VPN CloudHub를 사용하여 사이트 간에 보안 통신 제공 - AWS Site-to-Site VPN

VPN CloudHub를 사용하여 사이트 간에 보안 통신 제공

다수의 AWS Site-to-Site VPN 연결을 사용하는 경우 AWS VPN CloudHub로 사이트 간에 보안 통신을 제공할 수 있습니다. 이를 통해 원격 사이트가 VPC 뿐만 아니라 서로 통신할 수 있습니다. VPN CloudHub는 VPC와 함께 또는 VPC 없이 사용할 수 있는 간단한 허브 앤 스포크 모델에서 작동합니다. 이러한 설계는 여러 지사가 있고 기존 인터넷 연결을 사용하는 사용자가 원격 지사 간에 기본 또는 백업 연결을 위해 편리하고도 경제적인 허브 앤 스포크 모델을 구현하고자 할 때 적합합니다.

사이트의 IP 범위가 서로 중복되어서는 안 됩니다.

개요

다음 다이어그램은 VPN CloudHub 아키텍처를 보여 주며, 파란색 점선은 Site-to-Site VPN 연결을 통해 라우팅되는 원격 사이트 간의 네트워크 트래픽을 나타냅니다.


              CloudHub 다이어그램

이 시나리오의 경우 다음을 수행합니다.

  1. 단일 가상 프라이빗 게이트웨이를 생성합니다.

  2. 각각 게이트웨이의 퍼블릭 IP 주소를 사용하여 여러 고객 게이트웨이를 만듭니다. 각 고객 게이트웨이의 고유한 BGP(Border Gateway Protocol) ASN(자율 시스템 번호)을 사용해야 합니다.

  3. 각 고객 게이트웨이에서 공통 가상 프라이빗 게이트웨이로 동적으로 라우팅된 Site-to-Site VPN 연결을 생성합니다.

  4. 사이트에 특정한 접두사(예: 10.0.0.0/24, 10.0.1.0/24)를 가상 프라이빗 게이트웨이에 알리도록 고객 게이트웨이 디바이스를 구성합니다. 이처럼 라우팅을 공급하면 각 BGP 피어에서 이를 수신하여 다시 공급함으로써 각 사이트는 다른 사이트와 데이터를 주고받을 수 있습니다. 그러기 위해서 Site-to-Site VPN 연결에 사용되는 VPN 구성 파일에 네트워크 명령문을 사용합니다. 네트워크 명령문은 사용하는 라우터 유형에 따라 약간 다릅니다.

  5. VPC의 인스턴스가 사이트와 통신할 수 있도록 서브넷 라우팅 테이블의 경로를 구성합니다. 자세한 내용은 (가상 프라이빗 게이트웨이) 라우팅 테이블에서 라우팅 전파 활성화 단원을 참조하십시오. 라우팅 테이블에서 집계 경로를 구성할 수 있습니다(예: 10.0.0.0/16). 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 간에 보다 구체적인 접두사를 사용하십시오.

가상 프라이빗 게이트웨이에 대해 AWS Direct Connect 연결을 사용하는 사이트도 AWS VPN CloudHub의 일부가 될 수 있습니다. 예를 들어, 뉴욕 본사에서는 VPC에 대해 AWS Direct Connect 연결을 설정할 수 있고, 지사에서는 VPC에 대해 Site-to-Site VPN 연결을 사용할 수 있습니다. 로스앤젤레스와 마이애미의 지사는 데이터를 서로 주고받을 수 있고, 본사와도 주고받을 수 있습니다. 이들 모두는 AWS VPN CloudHub를 사용합니다.

요금

AWS VPN CloudHub를 사용할 경우 일반 Amazon VPC Site-to-Site VPN 연결 요금이 청구됩니다. 각 VPN이 가상 프라이빗 게이트웨이로 연결될 때 시간당 연결 요금이 청구됩니다. AWS VPN CloudHub를 사용하여 한 사이트에서 다른 사이트로 데이터를 전송할 경우 해당 사이트에서 가상 프라이빗 게이트웨이로 데이터를 전송하는 데 따른 비용은 없습니다. 가상 프라이빗 게이트웨이에서 엔드포인트까지 릴레이되는 데이터의 스탠다드 AWS 데이터 전송 요금만 청구됩니다.

예를 들어, 로스앤젤레스에 한 사이트, 뉴욕에 두 번째 사이트가 있으며 두 사이트에 모두 가상 프라이빗 게이트웨이에 대한 Site-to-Site VPN 연결이 설정되어 있는 경우, 각 Site-to-Site VPN 연결에 대해 시간당 요금이 청구됩니다(요금이 시간당 0.05 USD인 경우 총 시간당 총 0.10 USD). 또한 각 Site-to-Site VPN 연결을 통과하는 LA에서 뉴욕으로(그리고 그 반대로) 전송하는 모든 데이터에 대해 표준 AWS 데이터 전송 요금을 지불해야 합니다. Site-to-Site VPN 연결을 통해 가상 프라이빗 게이트웨이로 전송되는 네트워크 트래픽은 무료이지만 Site-to-Site VPN 연결을 통해 가상 프라이빗 게이트웨이에서 엔드포인트로 전송되는 네트워크 트래픽에는 표준 AWS 데이터 전송 요금이 청구됩니다.

자세한 내용은 Site-to-Site VPN 연결 요금을 참조하십시오.