기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 시작하기 AWS Client VPN
<a name="cvpn-getting-started"></a>

이 자습서에서는 다음을 수행하는 AWS Client VPN 엔드포인트를 생성합니다.
+ 모든 클라이언트에게 단일 VPC에 대한 액세스를 제공합니다.
+ 모든 클라이언트에게 인터넷에 대한 액세스를 제공합니다.
+ [상호 인증](mutual.md)을 사용합니다.

다음 다이어그램은 이 자습서를 완료한 후 VPC 및 Client VPN 엔드포인트의 구성을 나타냅니다.

![인터넷에 액세스하는 Client VPN](http://docs.aws.amazon.com/ko_kr/vpn/latest/clientvpn-admin/images/client-vpn-scenario-igw.png)


**Topics**
+ [사전 조건](#cvpn-getting-started-prereq)
+ [1단계: 엔드포인트 유형 선택](#cvpn-getting-started-choose-type)
+ [2단계: 서버 및 클라이언트 인증서와 키 생성](#cvpn-getting-started-certs)
+ [3단계: Client VPN 엔드포인트 생성](#cvpn-getting-started-endpoint)
+ [4단계: 대상 네트워크 연결](#cvpn-getting-started-target)
+ [5단계: VPC에 대한 권한 부여 규칙 추가](#cvpn-getting-started-rules)
+ [6단계: 인터넷에 대한 액세스 제공](#cvpn-getting-started-routes)
+ [7단계: 보안 그룹 요구 사항 확인](#cvpn-getting-started-sec-groups)
+ [8단계: Client VPN 엔드포인트 구성 파일 다운로드](#cvpn-getting-started-config)
+ [9단계: Client VPN 엔드포인트에 연결](#cvpn-getting-started-connect)

## 사전 조건
<a name="cvpn-getting-started-prereq"></a>

이 자습서를 시작하기 전에 다음 사항을 확인해야 합니다.
+ Client VPN 엔드포인트로 작업하는 데 필요한 권한.
+ 인증서를 AWS Certificate Manager로 가져오는 데 필요한 권한.
+ 하나 이상의 서브넷과 인터넷 게이트웨이가 있는 VPC. 서브넷과 연결된 라우팅 테이블에는 인터넷 게이트웨이에 대한 경로가 있어야 합니다.

## 1단계: 엔드포인트 유형 선택
<a name="cvpn-getting-started-choose-type"></a>

Client VPN은 단일 VPC 액세스를 위한 VPC 서브넷 연결과 다중 VPC 및 하이브리드 네트워크 시나리오를 위한 Transit Gateway 연결이라는 두 가지 엔드포인트 유형을 지원합니다. 이 자습서에서는 VPC 관련 엔드포인트를 다룹니다. Transit Gateway 엔드포인트는 섹션을 참조하세요[Client VPN과 Transit Gateway 통합](cvpn-tgw.md).

## 2단계: 서버 및 클라이언트 인증서와 키 생성
<a name="cvpn-getting-started-certs"></a>

이 자습서에서는 상호 인증을 사용합니다. 상호 인증에서는 Client VPN이 인증서를 사용하여 클라이언트와 Client VPN 엔드포인트 간에 인증을 수행합니다. 하나의 서버 인증서 및 키와 하나 이상의 클라이언트 인증서 및 키가 있어야 합니다. 최소한 서버 인증서를 AWS Certificate Manager (ACM)로 가져와서 Client VPN 엔드포인트를 생성할 때 지정해야 합니다. 클라이언트 인증서를 ACM으로 가져오는 것은 선택 사항입니다.

이 목적으로 사용할 인증서가 아직 없는 경우 OpenVPN easy-rsa 유틸리티를 사용하여 인증서를 생성할 수 있습니다. [OpenVPN easy-rsa 유틸리티](https://github.com/OpenVPN/easy-rsa)를 사용하여 서버 및 클라이언트 인증서와 키를 생성하고 ACM으로 가져오는 자세한 단계는 [의 상호 인증 AWS Client VPN](mutual.md) 단원을 참조하세요.

