 ARN)에서 셀프 서비스 포털을 지원하기 위해 생성한 IAM SAML 자격 증명 공급자의 ARN을 지정합니다(해당하는 경우).

   • 상호 인증서 인증을 사용하려면 [상호 인증 사용(Use mutual authentication)]을 선택한 다음, [클라이언트 인증서 ARN(Client certificate ARN)]에 AWS Certificate Manager(ACM)에서 프로비저닝되는 클라이언트 인증서의 ARN을 지정합니다.

     참고

     서버 및 클라이언트 인증서가 동일한 CA(인증 기관)에 의해 발급된 경우 서버 인증서 ARN을 서버 및 클라이언트 모두에 사용할 수 있습니다. 클라이언트 인증서가 다른 CA에 의해 발급된 경우 클라이언트 인증서 ARN이 지정되어야 합니다.

7. (선택 사항) 연결 로깅의 경우 Amazon Logs를 사용하여 클라이언트 연결에 대한 데이터를 CloudWatch 기록할지 여부를 지정합니다. 클라이언트 연결에 대한 로그 세부 정보 활성화(Enable log details on client connections)를 켭니다. CloudWatch 로그 로그 그룹 이름에는 사용할 로그 그룹 이름을 입력합니다. 로그 CloudWatch 로그 스트림 이름에는 사용할 로그 스트림의 이름을 입력하거나 이 옵션을 비워 두면 로그 스트림을 자동으로 생성할 수 있습니다.

8. (선택 사항) 클라이언트 연결 핸들러(Client Connect Handler)에서 클라이언트 연결 핸들러 활성화(Enable client connect handler)를 켜서 Client VPN 엔드포인트에 대한 새 연결을 허용하거나 거부하는 사용자 지정 코드를 실행합니다. Client Connect Handler ARN(클라이언트 연결 처리기 ARN)에서 연결을 허용하거나 거부하는 논리가 포함된 Lambda 함수의 Amazon 리소스 이름(ARN)을 지정합니다.

9. (선택 사항) DNS 확인에 사용할 DNS 서버를 지정합니다. 사용자 지정 DNS 서버를 사용하려면 DNS Server 1 IP address(DNS 서버 1 IP 주소) 및 DNS Server 2 IP address(DNS 서버 2 IP 주소)에 사용할 DNS 서버의 IP 주소를 지정합니다. VPC DNS 서버를 사용하려면 DNS Server 1 IP address(DNS 서버 1 IP 주소) 또는 DNS Server 2 IP address(DNS 서버 2 IP 주소)에 IP 주소를 지정하고 VPC DNS 서버 IP 주소를 추가합니다.

   참고

   클라이언트가 DNS 서버에 도달할 수 있는지 확인합니다.

10. (선택 사항) 기본적으로 Client VPN 엔드포인트는 UDP 전송 프로토콜을 사용합니다. TCP 전송 프로토콜을 대신 사용하려면 Transport Protocol에서 TCP를 선택합니다.

    참고

    일반적으로 UDP가 TCP보다 뛰어난 성능을 제공합니다. Client VPN 엔드포인트를 생성한 후에는 전송 프로토콜을 변경할 수 없습니다.

11. (선택 사항) 엔드포인트를 분할 터널 Client VPN 엔드포인트로 사용하려면 분할 터널 활성화(Enable split-tunnel)를 켭니다. 기본적으로 Client VPN 엔드포인트의 분할 터널은 비활성화됩니다.

12. (선택 사항) VPC ID에서 Client VPN 엔드포인트와 연결할 VPC를 선택합니다. Security Group IDs(보안 그룹 ID)에서 Client VPN 엔드포인트에 적용할 VPC의 보안 그룹을 하나 이상 선택합니다.

13. (선택 사항) VPN 포트의 경우 VPN 포트 번호를 선택합니다. 기본값은 443입니다.

14. (선택 사항) 클라이언트에 대한 셀프 서비스 포털 URL을 생성하려면 셀프 서비스 포털 활성화(Enable self-service portal)를 켭니다.

15. (선택 사항) 세션 제한 시간(Session timeout hours)에서 사용 가능한 옵션에서 원하는 최대 VPN 세션 기간(시간)을 선택하거나 기본값 24시간으로 설정된 상태로 둡니다.

16. (선택 사항) 클라이언트 로그인 배너 텍스트를 사용 설정할지 여부를 지정합니다. 클라이언트 로그인 배너 활성화(Enable client login banner)를 켭니다. 클라이언트 로그인 배너 텍스트(Client login banner text)에 VPN 세션이 설정될 때 AWS 제공 클라이언트의 배너에 표시될 텍스트를 입력합니다. UTF-8로 인코딩된 문자만 허용됩니다. 최대 1,400자입니다.

