AWS Site-to-Site VPN
- VPC는 구축했으나 특정 구조가 있는 기업 데이터 센터를 AWS와 비공개로 연결하려면
(즉, VPC 네트워크를 기업 데이터 센터 네트워크에 연결하려면)
기업은 고객 게이트웨이를, VPC는 VPN 게이트웨이를 갖춰야 함
이를 위해 공용 인터넷을 통해 사설 Site-to-Site VPN을 연결해야 함 - VPN 연결이라서 공용 인터넷을 거치기는 하지만 암호화되어 있음
- VPN을 위해서는 두 가지가 필요
1) Virtual Private Gateway (VGW)
2) Customer Gateway (CGW) - 가상 프라이빗 게이트웨이 (VGW)
VPN 연결에서 AWS 측에 있는 VPN 집선기 (concentrator)으로 생성되면 Site-toSite VPN 연결을 생성하려는 VPC에 연결됨
ASN(Autonomous System Number)을 지정할 수 있음 - 고객 게이트웨이 (CGW)
고객이 갖춰야하는 소프트웨어 혹은 물리적 장치로 VPN 연결에서 데이터 센터 측에 속함
Site-to-Site VPN Connections
- 고객 게이트웨이가 있는 기업 데이터 센터와 가상 프라이빗 게이트웨이를 갖춘 VPC가 있을 때
온프레미스 고객 게이트웨이를 어떻게 구축해야하며 어떤 IP 주소를 사용해야 할까 - 고객 게이트웨이가 공용이라면 인터넷 라우팅이 가능한 IP 주소가 고객 게이트웨이 장치에 있으므로
고객 게이트웨이의 공용 IP를 사용해 VGW와 CGW를 연결하며
고객 게이트웨이를 비공개로 남겨 사설 IP를 가질 수도 있는데 이 경우 대부분 NAT-T를 활성화하는 NAT 장치 뒤에 존재
NAT 장치에 공용 IP가 있을 시, 이 공용 IP를 CGW에 사용해 Site-to-Site VPN 연결을 생성 - 이후 서브넷의 VPC에서 라우트 전파를 활성화해야 Site-to-Site VPN 연결이 실제로 작동함
이를 마무리 하지 않으면 설치했더라도 작동이 되지 않음 - 온프레미스에서 AWS로 EC2 인스턴스 상태를 진단할 때 보안 그룹 인바운드 ICMP 프로토콜이 활성화되어 있어야 연결 가능
AWS VPN CloudHub
- VGW를 갖춘 VPC가 있고 고객 네트워크와 데이터 센터마다 고객 게이트웨이가 마련되어 있을 경우
CloudHub는 여러 VPN 연결을 통해 모든 사이트 간 안전한 소통을 보장 - 비용이 적게 드는 허브 및 스포크 모델로 VPN만을 활용해 서로 다른 지역 사이 기본 및 보조 네트워크 연결성에 사용하여
VPC 내 CGW와 VGW 하나 사이에 Site-to-Site VPN을 생성할 수 있어 고객 네트워크는 VPN 연결을 통해 서로 소통할 수 있음 - VPN 연결이므로 모든 트래픽이 공용 인터넷을 통하며 사설 네트워크로는 연결되지 않음
공용 인터넷을 통하지만 VPN 연결을 당연히 암호화됨 - 이를 위해 가상 프라이빗 게이트웨이 하나에 Site-to-Site VPN 연결을 여러 개 만들어
동적 라우팅을 활성화하고 라우팅 테이블을 구성하면 됨
<사이트 간 VPN, 가상 사설 Gateway 및 고객 Gateway 실습>
- Site-to-Site VPN 연결을 위한 Customer Gateways 생성
Virtual Private Newtork(VPN)의 Customer Gateways를 생성하고 이름은 DemoCustomerGateway로 생성
고객 게이트웨이의 IP 주소를 데이터 센터에서 표시해야 하며 공용 장치라면 장치 자체의 IP 주소일 수도 있고
고객 게이트웨이에 연결하기 직전 NAT 장치를 사용하고 있었다면 NAT 장치의 IP 주소를 특정해야 함
그 다음으로 라우팅이 정적인지 동적인지 정하며 만약 동적이라면 BGP ASN을 정해야 하므로 정적을 선택하고
장치 이름을 넣고 인증서를 통해 연결해야 한다면 인증서를 넣어줌
- Site-to-Site VPN 연결을 위한 Virtual Private Gateways 생성
가상 프라이빗 게이트웨이를 지정하고 이름을 붙인 뒤 기본 ASN을 사용하거나 본인의 ASN을 지정
- Site-to-Site VPN 연결 생성
이렇게 가상 프라이빗 게이트웨이와 고객 게이트웨이를 확보하면 Site-to-Site VPN 연결을 생성할 수 있음
이름을 붙이고 연결 유형은 가상 프라이빗 게이트웨이로 선택하고 위에서 생성한 VPN 게이트웨이 ID를 지정
이후 동일하게 고객 게이트웨이도 지정하고 라우팅 옵션을 지정하고 터널 버전을 IPv4와 IPv6에서 지정함
이 외의 옵션으로는 DNS와 알고리즘을 편집하는 것 등이 존재
'Cloud > AWS' 카테고리의 다른 글
| [SAA] AWS Private Link - VPC Endpoint 서비스 (0) | 2022.04.30 |
|---|---|
| [SAA] Direct Connect & Direct Connect Gateway (0) | 2022.04.30 |
| [SAA] VPC Flow 로그 (0) | 2022.04.27 |
| [SAA] VPC Endpoint (0) | 2022.04.27 |
| [SAA] VPC 피어링 (0) | 2022.04.27 |
