AWS Client VPN 작동 방식

AWS Client VPN를 사용하면 Client VPN 엔드포인트와 상호 작용하는 두 가지 유형의 사용자 페르소나가 있습니다. 바로 관리자 및 클라이언트입니다.

관리자는 서비스 설정 및 구성을 담당합니다. 여기에는 Client VPN 엔드포인트 생성, 대상 네트워크 연결, 권한 부여 규칙 구성, 추가 라우팅 설정(필요한 경우)이 포함됩니다. Client VPN 엔드포인트를 설정하고 구성한 후, 관리자는 Client VPN 엔드포인트 구성 파일을 다운로드하여 액세스가 필요한 클라이언트에 배포합니다. Client VPN 엔드포인트 구성 파일에는 VPN 세션을 설정하는 데 필요한 Client VPN 엔드포인트 및 인증 정보의 DNS 이름이 포함되어 있습니다. 서비스 설정에 대한 자세한 내용은 시작하기 AWS Client VPN 단원을 참조하십시오.

클라이언트가 최종 사용자입니다. 이 사용자는 Client VPN 엔드포인트에 연결하여 VPN 세션을 설정하는 사람입니다. 클라이언트는 로컬 컴퓨터 또는 모바일 디바이스에서 OpenVPN 기반 VPN 클라이언트 애플리케이션을 사용하여 VPN 세션을 설정합니다. VPN 세션이 설정되면 연결된 서브넷이 위치하는 VPC 안의 리소스에 안전하게 액세스할 수 있습니다. 또한 필요한 라우팅 및 권한 부여 규칙이 구성된 경우 AWS온프레미스 네트워크 또는 기타 클라이언트의 다른 리소스에 액세스할 수 있습니다. Client VPN 엔드포인트에 연결하여 VPN 세션을 설정하는 방법에 대한 자세한 내용은 AWS Client VPN 사용 설명서의 시작하기를 참조하세요.

다음 그래픽은 기본 Client VPN 아키텍처를 보여 줍니다.

 Client VPN의 시나리오 및 예제

AWS Client VPN 는 클라이언트가 AWS 및 온프레미스 네트워크 내의 리소스에 안전하게 액세스할 수 있도록 하는 데 사용하는 완전 관리형 원격 액세스 VPN 솔루션입니다. 액세스를 구성하는 방법에는 여러 옵션이 있습니다. 이 단원에서는 클라이언트에 대한 Client VPN 액세스 권한을 생성하고 구성하는 예를 제공합니다.

시나리오

•  Client VPN을 사용하여 VPC 액세스

•  Client VPN을 사용하여 피어링된 VPC 액세스

•  Client VPN을 사용하여 온프레미스 네트워크 액세스

•  Client VPN을 사용하여 인터넷 액세스

•  Client VPN을 사용한 클라이언트 간 액세스

•  Client VPN을 사용한 네트워크 액세스 제한

Client VPN을 사용하여 VPC 액세스

이 시나리오의 AWS Client VPN 구성에는 단일 대상 VPC가 포함됩니다. 클라이언트에게 단일 VPC 내부의 리소스에 대한 액세스 권한만 부여하면 되는 경우 이 구성을 사용하는 것이 좋습니다.

시작하기 전에 다음을 수행하세요.

• 하나 이상의 서브넷이 있는 VPC를 생성하거나 식별합니다. VPC에서 Client VPN 엔드포인트와 연결할 서브넷을 식별하고 해당 IPv4 CIDR 범위를 기록해 둡니다.

• VPC CIDR과 겹치지 않는 클라이언트 IP 주소에 적합한 CIDR 범위를 식별합니다.

• AWS Client VPN사용에 대한 규칙 및 모범 사례에서 Client VPN 엔드포인트에 대한 규칙과 제한 사항을 검토합니다.

이 구성을 구현하는 방법

1. VPC와 동일한 리전에서 Client VPN 엔드포인트를 생성합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

2. 서브넷을 Client VPN 엔드포인트와 연결합니다. 이렇게 하려면 AWS Client VPN 엔드포인트에 대상 네트워크 연결에 설명된 단계를 수행하고 앞에서 식별한 서브넷 및 VPC를 선택합니다.

3. 권한 부여 규칙을 추가하여 클라이언트에 VPC에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행하고 Destination network(대상 네트워크)에 VPC의 IPv4 CIDR 범위를 입력합니다.

4. 리소스의 보안 그룹에 규칙을 추가하여 2단계에서 서브넷 연결에 적용된 보안 그룹의 트래픽을 허용합니다. 자세한 내용은 보안 그룹 단원을 참조하십시오.

 Client VPN을 사용하여 VPC 액세스

이 시나리오의 AWS Client VPN 구성에는 단일 대상 VPC가 포함됩니다. 클라이언트에게 단일 VPC 내부의 리소스에 대한 액세스 권한만 부여하면 되는 경우 이 구성을 사용하는 것이 좋습니다.

시작하기 전에 다음을 수행하세요.

• 하나 이상의 서브넷이 있는 VPC를 생성하거나 식별합니다. VPC에서 Client VPN 엔드포인트와 연결할 서브넷을 식별하고 해당 IPv4 CIDR 범위를 기록해 둡니다.

• VPC CIDR과 겹치지 않는 클라이언트 IP 주소에 적합한 CIDR 범위를 식별합니다.

• AWS Client VPN사용에 대한 규칙 및 모범 사례에서 Client VPN 엔드포인트에 대한 규칙과 제한 사항을 검토합니다.

