

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Client VPN과 Transit Gateway 통합
<a name="cvpn-tgw"></a>

Client VPN 엔드포인트를 기본적으로 Transit Gateway에 연결하여 여러 VPCs, 온프레미스 네트워크 및 Transit Gateway에 연결된 기타 리소스에 안전하게 원격 액세스할 수 있습니다. 따라서 각 VPC에 대해 별도의 VPN 엔드포인트를 생성하거나 중간 VPCs.

**Topics**
+ [개요](#cvpn-tgw-overview)
+ [이점](#cvpn-tgw-benefits)
+ [Transit Gateway 통합 작동 방식](#cvpn-tgw-how-it-works)
+ [사전 조건](#cvpn-tgw-prerequisites)
+ [Transit Gateway Client VPN 엔드포인트 생성](#cvpn-tgw-create)
+ [경로 관리](#cvpn-tgw-routes)
+ [권한 부여 구성](#cvpn-tgw-authorization)
+ [가용 영역 관리](#cvpn-tgw-manage-azs)
+ [교차 계정 전송 게이트웨이 액세스](#cvpn-tgw-cross-account)
+ [고려 사항 및 제한 사항](#cvpn-tgw-limitations)

## 개요
<a name="cvpn-tgw-overview"></a>

Transit Gateway를 Client VPN 엔드포인트와 연결하면 Client VPN 엔드포인트에 적절한 경로 및 권한 부여 규칙이 구성된 경우 연결된 VPN 클라이언트가 Transit Gateway에 연결된 모든 리소스에 액세스할 수 있습니다.

Transit Gateway 관련 엔드포인트는 클라이언트 소스 IP 주소를 보존합니다. 소스 네트워크 주소 변환(SNAT)은 적용되지 않으므로 클라이언트 트래픽에 대한 가시성이 향상됩니다.

**중요**  
VPC 서브넷 연결과 Transit Gateway 연결을 단일 Client VPN 엔드포인트에서 혼합할 수 없습니다. 엔드포인트를 생성할 때 연결 유형 하나를 선택합니다.

## 이점
<a name="cvpn-tgw-benefits"></a>

Client VPN과의 Transit Gateway 통합은 다음과 같은 이점을 제공합니다.
+ **간소화된 관리 **- VPC당 별도의 VPN 엔드포인트가 필요하지 않습니다. VPN 종료를 위해서만 중간 VPCs 생성할 필요가 없습니다.
+ **중앙 집중식 라우팅** - Transit Gateway를 중앙 라우팅 허브로 활용합니다. 네트워크 전체에서 라우팅 관리를 간소화합니다.
+ **향상된 가시성** - 클라이언트 소스 IP 주소(SNSAT 없음)를 보존합니다. Client VPN에 대한 흐름 로그 지원을 제공합니다.
+ **확장성** - Client VPN을 통해 액세스할 수 있는 Transit Gateway에 새 VPCs를 쉽게 추가합니다. 대규모 원격 작업 인력 및 사업부를 지원하도록 확장합니다.
+ **중앙 집중식 보안** - 연결된 모든 네트워크에서 일관된 보안 정책을 구현합니다. 포괄적인 감사 추적을 유지 관리합니다.

## Transit Gateway 통합 작동 방식
<a name="cvpn-tgw-how-it-works"></a>

다음은 Client VPN이 Transit Gateway와 작동하는 방법을 설명합니다.

1. **엔드포인트 생성** - Client VPN 엔드포인트를 생성하고 Transit Gateway ID를 지정합니다.

1. **연결 생성** - AWS 엔드포인트에 `client-vpn` 대한 유형의 Transit Gateway 연결을 자동으로 생성합니다.

1. **가용 영역 선택** - 사용할 가용 영역을 지정하거나 2개의 가용 영역을 자동으로 AWS 선택합니다.

1. **라우팅 구성** - Client VPN 엔드포인트 라우팅 테이블에 경로를 추가하여 Transit Gateway를 통해 클라이언트 트래픽을 대상 네트워크로 보냅니다.

