AWS Site-to-Site VPN
사용 설명서

AWS Site-to-Site VPN이란 무엇입니까?

기본적으로 Amazon VPC로 시작하는 인스턴스는 자체(원격) 네트워크와 통신할 수 없습니다. VPC에 가상 프라이빗 게이트웨이를 연결하고 사용자 지정 라우팅 테이블을 생성하며 보안 그룹 규칙을 업데이트하고 AWS Site-to-Site VPN(Site-to-Site VPN) 연결을 생성하여 VPC에서 원격 네트워크에 액세스하도록 할 수 있습니다.

VPN 연결이라는 용어는 일반적인 용어지만 이 설명서에서 VPN 연결은 VPC와 자체 네트워크 사이의 연결을 의미합니다. Site-to-Site VPN은 인터넷 프로토콜 보안(IPsec) VPN 연결을 지원합니다.

Site-to-Site VPN 연결은 AWS Classic VPN 또는 AWS VPN입니다. 자세한 내용은 AWS Site-to-Site VPN 범주 단원을 참조하십시오.

중요

현재 Site-to-Site VPN 연결을 통한 IPv6 트래픽은 지원하지 않습니다.

Site-to-Site VPN의 구성 요소

Site-to-Site VPN 연결은 다음과 같은 구성 요소로 이루어집니다. Site-to-Site VPN 제한에 대한 자세한 내용은 Amazon VPC 사용 설명서Amazon VPC 제한을 참조하십시오.

가상 프라이빗 게이트웨이

가상 프라이빗 게이트웨이는 Site-to-Site VPN 연결의 Amazon 측 VPN 집신기입니다. 가상 프라이빗 게이트웨이를 만든 후 Site-to-Site VPN 연결을 생성할 VPC에 연결합니다.

가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 프라이빗 자율 시스템 번호(ASN)를 지정할 수 있습니다. ASN을 지정하지 않는 경우 가상 프라이빗 게이트웨이는 기본 ASN(64512)으로 생성됩니다. 가상 프라이빗 게이트웨이를 만든 후에는 ASN을 변경할 수 없습니다. ASN에서 가상 프라이빗 게이트웨이를 확인하려면, Amazon VPC 콘솔의 가상 프라이빗 게이트웨이 화면의 세부 정보를 확인하거나 describe-vpn-gateways AWS CLI 명령을 사용합니다.

참고

2018-06-30 이전에 가상 프라이빗 게이트웨이를 생성한 경우, 기본 ASN은 아시아 태평양(싱가포르) 리전에서 17493이고, 아시아 태평양(도쿄) 리전에서 10124이고, EU(아일랜드) 리전에서 9059이며, 그 외 모든 리전에서 7224입니다.

AWS Transit Gateway

AWS Site-to-Site VPN 연결의 대상 게이트웨이를 가상 프라이빗 게이트웨이에서 전송 게이트웨이로 수정할 수 있습니다. 전송 게이트웨이는 가상 사설 클라우드(VPC)와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 전송 허브입니다. 자세한 내용은 Site-to-Site VPN 연결의 대상 게이트웨이 수정 단원을 참조하십시오.

고객 게이트웨이

고객 게이트웨이는 Site-to-Site VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션입니다.

Site-to-Site VPN 연결을 생성하기 위해 AWS에서 고객 게이트웨이 디바이스에 대한 정보를 AWS에 제공하는 고객 게이트웨이 리소스를 만들어야 합니다. 다음 표는 고객 게이트웨이 리소스를 만들 때 필요한 정보에 대한 설명입니다.

항목 설명

고객 게이트웨이 외부 인터페이스의 인터넷 라우팅 가능 IP 주소(고정)

퍼블릭 IP 주소 값은 고정 주소여야 합니다. 고객 게이트웨이가 NAT-T(NAT traversal)를 지원하는 NAT(Network Address Translation) 디바이스 뒤에 상주하는 경우 NAT 디바이스의 퍼블릭 IP 주소를 사용하고 방화벽 규칙을 수정하여 UDP 포트 4500 차단을 해제합니다.

정적 또는 동적—라우팅 유형

자세한 정보는 Site-to-Site VPN 라우팅 옵션 단원을 참조하십시오.

(동적 라우팅만 해당) 고객 게이트웨이의 BGP(Border Gateway Protocol) ASN(자율 시스템 번호)

네트워크에 할당된 기존 ASN을 사용할 수 있습니다. 기존 ASN이 없는 경우에는 (64512–65534 범위의) 프라이빗 ASN을 사용할 수 있습니다.

콘솔에서 VPC 마법사를 사용하여 VPC를 설정하는 경우 자동으로 65000이 ASN으로 사용됩니다.

