최근 검색

No recent searches

    인기 아티클

      아티클
      모두 보기
        주제
        모두 보기
          티켓
          모두 보기
            결과 없음

            죄송합니다! 검색 결과 없음:

            [AWS] Site-to-Site VPN

            수정일 금, 5월 6, 2022 시간: 10:29 PM

            VPN 이란?


            공공 인터넷을 통해 가상의 사설 네트워크를 구성하여 프라이빗 통신을 제공하는 기술로 데이터 암호화, 전용 연결 등 여러 보안 요구 사항을 충족할 수 있습니다.

            AWS에서 제공하는 관리형 VPN 서비스에는 Site-to-Site VPN , Client VPN이 있습니다.

            Site-to-Site VPN


            Site-to-Site VPN 이란?


            두 개의 네트워크 도메인이 가상의 사설 네트워크 연결을 사용하여 프라이빗 통신을 가능하게 하는 서비스로 표준 IPSec VPN만 지원합니다.

            AWS에서 제공하는 Managed 서비스로, 원격 네트워크와 통신할 수 있도록 합니다.


            Site-to-Site VPN 구성 요소


            S2S VPN 연결을 생성하면 AWS 가상 프라이빗 게이트웨이(VGW) 또는 Transit Gateway와 온프레미스 측 고객 게이트웨이(VPN Device) 사이에 두개의 VPN 터널을 생성합니다.

            두 개의 터널은 각각 다른 가용 영역에 터널 엔드 포인트를 가지게 됩니다. (HA)


            가상 프라이빗 게이트웨이 (Virtual Private Gateway, VGW)


            Site-to-Site VPN 연결에서 아마존 측에 있는 Gateway로 VPC에 연결하는 데 사용되며 VPN 또는 Direct connect와 함께 작동할 수 있습니다.

            VPG를 생성하여 S2S VPN 연결을 생성할 VPC에 연결합니다.

            (온프레미스의 client gateway ↔ AWS의 VPC Edge에 VGW)




            전송 게이트 웨이 (Transit Gateway)


            가상 프라이빗 클라우드(VPC)와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 전송 허브.

            VPC나 온프레미스등의 네트워크를 단일 지점으로 연결할 수 있습니다.


            연결된 네트워크는 다른 네트워크에 연결할 필요 없이 전송 게이트웨이만 연결하면 되므로 관리를 간소화하고 운영 비용을 줄여 줍니다.

            간소화된 연결, 단순화된 가시성 및 네트워크 제어 등 장점을 가지는 managed gateway 서비스이며 다양한 VRF가 가능합니다.




            전송 게이트웨이의 연결로 Site-to-Site VPN 연결을 생성할 수 있습니다.


            VGW vs TGW

            • TGW에서는 여러 라우팅 테이블을 추가할 수 있으므로 더 향상된 라우팅이 가능.
            • TGW는 여러 계정에서 사용이 가능(하지만 단일 리전)
            • VGW는 각 VPC에 연결되지만 TGW는 VPC에 연결되는 것이 아니라 라우팅 테이블을 통해 여러 VPC로 Routing 가능.


            VPN 연결 시 VGW  vs TGW

            ♦️ VPN to VGW



            • 하나의 VPC 당 하나의 VPN 연결이 필요함.


            ♦️ VPN to TGW


            • 하나의 VPN 연결은 1.25Gpbs
            • 여러 VPC가 있더라도 하나의 Transit gateway만 사용하여 하나의 VPN 연결만 있으면 가능.


            고객 게이트웨이 디바이스 (Customer Gateway Device)


            Site-to-Site VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션

            사용자 또는 네트워크 관리자가 S2S VPN 연결 작업을 수행하도록 디바이스를 구성해야 합니다.



            두 줄은 vpn 연결을 위한 터널


            AWS 디바이스 장애 혹은 VPN 연결에 대한 정기 유지 관리 시 두 번째 터널로 자동으로 장애 조치되므로 연결이 끊기지 않습니다.

            따라서 고객 게이트웨이 디바이스를 구성할 때 두개의 터널을 구성하는 것이 중요합니다.


            고객 게이트웨이 (Customer Gateway, CGW)


            온프레미스 네트워크의 고객 게이트웨이 디바이스를 나타내는 AWS에서 생성하는 리소스로 온프레미스의 장비 정보를 지정합니다.

            고객 게이트웨이를 생성할 때 디바이스에 대한 정보를 제공합니다.

            Site-to-Site VPN 연결에서 Amazon VPC를 사용하려면 사용자가 원격 네트워크(온프레미스)에서 고객 게이트웨이 디바이스 또는 애플리케이션도 구성해야합니다.

            VPN 특징


            ✅ VPN 협상은 항상 고객 게이트웨이 디바이스(클라이언트 측)에서 연결을 시도해야 합니다.

            ? IKE 2를 사용하면 VGW가 통신 요청자가 될 수 있도록 설정 가능



            ✅ VPN 터널의 Idle Timeout

            VPN 터널 연결 후 터널에 트래픽이 10초 이상 흐르지 않는 경우 해당 터널은 Down 됩니다.

            → 터널 유지를 위해 온프레미스에서 Dead Peer Detect를 설정하거나 ping을 주기적으로 보내도록 합니다.

            VPN 트래픽 흐름


            ? 데이터센터에서 AWS로



            ? AWS에서 데이터센터로



            • 단일 터널을 사용하는 것이 선호됨.
            • VPN 터널 당 1.23 Gbps

            VPN 라우팅 옵션


            위와 같이 S2S VPN을 생성할 때 라우팅 옵션을 선택하셔야 합니다.

            라우팅 옵션은 고객 게이트웨이 디바이스의 제조업체와 모델에 따라 선택할 수 있으며  주로 BGP 를 지원하면 동적으로 선택합니다.

            • 동적 (Dynamic Routing)

              BGP 라우팅 프로토콜을 사용하여 상대방으로부터 전달되는 네트워크 경로를 자동으로 인지하여 통신 할 수 있다. 즉, 네트워크 정보를 필요할 때마다 수동으로 설정할 필요 없이 동적으로 네트워크 정보를 관리할 수 있다는 이점이 있다.

            • 정적 (Static Routing)

              사용자가 직접 네트워크 경로에 대해 라우팅을 설정하는 옵션.

            아티클이 유용했나요?

            훌륭합니다!

            피드백을 제공해 주셔서 감사합니다.

            도움이 되지 못해 죄송합니다!

            피드백을 제공해 주셔서 감사합니다.

            아티클을 개선할 수 있는 방법을 알려주세요!

            최소 하나의 이유를 선택하세요
            CAPTCHA 확인이 필요합니다.

            피드백 전송

            소중한 의견을 수렴하여 아티클을 개선하도록 노력하겠습니다.

            미리보기
            0 / 0