1. **클라이언트 연결 흐름** - 클라이언트가 연결되면 트래픽이 클라이언트 VPN 엔드포인트를 통해 Transit Gateway로 흐른 다음 Transit Gateway 라우팅 테이블에 따라 대상 네트워크로 흐릅니다.

![Client VPN을 사용한 전송 게이트웨이 트래픽 흐름](http://docs.aws.amazon.com/ko_kr/vpn/latest/clientvpn-admin/images/cvpn-tgw-traffic-flow.png)


## 사전 조건
<a name="cvpn-tgw-prerequisites"></a>

Transit Gateway 연결 Client VPN 엔드포인트를 생성하기 전에 다음 요구 사항을 확인합니다.

전송 게이트웨이 요구 사항  
+ Client VPN 엔드포인트와 동일한 리전의 기존 Transit Gateway입니다.
+ 교차 계정 액세스의 경우 Transit Gateway를 계정과 공유해야 합니다 AWS Resource Access Manager.
+ Transit Gateway에는 IPv4 CIDR 블록이 할당되어 있어야 합니다. IPv6 또는 듀얼 스택 구성을 사용하려는 경우 IPv6 CIDR 블록도 할당합니다.

네트워크 요구 사항  
+ 클라이언트 CIDR 범위는 Transit Gateway에 연결된 VPCs의 CIDR 범위와 겹치지 않아야 합니다.
+ 선택한 가용 영역은 Transit Gateway에서 지원해야 합니다.
+ VPC 라우팅 테이블에서 반환 경로를 구성하여 클라이언트 CIDR 범위로 향하는 트래픽을 Transit Gateway로 전달해야 합니다.

인증서 요구 사항  
+ Client VPN 엔드포인트와 동일한 리전의 AWS Certificate Manager (ACM)에 프로비저닝된 서버 인증서입니다.
+ 상호 인증을 사용하는 경우 ACM에 프로비저닝된 클라이언트 인증서입니다.

## Transit Gateway Client VPN 엔드포인트 생성
<a name="cvpn-tgw-create"></a>

콘솔 또는를 사용하여 Transit Gateway와 연결된 Client VPN 엔드포인트를 생성할 수 있습니다 AWS CLI.

**Transit Gateway Client VPN 엔드포인트를 생성하려면(콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Client VPN Endpoints(Client VPN 엔드포인트)**를 선택한 다음 **Create Client VPN Endpoint(Client VPN 엔드포인트 생성)**를 선택합니다.

1. (선택 사항) **이름 태그** 및 **설명**에 엔드포인트의 이름과 설명을 입력합니다.

1. **트래픽 IP 주소 유형**에서 다음 중 하나를 선택합니다.
   + **IPv4** - 클라이언트 IPv4 CIDR 범위(예: `10.0.0.0/22`)를 지정합니다.
   + **IPv6** - 클라이언트 IPv6 CIDR 범위를 AWS 자동으로 할당합니다.
   + **듀얼 스택** - 클라이언트 IPv4 CIDR 범위를 지정합니다.는 클라이언트 IPv6 CIDR 범위를 AWS 자동으로 할당합니다.

1. **서버 인증서 ARN**에서 ACM에 프로비저닝된 TLS 인증서의 ARN을 지정합니다.

1. 인증 방법을 선택합니다. 자세한 내용은 [의 클라이언트 인증 AWS Client VPN](client-authentication.md) 단원을 참조하십시오.

1. (선택 사항) **연결 로깅**에서 **클라이언트 연결에 대한 로그 세부 정보 활성화**를 켜고 CloudWatch Logs 로그 그룹 및 로그 스트림을 지정합니다.

1. **네트워크 인프라**에서 **전송 게이트웨이**를 선택합니다.

1. **Transit Gateway ID**의 드롭다운 목록에서 Transit Gateway를 선택합니다.

1. (선택 사항) **가용 영역에서** 최대 5개의 가용 영역을 선택합니다. 가용 영역을 선택하지 않으면가 자동으로 2를 AWS 선택합니다.

1. (선택 사항) DNS 서버, 전송 프로토콜, 분할 터널, VPN 포트, 세션 제한 시간 및 로그인 배너와 같은 추가 설정을 구성합니다.

