View a markdown version of this page

Client VPN과 Transit Gateway 통합 - AWS Client VPN
개요이점Transit Gateway 통합 작동 방식사전 조건Transit Gateway Client VPN 엔드포인트 생성경로 관리권한 부여 구성가용 영역 관리교차 계정 전송 게이트웨이 액세스고려 사항 및 제한 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Client VPN과 Transit Gateway 통합

Client VPN 엔드포인트를 기본적으로 Transit Gateway에 연결하여 여러 VPCs, 온프레미스 네트워크 및 Transit Gateway에 연결된 기타 리소스에 안전하게 원격 액세스할 수 있습니다. 따라서 각 VPC에 대해 별도의 VPN 엔드포인트를 생성하거나 중간 VPCs.

개요

Transit Gateway를 Client VPN 엔드포인트와 연결하면 Client VPN 엔드포인트에 적절한 경로 및 권한 부여 규칙이 구성된 경우 연결된 VPN 클라이언트가 Transit Gateway에 연결된 모든 리소스에 액세스할 수 있습니다.

Transit Gateway 관련 엔드포인트는 클라이언트 소스 IP 주소를 보존합니다. 소스 네트워크 주소 변환(SNAT)은 적용되지 않으므로 클라이언트 트래픽에 대한 가시성이 향상됩니다.

중요

VPC 서브넷 연결과 Transit Gateway 연결을 단일 Client VPN 엔드포인트에서 혼합할 수 없습니다. 엔드포인트를 생성할 때 연결 유형 하나를 선택합니다.

이점

Client VPN과의 Transit Gateway 통합은 다음과 같은 이점을 제공합니다.

  • 간소화된 관리 - VPC당 별도의 VPN 엔드포인트가 필요하지 않습니다. VPN 종료를 위해서만 중간 VPCs 생성할 필요가 없습니다.

  • 중앙 집중식 라우팅 - Transit Gateway를 중앙 라우팅 허브로 활용합니다. 네트워크 전체에서 라우팅 관리를 간소화합니다.

  • 향상된 가시성 - 클라이언트 소스 IP 주소(SNSAT 없음)를 보존합니다. Client VPN에 대한 흐름 로그 지원을 제공합니다.

  • 확장성 - Client VPN을 통해 액세스할 수 있는 Transit Gateway에 새 VPCs를 쉽게 추가합니다. 대규모 원격 작업 인력 및 사업부를 지원하도록 확장합니다.

  • 중앙 집중식 보안 - 연결된 모든 네트워크에서 일관된 보안 정책을 구현합니다. 포괄적인 감사 추적을 유지 관리합니다.

Transit Gateway 통합 작동 방식

다음은 Client VPN이 Transit Gateway와 작동하는 방법을 설명합니다.

  1. 엔드포인트 생성 - Client VPN 엔드포인트를 생성하고 Transit Gateway ID를 지정합니다.

  2. 연결 생성 - AWS 엔드포인트에 client-vpn 대한 유형의 Transit Gateway 연결을 자동으로 생성합니다.

  3. 가용 영역 선택 - 사용할 가용 영역을 지정하거나 2개의 가용 영역을 자동으로 AWS 선택합니다.

  4. 라우팅 구성 - Client VPN 엔드포인트 라우팅 테이블에 경로를 추가하여 Transit Gateway를 통해 클라이언트 트래픽을 대상 네트워크로 보냅니다.

  5. 클라이언트 연결 흐름 - 클라이언트가 연결되면 트래픽이 클라이언트 VPN 엔드포인트를 통해 Transit Gateway로 흐른 다음 Transit Gateway 라우팅 테이블에 따라 대상 네트워크로 흐릅니다.

Client VPN을 사용한 전송 게이트웨이 트래픽 흐름

사전 조건

Transit Gateway 연결 Client VPN 엔드포인트를 생성하기 전에 다음 요구 사항을 확인합니다.

전송 게이트웨이 요구 사항

  • Client VPN 엔드포인트와 동일한 리전의 기존 Transit Gateway입니다.

  • 교차 계정 액세스의 경우 Transit Gateway를 계정과 공유해야 합니다 AWS Resource Access Manager.

  • Transit Gateway에는 IPv4 CIDR 블록이 할당되어 있어야 합니다. IPv6 또는 듀얼 스택 구성을 사용하려는 경우 IPv6 CIDR 블록도 할당합니다.

네트워크 요구 사항

  • 클라이언트 CIDR 범위는 Transit Gateway에 연결된 VPCs의 CIDR 범위와 겹치지 않아야 합니다.

  • 선택한 가용 영역은 Transit Gateway에서 지원해야 합니다.