이 구성을 구현하는 방법

1. VPC와 동일한 리전에서 Client VPN 엔드포인트를 생성합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

2. 서브넷을 Client VPN 엔드포인트와 연결합니다. 이렇게 하려면 AWS Client VPN 엔드포인트에 대상 네트워크 연결에 설명된 단계를 수행하고 앞에서 식별한 서브넷 및 VPC를 선택합니다.

3. 권한 부여 규칙을 추가하여 클라이언트에 VPC에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행하고 Destination network(대상 네트워크)에 VPC의 IPv4 CIDR 범위를 입력합니다.

4. 리소스의 보안 그룹에 규칙을 추가하여 2단계에서 서브넷 연결에 적용된 보안 그룹의 트래픽을 허용합니다. 자세한 내용은 보안 그룹 단원을 참조하십시오.

Client VPN을 사용하여 피어링된 VPC 액세스

이 시나리오의 AWS Client VPN 구성에는 추가 VPC(VPC B)와 피어링되는 대상 VPC(VPC A)가 포함됩니다. 클라이언트에게 대상 VPC 및 이와 피어링된 다른 VPC(예: VPC B) 내부의 리소스에 대한 액세스 권한을 부여해야 하는 경우 이 구성을 사용하는 것이 좋습니다.

참고

아래 네트워크 다이어그램에 설명된 피어링된 VPC에 대한 액세스가 가능한 절차는 Client VPN 엔드포인트가 분할 터널 모드에 대해 구성된 경우에만 필요합니다. 전체 터널 모드에서는 피어링된 VPC 대한 액세스가 기본적으로 허용됩니다.

시작하기 전에 다음을 수행하세요.

• 하나 이상의 서브넷이 있는 VPC를 생성하거나 식별합니다. VPC에서 Client VPN 엔드포인트와 연결할 서브넷을 식별하고 해당 IPv4 CIDR 범위를 기록해 둡니다.

• VPC CIDR과 겹치지 않는 클라이언트 IP 주소에 적합한 CIDR 범위를 식별합니다.

• AWS Client VPN사용에 대한 규칙 및 모범 사례에서 Client VPN 엔드포인트에 대한 규칙과 제한 사항을 검토합니다.

이 구성을 구현하는 방법

1. VPC 사이에 VPC 피어링 연결을 설정합니다. Amazon VPC 피어링 가이드의 VPC 피어링 연결 생성 및 수락에 있는 단계를 따릅니다. VPC A의 인스턴스에서 피어링 연결을 사용하여 VPC B의 인스턴스와 통신할 수 있는지 확인합니다.

2. 대상 VPC와 동일한 리전에서 Client VPN 엔드포인트를 생성합니다. 다이어그램에서 이것은 VPC A입니다. AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

3. 식별한 서브넷을 생성한 Client VPN 엔드포인트와 연결합니다. 이렇게 하려면 AWS Client VPN 엔드포인트에 대상 네트워크 연결에 설명된 단계를 수행하고 VPC와 서브넷을 선택합니다. 기본적으로 VPC의 기본 보안 그룹을 Client VPN 엔드포인트와 연결합니다. AWS Client VPN의 대상 네트워크에 보안 그룹 적용에 설명된 단계를 사용하여 다른 보안 그룹을 연결할 수 있습니다.

4. 권한 부여 규칙을 추가하여 클라이언트에 대상 VPC에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 활성화할 대상 네트워크(Destination network to enable)에 VPC의 IPv4 CIDR 범위를 입력합니다.

5. 라우팅을 추가하여 트래픽을 피어링된 VPC로 전달합니다. 다이어그램에서 이것은 VPC B입니다. 이렇게 하려면 AWS Client VPN 엔드포인트 경로 생성에 설명된 단계를 수행합니다. 라우팅 대상에 피어링된 VPC의 IPv4 CIDR 범위를 입력합니다. 대상 VPC 서브넷 ID에서 Client VPN 엔드포인트에 연결한 서브넷을 선택합니다.

6. 권한 부여 규칙을 추가하여 클라이언트에 피어링된 VPC에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 대상 네트워크에 피어링된 VPC의 IPv4 CIDR 범위를 입력합니다.

7. VPC A 및 VPC B에 있는 인스턴스의 보안 그룹에 규칙을 추가하여 3단계에서 Client VPN 엔드포인트에 적용된 보안 그룹의 트래픽을 허용합니다. 자세한 내용은 보안 그룹 단원을 참조하십시오.

 Client VPN을 사용하여 피어링된 VPC 액세스

이 시나리오의 AWS Client VPN 구성에는 추가 VPC(VPC B)와 피어링되는 대상 VPC(VPC A)가 포함됩니다. 클라이언트에게 대상 VPC 및 이와 피어링된 다른 VPC(예: VPC B) 내부의 리소스에 대한 액세스 권한을 부여해야 하는 경우 이 구성을 사용하는 것이 좋습니다.

참고

아래 네트워크 다이어그램에 설명된 피어링된 VPC에 대한 액세스가 가능한 절차는 Client VPN 엔드포인트가 분할 터널 모드에 대해 구성된 경우에만 필요합니다. 전체 터널 모드에서는 피어링된 VPC 대한 액세스가 기본적으로 허용됩니다.

시작하기 전에 다음을 수행하세요.

• 하나 이상의 서브넷이 있는 VPC를 생성하거나 식별합니다. VPC에서 Client VPN 엔드포인트와 연결할 서브넷을 식별하고 해당 IPv4 CIDR 범위를 기록해 둡니다.

