AWS Client VPN 작동 방식 - AWS Client VPN

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Client VPN 작동 방식

를 사용하면 AWS Client VPN클라이언트 VPN 엔드포인트와 상호 작용하는 사용자 페르소나에는 관리자와 클라이언트라는 두 가지 유형이 있습니다.

관리자는 서비스 설정 및 구성을 담당합니다. 여기에는 클라이언트 VPN 엔드포인트 생성, 대상 네트워크 연결, 권한 부여 규칙 구성, 추가 경로 설정 (필요한 경우) 이 포함됩니다. 클라이언트 VPN 엔드포인트를 설정하고 구성한 후 관리자는 클라이언트 VPN 엔드포인트 구성 파일을 다운로드하여 액세스가 필요한 클라이언트에게 배포합니다. 클라이언트 VPN 엔드포인트 구성 파일에는 클라이언트 VPN 엔드포인트의 DNS 이름과 VPN 세션을 설정하는 데 필요한 인증 정보가 포함됩니다. 서비스 설정에 대한 자세한 내용은 다음으로 시작하세요 AWS Client VPN 단원을 참조하십시오.

클라이언트가 최종 사용자입니다. VPN세션을 설정하기 위해 클라이언트 VPN 엔드포인트에 연결하는 사람입니다. 클라이언트는 개방형 VPN VPN 클라이언트 애플리케이션을 사용하여 로컬 컴퓨터 또는 모바일 장치에서 VPN 세션을 설정합니다. VPN세션을 설정한 후에는 연결된 서브넷이 위치한 리소스에 안전하게 액세스할 수 있습니다. VPC 또한 필요한 라우팅 및 권한 부여 규칙이 구성된 경우 온프레미스 네트워크 내의 다른 리소스 또는 다른 클라이언트에 액세스할 수 있습니다. AWS VPN세션을 설정하기 위해 클라이언트 VPN 엔드포인트에 연결하는 방법에 대한 자세한 내용은 AWS Client VPN 사용 설명서의 시작하기를 참조하십시오.

다음 그림은 기본 클라이언트 VPN 아키텍처를 보여줍니다.

클라이언트 VPN 아키텍처

클라이언트 시나리오 및 예제 VPN

AWS Client VPN 클라이언트가 양쪽 AWS 네트워크 내의 리소스와 온-프레미스 네트워크에 안전하게 액세스할 수 있도록 하는 데 사용하는 완전 관리형 원격 액세스 VPN 솔루션입니다. 액세스를 구성하는 방법에는 여러 가지 옵션이 있습니다. 이 섹션에서는 클라이언트에 대한 클라이언트 VPN 액세스를 생성하고 구성하는 예를 제공합니다.

시나리오

이 시나리오의 AWS Client VPN 구성에는 단일 대상이 포함됩니다VPC. 클라이언트에게 단일 리소스에 대한 액세스 VPC 권한만 부여해야 하는 경우 이 구성을 사용하는 것이 좋습니다.

VPNa에 액세스하는 클라이언트 VPC

시작하기 전에 다음을 수행하십시오.

  • 하나 이상의 VPC 서브넷으로 a를 만들거나 식별하십시오. 에서 클라이언트 VPN 엔드포인트와 VPC 연결할 서브넷을 식별하고 해당 범위를 기록해 둡니다. IPv4 CIDR

  • 와 겹치지 않는 클라이언트 IP 주소의 적절한 CIDR 범위를 식별하십시오. VPC CIDR

  • 에서 클라이언트 VPN 엔드포인트의 규칙 및 제한을 검토하십시오. 사용 규칙 및 모범 사례 AWS Client VPN

이 구성을 구현하는 방법
  1. 와 같은 지역에 클라이언트 VPN 엔드포인트를 생성하십시오. VPC 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

  2. 서브넷을 클라이언트 VPN 엔드포인트와 연결합니다. 이렇게 하려면 에서 대상 네트워크를 AWS Client VPN 엔드포인트와 연결 설명한 단계를 수행하고 앞서 식별한 서브넷과 서브넷을 VPC 선택합니다.