17. 클라이언트 VPN엔드포인트 생성(Create Client VPN endpoint)을 선택합니다.

Client VPN 엔드포인트를 생성한 후, 다음을 수행하여 구성을 완료하고 클라이언트가 연결할 수 있도록 합니다.

• Client VPN 엔드포인트의 초기 상태는 pending-associate입니다. 첫 번째 대상 네트워크를 연결한 이후에만 클라이언트가 Client VPN 엔드포인트에 연결할 수 있습니다.

• 네트워크에 액세스할 수 있는 클라이언트를 지정하려면 권한 부여 규칙을 생성합니다.

• 클라이언트에 배포할 Client VPN 엔드포인트 구성 파일을 다운로드하고 준비합니다.

• AWS 제공 클라이언트 또는 다른 OpenVPN 기반 클라이언트 애플리케이션을 사용하여 Client VPN 엔드포인트에 연결하도록 클라이언트에 지시합니다. 자세한 내용은 AWS Client VPN 사용 설명서를 참조하세요.

Client VPN 엔드포인트(AWS CLI)를 생성하려면

create-client-vpn-endpoint 명령을 사용합니다.

Client VPN 엔드포인트를 수정합니다.

Client VPN이 생성된 후에는 다음 설정을 수정할 수 있습니다.

• 설명

• 서버 인증서

• 클라이언트 연결 로깅 옵션

• 클라이언트 연결 핸들러 옵션

• DNS 서버

• 분할 터널 옵션

• 경로(분할 터널 옵션을 사용하는 경우)

• 인증서 취소 목록(CRL)

• 권한 부여 규칙

• VPC 및 보안 그룹 연결

• VPN 포트 번호

• 셀프 서비스 포털 옵션

• 최대 VPN 세션 시간

• 클라이언트 로그인 배너 텍스트 사용 또는 사용 중지

• 클라이언트 로그인 배너 텍스트

참고

인증서 취소 목록(CRL) 변경 사항을 포함하여 Client VPN 엔드포인트에 대한 수정 사항은 Client VPN 서비스에서 요청을 수락한 후 최대 4시간 이내에 적용됩니다.

Client VPN 엔드포인트가 생성된 이후에는 클라이언트 IPv4 CIDR 범위, 인증 옵션, 클라이언트 인증서 또는 전송 프로토콜을 수정할 수 없습니다.

Client VPN 엔드포인트에서 다음과 같은 파라미터 중 아무 것이라도 변경하면, 연결이 재설정됩니다.

• 서버 인증서

• DNS 서버

• 분할 터널 옵션(지원 켜기 또는 끄기)

• 경로(분할 터널 옵션을 사용하는 경우)

• 인증서 취소 목록(CRL)

• 권한 부여 규칙

• VPN 포트 번호

콘솔 또는 AWS CLI를 사용하여 Client VPN 엔드포인트를 수정할 수 있습니다.

Client VPN 엔드포인트를 수정하려면(콘솔)

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

2. 탐색 창에서 Client VPN 엔드포인트(Client VPN Endpoints)를 선택합니다.

3. 수정할 Client VPN 엔드포인트를 선택하고 작업(Actions)을 선택한 다음 클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)을 선택합니다.

4. 설명(Description)에 Client VPN 엔드포인트에 대한 간략한 설명을 입력합니다.

5. Server certificate ARN(서버 인증서 ARN)에 서버에서 사용할 TLS 인증서의 ARN을 지정합니다. 클라이언트는 서버 인증서를 사용하여 연결할 Client VPN 엔드포인트를 인증합니다.

   참고

   서버 인증서는 Client VPN 엔드포인트를 생성하는 리전의 AWS Certificate Manager(ACM)에 위치해야 합니다. 인증서는 ACM을 사용하여 프로비저닝하거나 ACM으로 가져올 수 있습니다.

6. Amazon Logs를 사용하여 클라이언트 연결에 대한 데이터를 CloudWatch 기록할지 여부를 지정합니다. 클라이언트 연결에 대한 로그 세부 정보 활성화(Enable log details on client connections)에서 다음 중 하나를 수행합니다.

   • 클라이언트 연결 로깅을 활성화하려면 클라이언트 연결에 대한 로그 세부 정보 활성화(Enable log details on client connections)를 켭니다. CloudWatch로그 로그 그룹 이름에서 사용할 로그 그룹 이름을 선택합니다. 로그 CloudWatch 로그 스트림 이름에서 사용할 로그 스트림의 이름을 선택하거나 이 옵션을 비워 두면 로그 스트림을 자동으로 생성할 수 있습니다.

   • 클라이언트 연결 로깅을 비활성화하려면 클라이언트 연결에 대한 로그 세부 정보 활성화(Enable log details on client connections)를 끕니다.