• VPC CIDR과 겹치지 않는 클라이언트 IP 주소에 적합한 CIDR 범위를 식별합니다.

• AWS Client VPN사용에 대한 규칙 및 모범 사례에서 Client VPN 엔드포인트에 대한 규칙과 제한 사항을 검토합니다.

이 구성을 구현하는 방법

1. VPC 사이에 VPC 피어링 연결을 설정합니다. Amazon VPC 피어링 가이드의 VPC 피어링 연결 생성 및 수락에 있는 단계를 따릅니다. VPC A의 인스턴스에서 피어링 연결을 사용하여 VPC B의 인스턴스와 통신할 수 있는지 확인합니다.

2. 대상 VPC와 동일한 리전에서 Client VPN 엔드포인트를 생성합니다. 다이어그램에서 이것은 VPC A입니다. AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

3. 식별한 서브넷을 생성한 Client VPN 엔드포인트와 연결합니다. 이렇게 하려면 AWS Client VPN 엔드포인트에 대상 네트워크 연결에 설명된 단계를 수행하고 VPC와 서브넷을 선택합니다. 기본적으로 VPC의 기본 보안 그룹을 Client VPN 엔드포인트와 연결합니다. AWS Client VPN의 대상 네트워크에 보안 그룹 적용에 설명된 단계를 사용하여 다른 보안 그룹을 연결할 수 있습니다.

4. 권한 부여 규칙을 추가하여 클라이언트에 대상 VPC에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 활성화할 대상 네트워크(Destination network to enable)에 VPC의 IPv4 CIDR 범위를 입력합니다.

5. 라우팅을 추가하여 트래픽을 피어링된 VPC로 전달합니다. 다이어그램에서 이것은 VPC B입니다. 이렇게 하려면 AWS Client VPN 엔드포인트 경로 생성에 설명된 단계를 수행합니다. 라우팅 대상에 피어링된 VPC의 IPv4 CIDR 범위를 입력합니다. 대상 VPC 서브넷 ID에서 Client VPN 엔드포인트에 연결한 서브넷을 선택합니다.

6. 권한 부여 규칙을 추가하여 클라이언트에 피어링된 VPC에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 대상 네트워크에 피어링된 VPC의 IPv4 CIDR 범위를 입력합니다.

7. VPC A 및 VPC B에 있는 인스턴스의 보안 그룹에 규칙을 추가하여 3단계에서 Client VPN 엔드포인트에 적용된 보안 그룹의 트래픽을 허용합니다. 자세한 내용은 보안 그룹 단원을 참조하십시오.

Client VPN을 사용하여 온프레미스 네트워크 액세스

이 시나리오의 AWS Client VPN 구성에는 온프레미스 네트워크에 대한 액세스만 포함됩니다. 클라이언트에게 온프레미스 네트워크 내부의 리소스에 대한 액세스 권한만 부여하면 되는 경우 이 구성을 사용하는 것이 좋습니다.

시작하기 전에 다음을 수행하세요.

• 하나 이상의 서브넷이 있는 VPC를 생성하거나 식별합니다. VPC에서 Client VPN 엔드포인트와 연결할 서브넷을 식별하고 해당 IPv4 CIDR 범위를 기록해 둡니다.

• VPC CIDR과 겹치지 않는 클라이언트 IP 주소에 적합한 CIDR 범위를 식별합니다.

• AWS Client VPN사용에 대한 규칙 및 모범 사례에서 Client VPN 엔드포인트에 대한 규칙과 제한 사항을 검토합니다.

이 구성을 구현하는 방법

1. AWS Site-to-Site VPN 연결을 통해 VPC와 자체 온프레미스 네트워크 간의 통신을 활성화합니다. 이렇게 하려면 AWS Site-to-Site VPN 사용 설명서의 시작하기에 설명된 단계를 수행합니다.

   참고

   또는 VPC와 온프레미스 네트워크 간의 AWS Direct Connect 연결을 사용하여이 시나리오를 구현할 수 있습니다. 자세한 내용은 AWS Direct Connect 사용 설명서를 참조하십시오.

2. 이전 단계에서 생성한 AWS Site-to-Site VPN 연결을 테스트합니다. 이렇게 하려면 AWS Site-to-Site VPN 사용 설명서의 Site-to-Site VPN 연결 테스트에 설명된 단계를 수행합니다. VPN 연결이 예상대로 작동하면 다음 단계로 이동합니다.

3. VPC와 동일한 리전에서 Client VPN 엔드포인트를 생성합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

4. 앞에서 식별한 서브넷을 Client VPN 엔드포인트와 연결합니다. 이렇게 하려면 AWS Client VPN 엔드포인트에 대상 네트워크 연결에 설명된 단계를 수행하고 VPC 및 서브넷을 선택합니다.

5. AWS Site-to-Site VPN 연결에 대한 액세스를 허용하는 경로를 추가합니다. 이렇게 하려면에 설명된 단계를 수행합니다. 라우팅 대상AWS Client VPN 엔드포인트 경로 생성의 경우 AWS Site-to-Site VPN 연결의 IPv4 CIDR 범위를 입력하고 대상 VPC 서브넷 ID의 경우 Client VPN 엔드포인트와 연결한 서브넷을 선택합니다.