  3. 클라이언트에게 에 대한 액세스 권한을 부여하는 권한 부여 규칙을 추가합니다. VPC 이렇게 하려면 에 권한 부여 규칙 추가 설명된 단계를 수행하고 대상 네트워크에는 IPv4 CIDR 범위를 입력합니다VPC.

  4. 리소스의 보안 그룹에 규칙을 추가하여 2단계에서 서브넷 연결에 적용된 보안 그룹의 트래픽을 허용합니다. 자세한 내용은 보안 그룹 단원을 참조하십시오.

이 시나리오의 AWS Client VPN 구성에는 추가 VPC (VPCB) 와 피어링되는 대상 VPC (VPCA) 이 포함됩니다. 클라이언트에게 대상 내의 리소스 VPC 및 대상과 함께 피어링된 다른 리소스 (예: VPC B) 에 대한 액세스 권한을 부여해야 VPCs 하는 경우 이 구성을 사용하는 것이 좋습니다.

참고

피어에 대한 액세스를 허용하는 절차 VPC (네트워크 다이어그램 참조) 는 클라이언트 VPN 엔드포인트가 스플릿 터널 모드로 구성된 경우에만 필요합니다. 풀 터널 모드에서는 VPC 피어에 대한 액세스가 기본적으로 허용됩니다.

피어에 VPN 액세스하는 클라이언트 VPC

시작하기 전에 다음을 수행하십시오.

  • 하나 이상의 VPC 서브넷으로 a를 만들거나 식별하십시오. 에서 클라이언트 VPN 엔드포인트와 VPC 연결할 서브넷을 식별하고 해당 범위를 기록해 둡니다. IPv4 CIDR

  • 와 겹치지 않는 클라이언트 IP 주소의 적절한 CIDR 범위를 식별하십시오. VPC CIDR

  • 에서 클라이언트 VPN 엔드포인트의 규칙 및 제한을 검토하십시오. 사용 규칙 및 모범 사례 AWS Client VPN

이 구성을 구현하는 방법
  1. 사이의 VPC 피어링 연결을 설정합니다. VPCs Amazon VPC 피어링 가이드의 VPC피어링 연결 생성 및 수락의 단계를 따르십시오. A의 인스턴스가 피어링 VPC 연결을 사용하여 VPC B의 인스턴스와 통신할 수 있는지 확인하십시오.

  2. VPC대상과 동일한 리전에 클라이언트 VPN 엔드포인트를 생성합니다. 다이어그램에서는 VPC A입니다. 에 설명된 단계를 수행하십시오AWS Client VPN 엔드포인트 생성.

  3. 식별한 서브넷을 생성한 클라이언트 VPN 엔드포인트와 연결합니다. 이렇게 하려면 에 대상 네트워크를 AWS Client VPN 엔드포인트와 연결 설명된 단계를 수행하여 VPC 서브넷을 선택합니다. 기본적으로 의 기본 보안 그룹을 클라이언트 VPN 엔드포인트와 연결합니다. VPC 에서 대상 네트워크에 보안 그룹 적용 AWS Client VPN에 설명된 단계를 사용하여 다른 보안 그룹을 연결할 수 있습니다.

  4. 클라이언트에게 대상에 대한 액세스 권한을 부여하는 권한 부여 규칙을 추가합니다VPC. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 활성화할 대상 네트워크의 IPv4 CIDR 범위를 입력합니다VPC.

  5. 트래픽을 피어로 보내는 경로를 추가합니다. VPC 다이어그램에서 이것은 VPC B입니다. 이렇게 하려면 에 설명된 단계를 수행하십시오. AWS Client VPN 엔드포인트 경로 생성 경로 대상에 피어링 IPv4 CIDR VPC 범위를 입력합니다. 대상 VPC 서브넷 ID의 경우 클라이언트 엔드포인트와 연결한 서브넷을 선택합니다. VPN

  6. 클라이언트에게 피어에 대한 액세스 권한을 부여하는 권한 부여 규칙을 추가합니다. VPC 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 대상 네트워크의 경우 VPC 피어링 IPv4 CIDR 범위를 입력합니다.

