1. VPC
- Amazon Virtual Private Cloud(Amazon VPC)
- 사용자가 정의한 가상 네트워크로 AWS 리소스를 시작할 수 있음.
2. VPC Peering
- 프라이빗 IPv4 주소 또는 IPv6 주소를 사용하여, 두 VPC 간에 트래픽을 라우팅할 수 있도록 하기 위한, 두 VPC 사이의 네트워킹 연결
- 동일한 네트워크에 속하는 경우와 같이 VPC의 인스턴스가 서로 통신 가능.
- 사용자의 자체 VPC 또는 다른 AWS 계정의 VPC와 VPC 피어링 연결 생성 가능.
- 연결할 VPC는 다른 리전에 있을 수 있음.(리전 간 VPC 피어링 연결이라고도 함).
- AWS는 VPC의 기존 인프라를 사용하여 VPC 피어링 연결을 생성. 이는 게이트웨이도, VPN 연결도 아니며 물리적 하드웨어 각각에 의존하지 않음. 그러므로 통신 또는 대역폭 병목에 대한 단일 지점 장애가 없음.
- 트래픽
트래픽은 프라이빗 IP 공간 안에서 유지. 모든 리전 간 트래픽은 암호화되며 단일 장애 지점 또는 대역폭 제한이 없음. 트래픽은 항상 글로벌 AWS 백본에서만 유지되고 절대로 퍼블릭 인터넷을 통과하지 않으므로 일반적인 취약점 공격과 DDoS 공격 같은 위협이 감소.
3. VPN ( Virtual Private Network(가상 사설망) )
- 공중 네트워크를 통해 한 회사가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망
- 외부에서 들여다 볼 수 없는 비밀 통로 같은 개념
- 등장 배경
- 인터넷을 기반으로 한 기업 업무환경의 변화에 기인. 즉, 하나의 건물 내, 본사와 다수의 지사 관계, 국내 지사와 국외 지사간의 네트워크를 이용한 업무의 필요성 대두.
- 기존 방법의 한계점 : (1) 전용선 (2) 공중 네트워크
(1) 전용선 : 비용, 운영, 기술도입 등 여러 가지 한계 존재하며 기업에 큰 부담.
(2) 공중 네트워크 : 보안 관련 서비스를 제공하지 않아, 중요한 문서나 데이터를 전달하기에는 부족
4. AWS Site-to-Site VPN
- 기본적으로 Amazon VPC로 시작하는 인스턴스는 자체(원격) 네트워크와 통신할 수 없음.
- AWS Site-to-Site VPN(Site-to-Site VPN) 연결을 생성하고, 연결을 통해 트래픽을 전달하도록 라우팅을 구성하여, VPC에서 원격 네트워크에 대한 액세스를 활성화할 수 있음.
- VPN 연결이라는 용어는 일반적인 용어지만 여기서는 VPC와 자체 온프레미스 네트워크 간의 연결을 의미.
4.1 Site-to-Site VPN의 주요 개념
- VPN 연결: 온프레미스 장비와 VPC 간의 보안 연결.
- VPN 터널: 데이터가 고객 네트워크에서 AWS와 주고받을 수 있는 암호화된 링크.
각 VPN 연결에는 고가용성을 위해 동시에 사용할 수 있는 두 개의 VPN 터널이 포함됨.
- 고객 게이트웨이: 고객 게이트웨이 디바이스에 대한 정보를 AWS에 제공하는 AWS 리소스.
- 고객 게이트웨이 디바이스: Site-to-Site VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션.
- 대상 게이트웨이(Target gateway): 사이트 간 VPN 연결의 Amazon 측 VPN 엔드포인트를 일컫는 일반적인 용어.
- 가상 프라이빗 게이트웨이(Virtual private gateway): 단일 VPC에 연결할 수 있는 사이트 간 VPN 연결의 Amazon 측 VPN 엔드포인트.
- 전송 게이트웨이(Transit gateway): 사이트 간 VPN 연결의 Amazon 측 VPN 엔드포인트로 여러 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용될 수 있는 전송 허브.
4.2 가상 프라이빗 게이트웨이(Virtual private gateway)
- Site-to-Site VPN 연결의 Amazon 측에 있는 VPN 집선기.
- 가상 프라이빗 게이트웨이를 생성하여 Site-to-Site VPN 연결을 생성할 단일 VPC에 연결.
- 가상 프라이빗 게이트웨이를 생성 시, Amazon 측 게이트웨이의 프라이빗 자율 시스템 번호(ASN) 지정 가능.
- ASN을 지정하지 않는 경우 가상 프라이빗 게이트웨이는 기본 ASN(64512)으로 생성됨.
** ASN
| - 자율 시스템(Autonomous System, AS)은 인터넷에 대한 라우팅 정책을 대표하는 하나 이상의 네트워크 운영자의 통제 하에서 각기 연결된 인터넷 프로토콜(IP) 라우팅 접두사(prefix)들의 모임. - ISP(Internet Service Provider)는 공식적으로 등록된 ASN(자율 시스템 번호, Autonomous System Number)를 소유하고 있음. - ASN은 각기 다른 오퍼레이터가 관리하는 IP 서브넷을 식별하기 위해 고유하게 부여된 번호. |
4.3 전송 게이트웨이(Transit gateway)
- VPC와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 전송 허브. 즉, 여러 VPC에 연결.
- 전송 게이트웨이의 연결로 Site-to-Site VPN 연결을 생성할 수 있음.
5. AWS Site-to-Site VPN 시작하기
5.1 순서
- 1단계 : 고객 게이트웨이 생성
- 2단계 : 대상 게이트웨이 생성
-> 연결할 VPC 갯수에 따라서 가상 프라이빗 게이트웨이(단일) 혹은 Transit Gateway(복수)
-> 생성 후 VPC에 연결
- 3단계 : 라우팅 구성
- 4단계 : 보안 그룹 업데이트
- 5단계 : Site-to-Site VPN 연결 생성
- 6단계 : 구성 파일 다운로드
- 7단계 : 고객 게이트웨이 디바이스 구성
< 참고 >
Amazon Virtual Private Cloud
https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/what-is-vpc-peering.html
VPC 피어링이란? - Amazon Virtual Private Cloud
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
AWS Site-to-Site VPN
https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/VPC_VPN.html
AWS Site-to-Site VPN이란 무엇인가요? - AWS Site-to-Site VPN
AWS Site-to-Site VPN이란 무엇인가요? 기본적으로 Amazon VPC로 시작하는 인스턴스는 자체(원격) 네트워크와 통신할 수 없습니다. AWS Site-to-Site VPN(Site-to-Site VPN) 연결을 생성하고 연결을 통해 트래픽을
docs.aws.amazon.com
위키백과 - 가상사설망
https://ko.wikipedia.org/wiki/%EA%B0%80%EC%83%81%EC%82%AC%EC%84%A4%EB%A7%9D
가상사설망 - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전. VPN은 여기로 연결됩니다. 다른 뜻에 대해서는 VPN (동음이의) 문서를 참고하십시오. 가상사설망(假想私設網) 또는 VPN(영어: virtual private network)은 공중 네트워크
ko.wikipedia.org