프라이빗 IP VPN 포함 AWS Direct Connect

사설 IP VPN을 사용하면 공용 IP 주소나 추가 타사 VPN 장비를 사용하지 않고도 온-프레미스 네트워크 간의 트래픽을 암호화하여 IPsec VPN을 배포할 수 있습니다. AWS Direct Connect AWS

사설 IP VPN을 통한 AWS Direct Connect 주요 사용 사례 중 하나는 금융, 의료 및 연방 업계의 고객이 규제 및 규정 준수 목표를 충족하도록 돕는 것입니다. 사설 IP VPN을 AWS Direct Connect 통해 온프레미스 네트워크 간 AWS 트래픽이 안전하고 비공개로 유지되므로 고객이 규제 및 보안 요구 사항을 준수할 수 있습니다.

프라이빗 IP VPN의 이점

• 네트워크 관리 및 운영 간소화: 사설 IP VPN이 없는 고객은 네트워크를 통해 사설 VPN을 구현하기 위해 타사 VPN 및 라우터를 배포해야 합니다. AWS Direct Connect 프라이빗 IP VPN 기능을 사용하면 고객이 자체 VPN 인프라를 배포하고 관리할 필요가 없습니다. 따라서 네트워크 운영이 간소화되고 비용이 절감됩니다.

• 보안 태세 개선: 이전에는 고객이 트래픽을 암호화하는 데 공용 AWS Direct Connect 가상 인터페이스 (VIF) 를 사용해야 했으며 AWS Direct Connect, 이를 위해서는 VPN 엔드포인트에 공용 IP 주소가 필요했습니다. 퍼블릭 IP를 사용하면 외부의 DOS 공격 가능성이 높아져 고객이 네트워크 보호를 위해 추가 보안 장비를 배포해야 합니다. 또한 퍼블릭 VIF는 모든 AWS 공용 서비스와 고객 온-프레미스 네트워크 간의 액세스를 허용하므로 위험의 심각성이 높아집니다. 사설 IP VPN 기능을 사용하면 공용 VIF 대신 AWS Direct Connect 전송 VIF를 통한 암호화와 사설 IP 구성 기능을 함께 사용할 수 있습니다. 이를 통해 암호화뿐 아니라 end-to-end 개인 연결도 제공되므로 전반적인 보안 태세가 개선됩니다.

• 더 커진 경로 규모: 사설 IP VPN 연결은 현재 아웃바운드 경로 200개, 인바운드 경로 100개로 제한되어 있는 AWS Direct Connect 단독 연결에 비해 경로 제한 (아웃바운드 경로 5000개, 인바운드 경로 1,000개) 이 더 높습니다.

프라이빗 IP VPN의 작동 방식

사설 IP Site-to-Site VPN은 AWS Direct Connect 트랜짓 가상 인터페이스 (VIF) 를 통해 작동합니다. AWS Direct Connect 게이트웨이와 전송 게이트웨이를 사용하여 온프레미스 네트워크를 AWS VPC와 상호 연결합니다. 사설 IP VPN 연결의 종료 지점은 측면의 전송 게이트웨이 및 온-프레미스 AWS 측의 고객 게이트웨이 장치에 있습니다. IPsec 터널의 전송 게이트웨이와 고객 게이트웨이 디바이스 끝 모두에 사설 IP 주소를 할당해야 합니다. RFC1918 또는 RFC6598 프라이빗 IPv4 주소 범위의 프라이빗 IP 주소를 사용할 수 있습니다.

전송 게이트웨이에 프라이빗 IP VPN을 연결합니다. 그런 다음 VPN 연결과 전송 게이트웨이에도 연결된 모든 VPC(또는 기타 네트워크) 간에 트래픽을 라우팅합니다. 이를 위해 라우팅 테이블을 VPN에 연결하면 됩니다. 반대 방향으로 VPC에 연결된 라우팅 테이블을 사용하여 VPC에서 프라이빗 IP VPN 연결로 트래픽을 라우팅할 수 있습니다.

VPN 연결과 연결된 라우팅 테이블은 기본 AWS Direct Connect 연결에 연결된 라우팅 테이블과 같거나 다를 수 있습니다. 이를 통해 VPC와 온프레미스 네트워크 간에 암호화된 트래픽과 암호화되지 않은 트래픽을 동시에 라우팅할 수 있습니다.

VPN을 빠져나가는 트래픽 경로에 대한 자세한 내용은 AWS Direct Connect 사용 설명서의 프라이빗 가상 인터페이스 및 트랜짓 가상 인터페이스 라우팅 정책을 참조하십시오.

사전 조건 

AWS Direct Connect를 통한 프라이빗 IP VPN 설정을 완료하려면 다음 리소스가 필요합니다.

• 온프레미스 네트워크와 AWS Direct Connect AWS

• 적절한 트랜짓 AWS Direct Connect 게이트웨이와 연결된 게이트웨이

• 사용 가능한 프라이빗 IP CIDR 블록이 있는 전송 게이트웨이

• 온프레미스 네트워크의 고객 게이트웨이 디바이스 및 해당 AWS 고객 게이트웨이

고객 게이트웨이 생성

고객 게이트웨이는 사용자가 만드는 리소스입니다 AWS. 이는 온프레미스 네트워크의 고객 게이트웨이 디바이스를 나타냅니다. 고객 게이트웨이를 생성할 때 디바이스에 대한 정보를 제공합니다 AWS. 자세한 내용은 고객 게이트웨이를 참조하세요.

콘솔을 사용하여 고객 게이트웨이를 생성하는 방법

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

2. 탐색 창에서 고객 게이트웨이를 선택합니다.

3. 고객 게이트웨이 생성을 선택합니다.

