기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Site-to-Site VPN 로그
AWS Site-to-Site VPN 로그를 통해 Site-to-Site VPN 배포를 심층적으로 파악할 수 있습니다. 이 기능을 사용하면 IPsec(IP Security) 터널 설정, IKE(Internet Key Exchange) 협상 및 DPD(Dead Peer Detection) 프로토콜 메시지에 대한 세부 정보를 제공하는 Site-to-Site VPN 연결 로그에 액세스할 수 있습니다.
사이트-사이트 간 VPN 로그는 Amazon Logs에 게시될 수 있습니다. CloudWatch 이 기능은 고객이 모든 Site-to-Site VPN 연결에 대한 세부 로그를 액세스하고 분석할 수 있는 일관된 단일 방법을 제공합니다.
내용
Site-to-Site VPN 로그의 이점
-
간소화된 VPN 문제 해결: Site-to-Site VPN 로그는 고객 게이트웨이 장치 간의 구성 불일치를 정확히 AWS 찾아내고 초기 VPN 연결 문제를 해결하는 데 도움이 됩니다. 잘못 구성된 설정(예: 제한 시간이 잘못 조정됨)으로 인해 VPN 연결이 시간이 지남에 따라 간헐적으로 플랩되거나, 기본 전송 네트워크(예: 인터넷 날씨)에 문제가 있거나, 라우팅 변경 또는 경로 오류로 인해 VPN을 통한 연결이 중단될 수 있습니다. 이 기능을 사용하면 간헐적인 연결 실패의 원인을 정확하게 진단하고 안정적인 작동을 위해 저수준 터널 구성을 미세 조정할 수 있습니다.
-
중앙 집중식 AWS Site-to-Site VPN 가시성: 사이트 간 VPN 로그는 사이트 간 VPN이 연결되는 다양한 방식 (예: 가상 게이트웨이, Transit Gateway, 인터넷 및 CloudHub 전송 방식 모두 사용) 에 대한 터널 활동 로그를 제공할 수 있습니다. AWS Direct Connect 이 기능은 고객이 모든 Site-to-Site VPN 연결에 대한 세부 로그를 액세스하고 분석할 수 있는 일관된 단일 방법을 제공합니다.
-
보안 및 규정 준수: Amazon CloudWatch Logs로 Site-to-Site VPN 로그를 전송하여 시간 경과에 따른 VPN 연결 상태 및 활동을 회귀적으로 분석할 수 있습니다. 이렇게 하면 규정 준수 및 규제 요구 사항을 충족할 수 있습니다.
Amazon CloudWatch Logs 리소스 정책 크기 제한
CloudWatch 로그 리소스 정책은 5120자로 제한됩니다. CloudWatch Logs는 정책이 이 크기 제한에 근접하는 것을 감지하면 로 시작하는 로그 그룹을 자동으로 활성화합니다. /aws/vendedlogs/
로깅을 활성화하면 Site-to-Site VPN은 지정한 CloudWatch 로그 그룹으로 로그 리소스 정책을 업데이트해야 합니다. CloudWatch 로그 리소스 정책 크기 제한에 도달하지 않으려면 로그 그룹 이름에 접두사를 붙이세요. /aws/vendedlogs/
로그에 게시하기 위한 CloudWatch IAM 요구 사항
로깅 기능이 제대로 작동하려면 기능을 구성하는 데 사용되는 IAM 보안 주체에 연결된 IAM 정책에 최소한 다음 권한이 포함되어야 합니다. Amazon CloudWatch Logs 사용 설명서의 특정 AWS 서비스에서 로깅 활성화 섹션에서도 자세한 내용을 확인할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": [ "*" ], "Effect": "Allow", "Sid": "S2SVPNLogging" }, { "Sid": "S2SVPNLoggingCWL", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
Site-to-Site VPN 로그 구성 보기
현재 터널 로깅 설정을 보려면
https://console.aws.amazon.com/vpc/
에서 Amazon VPC 콘솔을 엽니다. -
탐색 창에서 Site-to-Site VPN 연결(Site-to-Site VPN Connections)을 선택합니다.
-
VPN 연결(VPN connections) 목록에서 보려는 VPN 연결을 선택합니다.
-
터널 세부 정보(Tunnel details) 탭을 선택합니다.
-
터널 1 옵션(Tunnel 1 options) 및 터널 2 옵션(Tunnel 2 options) 섹션을 확장하여 모든 터널 구성 세부 정보를 봅니다.