6. 권한 부여 규칙을 추가하여 클라이언트에게 AWS Site-to-Site VPN 연결에 대한 액세스 권한을 부여합니다. 이렇게 하려면에 설명된 단계를 수행합니다. 대상 네트워크에AWS Client VPN 엔드포인트에 권한 부여 규칙 추가는 AWS Site-to-Site VPN 연결 IPv4 CIDR 범위를 입력합니다.

 Client VPN을 사용하여 온프레미스 네트워크 액세스

이 시나리오의 AWS Client VPN 구성에는 온프레미스 네트워크에 대한 액세스만 포함됩니다. 클라이언트에게 온프레미스 네트워크 내부의 리소스에 대한 액세스 권한만 부여하면 되는 경우 이 구성을 사용하는 것이 좋습니다.

시작하기 전에 다음을 수행하세요.

• 하나 이상의 서브넷이 있는 VPC를 생성하거나 식별합니다. VPC에서 Client VPN 엔드포인트와 연결할 서브넷을 식별하고 해당 IPv4 CIDR 범위를 기록해 둡니다.

• VPC CIDR과 겹치지 않는 클라이언트 IP 주소에 적합한 CIDR 범위를 식별합니다.

• AWS Client VPN사용에 대한 규칙 및 모범 사례에서 Client VPN 엔드포인트에 대한 규칙과 제한 사항을 검토합니다.

이 구성을 구현하는 방법

1. AWS Site-to-Site VPN 연결을 통해 VPC와 자체 온프레미스 네트워크 간의 통신을 활성화합니다. 이렇게 하려면 AWS Site-to-Site VPN 사용 설명서의 시작하기에 설명된 단계를 수행합니다.

   참고

   또는 VPC와 온프레미스 네트워크 간의 AWS Direct Connect 연결을 사용하여이 시나리오를 구현할 수 있습니다. 자세한 내용은 AWS Direct Connect 사용 설명서를 참조하십시오.

2. 이전 단계에서 생성한 AWS Site-to-Site VPN 연결을 테스트합니다. 이렇게 하려면 AWS Site-to-Site VPN 사용 설명서의 Site-to-Site VPN 연결 테스트에 설명된 단계를 수행합니다. VPN 연결이 예상대로 작동하면 다음 단계로 이동합니다.

3. VPC와 동일한 리전에서 Client VPN 엔드포인트를 생성합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

4. 앞에서 식별한 서브넷을 Client VPN 엔드포인트와 연결합니다. 이렇게 하려면 AWS Client VPN 엔드포인트에 대상 네트워크 연결에 설명된 단계를 수행하고 VPC 및 서브넷을 선택합니다.

5. AWS Site-to-Site VPN 연결에 대한 액세스를 허용하는 경로를 추가합니다. 이렇게 하려면에 설명된 단계를 수행합니다. 라우팅 대상AWS Client VPN 엔드포인트 경로 생성의 경우 AWS Site-to-Site VPN 연결의 IPv4 CIDR 범위를 입력하고 대상 VPC 서브넷 ID의 경우 Client VPN 엔드포인트와 연결한 서브넷을 선택합니다.

6. 권한 부여 규칙을 추가하여 클라이언트에게 AWS Site-to-Site VPN 연결에 대한 액세스 권한을 부여합니다. 이렇게 하려면에 설명된 단계를 수행합니다. 대상 네트워크에AWS Client VPN 엔드포인트에 권한 부여 규칙 추가는 AWS Site-to-Site VPN 연결 IPv4 CIDR 범위를 입력합니다.

Client VPN을 사용하여 인터넷 액세스

이 시나리오의 AWS Client VPN 구성에는 단일 대상 VPC와 인터넷 액세스가 포함됩니다. 클라이언트에게 단일 대상 VPC 내부의 리소스에 대한 액세스 권한을 부여하고 인터넷 액세스를 허용해야 하는 경우 이 구성을 사용하는 것이 좋습니다.

시작하기 AWS Client VPN 자습서를 완료한 경우 이 시나리오를 이미 구현한 것입니다.

시작하기 전에 다음을 수행하세요.

• 하나 이상의 서브넷이 있는 VPC를 생성하거나 식별합니다. VPC에서 Client VPN 엔드포인트와 연결할 서브넷을 식별하고 해당 IPv4 CIDR 범위를 기록해 둡니다.

• VPC CIDR과 겹치지 않는 클라이언트 IP 주소에 적합한 CIDR 범위를 식별합니다.

• AWS Client VPN사용에 대한 규칙 및 모범 사례에서 Client VPN 엔드포인트에 대한 규칙과 제한 사항을 검토합니다.

이 구성을 구현하는 방법

1. Client VPN 엔드포인트에 사용할 보안 그룹이 인터넷으로의 아웃바운드 트래픽을 허용하는지 확인합니다. 이렇게 하려면 HTTP 및 HTTPS 트래픽에 대해 0.0.0.0/0으로의 트래픽을 허용하는 아웃바운드 규칙을 추가합니다.

2. 인터넷 게이트웨이를 생성하여 VPC에 연결합니다. 자세한 내용은 Amazon VPC 사용 설명서의 인터넷 게이트웨이 생성 및 연결을 참조하세요.

3. 서브넷 라우팅 테이블에 인터넷 게이트웨이에 대한 라우팅을 추가하여 서브넷을 퍼블릭으로 만듭니다. VPC 콘솔에서 서브넷을 선택하고, Client VPN 엔드포인트에 연결할 서브넷을 선택한 다음, 라우팅 테이블을 선택하고, 라우팅 테이블 ID를 선택합니다. 작업을 선택하고, Edit routes(라우팅 편집)을 선택하고, Add route(라우팅 추가)를 선택합니다. 대상 주소에 0.0.0.0/0을 입력하고, 대상에서 이전 단계의 인터넷 게이트웨이를 선택합니다.