Site-to-Site VPN 연결에서 Amazon VPC를 사용하려면 사용자 또는 네트워크 관리자가 원격 네트워크에서 고객 게이트웨이 디바이스 또는 애플리케이션도 구성해야 합니다. Site-to-Site VPN 연결을 생성하고 나면 사용자에게 필요한 구성 정보가 제공되고 네트워크 관리자가 대개 이 구성을 수행합니다. 고객 게이트웨이 요구 사항 및 구성에 대한 정보는 Amazon VPC 네트워크 관리자 안내서고객 게이트웨이 단원을 참조하십시오.

Site-to-Site VPN 연결의 사용자 쪽에서 트래픽이 생성될 때 VPN 터널이 가동됩니다. 가상 프라이빗 게이트웨이는 개시 장치가 아닙니다. 고객 게이트웨이가 터널을 시작해야 합니다. Site-to-Site VPN 연결에 유휴 시간이 발생할 경우(대개 10초, 구성에 따라 다름) 터널이 다운될 수 있습니다. 이를 방지하기 위해 네트워크 모니터링 도구를 사용하여 keepalive ping을 생성할 수 있습니다(예: IP SLA 사용).

Amazon VPC 항목을 사용하여 테스트한 고객 게이트웨이 목록은 Amazon Virtual Private Cloud FAQ를 참조하십시오.

AWS Site-to-Site VPN 범주

Site-to-Site VPN 연결은 AWS Classic VPN 연결 또는 AWS VPN 연결입니다. 새로 만든 Site-to-Site VPN 연결은 AWS VPN 연결입니다. 다음 기능은 AWS VPN 연결에서만 지원됩니다.

  • IKEv2(Internet Key Exchange version 2)

  • NAT 순회

  • 4바이트 ASN(2바이트 ASN 외에)

  • CloudWatch 지표

  • 고객 게이트웨이에서 재사용 가능한 IP 주소

  • AES 256비트 암호화, SHA-2 해싱, 추가 Diffie-Hellman 그룹을 포함한 추가 암호화 옵션

  • 구성 가능 터널 옵션

  • Amazon 측의 BGP 세션에서 사용자 지정 프라이빗 ASN

Amazon VPC 콘솔 또는 명령줄 도구를 사용하여 Site-to-Site VPN 연결 범주를 확인할 수 있습니다.

콘솔을 사용하여 Site-to-Site VPN 범주를 식별하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Site-to-Site VPN 연결을 선택합니다.

  3. Site-to-Site VPN 연결을 선택하고, 세부 정보 창에서 범주 값을 확인합니다. VPN 값은 AWS VPN 연결을 나타냅니다. VPN-Classic 값은 AWS Classic VPN 연결을 나타냅니다.

명령줄 도구를 사용해서 Site-to-Site VPN 범주를 식별하는 방법

  • describe-vpn-connections AWS CLI 명령을 사용할 수 있습니다. 반환된 출력에 표시된 Category 값을 메모해 둡니다. VPN 값은 AWS VPN 연결을 나타냅니다. VPN-Classic 값은 AWS Classic VPN 연결을 나타냅니다.

    다음 예제에서 Site-to-Site VPN 연결은 AWS VPN 연결입니다.

    aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1a2b3c4d
    { "VpnConnections": [ { "VpnConnectionId": "vpn-1a2b3c4d", ... "State": "available", "VpnGatewayId": "vgw-11aa22bb", "CustomerGatewayId": "cgw-ab12cd34", "Type": "ipsec.1", "Category": "VPN" } ] }

또는 다음 명령 중 하나를 사용합니다.

AWS Classic VPN에서 AWS VPN으로 마이그레이션

기존 Site-to-Site VPN 연결이 AWS Classic VPN 연결인 경우, 새 가상 프라이빗 게이트웨이 및 Site-to-Site VPN 연결을 만들고 VPC에서 이전 가상 프라이빗 게이트웨이를 분리하고 VPC에 새 가상 프라이빗 게이트웨이를 연결하여 AWS VPN 연결로 마이그레이션할 수 있습니다.

기존 가상 프라이빗 게이트웨이가 여러 Site-to-Site VPN 연결과 연결된 경우 새 가상 프라이빗 게이트웨이에서 각 Site-to-Site VPN 연결을 다시 만들어야 합니다. 가상 프라이빗 게이트웨이에 여러 AWS Direct Connect 프라이빗 가상 인터페이스가 연결되어 있으면, 새 가상 프라이빗 게이트웨이에 각 프라이빗 가상 인터페이스를 다시 만들어야 합니다. 자세한 정보는 AWS Direct Connect 사용 설명서가상 인터페이스 생성 단원을 참조하십시오.

기존 Site-to-Site VPN 연결이 AWS VPN 연결인 경우 AWS Classic VPN 연결로 마이그레이션할 수 없습니다.