**참고**  
서버 인증서는 Client VPN 엔드포인트를 생성할 동일한 AWS 리전의 AWS Certificate Manager (ACM)으로 프로비저닝하거나 가져와야 합니다.

## 3단계: Client VPN 엔드포인트 생성
<a name="cvpn-getting-started-endpoint"></a>

Client VPN 엔드포인트는 Client VPN 세션을 활성화하고 관리하기 위해 생성하고 구성하는 리소스입니다. 이는 모든 Client VPN 세션의 종료 지점입니다.

**Client VPN 엔드포인트을 생성하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **클라이언트 VPN 엔드포인트(Client VPN Endpoints)**를 선택한 다음 **클라이언트 VPN 엔드포인트 생성(Create Client VPN endpoint)**을 선택합니다.

1. (선택 사항) Client VPN 엔드포인트의 이름 태그와 설명을 입력합니다.

1. **클라이언트 IPv4 CIDR**에서 클라이언트 IP 주소를 할당할 IP 주소 범위(CIDR 표기법)를 지정합니다.
**참고**  
주소 범위는 Client VPN 엔드포인트와 연결될 대상 네트워크 주소 범위, VPC 주소 범위 또는 경로와 중복될 수 없습니다. 클라이언트 주소 범위는 최소 /22 이상이어야 하며 /12 CIDR 블록 크기를 넘지 않아야 합니다. Client VPN 엔드포인트를 생성한 후에는 클라이언트 주소 범위를 변경할 수 없습니다.

1. **서버 인증서 ARN**에서 [2단계](#cvpn-getting-started-certs)에서 생성한 서버 인증서의 ARN을 선택합니다.

1. **인증 옵션(Authentication options)**에서 **상호 인증 사용(Use mutual authentication)**을 선택한 다음 **클라이언트 인증서 ARN(Client certificate ARN)**에서 클라이언트 인증서로 사용할 인증서의 ARN을 선택합니다.

   서버 인증서와 클라이언트 인증서가 동일한 인증 기관(CA)에 의해 발급된 경우 서버 인증서 ARN을 서버 인증서와 클라이언트 인증서 *모두*에 지정할 수 있습니다. 이 시나리오에서는 서버 인증서에 해당하는 모든 클라이언트 인증서를 사용하여 인증할 수 있습니다.

1. (선택 사항) DNS 확인에 사용할 DNS 서버를 지정합니다. 사용자 지정 DNS 서버를 사용하려면 **DNS Server 1 IP address(DNS 서버 1 IP 주소)** 및 **DNS Server 2 IP address(DNS 서버 2 IP 주소)**에 사용할 DNS 서버의 IP 주소를 지정합니다. VPC DNS 서버를 사용하려면 **DNS Server 1 IP address(DNS 서버 1 IP 주소)** 또는 **DNS Server 2 IP address(DNS 서버 2 IP 주소)**에 IP 주소를 지정하고 VPC DNS 서버 IP 주소를 추가합니다.
**참고**  
클라이언트가 DNS 서버에 도달할 수 있는지 확인합니다.

1. 나머지 기본 설정을 그대로 두고 **클라이언트 VPN 엔드포인트 생성(Create Client VPN endpoint)**을 선택합니다.

Client VPN 엔드포인트을 생성한 후 상태는 `pending-associate`입니다. 하나 이상의 대상 네트워크를 연결한 이후에만 클라이언트가 VPN 연결을 설정할 수 있습니다.

Client VPN 엔드포인트에 지정할 수 있는 옵션에 대한 자세한 내용은 [AWS Client VPN엔드포인트 생성](cvpn-working-endpoint-create.md) 섹션을 참조하세요.

## 4단계: 대상 네트워크 연결
<a name="cvpn-getting-started-target"></a>

클라이언트가 VPN 세션을 설정할 수 있도록 하려면 대상 네트워크를 Client VPN 엔드포인트와 연결합니다. 대상 네트워크는 VPC 안의 서브넷입니다.

**대상 네트워크를 Client VPN 엔드포인트에 연결하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.

1. 이전 절차에서 생성한 Client VPN 엔드포인트를 선택한 다음 **대상 네트워크 연결(Target network associations)**, **대상 네트워크 연결(Associate target network)**을 차례로 선택합니다.

1. **VPC**에서 서브넷이 있는 VPC를 선택합니다.

