AWS Site-to-Site VPN 로그

AWS Site-to-Site VPN 로그를 통해 Site-to-Site VPN 배포를 심층적으로 파악할 수 있습니다. 이 기능을 사용하면 IPsec(IP Security) 터널 설정, IKE(Internet Key Exchange) 협상 및 DPD(Dead Peer Detection) 프로토콜 메시지에 대한 세부 정보를 제공하는 Site-to-Site VPN 연결 로그에 액세스할 수 있습니다.

사이트-사이트 간 VPN 로그는 Amazon Logs에 게시될 수 있습니다. CloudWatch 이 기능은 고객이 모든 Site-to-Site VPN 연결에 대한 세부 로그를 액세스하고 분석할 수 있는 일관된 단일 방법을 제공합니다.

내용

• Site-to-Site VPN 로그의 이점
• Amazon CloudWatch Logs 리소스 정책 크기 제한
• Site-to-Site VPN 로그의 내용
• 로그에 게시하기 위한 CloudWatch IAM 요구 사항
• Site-to-Site VPN 로그 구성 보기
• Site-to-Site VPN 로그 사용 설정
• Site-to-Site VPN 로그 사용 중지

Site-to-Site VPN 로그의 이점

• 간소화된 VPN 문제 해결: Site-to-Site VPN 로그는 고객 게이트웨이 장치 간의 구성 불일치를 정확히 AWS 찾아내고 초기 VPN 연결 문제를 해결하는 데 도움이 됩니다. 잘못 구성된 설정(예: 제한 시간이 잘못 조정됨)으로 인해 VPN 연결이 시간이 지남에 따라 간헐적으로 플랩되거나, 기본 전송 네트워크(예: 인터넷 날씨)에 문제가 있거나, 라우팅 변경 또는 경로 오류로 인해 VPN을 통한 연결이 중단될 수 있습니다. 이 기능을 사용하면 간헐적인 연결 실패의 원인을 정확하게 진단하고 안정적인 작동을 위해 저수준 터널 구성을 미세 조정할 수 있습니다.

• 중앙 집중식 AWS Site-to-Site VPN 가시성: 사이트 간 VPN 로그는 사이트 간 VPN이 연결되는 다양한 방식 (예: 가상 게이트웨이, Transit Gateway, 인터넷 및 CloudHub 전송 방식 모두 사용) 에 대한 터널 활동 로그를 제공할 수 있습니다. AWS Direct Connect 이 기능은 고객이 모든 Site-to-Site VPN 연결에 대한 세부 로그를 액세스하고 분석할 수 있는 일관된 단일 방법을 제공합니다.

• 보안 및 규정 준수: Amazon CloudWatch Logs로 Site-to-Site VPN 로그를 전송하여 시간 경과에 따른 VPN 연결 상태 및 활동을 회귀적으로 분석할 수 있습니다. 이렇게 하면 규정 준수 및 규제 요구 사항을 충족할 수 있습니다.

Amazon CloudWatch Logs 리소스 정책 크기 제한

CloudWatch 로그 리소스 정책은 5120자로 제한됩니다. CloudWatch Logs는 정책이 이 크기 제한에 근접하는 것을 감지하면 로 시작하는 로그 그룹을 자동으로 활성화합니다. /aws/vendedlogs/ 로깅을 활성화하면 Site-to-Site VPN은 지정한 CloudWatch 로그 그룹으로 로그 리소스 정책을 업데이트해야 합니다. CloudWatch 로그 리소스 정책 크기 제한에 도달하지 않으려면 로그 그룹 이름에 접두사를 붙이세요. /aws/vendedlogs/

로그에 게시하기 위한 CloudWatch IAM 요구 사항

로깅 기능이 제대로 작동하려면 기능을 구성하는 데 사용되는 IAM 보안 주체에 연결된 IAM 정책에 최소한 다음 권한이 포함되어야 합니다. Amazon CloudWatch Logs 사용 설명서의 특정 AWS 서비스에서 로깅 활성화 섹션에서도 자세한 내용을 확인할 수 있습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow",
      "Sid": "S2SVPNLogging"
    },
    {
      "Sid": "S2SVPNLoggingCWL",
      "Action": [
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}  

Site-to-Site VPN 로그 구성 보기

현재 터널 로깅 설정을 보려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Site-to-Site VPN 연결(Site-to-Site VPN Connections)을 선택합니다.

3. VPN 연결(VPN connections) 목록에서 보려는 VPN 연결을 선택합니다.

4. 터널 세부 정보(Tunnel details) 탭을 선택합니다.