4. VPC와 동일한 리전에서 Client VPN 엔드포인트를 생성합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

5. 앞에서 식별한 서브넷을 Client VPN 엔드포인트와 연결합니다. 이렇게 하려면 AWS Client VPN 엔드포인트에 대상 네트워크 연결에 설명된 단계를 수행하고 VPC 및 서브넷을 선택합니다.

6. 권한 부여 규칙을 추가하여 클라이언트에 VPC에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행하고 Destination network to enable(활성화할 대상 네트워크)에 VPC의 IPv4 CIDR 범위를 입력합니다.

7. 인터넷 트래픽을 허용하는 라우팅을 추가합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 경로 생성에 설명된 단계를 수행합니다. Route destination(라우팅 대상)에 0.0.0.0/0을 입력하고 Target VPC Subnet ID(대상 VPC 서브넷 ID)에서 Client VPN 엔드포인트에 연결한 서브넷을 선택합니다.

8. 권한 부여 규칙을 추가하여 클라이언트에 인터넷에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행하고 Destination network(대상 네트워크)에 0.0.0.0/0을 입력합니다.

9. VPC의 리소스에 대한 보안 그룹에 Client VPN 엔드포인트와 연결된 보안 그룹에서의 액세스를 허용하는 규칙이 있는지 확인합니다. 이렇게 하면 클라이언트가 VPC의 리소스에 액세스할 수 있습니다.

 Client VPN을 사용하여 인터넷 액세스

이 시나리오의 AWS Client VPN 구성에는 단일 대상 VPC와 인터넷 액세스가 포함됩니다. 클라이언트에게 단일 대상 VPC 내부의 리소스에 대한 액세스 권한을 부여하고 인터넷 액세스를 허용해야 하는 경우 이 구성을 사용하는 것이 좋습니다.

시작하기 AWS Client VPN 자습서를 완료한 경우 이 시나리오를 이미 구현한 것입니다.

시작하기 전에 다음을 수행하세요.

• 하나 이상의 서브넷이 있는 VPC를 생성하거나 식별합니다. VPC에서 Client VPN 엔드포인트와 연결할 서브넷을 식별하고 해당 IPv4 CIDR 범위를 기록해 둡니다.

• VPC CIDR과 겹치지 않는 클라이언트 IP 주소에 적합한 CIDR 범위를 식별합니다.

• AWS Client VPN사용에 대한 규칙 및 모범 사례에서 Client VPN 엔드포인트에 대한 규칙과 제한 사항을 검토합니다.

이 구성을 구현하는 방법

1. Client VPN 엔드포인트에 사용할 보안 그룹이 인터넷으로의 아웃바운드 트래픽을 허용하는지 확인합니다. 이렇게 하려면 HTTP 및 HTTPS 트래픽에 대해 0.0.0.0/0으로의 트래픽을 허용하는 아웃바운드 규칙을 추가합니다.

2. 인터넷 게이트웨이를 생성하여 VPC에 연결합니다. 자세한 내용은 Amazon VPC 사용 설명서의 인터넷 게이트웨이 생성 및 연결을 참조하세요.

3. 서브넷 라우팅 테이블에 인터넷 게이트웨이에 대한 라우팅을 추가하여 서브넷을 퍼블릭으로 만듭니다. VPC 콘솔에서 서브넷을 선택하고, Client VPN 엔드포인트에 연결할 서브넷을 선택한 다음, 라우팅 테이블을 선택하고, 라우팅 테이블 ID를 선택합니다. 작업을 선택하고, Edit routes(라우팅 편집)을 선택하고, Add route(라우팅 추가)를 선택합니다. 대상 주소에 0.0.0.0/0을 입력하고, 대상에서 이전 단계의 인터넷 게이트웨이를 선택합니다.

4. VPC와 동일한 리전에서 Client VPN 엔드포인트를 생성합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

5. 앞에서 식별한 서브넷을 Client VPN 엔드포인트와 연결합니다. 이렇게 하려면 AWS Client VPN 엔드포인트에 대상 네트워크 연결에 설명된 단계를 수행하고 VPC 및 서브넷을 선택합니다.

6. 권한 부여 규칙을 추가하여 클라이언트에 VPC에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행하고 Destination network to enable(활성화할 대상 네트워크)에 VPC의 IPv4 CIDR 범위를 입력합니다.

7. 인터넷 트래픽을 허용하는 라우팅을 추가합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 경로 생성에 설명된 단계를 수행합니다. Route destination(라우팅 대상)에 0.0.0.0/0을 입력하고 Target VPC Subnet ID(대상 VPC 서브넷 ID)에서 Client VPN 엔드포인트에 연결한 서브넷을 선택합니다.

8. 권한 부여 규칙을 추가하여 클라이언트에 인터넷에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행하고 Destination network(대상 네트워크)에 0.0.0.0/0을 입력합니다.