1. **연결할 서브넷 선택(Choose a subnet to associate)**에서 Client VPN 엔드포인트에 연결할 서브넷을 선택합니다.

1. **대상 네트워크 연결(Associate target network)**을 선택합니다.

1. 권한 부여 규칙에서 허용하는 경우, 하나의 서브넷 연결만으로도 클라이언트가 VPC의 전체 네트워크에 액세스할 수 있습니다. 추가 서브넷을 연결하여 가용 영역에 장애가 발생할 경우에도 고가용성을 제공할 수 있습니다.

첫 번째 서브넷을 Client VPN 엔드포인트와 연결하면 다음과 같은 결과가 발생합니다.
+ Client VPN 엔드포인트의 상태가 `available`로 변경됩니다. 이제 클라이언트가 VPN 연결을 설정할 수 있지만, 권한 부여 규칙을 추가할 때까지는 VPC 내 리소스에 액세스할 수 없습니다.
+ VPC의 로컬 라우팅이 Client VPN 엔드포인트 라우팅 테이블에 자동으로 추가됩니다.
+ VPC의 기본 보안 그룹이 자동으로 Client VPN 엔드포인트에 적용됩니다.

## 5단계: VPC에 대한 권한 부여 규칙 추가
<a name="cvpn-getting-started-rules"></a>

클라이언트가 VPC에 액세스하려면 Client VPN 엔드포인트의 라우팅 테이블에 VPC로 연결되는 경로가 있고 권한 부여 규칙이 있어야 합니다. 이전 단계에서 경로는 이미 자동으로 추가되었습니다. 이 자습서에서는 모든 사용자에게 VPC에 대한 액세스 권한을 부여합니다.

**VPC에 대한 권한 부여 규칙을 추가하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.

1. 권한 부여 규칙을 추가할 Client VPN 엔드포인트를 선택합니다. **권한 부여 규칙(Authorization rules)**을 선택한 다음 **권한 부여 규칙 추가(Add authorization rule)**를 선택합니다.

1. **액세스를 활성화할 대상 네트워크(Destination network to enable access)**에 액세스를 허용할 네트워크의 CIDR을 입력합니다. 예를 들어, 전체 VPC에 대한 액세스를 허용하려면 VPC의 IPv4 CIDR 블록을 지정합니다.

1. **다음에 대한 액세스 권한 부여(Grant access to)**에서 **모든 사용자에게 액세스 허용(Allow access to all users)**을 선택합니다.

1. (선택 사항) **설명(Description)**에 권한 부여 규칙에 대한 간략한 설명을 입력합니다.

1. **Add authorization rule(권한 부여 규칙 추가)**을 선택합니다.

## 6단계: 인터넷에 대한 액세스 제공
<a name="cvpn-getting-started-routes"></a>

 AWS 서비스, 피어링된 VPC, 온프레미스 네트워크 및 인터넷과 같이 VPCs에 연결된 추가 네트워크에 대한 액세스를 제공할 수 있습니다. 각 추가 네트워크에 대해 Client VPN 엔드포인트 라우팅 테이블에 해당 네트워크 경로를 추가하고 권한 부여 규칙을 구성하여 클라이언트에 액세스 권한을 부여합니다.

이 자습서에서는 모든 사용자에게 인터넷과 VPC에 대한 액세스 권한을 부여합니다. VPC에 대한 액세스는 이미 구성했으므로 이 단계에서는 인터넷에 대한 액세스를 구성합니다.

**인터넷 액세스를 제공하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.

1. 이 자습서를 위해 생성한 Client VPN 엔드포인트를 선택합니다. **라우팅 테이블(Route Table)**을 선택한 다음 **경로 생성(Create Route)**을 선택합니다.

1. **Route destination(라우팅 대상 주소)**에 `0.0.0.0/0`을 입력합니다. **대상 네트워크 연결용 서브넷 ID(Subnet ID for target network association)**에서 트래픽을 라우팅할 서브넷의 ID를 입력합니다.

1. **Create Route(라우팅 생성)**를 선택합니다.

1. **권한 부여 규칙(Authorization rules)**을 선택한 다음 **권한 부여 규칙 추가(Add authorization rule)**를 선택합니다.

1. **액세스를 활성화할 대상 네트워크(Destination network to enable access)**에 `0.0.0.0/0`을 입력하고 **모든 사용자에게 액세스 허용(Allow access to all users)**을 선택합니다.

