기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Site-to-Site VPN 작동 방식
Site-to-Site VPN 연결은 다음과 같은 구성 요소로 이루어집니다.
VPN 연결은 AWS 측의 가상 프라이빗 게이트웨이 또는 전송 게이트웨이와 온프레미스 측의 고객 게이트웨이 간에 두 개의 VPN 터널을 제공합니다.
Site-to-Site VPN 할당량에 대한 자세한 내용은 AWS Site-to-Site VPN 할당량 단원을 참조하십시오.
가상 프라이빗 게이트웨이
가상 프라이빗 게이트웨이는 Site-to-Site VPN 연결의 Amazon 측에 있는 VPN 집선기입니다. 가상 프라이빗 게이트웨이를 생성하여 Site-to-Site VPN 연결에 액세스해야 하는 리소스가 포함된 Virtual Private Cloud(VPC)에 연결합니다.
다음 다이어그램은 가상 프라이빗 게이트웨이를 사용하는 온프레미스 네트워크와 단일 VPC 간의 VPN 연결을 보여줍니다.
가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 프라이빗 자율 시스템 번호(ASN)를 지정할 수 있습니다. ASN을 지정하지 않는 경우 가상 프라이빗 게이트웨이는 기본 ASN(64512)으로 생성됩니다. 가상 프라이빗 게이트웨이를 만든 후에는 ASN을 변경할 수 없습니다. ASN에서 가상 프라이빗 게이트웨이를 확인하려면 Amazon VPC 콘솔의 가상 프라이빗 게이트웨이 페이지에서 세부 정보를 보거나 describe-vpn-gateways
참고
가상 프라이빗 게이트웨이는 Site-to-Site VPN 연결에 대해 IPv6를 지원하지 않습니다. IPv6 지원이 필요한 경우 VPN 연결에 전송 게이트웨이 또는 Cloud WAN을 사용합니다.
Transit Gateway
전송 게이트웨이는 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 전송 허브입니다. 자세한 내용은 Amazon VPC 전송 게이트웨이를 참조하십시오. 전송 게이트웨이의 연결로 Site-to-Site VPN 연결을 생성할 수 있습니다.
다음 다이어그램은 전송 게이트웨이를 사용하는 온프레미스 네트워크와 여러 VPC 간의 VPN 연결을 보여줍니다. 전송 게이트웨이에는 VPC 연결 3개와 VPN 연결 1개가 있습니다.
전송 게이트웨이의 Site-to-Site VPN 연결은 VPN 터널(내부 IP 주소) 내의 IPv4 또는 IPv6 트래픽을 지원할 수 있습니다. 또한 전송 게이트웨이는 외부 터널 IP 주소에 대해 IPv6 주소를 지원합니다. 자세한 내용은 의 IPv4 및 IPv6 트래픽 AWS Site-to-Site VPN 단원을 참조하십시오.
가상 프라이빗 게이트웨이에서 전송 게이트웨이로 Site-to-Site VPN 연결의 대상 게이트웨이를 수정할 수 있습니다. 자세한 정보는 AWS Site-to-Site VPN 연결의 대상 게이트웨이 수정을 참조하십시오.
고객 게이트웨이 디바이스
고객 게이트웨이 디바이스는 Site-to-Site VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션입니다. Site-to-Site VPN 연결로 작업하도록 디바이스를 구성 합니다. 자세한 정보는 AWS Site-to-Site VPN 고객 게이트웨이 디바이스을 참조하십시오.
기본적으로 고객 게이트웨이 디바이스는 트래픽을 생성하고 IKE(Internet Key Exchange) 협상 프로세스를 시작하여 Site-to-Site VPN 연결을 위한 터널을 표시해야 합니다. 그 대신 AWS 가 IKE 협상 프로세스를 시작해야 하는 것으로 지정하도록 Site-to-Site VPN 연결을 구성할 수 있습니다. 자세한 내용은 AWS Site-to-Site VPN 터널 시작 옵션 단원을 참조하십시오.
외부 터널 IP 주소에 IPv6를 사용하는 경우 고객 게이트웨이 디바이스는 IPv6 주소 지정을 지원하고 IPv6 엔드포인트로 IPsec 터널을 설정할 수 있어야 합니다.
고객 게이트웨이
고객 게이트웨이는 온프레미스 네트워크의 고객 게이트웨이 디바이스를 나타내는 AWS 에서 생성하는 리소스입니다. 고객 게이트웨이를 생성할 때 디바이스에 대한 정보를 제공합니다 AWS. 자세한 내용은 AWS Site-to-Site VPN 연결을 위한 고객 게이트웨이 옵션 단원을 참조하십시오.
Site-to-Site VPN 연결에서 Amazon VPC를 사용하려면 사용자 또는 네트워크 관리자가 원격 네트워크에서 고객 게이트웨이 디바이스 또는 애플리케이션도 구성해야 합니다. Site-to-Site VPN 연결을 생성하면 사용자에게 필요한 구성 정보가 제공되며 일반적으로 네트워크 관리자가 이 구성을 수행합니다. 고객 게이트웨이 요구 사항 및 구성에 대한 자세한 내용은 AWS Site-to-Site VPN 고객 게이트웨이 디바이스 단원을 참조하십시오.
IPv6 고객 게이트웨이
IPv6 외부 터널 IPs와 함께 사용할 고객 게이트웨이를 생성할 때 IPv4 주소 대신 IPvIPv6 주소를 지정합니다. AWS 관리 콘솔 또는 AWS CLI를 사용하여 IPv6 고객 게이트웨이를 생성할 수 있습니다.
AWS CLI를 사용하여 IPv6 고객 게이트웨이를 생성하려면 다음 명령을 사용합니다.
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
IPv6 주소는 고객 게이트웨이 디바이스의 인터넷 라우팅이 가능한 유효한 IPv6 주소여야 합니다.
IPv6 VPN 연결
Site-to-Site VPN 연결은 다음 IPv6 구성을 지원합니다.
-
IPv4 내부 패킷이 있는 IPv4 외부 터널 - Virtual Private Gateway(VGW), Transit Gateway(TGW) 및 Cloud WAN에서 지원되는 기본 IPv4 VPN 기능입니다.
-
IPv6 내부 패킷이 있는 IPv4 외부 터널 IPv6 - VPN 터널 내에서 IPv6 애플리케이션/전송을 허용합니다. TGW 및 Cloud WAN에서 지원됩니다(VGW에서는 지원되지 않음).
-
IPv6 내부 패킷이 있는 IPv6 외부 터널 - 외부 터널 IPs와 내부 패킷 IP 모두에 대해 IPv6 주소를 사용한 전체 IPv6 IPv6 마이그레이션을 허용합니다. IPs TGW 및 Cloud WAN에서 지원됩니다.
-
IPv4 내부 패킷이 있는 IPv6 외부 터널 IPv4 - 터널 내에서 레거시 IPv4 애플리케이션을 지원하면서 IPv4IPv6 외부 터널 주소 지정을 허용합니다. TGW 및 Cloud WAN에서 지원됩니다.
IPv6 외부 터널 IPs를 사용하여 VPN 연결을 생성하려면 VPN 연결을 생성할 OutsideIPAddressType=Ipv6 때를 지정합니다. AWS는 VPN 터널의 AWS 측에 대한 외부 터널 IPv6 주소를 자동으로 구성합니다.
IPv6 외부 터널 IPs 및 IPv6 내부 터널 IP와의 VPN 연결을 생성하는 CLI 명령 IPs:
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
describe-vpn-connection CLI 명령을 사용하여 VPN 연결에 할당된 IPv6 주소를 볼 수 있습니다.