7. 클라이언트 연결 핸들러(Client connect handler)에서 클라이언트 연결 핸들러를 활성화하려면 클라이언트 연결 핸들러 활성화(Enable client connect handler)를 켭니다. Client Connect Handler ARN(클라이언트 연결 처리기 ARN)에서 연결을 허용하거나 거부하는 논리가 포함된 Lambda 함수의 Amazon 리소스 이름(ARN)을 지정합니다.

8. DNS 서버 활성화(Enable DNS servers)를 켜거나 끕니다. 사용자 지정 DNS 서버를 사용하려면 DNS Server 1 IP address(DNS 서버 1 IP 주소) 및 DNS Server 2 IP address(DNS 서버 2 IP 주소)에 사용할 DNS 서버의 IP 주소를 지정합니다. VPC DNS 서버를 사용하려면 DNS Server 1 IP address(DNS 서버 1 IP 주소) 또는 DNS Server 2 IP address(DNS 서버 2 IP 주소)에 IP 주소를 지정하고 VPC DNS 서버 IP 주소를 추가합니다.

   참고

   클라이언트가 DNS 서버에 도달할 수 있는지 확인합니다.

9. 분할 터널 활성화(Enable split-tunnel)를 켜거나 끕니다. 기본적으로 VPN 엔드포인트에서 분할 터널은 꺼져 있습니다.

10. VPC ID에서 Client VPN 엔드포인트와 연결할 VPC를 선택합니다. Security Group IDs(보안 그룹 ID)에서 Client VPN 엔드포인트에 적용할 VPC의 보안 그룹을 하나 이상 선택합니다.

11. VPN 포트의 경우 VPN 포트 번호를 선택합니다. 기본값은 443입니다.

12. 클라이언트에 대한 셀프 서비스 포털 URL을 생성하려면 셀프 서비스 포털 활성화(Enable self-service portal)를 켭니다.

13. 세션 제한 시간(Session timeout hours)에서 사용 가능한 옵션에서 원하는 최대 VPN 세션 기간(시간)을 선택하거나 기본값 24시간으로 설정된 상태로 둡니다.

14. 클라이언트 로그인 배너 활성화(Enable client login banner)를 켜거나 끕니다. 클라이언트 로그인 배너를 사용하려면 VPN 세션이 설정될 때 AWS 제공 클라이언트의 배너에 표시될 텍스트를 입력합니다. UTF-8로 인코딩된 문자만 허용됩니다. 최대 1,400자입니다.

15. 클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)을 선택합니다.

Client VPN 엔드포인트를 수정하려면(AWS CLI)

modify-client-vpn-endpoint 명령을 사용합니다.

Client VPN Endpoint 보기

콘솔 또는 AWS CLI를 사용하여 Client VPN 엔드포인트에 대한 정보를 볼 수 있습니다.

Client VPN 엔드포인트를 보려면(콘솔)

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

2. 탐색 창에서 Client VPN 엔드포인트(Client VPN Endpoints)를 선택합니다.

3. 보려는 Client VPN 엔드포인트를 선택합니다.

4. 세부 정보(Details), 대상 네트워크 연결(Target network associations), 보안 그룹(Security groups), 권한 부여 규칙(Authorization rules), 라우팅 테이블(Route table), 연결(Connections) 및 태그(Tags) 탭을 사용하여 기존 Client VPN 엔드포인트에 대한 정보를 봅니다.

   필터를 사용하여 검색을 구체화할 수도 있습니다.

Client VPN 엔드포인트를 보려면(AWS CLI)

describe-client-vpn-endpoints 명령을 사용합니다.

Client VPN 엔드포인트를 삭제합니다.

Client VPN 엔드포인트를 삭제하려면 먼저 모든 대상 네트워크를 연결 해제해야 합니다. Client VPN 엔드포인트를 삭제하면 상태가 deleting으로 전환되고 클라이언트가 더 이상 해당 엔드포인트에 연결할 수 없습니다.

콘솔 또는 AWS CLI를 사용하여 Client VPN 엔드포인트를 삭제할 수 있습니다.

Client VPN 엔드포인트를 삭제하려면(콘솔)

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

2. 탐색 창에서 Client VPN 엔드포인트(Client VPN Endpoints)를 선택합니다.

3. 삭제할 Client VPN 엔드포인트를 선택합니다. 작업(Actions), 클라이언트 VPN 엔드포인트 삭제(Delete Client VPN endpoint)를 선택합니다.

4. 확인 창에 delete를 입력한 다음 삭제(Delete)를 선택합니다.

Client VPN 엔드포인트를 삭제하려면(AWS CLI)

delete-client-vpn-endpoint 명령을 사용합니다.