4. (선택 사항) 이름 태그에 고객 게이트웨이 이름을 입력합니다. 이렇게 하면 Name 키와 지정한 값으로 태그가 생성됩니다.

5. BGP ASN에 고객 게이트웨이의 경계 경로 프로토콜(BGP) 자율 시스템 번호(ASN)를 입력합니다.

6. IP 주소(IP address)에 고객 게이트웨이 디바이스의 프라이빗 IP 주소를 입력합니다.

7. (선택 사항) 디바이스(Device)에 이 고객 게이트웨이를 호스트하는 디바이스의 이름을 입력합니다.

8. 고객 게이트웨이 생성을 선택합니다.

명령줄 또는 API를 사용하여 고객 게이트웨이를 생성하는 방법

• CreateCustomer게이트웨이 (아마존 EC2 쿼리 API)

• create-customer-gateway(AWS CLI)

전송 게이트웨이 준비

전송 게이트웨이는 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다. 새 전송 게이트웨이를 생성하거나 기존 전송 게이트웨이를 프라이빗 IP VPN 연결에 사용할 수 있습니다. 전송 게이트웨이를 생성하거나 기존 전송 게이트웨이를 수정할 때 연결에 대한 프라이빗 IP CIDR 블록을 지정합니다.

참고

프라이빗 IP VPN에 연결할 전송 게이트웨이 CIDR 블록을 지정할 때 CIDR 블록이 전송 게이트웨이의 다른 네트워크 연결에 대한 IP 주소와 겹치지 않도록 합니다. IP CIDR 블록이 겹치는 경우 고객 게이트웨이 디바이스에 구성 문제가 발생할 수 있습니다.

사설 IP VPN에 사용할 전송 게이트웨이를 만들거나 수정하는 구체적인 AWS 콘솔 단계는 Amazon VPC 전송 게이트웨이 안내서의 전송 게이트웨이를 참조하십시오.

명령줄 또는 API를 사용하여 전송 게이트웨이를 생성하려면

• CreateTransit게이트웨이 (아마존 EC2 쿼리 API)

• create-transit-gateway(AWS CLI)

게이트웨이 생성 AWS Direct Connect

AWS Direct Connect 사용 설명서의 Direct Connect 게이트웨이 생성 절차에 따라 게이트웨이를 생성합니다. AWS Direct Connect

명령줄 또는 API를 사용하여 AWS Direct Connect 게이트웨이를 만들려면

• CreateDirectConnectGateway(AWS Direct Connect 쿼리 API)

• create-direct-connect-gateway (AWS CLI)

전송 게이트웨이 연결 생성

게이트웨이를 생성한 후 AWS Direct Connect 게이트웨이에 대한 트랜짓 게이트웨이 연결을 생성합니다. AWS Direct Connect 허용된 접두사 목록에서 이전에 식별된 전송 게이트웨이에 대한 프라이빗 IP CIDR을 지정합니다.

자세한 내용은 AWS Direct Connect 사용 설명서의 전송 게이트웨이 연결을 참조하세요.

명령줄 또는 API를 사용하여 AWS Direct Connect 게이트웨이 연결을 만들려면

• CreateDirectConnectGateway연결 (AWS Direct Connect 쿼리 API)

• create-direct-connect-gateway-association(AWS CLI)

VPN 연결 생성

프라이빗 IP 주소를 사용하여 Site-to-Site VPN 연결을 생성하는 방법

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Site-to-Site VPN 연결을 선택합니다.

3. VPN 연결 생성(Create VPN connection)을 선택합니다.

4. (선택 사항) 이름 태그에 Site-to-Site VPN 연결의 이름을 입력합니다. Name 키와 지정한 값으로 태그가 생성됩니다.

5. 대상 게이트웨이 유형(Target gateway type)에서 전송 게이트웨이(Transit gateway)를 선택합니다. 그런 다음 이전에 식별한 전송 게이트웨이를 선택합니다.

6. 고객 게이트웨이(Customer gateway)에서 기존(Existing)을 선택합니다. 그런 다음 이전에 생성한 고객 게이트웨이를 선택합니다.

7. 고객 게이트웨이 디바이스에서 BGP(Border Gateway Protocol)를 지원하는지 여부에 따라 라우팅 옵션 중 하나를 선택합니다.

   • 고객 게이트웨이 디바이스가 BGP를 지원하는 경우 동적(BGP 필요)을 선택합니다.

   • 고객 게이트웨이 디바이스가 BGP를 지원하지 않는 경우 정적을 선택합니다.

8. 터널 내부 IP 버전에서 VPN 터널이 IPv4 트랙을 지원하는지 아니면 IPv6 트래픽을 지원하는지 지정합니다.

9. (선택 사항) 터널 내부 IP 버전에 IPv4를 지정한 경우 VPN 터널을 통한 통신이 허용되는 고객 게이트웨이 및 AWS 측의 IPv4 CIDR 범위를 선택적으로 지정할 수 있습니다. 기본값은 0.0.0.0/0입니다.

   터널 내부 IP 버전에 IPv6을 지정한 경우 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이 및 AWS 측면의 IPv6 CIDR 범위를 선택적으로 지정할 수 있습니다. 두 범위의 기본값은 ::/0입니다.

10. 외부 IP 주소 유형에서는 4를 선택합니다. PrivateIpv

11. 전송 첨부 파일 ID의 경우 적절한 게이트웨이의 전송 AWS Direct Connect 게이트웨이 연결을 선택합니다.

12. VPN 연결 생성을 선택합니다.

참고

가속화 활성화(Enable acceleration) 옵션은 AWS Direct Connect를 통한 VPN 연결에는 적용되지 않습니다.