-
터널 VPN 로그에서 로깅 기능의 현재 상태를, 로그 그룹에서 현재 구성된 CloudWatch 로그 그룹 (있는 경우) 을 볼 수 있습니다. CloudWatch
명령줄 또는 API를 사용하여 Site-to-Site VPN 연결에서 현재 터널 로깅 설정을 보려면 AWS
-
DescribeVpnConnections(아마존 EC2 쿼리 API)
-
describe-vpn-connections
(AWS CLI)
Site-to-Site VPN 로그 사용 설정
참고
기존 VPN 연결 터널에 대해 Site-to-Site VPN 로그를 사용하도록 설정하면 해당 터널을 통한 연결이 몇 분 동안 중단될 수 있습니다. 그러나 각 VPN 연결은 고가용성을 위해 두 개의 터널을 제공하므로 수정되지 않은 터널을 통한 연결을 유지하면서 한 번에 하나의 터널에서 로깅을 사용할 수 있습니다. 자세한 정보는 Site-to-Site VPN 터널 엔드포인트 교체을 참조하세요.
새 Site-to-Site VPN 연결을 생성하는 동안 VPN 로깅을 사용 설정하려면
5단계: VPN 연결 생성의 절차를 따르세요. 9단계 터널 옵션(Tunnel Options)에서 VPN 로깅(VPN logging) 옵션을 포함하여 두 터널에 사용할 모든 옵션을 지정할 수 있습니다. 이러한 옵션에 대한 자세한 내용은 Site-to-Site VPN 연결의 터널 옵션 섹션을 참조하세요.
명령줄 또는 API를 사용하여 새 Site-to-Site VPN 연결에서 터널 로깅을 활성화하려면 AWS
-
CreateVpnConnection(아마존 EC2 쿼리 API)
-
create-vpn-connection
(AWS CLI)
기존 Site-to-Site VPN 연결에 대한 터널 로깅을 사용 설정하려면
https://console.aws.amazon.com/vpc/
에서 Amazon VPC 콘솔을 엽니다. -
탐색 창에서 Site-to-Site VPN 연결(Site-to-Site VPN Connections)을 선택합니다.
-
VPN 연결(VPN connections) 목록에서 수정하려는 VPN 연결을 선택합니다.
-
작업(Actions), VPN 터널 옵션 수정(Modify VPN tunnel options)을 선택합니다.
-
VPN 터널 외부 IP 주소(VPN tunnel outside IP address) 목록에서 적절한 IP 주소를 선택하여 수정할 터널을 선택합니다.
-
터널 활동 로그(Tunnel activity log)에서 활성화(Enable)를 선택합니다.
-
Amazon CloudWatch 로그 그룹에서 로그를 전송할 Amazon CloudWatch 로그 그룹을 선택합니다.
-
(선택 사항) 출력 형식(Output format)에서 로그 출력에 원하는 형식을 json 또는 텍스트(text) 중에서 선택합니다.
-
변경 사항 저장(Save changes)을 선택합니다.
-
(선택 사항) 원하는 경우 다른 터널에 대해 4~9단계를 반복합니다.
명령줄 또는 API를 사용하여 기존 Site-to-Site VPN 연결에서 터널 로깅을 활성화하려면 AWS
-
ModifyVpnTunnelOptions(아마존 EC2 쿼리 API)
-
modify-vpn-tunnel-options
(AWS CLI)
Site-to-Site VPN 로그 사용 중지
Site-to-Site VPN 연결에 대한 터널 로깅을 사용 중지하려면
https://console.aws.amazon.com/vpc/
에서 Amazon VPC 콘솔을 엽니다. -
탐색 창에서 Site-to-Site VPN 연결(Site-to-Site VPN Connections)을 선택합니다.
-
VPN 연결(VPN connections) 목록에서 수정하려는 VPN 연결을 선택합니다.
-
작업(Actions), VPN 터널 옵션 수정(Modify VPN tunnel options)을 선택합니다.
-
VPN 터널 외부 IP 주소(VPN tunnel outside IP address) 목록에서 적절한 IP 주소를 선택하여 수정할 터널을 선택합니다.
-
터널 활동 로그(Tunnel activity log)에서 활성화(Enable)를 선택 해제합니다.
-
변경 사항 저장(Save changes)을 선택합니다.
-
(선택 사항) 원하는 경우 다른 터널에 대해 4~7단계를 반복합니다.
명령줄 또는 API를 사용하여 Site-to-Site VPN 연결에서 터널 로깅을 AWS 비활성화하려면
-
ModifyVpnTunnelOptions(아마존 EC2 쿼리 API)
-
modify-vpn-tunnel-options
(AWS CLI)