[AWS TGW] VPC와 온프레미스 네트워크 연결하기 (Transit Gateway를 이용한 Site-to-Site VPN 연결)

📢 들어가기 전, VPN의 개념과 AWS Site-to-Site VPN에 대해서 잠깐 알아보고 갑시다~!

이후에, Transit Gateway를 이용하여 VPC와 온프레미스 네트워크를 연결하는 작업에 대해서 소개하겠습니다.

---

VPN이란?

• 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망.
• VPN에서 메시지는 인터넷과 같은 퍼블릭 망에서 표준 프로토콜을 써서 전달되거나, 가상 사설망 서비스 제공자와 고객이 서비스 수준 계약을 맺은 후 서비스 제공자의 사설망을 통해 전달된다.
• 주소창에 입력된 주소가 http://~~로 접속하게 되면 평문(plain text)로 그 내용을 주고 받고, https://로 입력한 경우 암호화된 데이터로 주고 받기 때문에 중간에서 누군가 그 내용을 알 수 없다.
• https 프로토콜 (TLS)
• VPN은 인터넷에 사용되는 모든 네트워크 패킷을 암호화해서 믿을 수 있는 VPN 서버에 보내고, 그 서버가 나를 대신하여 인터넷에 접속하고 그 결과를 돌려주게 된다. 내 컴퓨터와 VPN 서버 사이에는 안전하게 암호화가 되어 그 내용을 중간에서 볼 수 없기 때문에 인터넷이 안전하다고 볼 수 있다. 모든 트래픽을 암호화해서 보내기 때문에 설령 내가 접속하려는 웹사이트가 https를 지원하지 않더라도 안전하게 접속이 가능하다.

AWS Site-to-Site VPN

AWS Site-to-Site VPN이란 무엇입니까?
(위 링크는 Site-to-Site VPN에 대해서 자세하게 설명되어 있는 AWS 공식 Document로 이동합니다.)
해당 링크에서 기본적이고 중요한 개념만 뽑으면 아래와 같습니다.

 

기본적으로 AWS VPC로 시작하는 인스턴스는 원격 네트워크와 통신할 수 없다. AWS Site-to-Site VPN 연결을 생성하고 연결을 통해 트래픽을 전달하도록 라우팅을 구성하여 VPC에서 원격 네트워크에 대한 액세스를 활성화할 수 있다.

AWS에서 VPN 연결이라는 용어는 VPC와 자체 온프레미스 네트워크 간의 연결을 의미한다. Site-to-Site VPN은 인터넷 프로토콜 보안(IPsec) VPN 연결을 지원한다.

• VPN 연결: 온프레미스 장비와 VPC 장비 간의 보안 연결
• VPN 터널: 데이터가 고객 네트워크에서 AWS와 주고받을 수 있는 암호화된 링크. 각 VPN 연결에는 고가용성을 위해 동시에 사용할 수 있는 두 개의 VPN 터널이 포함되어 있다.
• 고객 게이트웨이: 고객 게이트웨이 디바이스에 대한 정보를 AWS에 제공하는 AWS 리소스.
• 고객 게이트웨이 디바이스: Site-to-Site VPN 연결을 위해 고객 측에 설치된 물리적 디바이스 또는 소프트웨어 애플리케이션.
• 가상 프라이빗 게이트웨이: Site-to-Site VPN 연결의 Amazon 측에 있는 VPN 집선기. 가상 프라이빗 게이트웨이나 Transit Gateway를 Site-to-Site VPN 연결의 Amazon 측 게이트웨이로 사용한다.
• Transit Gateway: VPC와 온프레미스 네트워크를 상호 연결하는 데 쓸 수 있는 전송 허브. Transit Gateway나 Virtual Private Gateway를 Site-to-Site VPN 연결의 Amazon 측 게이트웨이로 사용한다. (Transit Gateway는 VPC와 VPC, 즉 클라우드 내에서의 네트워크를 상호 연결하는 데도 사용 가능하다.)

---

 

📢 Transit Gateway에 대한 이해가 바탕이 되면 이해하기가 수월한데 아래 유튜브 영상을 보면 도움이 많이 됩니다.

 

---

📢 이제 Site-to-Site VPN 연결을 해봅시다~!