1. **클라이언트 VPN엔드포인트 생성(Create Client VPN endpoint)**을 선택합니다.

**참고**  
생성 후 엔드포인트 상태는 입니다`pending-associate`. Transit Gateway 연결은 자동으로 생성됩니다. 클라이언트는 연결을 사용할 수 있게 된 후 연결할 수 있습니다.

**Transit Gateway Client VPN 엔드포인트를 생성하려면(AWS CLI)**  
[create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) 명령을 `--transit-gateway-id` 파라미터와 함께 사용합니다.

다음 예시에서는 특정 가용 영역이 있는 Client VPN 엔드포인트를 생성합니다.

```
aws ec2 create-client-vpn-endpoint \
    --client-cidr-block 10.0.0.0/22 \
    --server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
    --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
    --connection-log-options Enabled=false \
    --transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE \
    --availability-zone-list us-east-1a us-east-1b us-east-1c
```

출력 예시:

```
{
    "ClientVpnEndpointId": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE",
    "Status": {
        "Code": "pending-associate"
    },
    "DnsName": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE.prod.clientvpn.us-east-1.amazonaws.com"
}
```

가 2개의 가용 영역을 AWS 자동으로 선택하도록 하려면 `--availability-zone-list` 파라미터를 생략합니다.

```
aws ec2 create-client-vpn-endpoint \
    --client-cidr-block 10.0.0.0/22 \
    --server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
    --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
    --connection-log-options Enabled=false \
    --transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE
```

### Transit Gateway 연결 확인
<a name="cvpn-tgw-verify"></a>

엔드포인트를 생성한 후 Transit Gateway 연결이 생성되었는지 확인합니다.

**Transit Gateway 연결을 확인하려면(콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.

1. **리소스 유형** = `client-vpn` 및 Client VPN 엔드포인트 **ID와 일치하는 리소스** ID가 있는 연결을 찾습니다.

1. **상태가** 인지 확인합니다`available`.

**Transit Gateway 연결을 확인하려면(AWS CLI)**  
[describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html) 명령을 사용합니다.

```
aws ec2 describe-transit-gateway-attachments \
    --filters Name=transit-gateway-id,Values=tgw-0a1b2c3d4e5f6EXAMPLE Name=resource-type,Values=client-vpn
```

엔드포인트에 대한 Transit Gateway 구성을 보려면 [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) 명령을 사용합니다.

```
aws ec2 describe-client-vpn-endpoints \
    --client-vpn-endpoint-ids cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
```

출력에는 Transit Gateway ID 및 연결된 가용 영역이 있는 `TransitGatewayConfiguration` 객체가 포함됩니다.

## 경로 관리
<a name="cvpn-tgw-routes"></a>

**중요**  
Transit Gateway 관련 엔드포인트의 경우 경로를 생성할 때 대상 서브넷 ID를 지정하지 않습니다. 트래픽은 Transit Gateway 연결을 통해 자동으로 전달됩니다.

**경로를 추가하려면(콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.

1. Client VPN 엔드포인트를 선택하고 **라우팅 테이블**을 선택한 다음 **라우팅 생성을** 선택합니다.

1. **라우팅 대상**에 대상 CIDR 범위(예: VPC 또는 `0.0.0.0/0` 모든 트래픽)`10.1.0.0/16`를 입력합니다.

1. (선택 사항) **설명**에 경로에 대한 설명을 입력합니다.

1. **경로 생성**(Create route)을 선택합니다.

**경로를 추가하려면(AWS CLI)**  
`--target-vpc-subnet-id` 파라미터 없이 [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html) 명령을 사용합니다.

```
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16
```

여러 경로를 추가하려면 각 대상 CIDR 범위에 대해 명령을 실행합니다.

```
# Route to VPC 1
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

# Route to VPC 2
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.2.0.0/16

# Route to on-premises network
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 192.168.0.0/16
```

**경로를 삭제하려면(콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.

1. Client VPN 엔드포인트를 선택하고 **라우팅 테이블**을 선택한 다음 라우팅을 선택한 다음 **라우팅 삭제**를 선택합니다.

1. **라우팅 삭제**를 선택하여 확인합니다.