  • VPC 라우팅 테이블에서 반환 경로를 구성하여 클라이언트 CIDR 범위로 향하는 트래픽을 Transit Gateway로 전달해야 합니다.

인증서 요구 사항

  • Client VPN 엔드포인트와 동일한 리전의 AWS Certificate Manager (ACM)에 프로비저닝된 서버 인증서입니다.

  • 상호 인증을 사용하는 경우 ACM에 프로비저닝된 클라이언트 인증서입니다.

Transit Gateway Client VPN 엔드포인트 생성

콘솔 또는를 사용하여 Transit Gateway와 연결된 Client VPN 엔드포인트를 생성할 수 있습니다 AWS CLI.

Transit Gateway Client VPN 엔드포인트를 생성하려면(콘솔)

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Client VPN Endpoints(Client VPN 엔드포인트)를 선택한 다음 Create Client VPN Endpoint(Client VPN 엔드포인트 생성)를 선택합니다.

  3. (선택 사항) 이름 태그설명에 엔드포인트의 이름과 설명을 입력합니다.

  4. 트래픽 IP 주소 유형에서 다음 중 하나를 선택합니다.

    • IPv4 - 클라이언트 IPv4 CIDR 범위(예: 10.0.0.0/22)를 지정합니다.

    • IPv6 - 클라이언트 IPv6 CIDR 범위를 AWS 자동으로 할당합니다.

    • 듀얼 스택 - 클라이언트 IPv4 CIDR 범위를 지정합니다.는 클라이언트 IPv6 CIDR 범위를 AWS 자동으로 할당합니다.

  5. 서버 인증서 ARN에서 ACM에 프로비저닝된 TLS 인증서의 ARN을 지정합니다.

  6. 인증 방법을 선택합니다. 자세한 내용은 의 클라이언트 인증 AWS Client VPN 단원을 참조하십시오.

  7. (선택 사항) 연결 로깅에서 클라이언트 연결에 대한 로그 세부 정보 활성화를 켜고 CloudWatch Logs 로그 그룹 및 로그 스트림을 지정합니다.

  8. 네트워크 인프라에서 전송 게이트웨이를 선택합니다.

  9. Transit Gateway ID의 드롭다운 목록에서 Transit Gateway를 선택합니다.

  10. (선택 사항) 가용 영역에서 최대 5개의 가용 영역을 선택합니다. 가용 영역을 선택하지 않으면가 자동으로 2를 AWS 선택합니다.

  11. (선택 사항) DNS 서버, 전송 프로토콜, 분할 터널, VPN 포트, 세션 제한 시간 및 로그인 배너와 같은 추가 설정을 구성합니다.

  12. 클라이언트 VPN엔드포인트 생성(Create Client VPN endpoint)을 선택합니다.

참고

생성 후 엔드포인트 상태는 입니다pending-associate. Transit Gateway 연결은 자동으로 생성됩니다. 클라이언트는 연결을 사용할 수 있게 된 후 연결할 수 있습니다.

Transit Gateway Client VPN 엔드포인트를 생성하려면(AWS CLI)

create-client-vpn-endpoint 명령을 --transit-gateway-id 파라미터와 함께 사용합니다.

다음 예시에서는 특정 가용 영역이 있는 Client VPN 엔드포인트를 생성합니다.

aws ec2 create-client-vpn-endpoint \
    --client-cidr-block 10.0.0.0/22 \
    --server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
    --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
    --connection-log-options Enabled=false \
    --transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE \
    --availability-zone-list us-east-1a us-east-1b us-east-1c

출력 예시:

{
    "ClientVpnEndpointId": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE",
    "Status": {
        "Code": "pending-associate"
    },
    "DnsName": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE.prod.clientvpn.us-east-1.amazonaws.com"
}

가 2개의 가용 영역을 AWS 자동으로 선택하도록 하려면 --availability-zone-list 파라미터를 생략합니다.

aws ec2 create-client-vpn-endpoint \
    --client-cidr-block 10.0.0.0/22 \
    --server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
    --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
    --connection-log-options Enabled=false \
    --transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE

Transit Gateway 연결 확인

엔드포인트를 생성한 후 Transit Gateway 연결이 생성되었는지 확인합니다.

Transit Gateway 연결을 확인하려면(콘솔)

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Transit Gateway Attachment를 선택합니다.

  3. 리소스 유형 = client-vpn 및 Client VPN 엔드포인트 ID와 일치하는 리소스 ID가 있는 연결을 찾습니다.

  4. 상태가 인지 확인합니다available.

