Site-to-Site VPN

기본적으로 Amazon VPC로 시작하는 인스턴스는 자체(원격) 네트워크와 통신할 수 없습니다. AWS Site-to-Site VPN(Site-to-Site VPN) 연결을 생성하고 연결을 통해 트래픽을 전달하도록 라우팅을 구성하여 VPC에서 원격 네트워크에 대한 액세스를 활성화할 수 있습니다.

 

VPN 연결이라는 용어는 일반적인 용어지만 AWS 시험에서 VPN 연결은 VPC와 자체 네트워크 사이의 연결을 의미합니다. Site-to-Site VPN은 인터넷 프로토콜 보안(IPsec) VPN 연결을 지원합니다.

 

다음은 Site-to-Site VPN의 핵심 개념입니다.

* VPN 연결: 온프레미스 장비와 VPC 간의 보안 연결입니다.

* VPN 터널: 데이터가 고객 네트워크에서 AWS와 주고받을 수 있는 암호화된 링크입니다.

* 각 VPN 연결에는 고가용성을 위해 동시에 사용할 수 있는 두 개의 VPN 터널이 포함되어 있습니다.

* 고객 게이트웨이: 고객 게이트웨이 디바이스에 대한 정보를 AWS에 제공하는 AWS 리소스입니다.

* 고객 게이트웨이 디바이스는 Site-to-Site VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션입니다. 온프레미스 네트워크(Site-to-Site VPN 연결에서 사용자 측)에서 소유하거나 관리하는 물리적 또는 소프트웨어 어플라이언스입니다. 사용자 또는 네트워크 관리자가 Site-to-Site VPN 연결 작업을 수행하도록 디바이스를 구성해야 합니다.

 

 

 사용자의 네트워크, 고객 게이트웨이 디바이스, 가상 프라이빗 게이트웨이(VPN에 연결됨)가 되는 VPN 연결

위의 그림의 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 사이의 두 줄은 VPN 연결을 위한 터널을 나타냅니다. AWS 내에 디바이스 장애가 있는 경우 VPN 연결은 두 번째 터널로 자동으로 장애 조치되므로 액세스가 중단되지 않습니다. AWS는 때로 가상 프라이빗 게이트웨이에 대한 정기 유지 관리도 수행하는데, 이로 인해 VPN 연결을 구성하는 두 터널 중 하나가 잠시 비활성화될 수 있습니다. 유지 관리를 수행하는 동안 VPN 연결은 두 번째 터널로 자동 장애 조치됩니다. 따라서 고객 게이트웨이 디바이스를 구성할 때 두 개의 터널을 구성하는 것이 중요합니다.