  7. A와 VPC B의 인스턴스에 대한 보안 그룹에 규칙을 추가하여 3단계에서 클라이언트 VPN 엔드포인트가 적용된 보안 그룹으로부터의 트래픽을 허용하십시오. VPC 자세한 내용은 보안 그룹 단원을 참조하십시오.

이 시나리오의 AWS Client VPN 구성에는 온프레미스 네트워크에 대한 액세스만 포함됩니다. 클라이언트에게 온프레미스 네트워크 내부의 리소스에 대한 액세스 권한만 부여하면 되는 경우 이 구성을 사용하는 것이 좋습니다.

온프레미스 네트워크에 VPN 액세스하는 클라이언트

시작하기 전에 다음을 수행하십시오.

  • 하나 이상의 VPC 서브넷으로 a를 만들거나 식별하십시오. 에서 클라이언트 VPN 엔드포인트와 VPC 연결할 서브넷을 식별하고 해당 범위를 기록해 둡니다. IPv4 CIDR

  • 와 겹치지 않는 클라이언트 IP 주소의 적절한 CIDR 범위를 식별하십시오. VPC CIDR

  • 에서 클라이언트 VPN 엔드포인트의 규칙 및 제한을 검토하십시오. 사용 규칙 및 모범 사례 AWS Client VPN

이 구성을 구현하는 방법
  1. AWS 사이트 VPN 간 연결을 통해 온프레미스 VPC 네트워크와 자체 온프레미스 네트워크 간의 통신을 활성화합니다. 이렇게 하려면 AWS Site-to-Site VPN 사용 설명서시작하기에 설명된 단계를 수행합니다.

    참고

    또는 온-프레미스 VPC 네트워크와 온-프레미스 네트워크 간의 AWS Direct Connect 연결을 사용하여 이 시나리오를 구현할 수도 있습니다. 자세한 내용은 AWS Direct Connect 사용 설명서를 참조하십시오.

  2. 이전 단계에서 만든 AWS 사이트 간 VPN 연결을 테스트합니다. 이렇게 하려면 사용 설명서의 사이트 간 VPN 연결 테스트에 설명된 단계를 수행하십시오.AWS Site-to-Site VPN VPN연결이 예상대로 작동하면 다음 단계를 계속하십시오.

  3. 와 같은 지역에 클라이언트 VPN 엔드포인트를 생성합니다VPC. 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

  4. 이전에 식별한 서브넷을 클라이언트 VPN 엔드포인트와 연결합니다. 이렇게 하려면 에 설명된 단계를 수행하고 대상 네트워크를 AWS Client VPN 엔드포인트와 연결 및 서브넷을 VPC 선택합니다.

  5. AWS 사이트 간 VPN 연결에 액세스할 수 있는 경로를 추가합니다. 이렇게 하려면 에 설명된 단계를 수행하십시오AWS Client VPN 엔드포인트 경로 생성. 라우팅 대상에 AWS 사이트 간 VPN 연결 IPv4 CIDR 범위를 입력하고, 대상 VPC 서브넷 ID에는 클라이언트 엔드포인트와 연결한 서브넷을 선택합니다. VPN

  6. 클라이언트에게 사이트 간 연결에 대한 액세스 권한을 부여하는 권한 부여 규칙을 추가합니다. AWS VPN 이렇게 하려면 에 설명된 단계를 수행하십시오에 권한 부여 규칙 추가 AWS Client VPN 엔드포인트. 대상 네트워크의 경우 AWS 사이트 간 VPN 연결 범위를 입력합니다. IPv4 CIDR

이 시나리오의 AWS Client VPN 구성에는 단일 VPC 대상과 인터넷 액세스가 포함됩니다. 클라이언트에게 단일 대상 내의 리소스에 대한 액세스 권한을 VPC 부여하고 인터넷 액세스도 허용해야 하는 경우 이 구성을 사용하는 것이 좋습니다.

다음으로 시작하세요 AWS Client VPN 자습서를 완료한 경우 이 시나리오를 이미 구현한 것입니다.