 

사전 환경 구성도

⬇️

목표 환경 구성도

온프레미스와 VPC를 통신 가능하게 만들기 위해 Transit Gateway를 이용하여 VPN 연결을 할 것입니다.

VPC는 이미 Transit Gateway에 연결되어 있습니다.

 

 

 

 

1. 고객 게이트웨이(Customer Gateway 생성)

AWS 콘솔 > VPC > VPN(가상 프라이빗 네트워크) > 고객 게이트웨이

• 라우팅- 정적 선택 후, VPN 구성을 위한 온프레미스 VPN 장비의 public IP를 IP 주소 입력칸에 입력합니다.
  • customer gateway device가 BGP(Border Gateway Protocol)을 지원하는 경우 ⇒ dynamic(동적)
  • 그렇지 않은 경우 ⇒ static(정적)

2. Transit Gateway Attachment

AWS 콘솔 > VPC > Transit Gateway > Transit Gateway 연결 > Create Transit Gateway Attachment

• Transit Gateway가 없는 경우, Transit Gateway 생성이 선행되어야 합니다.
• Transit Gateway ID를 입력하고 Attachment type에서 VPN을 선택합니다.
• Customer Gateway는 1번 단계에서 생성하였기 때문에 Existing을 선택하고, 아래 칸의 Customer Gateway ID에 해당 CGW의 ID를 선택하여 입력합니다. 
• Routing Options는 Static을 선택합니다.

• 생성된 Attachment의 Resource ID를 확인해봅시다!

 

3. Transit Gateway Route

AWS 콘솔 > VPC > VPN(가상 프라이빗 네트워크) > 사이트 간 VPN 연결

• 자동으로 VPN 연결이 생겨있음을 확인할 수 있습니다.
• 2번 단계에서 생성한 Attachment와 신규 생성된 VPN 연결의 CGW ID, TGW ID, VPN ID가 같음을 확인할 수 있습니다.
• 생성된 VPN 연결을 선택하고 구성 다운로드 버튼을 클릭하면 온프레미스 VPN 장비의 공급업체, 플랫폼, 소프트웨어를 선택할 수 있습니다. 온프레미스측에서 VPN 연결을 위해 필요한 텍스트 파일을 다운받을 수 있으며, 이를 이용하여 온프레미스 방화벽에서 VPN 설정 작업을 완료합니다.
• 작업이 완료되면, 해당 VPN 연결의 터널 세부 정보에서 터널 2개가 정상적으로 작동함을 확인할 수 있습니다.

 

4. Transit Gateway Route

AWS 콘솔 > VPC > Transit Gateway > Transit Gateway 라우팅 테이블 > Create Transit Gateway Route Table

• 해당 Transit Gateway를 선택하고 원하는 이름으로 라우팅 테이블을 생성합니다.
• 생성된 라우팅 테이블을 선택하고 Associations 탭에서 Create association을 합니다.
  • 2번에서 만든 Attachment를 선택하여 Transit Gateway와 연결합니다.

• Propagations 탭에서 Create propagation을 합니다.
  • Choose attachment to propagate에서 통신할 VPC 관련 Attachment를 선택합니다.

• Routes 탭에서 Create static route을 합니다.
  • CIDR에는 통신할 VPC의 CIDR를 입력합니다.(ex: 10.0.0.0/24)
  • Choose attachment에는 통신할 VPC와 TGW의 Attachment를 선택합니다.

생성된 정적 라우팅을 확인해봅시다. 이렇게 Transit Gateway 설정은 모두 끝이 났습니다!

 

5. VPC Route

VPC의 라우팅을 설정하여 VPC와 온프레미스가 통신할 수 있도록 합니다.

AWS 콘솔 > VPC > 가상 프라이빗 클라우드 > 라우팅 테이블

• 통신할 VPC의 라우팅 테이블을 편집(또는 생성)합니다.
• 1번 단계의 고객 게이트웨이 생성 시 입력했던 온프레미스측 IP가 destination인 경우 Transit Gateway로 라우팅하라는 의미의 규칙을 추가합니다.

 

 

 

---

📢 마지막으로, 온프레미스의 서버와 VPC 내의 서버와 잘 통신이 되는지 확인해봅시다!

 

 

 

🔗 참고

 

VPN이란 무엇인가요?

가상사설망 - 위키백과, 우리 모두의 백과사전