Transit Gateway 연결을 확인하려면(AWS CLI)

describe-transit-gateway-attachments 명령을 사용합니다.

aws ec2 describe-transit-gateway-attachments \
    --filters Name=transit-gateway-id,Values=tgw-0a1b2c3d4e5f6EXAMPLE Name=resource-type,Values=client-vpn

엔드포인트에 대한 Transit Gateway 구성을 보려면 describe-client-vpn-endpoints 명령을 사용합니다.

aws ec2 describe-client-vpn-endpoints \
    --client-vpn-endpoint-ids cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE

출력에는 Transit Gateway ID 및 연결된 가용 영역이 있는 TransitGatewayConfiguration 객체가 포함됩니다.

경로 관리

중요

Transit Gateway 관련 엔드포인트의 경우 경로를 생성할 때 대상 서브넷 ID를 지정하지 않습니다. 트래픽은 Transit Gateway 연결을 통해 자동으로 전달됩니다.

경로를 추가하려면(콘솔)

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Client VPN 엔드포인트(Client VPN Endpoints)를 선택합니다.

  3. Client VPN 엔드포인트를 선택하고 라우팅 테이블을 선택한 다음 라우팅 생성을 선택합니다.

  4. 라우팅 대상에 대상 CIDR 범위(예: VPC 또는 0.0.0.0/0 모든 트래픽)10.1.0.0/16를 입력합니다.

  5. (선택 사항) 설명에 경로에 대한 설명을 입력합니다.

  6. 경로 생성(Create route)을 선택합니다.

경로를 추가하려면(AWS CLI)

--target-vpc-subnet-id 파라미터 없이 create-client-vpn-route 명령을 사용합니다.

aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

여러 경로를 추가하려면 각 대상 CIDR 범위에 대해 명령을 실행합니다.

# Route to VPC 1
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

# Route to VPC 2
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.2.0.0/16

# Route to on-premises network
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 192.168.0.0/16
경로를 삭제하려면(콘솔)

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Client VPN 엔드포인트(Client VPN Endpoints)를 선택합니다.

  3. Client VPN 엔드포인트를 선택하고 라우팅 테이블을 선택한 다음 라우팅을 선택한 다음 라우팅 삭제를 선택합니다.

  4. 라우팅 삭제를 선택하여 확인합니다.

경로를 삭제하려면(AWS CLI)

delete-client-vpn-route 명령을 사용합니다.

aws ec2 delete-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

권한 부여 구성

중요

Transit Gateway 관련 Client VPN 엔드포인트에는 보안 그룹 기반 권한 부여가 지원되지 않습니다. 네트워크 기반 권한 부여 규칙을 사용하여 클라이언트 액세스를 제어해야 합니다.

권한 부여 규칙을 추가하려면(콘솔)

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Client VPN 엔드포인트(Client VPN Endpoints)를 선택합니다.

  3. Client VPN 엔드포인트를 선택하고 권한 부여 규칙을 선택한 다음 권한 부여 규칙 추가를 선택합니다.

  4. 대상 네트워크에서 액세스를 활성화하려면 대상 CIDR 범위(예: 10.1.0.0/16)를 입력합니다.

  5. 에 대한 액세스 권한 부여에서 다음 중 하나를 선택합니다.

    • 모든 사용자에게 액세스 허용 - 인증된 모든 클라이언트가 대상 네트워크에 액세스할 수 있습니다.

    • 특정 액세스 그룹의 사용자에게 액세스 허용 - 액세스 그룹 ID에 Active Directory 그룹 SID 또는 IdP 그룹 이름을 입력합니다.

  6. Add authorization rule(권한 부여 규칙 추가)을 선택합니다.

권한 부여 규칙을 추가하려면(AWS CLI)

authorize-client-vpn-ingress 명령을 사용합니다.

다음 예제에서는 모든 사용자에게 10.1.0.0/16 네트워크에 액세스할 수 있는 권한을 부여합니다.

aws ec2 authorize-client-vpn-ingress \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --target-network-cidr 10.1.0.0/16 \
    --authorize-all-groups

다음 예시에서는 특정 Active Directory 그룹에 권한을 부여합니다.

aws ec2 authorize-client-vpn-ingress \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --target-network-cidr 10.1.0.0/16 \
    --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234

가용 영역 관리

생성 후 Transit Gateway 관련 Client VPN 엔드포인트의 가용 영역을 수정할 수 있습니다.