인터넷에 VPN 액세스하는 클라이언트

시작하기 전에 다음을 수행하십시오.

  • 하나 이상의 VPC 서브넷으로 a를 만들거나 식별하십시오. 에서 클라이언트 VPN 엔드포인트와 VPC 연결할 서브넷을 식별하고 해당 범위를 기록해 둡니다. IPv4 CIDR

  • 와 겹치지 않는 클라이언트 IP 주소의 적절한 CIDR 범위를 식별하십시오. VPC CIDR

  • 에서 클라이언트 VPN 엔드포인트의 규칙 및 제한을 검토하십시오. 사용 규칙 및 모범 사례 AWS Client VPN

이 구성을 구현하는 방법
  1. 클라이언트 VPN 엔드포인트에 사용할 보안 그룹이 인터넷으로의 아웃바운드 트래픽을 허용하는지 확인하십시오. 이렇게 하려면 및 트래픽에 대해 0.0.0.0/0으로 트래픽을 허용하는 아웃바운드 규칙을 추가하십시오. HTTP HTTPS

  2. 인터넷 게이트웨이를 만들어 자신의 게이트웨이에 연결하십시오. VPC 자세한 내용은 Amazon VPC 사용 설명서의 Internet Gateway 생성 및 연결을 참조하십시오.

  3. 서브넷 라우팅 테이블에 인터넷 게이트웨이에 대한 라우팅을 추가하여 서브넷을 퍼블릭으로 만듭니다. VPC콘솔에서 [Subnets] 를 선택하고, 클라이언트 VPN 엔드포인트와 연결할 서브넷을 선택하고, Route Table을 선택한 다음, 라우팅 테이블 ID를 선택합니다. 작업을 선택하고, Edit routes(라우팅 편집)을 선택하고, Add route(라우팅 추가)를 선택합니다. 대상 주소0.0.0.0/0을 입력하고, 대상에서 이전 단계의 인터넷 게이트웨이를 선택합니다.

  4. 와 동일한 지역에 클라이언트 VPN 엔드포인트를 생성합니다. VPC 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

  5. 이전에 식별한 서브넷을 클라이언트 VPN 엔드포인트와 연결합니다. 이렇게 하려면 에 설명된 단계를 수행하고 대상 네트워크를 AWS Client VPN 엔드포인트와 연결 및 서브넷을 VPC 선택합니다.

  6. 클라이언트에게 에 대한 액세스 권한을 부여하는 권한 부여 규칙을 추가합니다. VPC 이렇게 하려면 에 권한 부여 규칙 추가 설명된 단계를 수행하고, 활성화할 대상 네트워크에 IPv4 CIDR 범위를 입력합니다VPC.

  7. 인터넷 트래픽을 허용하는 라우팅을 추가합니다. 이렇게 하려면 에 설명된 단계를 수행합니다AWS Client VPN 엔드포인트 경로 생성. 라우팅 대상에 을 입력하고0.0.0.0/0, 대상 VPC 서브넷 ID에는 클라이언트 VPN 엔드포인트와 연결한 서브넷을 선택합니다.

  8. 권한 부여 규칙을 추가하여 클라이언트에 인터넷에 대한 액세스 권한을 부여합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행하고 Destination network(대상 네트워크)0.0.0.0/0을 입력합니다.

  9. 내 리소스의 보안 그룹에 클라이언트 VPC VPN 엔드포인트와 연결된 보안 그룹의 액세스를 허용하는 규칙이 있는지 확인하십시오. 이렇게 하면 클라이언트가 내 리소스에 액세스할 수 있습니다VPC.

이 시나리오의 AWS Client VPN 구성을 통해 클라이언트는 단일 VPC 항목에 액세스할 수 있고 클라이언트는 트래픽을 서로 라우팅할 수 있습니다. 동일한 클라이언트 VPN 엔드포인트에 연결하는 클라이언트가 서로 통신해야 하는 경우에도 이 구성을 사용하는 것이 좋습니다. 클라이언트는 클라이언트 VPN 엔드포인트에 연결할 때 클라이언트 CIDR 범위에서 자신에게 할당된 고유한 IP 주소를 사용하여 서로 통신할 수 있습니다.