9. VPC의 리소스에 대한 보안 그룹에 Client VPN 엔드포인트와 연결된 보안 그룹에서의 액세스를 허용하는 규칙이 있는지 확인합니다. 이렇게 하면 클라이언트가 VPC의 리소스에 액세스할 수 있습니다.

Client VPN을 사용한 클라이언트 간 액세스

이 시나리오의 AWS Client VPN 구성을 사용하면 클라이언트가 단일 VPC에 액세스할 수 있고 클라이언트가 트래픽을 서로 라우팅할 수 있습니다. 동일한 Client VPN 엔드포인트에 연결하는 클라이언트도 서로 통신해야 하는 경우 이 구성을 사용하는 것이 좋습니다. 클라이언트는 Client VPN 엔드포인트에 연결할 때 클라이언트 CIDR 범위에서 할당된 고유한 IP 주소를 사용하여 서로 통신할 수 있습니다.

시작하기 전에 다음을 수행하세요.

• 하나 이상의 서브넷이 있는 VPC를 생성하거나 식별합니다. VPC에서 Client VPN 엔드포인트와 연결할 서브넷을 식별하고 해당 IPv4 CIDR 범위를 기록해 둡니다.

• VPC CIDR과 겹치지 않는 클라이언트 IP 주소에 적합한 CIDR 범위를 식별합니다.

• AWS Client VPN사용에 대한 규칙 및 모범 사례에서 Client VPN 엔드포인트에 대한 규칙과 제한 사항을 검토합니다.

참고

이 시나리오에서는 Active Directory 그룹 또는 SAML 기반 IdP 그룹을 사용하는 네트워크 기반 권한 부여 규칙을 지원하지 않습니다.

이 구성을 구현하는 방법

1. VPC와 동일한 리전에서 Client VPN 엔드포인트를 생성합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

2. 앞에서 식별한 서브넷을 Client VPN 엔드포인트와 연결합니다. 이렇게 하려면 AWS Client VPN 엔드포인트에 대상 네트워크 연결에 설명된 단계를 수행하고 VPC 및 서브넷을 선택합니다.

3. 라우팅 테이블의 로컬 네트워크에 대한 경로를 추가합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 경로 생성에 설명된 단계를 수행합니다. 라우팅 대상(Route destination)에 클라이언트 CIDR 범위를 입력하고 대상 VPC 서브넷 ID(Target VPC Subnet ID)에서 local을 지정합니다.

4. 권한 부여 규칙을 추가하여 클라이언트에 VPC에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 활성화할 대상 네트워크(Destination network to enable)에 VPC의 IPv4 CIDR 범위를 입력합니다.

5. 권한 부여 규칙을 추가하여 클라이언트에 클라이언트 CIDR 범위에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 활성화할 대상 네트워크(Destination network to enable)에 클라이언트 CIDR 범위를 입력합니다.

 Client VPN을 사용한 클라이언트 간 액세스

이 시나리오의 AWS Client VPN 구성을 사용하면 클라이언트가 단일 VPC에 액세스할 수 있고 클라이언트가 트래픽을 서로 라우팅할 수 있습니다. 동일한 Client VPN 엔드포인트에 연결하는 클라이언트도 서로 통신해야 하는 경우 이 구성을 사용하는 것이 좋습니다. 클라이언트는 Client VPN 엔드포인트에 연결할 때 클라이언트 CIDR 범위에서 할당된 고유한 IP 주소를 사용하여 서로 통신할 수 있습니다.

시작하기 전에 다음을 수행하세요.

• 하나 이상의 서브넷이 있는 VPC를 생성하거나 식별합니다. VPC에서 Client VPN 엔드포인트와 연결할 서브넷을 식별하고 해당 IPv4 CIDR 범위를 기록해 둡니다.

• VPC CIDR과 겹치지 않는 클라이언트 IP 주소에 적합한 CIDR 범위를 식별합니다.

• AWS Client VPN사용에 대한 규칙 및 모범 사례에서 Client VPN 엔드포인트에 대한 규칙과 제한 사항을 검토합니다.

참고

이 시나리오에서는 Active Directory 그룹 또는 SAML 기반 IdP 그룹을 사용하는 네트워크 기반 권한 부여 규칙을 지원하지 않습니다.

이 구성을 구현하는 방법

1. VPC와 동일한 리전에서 Client VPN 엔드포인트를 생성합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

2. 앞에서 식별한 서브넷을 Client VPN 엔드포인트와 연결합니다. 이렇게 하려면 AWS Client VPN 엔드포인트에 대상 네트워크 연결에 설명된 단계를 수행하고 VPC 및 서브넷을 선택합니다.

3. 라우팅 테이블의 로컬 네트워크에 대한 경로를 추가합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 경로 생성에 설명된 단계를 수행합니다. 라우팅 대상(Route destination)에 클라이언트 CIDR 범위를 입력하고 대상 VPC 서브넷 ID(Target VPC Subnet ID)에서 local을 지정합니다.

4. 권한 부여 규칙을 추가하여 클라이언트에 VPC에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 활성화할 대상 네트워크(Destination network to enable)에 VPC의 IPv4 CIDR 범위를 입력합니다.

5. 권한 부여 규칙을 추가하여 클라이언트에 클라이언트 CIDR 범위에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 활성화할 대상 네트워크(Destination network to enable)에 클라이언트 CIDR 범위를 입력합니다.

Client VPN을 사용한 네트워크 액세스 제한

VPC의 특정 리소스에 대한 액세스를 제한하도록 AWS Client VPN 엔드포인트를 구성할 수 있습니다. 사용자 기반 인증의 경우 Client VPN 엔드포인트에 액세스하는 사용자 그룹을 기반으로 네트워크 일부에 대한 액세스를 제한할 수도 있습니다.

