Summary
AWS에서 신규 VPN을 추가하려면 Site-to-Site VPN 연결을 생성하고 가상 프라이빗 게이트웨이 또는 트랜짓 게이트웨이와 연결해야 합니다. 주요 구성 요소인 VPN 연결, 고객 게이트웨이, 대상 게이트웨이를 순차적으로 설정하여 온프레미스 네트워크와 AWS VPC를 안전하게 연결할 수 있습니다.
Details
AWS에서 신규 VPN을 추가하는 절차는 다음과 같습니다:
1. 사전 준비 사항
- IAM 권한: ec2:CreateVpnConnection, ec2:CreateCustomerGateway, ec2:CreateVpnGateway 등
- 온프레미스 VPN 장비의 공인 IP 주소 및 BGP ASN 정보
- VPN 터널에 사용할 사전 공유 키(PSK)
2. 고객 게이트웨이(Customer Gateway) 생성
- AWS VPC 콘솔에서 "고객 게이트웨이" 메뉴 선택
- 온프레미스 VPN 장비의 공인 IP 주소 입력
- BGP ASN 값 설정 (기본값: 65000)
- 라우팅 유형 선택 (정적 라우팅 또는 동적 라우팅)
3. 대상 게이트웨이(Target Gateway) 생성
- VPC 콘솔에서 "가상 프라이빗 게이트웨이" 선택하여 생성
- 해당 VPC에 연결(attach) 수행
- 또는 기존 트랜짓 게이트웨이 활용 가능
4. Site-to-Site VPN 연결 생성
- "Site-to-Site VPN 연결" 메뉴에서 새 연결 생성
- 앞서 생성한 고객 게이트웨이와 대상 게이트웨이 선택
- 라우팅 옵션 설정 (정적 라우팅의 경우 라우팅 테이블에 수동으로 온프레미스 CIDR 블록에 대한 경로 추가)
5. 온프레미스 VPN 장비 설정
- AWS에서 제공하는 구성 파일 다운로드
- 온프레미스 VPN 장비에 터널 설정 적용
- 양쪽 터널 모두 활성화하여 이중화 구성
Guidance
고려사항:
- AWS Site-to-Site VPN은 기본적으로 이중화된 두 개의 터널을 제공하므로 고가용성 확보 가능
- 가상 프라이빗 게이트웨이를 사용하는 Site-to-Site VPN의 경우 터널당 최대 1.25Gbps 대역폭 제한이 있으므로 높은 처리량이 필요한 경우 대상 게이트웨이를 ECMP가 활성화되어 있는 트랜짓 게이트웨이로 구성하여 대역폭을 확보할 수 있음
- 트랜짓 게이트웨이를 대상 게이트웨이로 사용하는 Site-to-Site VPN의 경우 Large Bandwidth 옵션을 사용해 터널당 최대 5Gbps의 대역폭을 사용할 수 있음
- BGP를 사용하는 동적 라우팅이 정적 라우팅보다 유연하고 자동화된 장애조치 제공
- VPC 라우팅 테이블 및 보안 그룹에서 온프레미스 CIDR 블록 허용 필요
잠재적 영향:
- PSK 교체나 터널 설정 변경 시 서비스 중단을 최소화하기 위해 한 터널씩 순차적 작업 필요
대안:
- AWS Direct Connect를 통한 전용선 연결로 더 안정적이고 높은 대역폭 확보 가능
- AWS Client VPN으로 개별 클라이언트 기반의 VPN 접근 구성 가능
댓글
댓글 0개
댓글을 남기려면 로그인하세요.