C lient-to-client 액세스

시작하기 전에 다음을 수행하십시오.

  • 하나 이상의 VPC 서브넷으로 a를 만들거나 식별하십시오. 에서 클라이언트 VPN 엔드포인트와 VPC 연결할 서브넷을 식별하고 해당 범위를 기록해 둡니다. IPv4 CIDR

  • 와 겹치지 않는 클라이언트 IP 주소의 적절한 CIDR 범위를 식별하십시오. VPC CIDR

  • 에서 클라이언트 VPN 엔드포인트의 규칙 및 제한을 검토하십시오. 사용 규칙 및 모범 사례 AWS Client VPN

참고

Active Directory 그룹 또는 기반 SAML IdP 그룹을 사용하는 네트워크 기반 권한 부여 규칙은 이 시나리오에서 지원되지 않습니다.

이 구성을 구현하는 방법
  1. 와 같은 지역에 클라이언트 VPN 엔드포인트를 생성하십시오. VPC 이렇게 하려면 AWS Client VPN 엔드포인트 생성에 설명된 단계를 수행합니다.

  2. 이전에 식별한 서브넷을 클라이언트 VPN 엔드포인트와 연결합니다. 이렇게 하려면 에 설명된 단계를 수행하고 대상 네트워크를 AWS Client VPN 엔드포인트와 연결 및 서브넷을 VPC 선택합니다.

  3. 라우팅 테이블의 로컬 네트워크에 대한 경로를 추가합니다. 이렇게 하려면 AWS Client VPN 엔드포인트 경로 생성에 설명된 단계를 수행합니다. 라우팅 대상에 클라이언트 CIDR 범위를 입력하고, 대상 VPC 서브넷 ID에는 지정합니다. local

  4. 클라이언트에게 에 대한 액세스 권한을 부여하는 권한 부여 규칙을 추가합니다. VPC 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 활성화할 대상 네트워크의 IPv4 CIDR 범위를 입력합니다VPC.

  5. 클라이언트에게 클라이언트 CIDR 범위에 대한 액세스 권한을 부여하는 권한 부여 규칙을 추가합니다. 이렇게 하려면 권한 부여 규칙 추가에 설명된 단계를 수행합니다. 대상 네트워크를 활성화하려면 클라이언트 CIDR 범위를 입력합니다.

내 특정 리소스에 대한 액세스를 제한하도록 AWS Client VPN 엔드포인트를 구성할 수 있습니다VPC. 사용자 기반 인증의 경우 클라이언트 VPN 엔드포인트에 액세스하는 사용자 그룹을 기반으로 네트워크 일부에 대한 액세스를 제한할 수도 있습니다.

보안 그룹을 사용하여 액세스 제한

대상 네트워크 연결에 적용된 보안 그룹 (클라이언트 VPN 보안 그룹) 을 참조하는 보안 그룹 규칙을 추가하거나 VPC 제거하여 내 특정 리소스에 대한 액세스를 허용하거나 거부할 수 있습니다. 이 구성은 클라이언트를 VPC 사용하여 액세스하십시오. VPN 에서 설명하는 시나리오를 확장합니다. 이 구성은 그 시나리오에서 구성한 권한 부여 규칙에 추가로 적용됩니다.

특정 리소스에 대한 액세스 권한을 부여하려면 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 식별합니다. 그런 다음 클라이언트 VPN 보안 그룹으로부터의 트래픽을 허용하는 규칙을 생성합니다.

다음 다이어그램에서 보안 그룹 A는 클라이언트 VPN 보안 그룹이고, 보안 그룹 B는 EC2 인스턴스와 연결되며, 보안 그룹 C는 EC2 인스턴스와 연결되어 있습니다. 보안 그룹 A로부터의 액세스를 허용하는 규칙을 보안 그룹 B에 추가하면 클라이언트가 보안 그룹 B와 연결된 인스턴스에 액세스할 수 있습니다. 보안 그룹 C에 보안 그룹 A로부터의 액세스를 허용하는 규칙이 없는 경우 클라이언트는 보안 그룹 C와 연결된 인스턴스에 액세스할 수 없습니다.