보안 그룹을 사용하여 액세스 제한

대상 네트워크 연결(Client VPN 보안 그룹)에 적용된 보안 그룹을 참조하는 보안 그룹 규칙을 추가하거나 제거하여 VPC의 특정 리소스에 대한 액세스를 부여하거나 거부할 수 있습니다. 이 구성은  Client VPN을 사용하여 VPC 액세스에서 설명하는 시나리오를 확장합니다. 이 구성은 그 시나리오에서 구성한 권한 부여 규칙에 추가로 적용됩니다.

특정 리소스에 대한 액세스 권한을 부여하려면 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 식별합니다. 그런 다음 Client VPN 보안 그룹의 트래픽을 허용하는 규칙을 생성합니다.

다음 다이어그램에서 보안 그룹 A는 Client VPN 보안 그룹이고, 보안 그룹 B는 EC2 인스턴스와 연결되며, 보안 그룹 C는 EC2 인스턴스와 연결됩니다. 보안 그룹 A로부터의 액세스를 허용하는 규칙을 보안 그룹 B에 추가하면 클라이언트가 보안 그룹 B와 연결된 인스턴스에 액세스할 수 있습니다. 보안 그룹 C에 보안 그룹 A로부터의 액세스를 허용하는 규칙이 없는 경우 클라이언트는 보안 그룹 C와 연결된 인스턴스에 액세스할 수 없습니다.

시작하기 전에 Client VPN 보안 그룹이 VPC의 다른 리소스와 연결되어 있는지 확인하세요. Client VPN 보안 그룹을 참조하는 규칙을 추가하거나 제거하는 경우 연결된 다른 리소스에 대한 액세스 권한도 부여하거나 거부할 수 있습니다. 이 문제를 방지하려면 Client VPN 엔드포인트에 사용하기 위해 특별히 생성된 보안 그룹을 사용합니다.

보안 그룹 규칙을 생성하는 방법

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 보안 그룹(Security Groups)을 선택합니다.

3. 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 선택합니다.

4. 작업, 인바운드 규칙 편집을 선택합니다.

5. Add rule(규칙 추가)를 선택하고 다음을 수행합니다.

   • 유형에서 모든 트래픽 또는 허용할 특정 트래픽 유형을 선택합니다.

   • 소스에서 사용자 지정을 선택한 다음 Client VPN 보안 그룹의 ID를 입력하거나 선택합니다.

6. 규칙 저장 선택

특정 리소스에 대한 액세스 권한을 제거하려면 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 확인합니다. Client VPN 보안 그룹의 트래픽을 허용하는 규칙이 있으면 해당 규칙을 삭제합니다.

보안 그룹 규칙을 확인하는 방법

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 보안 그룹(Security Groups)을 선택합니다.

3. 인바운드 규칙을 선택합니다.

4. 규칙 목록을 검토합니다. 소스가 Client VPN 보안 그룹인 규칙이 있는 경우 규칙 편집을 선택하고 규칙에 대해 삭제(x 아이콘)를 선택합니다. 규칙 저장을 선택합니다.

사용자 그룹을 기준으로 액세스 제한

Client VPN 엔드포인트가 사용자 기반 인증에 맞게 구성된 경우, 네트워크의 특정 부분에 대한 액세스 권한을 특정 사용자 그룹에 부여할 수 있습니다. 이렇게 하려면 다음 단계를 완료하세요.

1. AWS Directory Service 또는 IdP에서 사용자 및 그룹을 구성합니다. 자세한 정보는 다음의 주제를 참조하세요.

   • Client VPN에서의 Active Directory 인증

   • SAML 기반 연동 인증에 대한 요구 사항 및 고려 사항

2. 지정된 그룹이 네트워크 전체 또는 일부에 액세스할 수 있도록 허용하는 Client VPN 엔드포인트에 대한 권한 부여 규칙을 생성합니다. 자세한 내용은 AWS Client VPN 권한 부여 규칙 단원을 참조하세요.

Client VPN 엔드포인트가 상호 인증에 맞게 구성된 경우 사용자 그룹을 구성할 수 없습니다. 권한 부여 규칙을 생성할 때 모든 사용자에게 액세스 권한을 부여해야 합니다. 특정 사용자 그룹이 네트워크의 특정 부분에 액세스할 수 있도록 하려면 여러 Client VPN 엔드포인트를 생성할 수 있습니다. 예를 들어, 네트워크에 액세스하는 각 사용자 그룹에 대해 다음을 수행합니다.

1. 해당 사용자 그룹에 대한 서버 및 클라이언트 인증서 및 키 집합을 생성합니다. 자세한 내용은 의 상호 인증 AWS Client VPN 단원을 참조하세요.

2. Client VPN 엔드포인트를 생성합니다. 자세한 내용은 AWS Client VPN 엔드포인트 생성 단원을 참조하세요.

3. 네트워크의 전체 또는 일부에 대한 액세스 권한을 부여하는 권한 부여 규칙을 생성합니다. 예를 들어, 관리자가 사용하는 Client VPN 엔드포인트의 경우 전체 네트워크에 대한 액세스 권한을 부여하는 권한 부여 규칙을 생성할 수 있습니다. 자세한 내용은 권한 부여 규칙 추가 단원을 참조하십시오.

