Site-to-Site VPN로 AWS와 온프레미스 환경 연결하기

Site-to-Site VPN은 무엇인가?

Site-to-Site VPN의 필요성?

 온프레미스 서비스에서 클라우드 서비스로 전환할 때, 가장 큰 장애물은 역시 비용이다. 기존의 온프레미스 인프라를 효율적으로 사용하면서 클라우드 서비스를 제공한다면, 이러한 문제를 해결할 수 있을 것이다.

 동일한 VPC를 사용하는 인스턴스 간에는 내부에서의 접근이 가능하다. 하지만, 기본적으로 VPC와 자체 온프레미스 네트워크와 통신할 수 없다. 그렇다면, 어떤 방법이 있을까? 가장 간단하게는 엔드포인트를 통해서 통신하는 방법이 있다. 하지만, 이 경우에는 내부에서의 접근은 어렵고 데이터를 인터넷을 통해서 주고받아야 하기 때문에 보안이 취약하다.

 이러한 경우에는 IPsec(인터넷 프로토콜 보안)을 이용하여 네트워크 간의 암호화된 터널을 생성하여 연결하는 Site-to-Site VPN을 사용할 수 있다. 혹은, 더 높은 대역폭과 성능을 위해서 사용되는 Direct Connect라는 방법도 있지만 비용이 높다는 단점이 있다. 이 글에서는 일반적으로 사용되는 AWS Site-to-Site VPN을 다뤄본다.

Site-to-Site VPN 이란?

 AWS Site-to-Site VPN를 통해 Amazon VPC와 온프레미스 네트워크를 연결할 수 있다. IPsec VPN 연결을 지원하며, 암호화된 링크를 통해서 서로 주고받는다.

 개념적으로 VPN 연결의 고객 게이트웨이는 온프레미스를 뜻하며, 대상 게이트웨이는 VPC를 의미한다. 이때, 별도의 물리적인 게이트웨이가 없는 VPC는 가상 프라이빗 게이트웨이를 이용하여 VPN과 연결한다.

 

Site-to-Site VPN 설정하기 (링크)

고객 게이트웨이 설정

 

 Site-to-Site VPN에서 고객측, 그러니까 온프레미스의 게이트웨이를 의미한다. 고객 게이트웨이를 생성하고 온프레미스 게이트웨이 디바이스의 인터넷 라우팅 가능한 고정 IP 주소를 입력한다. 고객 게이트웨이의 경우 임의의 ASN을 지정하여 사용할 수 있고, 사설 인증서도 사용 가능하다.

가상 프라이빗 게이트웨이 설정

 Site-to-Site VPN에서 AWS측, VPC의 가상 게이트웨이를 의미한다. 이때의 ASN은 Amazon 기본 ASN을 사용할 수 있으며, 고객 게이트웨이 ASN과는 달라야 한다. 가상 프라이빗 게이트웨이를 생성한 이후, 연결하고자 하는 VPC와 연결 작업을 진행해야 한다.

VPC와 온프레미스의 CIDR 범위를 다르게 설정하는 것을 추천한다.

Site-to-Site VPN 연결

 앞서 설정한 고객 게이트웨이와 가상 프라이빗 게이트웨이를 바탕으로 Site-to-Site VPN 연결을 진행한다. Site-to-Site VPN을 생성하고 온프레미스 측에서 사용하는 게이트웨이에 맞춰 P 혹은 네트워크 연결 범위 등 다양한 내용을 저장하고 있는 구성 다운로드를 진행한다. 이후 게이트웨이에 해당 내용을 적용시키면 VPN 터널이 연결된다.

2개의 터널 중 1개의 터널만 연결해도 사용에는 무관하지만, 안정성을 위해 2개의 터널 모두 연결하고 사용하는 것을 추천한다.

라우팅 테이블 설정

 VPC를 생성하면 기본적으로 내부 통신을 위한 로컬 라우팅이 포함된 라우팅 테이블이 자동 생성된다. 라우팅 테이블을 설정할때는구체적인 경로가 우선 적용되는 점을 유의하여 설정한다. 우선 온프레미스 서버와 통신하기 위한 설정을 진행한다. 온프레미스 서버의 CIDR 범위를 가상 프라이빗 게이트웨이에 라우팅 하여 연결하면, 온프레미스 서버에서 VPN을 통해 VPC에 접속하려는 요청들이 라우팅 되어 전달된다. 이렇게까지 설정하면 VPC와 온프레미스 네트워크의 연결이 성공적으로 완료된다. 추가적으로 그 외의 범위를 대상으로 인터넷 게이트웨이를 라우팅 하여 인터넷을 사용할 수 있다.