5. 터널 1 옵션(Tunnel 1 options) 및 터널 2 옵션(Tunnel 2 options) 섹션을 확장하여 모든 터널 구성 세부 정보를 봅니다.

6. 터널 VPN 로그에서 로깅 기능의 현재 상태를, 로그 그룹에서 현재 구성된 CloudWatch 로그 그룹 (있는 경우) 을 볼 수 있습니다. CloudWatch

명령줄 또는 API를 사용하여 Site-to-Site VPN 연결에서 현재 터널 로깅 설정을 보려면 AWS

• DescribeVpnConnections(아마존 EC2 쿼리 API)

• describe-vpn-connections (AWS CLI)

Site-to-Site VPN 로그 사용 설정

참고

기존 VPN 연결 터널에 대해 Site-to-Site VPN 로그를 사용하도록 설정하면 해당 터널을 통한 연결이 몇 분 동안 중단될 수 있습니다. 그러나 각 VPN 연결은 고가용성을 위해 두 개의 터널을 제공하므로 수정되지 않은 터널을 통한 연결을 유지하면서 한 번에 하나의 터널에서 로깅을 사용할 수 있습니다. 자세한 정보는 Site-to-Site VPN 터널 엔드포인트 교체을 참조하세요.

새 Site-to-Site VPN 연결을 생성하는 동안 VPN 로깅을 사용 설정하려면

5단계: VPN 연결 생성의 절차를 따르세요. 9단계 터널 옵션(Tunnel Options)에서 VPN 로깅(VPN logging) 옵션을 포함하여 두 터널에 사용할 모든 옵션을 지정할 수 있습니다. 이러한 옵션에 대한 자세한 내용은 Site-to-Site VPN 연결의 터널 옵션 섹션을 참조하세요.

명령줄 또는 API를 사용하여 새 Site-to-Site VPN 연결에서 터널 로깅을 활성화하려면 AWS

• CreateVpnConnection(아마존 EC2 쿼리 API)

• create-vpn-connection (AWS CLI)

기존 Site-to-Site VPN 연결에 대한 터널 로깅을 사용 설정하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Site-to-Site VPN 연결(Site-to-Site VPN Connections)을 선택합니다.

3. VPN 연결(VPN connections) 목록에서 수정하려는 VPN 연결을 선택합니다.

4. 작업(Actions), VPN 터널 옵션 수정(Modify VPN tunnel options)을 선택합니다.

5. VPN 터널 외부 IP 주소(VPN tunnel outside IP address) 목록에서 적절한 IP 주소를 선택하여 수정할 터널을 선택합니다.

6. 터널 활동 로그(Tunnel activity log)에서 활성화(Enable)를 선택합니다.

7. Amazon CloudWatch 로그 그룹에서 로그를 전송할 Amazon CloudWatch 로그 그룹을 선택합니다.

8. (선택 사항) 출력 형식(Output format)에서 로그 출력에 원하는 형식을 json 또는 텍스트(text) 중에서 선택합니다.

9. 변경 사항 저장(Save changes)을 선택합니다.

10. (선택 사항) 원하는 경우 다른 터널에 대해 4~9단계를 반복합니다.

명령줄 또는 API를 사용하여 기존 Site-to-Site VPN 연결에서 터널 로깅을 활성화하려면 AWS

• ModifyVpnTunnelOptions(아마존 EC2 쿼리 API)

• modify-vpn-tunnel-options (AWS CLI)

Site-to-Site VPN 로그 사용 중지

Site-to-Site VPN 연결에 대한 터널 로깅을 사용 중지하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Site-to-Site VPN 연결(Site-to-Site VPN Connections)을 선택합니다.

3. VPN 연결(VPN connections) 목록에서 수정하려는 VPN 연결을 선택합니다.

4. 작업(Actions), VPN 터널 옵션 수정(Modify VPN tunnel options)을 선택합니다.

5. VPN 터널 외부 IP 주소(VPN tunnel outside IP address) 목록에서 적절한 IP 주소를 선택하여 수정할 터널을 선택합니다.

6. 터널 활동 로그(Tunnel activity log)에서 활성화(Enable)를 선택 해제합니다.

7. 변경 사항 저장(Save changes)을 선택합니다.

8. (선택 사항) 원하는 경우 다른 터널에 대해 4~7단계를 반복합니다.

명령줄 또는 API를 사용하여 Site-to-Site VPN 연결에서 터널 로깅을 AWS 비활성화하려면

• ModifyVpnTunnelOptions(아마존 EC2 쿼리 API)

• modify-vpn-tunnel-options (AWS CLI)