 Client VPN을 사용한 네트워크 액세스 제한

VPC의 특정 리소스에 대한 액세스를 제한하도록 AWS Client VPN 엔드포인트를 구성할 수 있습니다. 사용자 기반 인증의 경우 Client VPN 엔드포인트에 액세스하는 사용자 그룹을 기반으로 네트워크 일부에 대한 액세스를 제한할 수도 있습니다.

보안 그룹을 사용하여 액세스 제한

대상 네트워크 연결(Client VPN 보안 그룹)에 적용된 보안 그룹을 참조하는 보안 그룹 규칙을 추가하거나 제거하여 VPC의 특정 리소스에 대한 액세스를 부여하거나 거부할 수 있습니다. 이 구성은  Client VPN을 사용하여 VPC 액세스에서 설명하는 시나리오를 확장합니다. 이 구성은 그 시나리오에서 구성한 권한 부여 규칙에 추가로 적용됩니다.

특정 리소스에 대한 액세스 권한을 부여하려면 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 식별합니다. 그런 다음 Client VPN 보안 그룹의 트래픽을 허용하는 규칙을 생성합니다.

다음 다이어그램에서 보안 그룹 A는 Client VPN 보안 그룹이고, 보안 그룹 B는 EC2 인스턴스와 연결되며, 보안 그룹 C는 EC2 인스턴스와 연결됩니다. 보안 그룹 A로부터의 액세스를 허용하는 규칙을 보안 그룹 B에 추가하면 클라이언트가 보안 그룹 B와 연결된 인스턴스에 액세스할 수 있습니다. 보안 그룹 C에 보안 그룹 A로부터의 액세스를 허용하는 규칙이 없는 경우 클라이언트는 보안 그룹 C와 연결된 인스턴스에 액세스할 수 없습니다.

시작하기 전에 Client VPN 보안 그룹이 VPC의 다른 리소스와 연결되어 있는지 확인하세요. Client VPN 보안 그룹을 참조하는 규칙을 추가하거나 제거하는 경우 연결된 다른 리소스에 대한 액세스 권한도 부여하거나 거부할 수 있습니다. 이 문제를 방지하려면 Client VPN 엔드포인트에 사용하기 위해 특별히 생성된 보안 그룹을 사용합니다.

보안 그룹 규칙을 생성하는 방법

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 보안 그룹(Security Groups)을 선택합니다.

3. 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 선택합니다.

4. 작업, 인바운드 규칙 편집을 선택합니다.

5. Add rule(규칙 추가)를 선택하고 다음을 수행합니다.

   • 유형에서 모든 트래픽 또는 허용할 특정 트래픽 유형을 선택합니다.

   • 소스에서 사용자 지정을 선택한 다음 Client VPN 보안 그룹의 ID를 입력하거나 선택합니다.

6. 규칙 저장 선택

특정 리소스에 대한 액세스 권한을 제거하려면 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 확인합니다. Client VPN 보안 그룹의 트래픽을 허용하는 규칙이 있으면 해당 규칙을 삭제합니다.

보안 그룹 규칙을 확인하는 방법

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 보안 그룹(Security Groups)을 선택합니다.

3. 인바운드 규칙을 선택합니다.

4. 규칙 목록을 검토합니다. 소스가 Client VPN 보안 그룹인 규칙이 있는 경우 규칙 편집을 선택하고 규칙에 대해 삭제(x 아이콘)를 선택합니다. 규칙 저장을 선택합니다.

사용자 그룹을 기준으로 액세스 제한

Client VPN 엔드포인트가 사용자 기반 인증에 맞게 구성된 경우, 네트워크의 특정 부분에 대한 액세스 권한을 특정 사용자 그룹에 부여할 수 있습니다. 이렇게 하려면 다음 단계를 완료하세요.

1. AWS Directory Service 또는 IdP에서 사용자 및 그룹을 구성합니다. 자세한 정보는 다음의 주제를 참조하세요.

   • Client VPN에서의 Active Directory 인증

   • SAML 기반 연동 인증에 대한 요구 사항 및 고려 사항

2. 지정된 그룹이 네트워크 전체 또는 일부에 액세스할 수 있도록 허용하는 Client VPN 엔드포인트에 대한 권한 부여 규칙을 생성합니다. 자세한 내용은 AWS Client VPN 권한 부여 규칙 단원을 참조하세요.

Client VPN 엔드포인트가 상호 인증에 맞게 구성된 경우 사용자 그룹을 구성할 수 없습니다. 권한 부여 규칙을 생성할 때 모든 사용자에게 액세스 권한을 부여해야 합니다. 특정 사용자 그룹이 네트워크의 특정 부분에 액세스할 수 있도록 하려면 여러 Client VPN 엔드포인트를 생성할 수 있습니다. 예를 들어, 네트워크에 액세스하는 각 사용자 그룹에 대해 다음을 수행합니다.

1. 해당 사용자 그룹에 대한 서버 및 클라이언트 인증서 및 키 집합을 생성합니다. 자세한 내용은 의 상호 인증 AWS Client VPN 단원을 참조하세요.

2. Client VPN 엔드포인트를 생성합니다. 자세한 내용은 AWS Client VPN 엔드포인트 생성 단원을 참조하세요.

3. 네트워크의 전체 또는 일부에 대한 액세스 권한을 부여하는 권한 부여 규칙을 생성합니다. 예를 들어, 관리자가 사용하는 Client VPN 엔드포인트의 경우 전체 네트워크에 대한 액세스 권한을 부여하는 권한 부여 규칙을 생성할 수 있습니다. 자세한 내용은 권한 부여 규칙 추가 단원을 참조하십시오.