A의 리소스에 대한 액세스 제한 VPC

시작하기 전에 클라이언트 VPN 보안 그룹이 내 다른 리소스와 연결되어 있는지 확인하세요. VPC 클라이언트 VPN 보안 그룹을 참조하는 규칙을 추가하거나 제거하는 경우 다른 관련 리소스에 대한 액세스도 허용하거나 거부할 수 있습니다. 이를 방지하려면 클라이언트 VPN 엔드포인트와 함께 사용하도록 특별히 생성된 보안 그룹을 사용하십시오.

보안 그룹 규칙을 생성하는 방법
  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 보안 그룹을 선택합니다.

  3. 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 선택합니다.

  4. 작업, 인바운드 규칙 편집을 선택합니다.

  5. Add rule(규칙 추가)를 선택하고 다음을 수행합니다.

    • 유형에서 모든 트래픽 또는 허용할 특정 트래픽 유형을 선택합니다.

    • [Source] 에서 [Custom] 을 선택한 다음 클라이언트 VPN 보안 그룹의 ID를 입력하거나 선택합니다.

  6. 규칙 저장 선택

특정 리소스에 대한 액세스 권한을 제거하려면 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 확인합니다. Client VPN 보안 그룹의 트래픽을 허용하는 규칙이 있는 경우 해당 규칙을 삭제하십시오.

보안 그룹 규칙을 확인하는 방법
  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 보안 그룹을 선택합니다.

  3. 인바운드 규칙을 선택합니다.

  4. 규칙 목록을 검토합니다. 소스가 클라이언트 VPN 보안 그룹인 규칙이 있는 경우 [Edit Rules] 를 선택하고 규칙에 대해 Delete (x 아이콘) 를 선택합니다. 규칙 저장을 선택합니다.

사용자 그룹을 기준으로 액세스 제한

클라이언트 VPN 엔드포인트가 사용자 기반 인증을 사용하도록 구성된 경우 특정 사용자 그룹에 네트워크의 특정 부분에 대한 액세스 권한을 부여할 수 있습니다. 이렇게 하려면 다음 단계를 완료하세요.

  1. AWS Directory Service 또는 IdP에서 사용자 및 그룹을 구성합니다. 자세한 정보는 다음 주제를 참조하세요.

  2. 지정된 그룹이 네트워크 전체 또는 일부에 액세스할 수 있도록 클라이언트 VPN 엔드포인트에 대한 권한 부여 규칙을 생성하십시오. 자세한 내용은 AWS Client VPN 권한 부여 규칙 단원을 참조하십시오.

클라이언트 VPN 엔드포인트가 상호 인증을 위해 구성된 경우 사용자 그룹을 구성할 수 없습니다. 권한 부여 규칙을 생성할 때 모든 사용자에게 액세스 권한을 부여해야 합니다. 특정 사용자 그룹이 네트워크의 특정 부분에 액세스할 수 있도록 하려면 여러 클라이언트 VPN 엔드포인트를 생성할 수 있습니다. 예를 들어, 네트워크에 액세스하는 각 사용자 그룹에 대해 다음을 수행합니다.

  1. 해당 사용자 그룹에 대한 서버 및 클라이언트 인증서 및 키 집합을 생성합니다. 자세한 내용은 의 상호 인증 AWS Client VPN 단원을 참조하십시오.

  2. 클라이언트 VPN 엔드포인트를 생성합니다. 자세한 내용은 AWS Client VPN 엔드포인트 생성 단원을 참조하십시오.

  3. 네트워크의 전체 또는 일부에 대한 액세스 권한을 부여하는 권한 부여 규칙을 생성합니다. 예를 들어 관리자가 사용하는 클라이언트 VPN 엔드포인트의 경우 전체 네트워크에 대한 액세스 권한을 부여하는 권한 부여 규칙을 생성할 수 있습니다. 자세한 내용은 권한 부여 규칙 추가 단원을 참조하십시오.