**경로를 삭제하려면(AWS CLI)**  
[delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html) 명령을 사용합니다.

```
aws ec2 delete-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16
```

## 권한 부여 구성
<a name="cvpn-tgw-authorization"></a>

**중요**  
Transit Gateway 관련 Client VPN 엔드포인트에는 보안 그룹 기반 권한 부여가 지원되지 않습니다. 네트워크 기반 권한 부여 규칙을 사용하여 클라이언트 액세스를 제어해야 합니다.

**권한 부여 규칙을 추가하려면(콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.

1. Client VPN 엔드포인트를 선택하고 **권한 부여 규칙을** 선택한 다음 **권한 부여 규칙 추가**를 선택합니다.

1. **대상 네트워크에서 액세스를 활성화하려면** 대상 CIDR 범위(예: `10.1.0.0/16`)를 입력합니다.

1. **에 대한 액세스 권한 부여**에서 다음 중 하나를 선택합니다.
   + **모든 사용자에게 액세스 허용** - 인증된 모든 클라이언트가 대상 네트워크에 액세스할 수 있습니다.
   + **특정 액세스 그룹의 사용자에게 액세스 허용 **- **액세스 그룹 ID**에 Active Directory 그룹 SID 또는 IdP 그룹 이름을 입력합니다.

1. **Add authorization rule(권한 부여 규칙 추가)**을 선택합니다.

**권한 부여 규칙을 추가하려면(AWS CLI)**  
[authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html) 명령을 사용합니다.

다음 예제에서는 모든 사용자에게 `10.1.0.0/16` 네트워크에 액세스할 수 있는 권한을 부여합니다.

```
aws ec2 authorize-client-vpn-ingress \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --target-network-cidr 10.1.0.0/16 \
    --authorize-all-groups
```

다음 예시에서는 특정 Active Directory 그룹에 권한을 부여합니다.

```
aws ec2 authorize-client-vpn-ingress \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --target-network-cidr 10.1.0.0/16 \
    --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234
```

## 가용 영역 관리
<a name="cvpn-tgw-manage-azs"></a>

생성 후 Transit Gateway 관련 Client VPN 엔드포인트의 가용 영역을 수정할 수 있습니다.

**단일 가용 영역을 추가하려면(AWS CLI)**  
[associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html) 명령을 `--availability-zone` 파라미터와 함께 사용합니다.

```
aws ec2 associate-client-vpn-target-network \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --availability-zone us-east-1c
```

**단일 가용 영역을 제거하려면(AWS CLI)**  
먼저 [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html) 명령을 사용하여 가용 영역의 연결 ID를 찾습니다.

```
aws ec2 describe-client-vpn-target-networks \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
```

그런 다음 연결 ID와 함께 [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html) 명령을 사용합니다.

```
aws ec2 disassociate-client-vpn-target-network \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --association-id cvpn-assoc-0a1b2c3d4e5f6EXAMPLE
```

## 교차 계정 전송 게이트웨이 액세스
<a name="cvpn-tgw-cross-account"></a>

다른 AWS 계정이 소유한 Transit Gateway와 연결된 Client VPN 엔드포인트를 생성할 수 있습니다. 이렇게 하려면 Transit Gateway 소유자가 Transit Gateway를 계정과 공유해야 합니다 AWS Resource Access Manager.

사전 조건  
+ **Transit Gateway 소유자 계정** - 기존 Transit Gateway 및 리소스 공유를 생성할 수 있는 권한입니다 AWS Resource Access Manager.
+ **Client VPN 엔드포인트 계정** - Client VPN 엔드포인트를 생성하고 AWS Resource Access Manager 리소스 공유를 수락할 수 있는 권한입니다.

Client VPN 엔드포인트 계정에서 AWS Resource Access Manager 콘솔에서 또는 [accept-resource-share-invitation](https://docs.aws.amazon.com/cli/latest/reference/ram/accept-resource-share-invitation.html) 명령을 사용하여 리소스 공유를 수락합니다. 공유를 수락하면 Client VPN 엔드포인트를 생성할 때 Transit Gateway ID 드롭다운에 Transit Gateway가 나타납니다.