단일 가용 영역을 추가하려면(AWS CLI)

associate-client-vpn-target-network 명령을 --availability-zone 파라미터와 함께 사용합니다.

aws ec2 associate-client-vpn-target-network \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --availability-zone us-east-1c
단일 가용 영역을 제거하려면(AWS CLI)

먼저 describe-client-vpn-target-networks 명령을 사용하여 가용 영역의 연결 ID를 찾습니다.

aws ec2 describe-client-vpn-target-networks \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE

그런 다음 연결 ID와 함께 disassociate-client-vpn-target-network 명령을 사용합니다.

aws ec2 disassociate-client-vpn-target-network \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --association-id cvpn-assoc-0a1b2c3d4e5f6EXAMPLE

교차 계정 전송 게이트웨이 액세스

다른 AWS 계정이 소유한 Transit Gateway와 연결된 Client VPN 엔드포인트를 생성할 수 있습니다. 이렇게 하려면 Transit Gateway 소유자가 Transit Gateway를 계정과 공유해야 합니다 AWS Resource Access Manager.

사전 조건

  • Transit Gateway 소유자 계정 - 기존 Transit Gateway 및 리소스 공유를 생성할 수 있는 권한입니다 AWS Resource Access Manager.

  • Client VPN 엔드포인트 계정 - Client VPN 엔드포인트를 생성하고 AWS Resource Access Manager 리소스 공유를 수락할 수 있는 권한입니다.

Client VPN 엔드포인트 계정에서 AWS Resource Access Manager 콘솔에서 또는 accept-resource-share-invitation 명령을 사용하여 리소스 공유를 수락합니다. 공유를 수락하면 Client VPN 엔드포인트를 생성할 때 Transit Gateway ID 드롭다운에 Transit Gateway가 나타납니다.

고려 사항 및 제한 사항

Client VPN과 Transit Gateway 통합을 사용할 때는 다음 사항을 고려하세요.

  • 연결 제한

    • VPC 서브넷 연결과 Transit Gateway 연결을 단일 엔드포인트에서 혼합할 수 없습니다.

    • 각 엔드포인트는 하나의 연결 유형만 사용해야 합니다.

  • 보안 그룹

    • Transit Gateway 엔드포인트에는 보안 그룹 기반 권한 부여가 지원되지 않습니다.

    • 네트워크 기반 권한 부여 규칙만 사용합니다.

  • 라우팅 관리

    • Transit Gateway의 자동 라우팅 전파는 지원되지 않습니다.

    • 대상 네트워크의 경로를 수동으로 정의해야 합니다.

  • CIDR 중첩

    • Client VPN CIDR 블록은 다른 Transit Gateway 연결 또는 Transit Gateway CIDR 블록과 겹치지 않아야 합니다.

    • Transit Gateway는 연결된 VPCs 간에 중복되는 CIDR 범위를 지원하지 않습니다.

  • 리전 제한

    • Client VPN 엔드포인트와 Transit Gateway는 동일한 AWS 리전에 있어야 합니다.

    • Client VPN에는 교차 리전 Transit Gateway 피어링이 지원되지 않습니다.

  • 가용 영역

    • 엔드포인트당 최대 5개의 가용 영역을 지정할 수 있습니다.

    • 지정하지 않으면가 2개의 가용 영역을 AWS 자동으로 할당합니다.

    • 지정된 모든 가용 영역은 Client VPN과 Transit Gateway 모두에서 지원되어야 합니다.

  • 반환 라우팅

    • Transit Gateway에 연결된 VPCs에는 Client VPN CIDR로 향하는 트래픽을 Transit Gateway로 다시 라우팅하도록 구성된 반환 경로가 있어야 합니다.

    • 적절한 반환 라우팅이 없으면 VPN 클라이언트VPCs의 리소스에 액세스할 수 없습니다.

      • IPv4의 경우: 엔드포인트 생성 시 Client VPN CIDR이 알려져 있습니다.

      • IPv6의 경우: IPv6 클라이언트 CIDR 범위가에 의해 자동으로 할당되므로 Client VPN 엔드포인트에 할당된 IPv6 CIDR 범위(Client VPN 엔드포인트와 연결된 Transit Gateway 라우팅 테이블에서 가장 큰 CIDR 범위)를 확인하려면 Transit Gateway 라우팅 테이블을 설명해야 합니다 AWS Client VPN.

  • 연결 및 흐름 로그

    • Transit Gateway 흐름 로그를 활성화하여 Transit Gateway로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. Client VPN 연결 로그를 활성화하여 Client VPN 연결 이벤트에 대한 정보를 캡처할 수 있습니다.

    • Transit Gateway 흐름 로그 이벤트의 클라이언트 IP 및 타임스탬프를 Client VPN 연결 로그의 동일한 클라이언트 IP 및 기간과 비교하여 Transit Gateway 흐름 로그 이벤트를 Client VPN 연결과 상호 연관시킬 수 있습니다.

  • 인터넷 연결

    • 분할 터널 없이 Transit Gateway가 있는 Client VPN을 통해 인터넷에 액세스하려면 연결된 VPC에 NAT가 구성되어 있어야 합니다.