참고

이 절차를 수행하는 동안 경로 전파를 비활성화하고 VPC에서 이전 가상 프라이빗 게이트웨이를 분리하면 현재 VPC 연결을 통한 연결이 중단됩니다. 새 가상 프라이빗 게이트웨이가 VPC에 연결되고 새 Site-to-Site VPN 연결이 활성화되어 있으면 연결이 복원됩니다. 예상된 가동 중지를 계획해야 합니다.

AWS VPN 연결로 마이그레이션하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Virtual Private Gateways], [Create Virtual Private Gateway]를 선택하고 가상 프라이빗 게이트웨이를 생성합니다.

  3. 탐색 창에서 Site-to-Site VPN 연결, VPN 연결 생성을 차례로 선택합니다. 다음 정보를 지정하고 [Yes, Create]를 선택합니다.

    • [Virtual Private Gateway]: 이전 단계에서 만든 가상 프라이빗 게이트웨이를 선택합니다.

    • 고객 게이트웨이: 기존을 선택하고 현재 AWS Classic VPN 연결에 대해 기존 고객 게이트웨이를 선택합니다.

    • 필요에 따라 라우팅 옵션을 지정합니다.

  4. 새 Site-to-Site VPN 연결을 선택한 후 구성 다운로드를 선택합니다. 고객 게이트웨이 디바이스에 적절한 구성을 다운로드합니다.

  5. 고객 게이트웨이 디바이스에서 VPN 터널을 구성할 구성 파일을 사용합니다. 예제는 Amazon VPC 네트워크 관리자 안내서를 참조하십시오. 아직 터널을 활성화하지 마십시오. 새로 구성된 터널을 비활성화된 상태로 유지하는 방법에 대한 지침이 필요하면 벤더에 문의하십시오.

  6. (선택 사항) 테스트 VPC를 만들고 가상 프라이빗 게이트웨이를 이 테스트 VPC에 연결합니다. 필요에 따라 암호화 도메인/소스 대상 주소를 변경하고 로컬 네트워크의 호스트에서 테스트 VPC의 테스트 인스턴스로 연결을 테스트합니다.

  7. 라우팅 테이블에서 라우팅 전파를 사용하고 있는 경우 탐색 창에서 [Route Tables]를 선택합니다. VPC에서 라우팅 테이블을 선택하고 [Route Propagation], [Edit]를 선택합니다. 이전 가상 프라이빗 게이트웨이 확인란 선택을 취소하고 [Save]를 선택합니다.

    참고

    이 단계부터는 새 가상 프라이빗 게이트웨이가 연결되고 새 Site-to-Site VPN 연결이 활성화될 때까지 연결이 중단됩니다.

  8. 탐색 창에서 [Virtual Private Gateways]를 선택합니다. 이전 가상 프라이빗 게이트웨이를 선택하고 작업, VPC에서 분리, 예, 분리를 선택합니다. 새 가상 프라이빗 게이트웨이를 선택하고 작업, VPC에 연결을 선택합니다. Site-to-Site VPN 연결에서 VPC를 지정하고 예, 연결을 선택합니다.

  9. 탐색 창에서 [Route Tables]를 선택합니다. VPC에서 라우팅 테이블을 선택하고 다음 작업 중 하나를 수행합니다.

    • 라우팅 전파를 사용하고 있는 경우 [Route Propagation], [Edit]를 선택합니다. VPC에 연결된 새 가상 프라이빗 게이트웨이를 선택한 후 [Save]를 선택합니다.

    • 정적 라우팅을 사용하고 있는 경우 [Routes], [Edit]를 선택합니다. 경로가 새 가상 프라이빗 게이트웨이를 가리키도록 수정하고 [Save]를 선택합니다.

  10. 고객 게이트웨이 디바이스에서 새 터널을 활성화하고 이전 터널을 비활성화합니다. 터널을 가져오려면 로컬 네트워크에서 연결을 시작해야 합니다.

    해당하는 경우, 라우팅 테이블을 확인하여 경로가 전파되고 있는지 보장합니다. VPN 터널 상태가 UP인 경우 경로는 라우팅 테이블로 전파합니다.

    참고

    이전 구성으로 되돌리려면 새 가상 프라이빗 게이트웨이를 분리하고 8단계 및 9단계를 수행하여 이전 가상 프라이빗 게이트웨이를 다시 연결하고 경로를 업데이트합니다.

  11. AWS Classic VPN 연결이 더 이상 필요하지 않아 요금을 계속 청구하지 않으려면 고객 게이트웨이 디바이스에서 이전 터널 구성을 제거하고 Site-to-Site VPN 연결을 삭제합니다. 이렇게 하려면 Site-to-Site VPN 연결로 이동하고, Site-to-Site VPN 연결을 선택한 다음 삭제를 선택합니다.

    중요

    AWS Classic VPN 연결을 삭제한 후에는 새로운 AWS VPN 연결을 AWS Classic VPN 연결로 되돌리거나 마이그레이션할 수 없습니다.