## 고려 사항 및 제한 사항
<a name="cvpn-tgw-limitations"></a>

Client VPN과 Transit Gateway 통합을 사용할 때는 다음 사항을 고려하세요.
+ **연결 제한**
  + VPC 서브넷 연결과 Transit Gateway 연결을 단일 엔드포인트에서 혼합할 수 없습니다.
  + 각 엔드포인트는 하나의 연결 유형만 사용해야 합니다.
+ **보안 그룹**
  + Transit Gateway 엔드포인트에는 보안 그룹 기반 권한 부여가 지원되지 않습니다.
  + 네트워크 기반 권한 부여 규칙만 사용합니다.
+ **라우팅 관리**
  + Transit Gateway의 자동 라우팅 전파는 지원되지 않습니다.
  + 대상 네트워크의 경로를 수동으로 정의해야 합니다.
+ **CIDR 중첩**
  + Client VPN CIDR 블록은 다른 Transit Gateway 연결 또는 Transit Gateway CIDR 블록과 겹치지 않아야 합니다.
  + Transit Gateway는 연결된 VPCs 간에 중복되는 CIDR 범위를 지원하지 않습니다.
+ **리전 제한**
  + Client VPN 엔드포인트와 Transit Gateway는 동일한 AWS 리전에 있어야 합니다.
  + Client VPN에는 교차 리전 Transit Gateway 피어링이 지원되지 않습니다.
+ **가용 영역**
  + 엔드포인트당 최대 5개의 가용 영역을 지정할 수 있습니다.
  + 지정하지 않으면가 2개의 가용 영역을 AWS 자동으로 할당합니다.
  + 지정된 모든 가용 영역은 Client VPN과 Transit Gateway 모두에서 지원되어야 합니다.
+ **반환 라우팅**
  + Transit Gateway에 연결된 VPCs에는 Client VPN CIDR로 향하는 트래픽을 Transit Gateway로 다시 라우팅하도록 구성된 반환 경로가 있어야 합니다.
  + 적절한 반환 라우팅이 없으면 VPN 클라이언트VPCs의 리소스에 액세스할 수 없습니다.
    + **IPv4의 경우**: 엔드포인트 생성 시 Client VPN CIDR이 알려져 있습니다.
    + **IPv6의 경우**: IPv6 클라이언트 CIDR 범위가에 의해 자동으로 할당되므로 Client VPN 엔드포인트에 할당된 IPv6 CIDR 범위(Client VPN 엔드포인트와 연결된 Transit Gateway 라우팅 테이블에서 가장 큰 CIDR 범위)를 확인하려면 Transit Gateway 라우팅 테이블을 설명해야 합니다 AWS Client VPN.
+ **연결 및 흐름 로그**
  + [Transit Gateway 흐름 로그](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html)를 활성화하여 Transit Gateway로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. [Client VPN 연결 로그](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html)를 활성화하여 Client VPN 연결 이벤트에 대한 정보를 캡처할 수 있습니다.
  + Transit Gateway 흐름 로그 이벤트의 클라이언트 IP 및 타임스탬프를 Client VPN 연결 로그의 동일한 클라이언트 IP 및 기간과 비교하여 Transit Gateway 흐름 로그 이벤트를 Client VPN 연결과 상호 연관시킬 수 있습니다.
+ **인터넷 연결**
  + 분할 터널 없이 Transit Gateway가 있는 Client VPN을 통해 인터넷에 액세스하려면 연결된 VPC에 NAT가 구성되어 있어야 합니다.
    + **IPv4의 경우**: Client VPN 클라이언트 IPs를 퍼블릭 IP 주소로 대체하도록 NAT 게이트웨이를 구성합니다.
    + **IPv6의 경우**: [ IPv6를 사용한 중앙 집중식 인터넷 아웃바운드 트래픽을](https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/advanced-dual-stack-and-ipv6-only-network-designs.html#centralized-internet-outbound-traffic-with-ipv6) 참조하세요.