1. **Add authorization rule(권한 부여 규칙 추가)**을 선택합니다.

## 7단계: 보안 그룹 요구 사항 확인
<a name="cvpn-getting-started-sec-groups"></a>

이 자습서에서는 3단계에서 Client VPN 엔드포인트를 생성하는 동안 보안 그룹이 지정되지 않았습니다. 즉, 대상 네트워크가 연결될 때 VPC의 기본 보안 그룹이 Client VPN 엔드포인트에 자동으로 적용됩니다. 따라서 VPC의 기본 보안 그룹이 Client VPN 엔드포인트에 연결됩니다.

**다음 보안 그룹 요구 사항 확인**
+ 트래픽을 라우팅하는 서브넷과 연결된 보안 그룹(이 경우 기본 VPC 보안 그룹)이 인터넷으로의 아웃바운드 트래픽을 허용합니다. 이렇게 하려면 대상 `0.0.0.0/0`에 대한 모든 트래픽을 허용하는 아웃바운드 규칙을 추가합니다.
+ VPC의 리소스에 대한 보안 그룹에 Client VPN 엔드포인트에 적용되는 보안 그룹(이 경우 기본 VPC 보안 그룹)에서의 액세스를 허용하는 규칙이 있습니다. 이렇게 하면 클라이언트가 VPC의 리소스에 액세스할 수 있습니다.

자세한 내용은 [보안 그룹](client-authorization.md#security-groups) 단원을 참조하십시오.

## 8단계: Client VPN 엔드포인트 구성 파일 다운로드
<a name="cvpn-getting-started-config"></a>

다음 단계에서는 Client VPN 엔드포인트 구성 파일을 다운로드하고 준비합니다. 구성 파일에는 VPN 연결을 설정하는 데 필요한 Client VPN 엔드포인트 세부 정보 및 인증서 정보가 포함되어 있습니다. Client VPN 엔드포인트에 연결해야 하는 최종 사용자에게 이 파일을 제공합니다. 최종 사용자는 이 파일을 사용하여 VPN 클라이언트 애플리케이션을 구성합니다.

**Client VPN 엔드포인트 구성 파일을 다운로드하고 준비하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.

1. 이 자습서를 위해 생성한 Client VPN 엔드포인트를 선택하고 **클라이언트 구성 다운로드(Download client configuration)**를 선택합니다.

1. [2단계](#cvpn-getting-started-certs)에서 생성된 클라이언트 인증서와 키를 찾습니다. 클라이언트 인증서 및 키는 복제된 OpenVPN easy-rsa 리포지토리의 다음 위치에서 찾을 수 있습니다.
   + 클라이언트 인증서 - `easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt`
   + 클라이언트 키 - `easy-rsa/easyrsa3/pki/private/client1.domain.tld.key`

1. 원하는 텍스트 편집기를 사용하여 Client VPN 엔드포인트 구성 파일을 엽니다. `<cert>``</cert>` 및 `<key>``</key>` 태그를 파일에 추가합니다. 클라이언트 인증서의 내용과 프라이빗 키의 내용을 다음과 같이 해당 태그 사이에 배치합니다.

   ```
   <cert>
   {{Contents of client certificate (.crt) file}}
   </cert>
   
   <key>
   {{Contents of private key (.key) file}}
   </key>
   ```

1. Client VPN 엔드포인트 구성 파일을 저장하고 닫습니다.

1. Client VPN 엔드포인트 구성 파일을 최종 사용자에게 배포합니다.

Client VPN 엔드포인트 구성 파일에 대한 자세한 내용은 [AWS Client VPN 엔드포인트 구성 파일 내보내기](cvpn-working-endpoint-export.md) 단원을 참조하십시오.

## 9단계: Client VPN 엔드포인트에 연결
<a name="cvpn-getting-started-connect"></a>

 AWS 제공된 클라이언트 또는 다른 OpenVPN 기반 클라이언트 애플리케이션과 방금 생성한 구성 파일을 사용하여 Client VPN 엔드포인트에 연결할 수 있습니다. 자세한 내용은 [AWS Client VPN 사용 설명서](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/)를 참조하십시오.