🔐 AWS Transit Gateway를 활용한 Site-to-Site VPN 연결 개요

🌐 AWS Transit Gateway개념 정리

AWS Transit Gateway는 VPC와 온프레미스 네트워크 간의 연결을 중앙에서 관리할 수 있도록 돕는 전송 허브(Hub) 역할을 합니다. 특히 Site-to-Site VPN을 활용하여 온프레미스 네트워크와 AWS 간 안전하고 신뢰성 있는 통신을 구성할 수 있습니다.

 

🔐Site-to-Site VPN 개념 및 구성 요소

• Transit Gateway : VPC 및 온프레미스 네트워크를 연결하는 허브 역활을 수행
• Site-to-Site VPN연결 : VPN터널을 통해 IPv4 및 IPv6 트래픽을 전송할 수 있으며, 고객 게이트웨이 디바이스를 통해 IKE협상이 시작된다.
• Customer Gateway Device : 고객측에 위치한 물리적 또는 가상디바이스 이며 디바이스가 트래픽을 생성하고 IKE 협상을 통해  VPN 터널을 설정한다.

⚙️터널 구성 및 고가용성

Site-to-Site VPN 연결 시 두 개의 VPN 터널이 자동으로 생성됩니다.
각 터널은 고유의 퍼블릭 IP를 사용하고, **서로 다른 가용 영역(AZ)**에 위치합니다.

• 한 터널에 장애 발생 시, 트래픽은 자동으로 다른 터널로 전환
• 단일 터널만 사용하고 싶다면, 수동으로 지정 가능

⚙️ 터널 설정 옵션

🔒 인증 방식

• 사전 공유 키(Pre-Shared Key)
  고객 게이트웨이 디바이스 구성 시 입력하는 문자열 (지정하지 않으면 AWS가 자동 생성)
• 프라이빗 인증서 기반 인증
  사전 공유 키를 사용하지 않는 대신, CA 인증서를 통한 인증 가능

⚙️IKE 시작 옵션

• Start Action: 새로운 VPN 터널이 생성되었을 때 수행할 작업 정의
• DPD(Dead Peer Detection):
  • 기본값: 40초
  • 시간 초과 시 IKE 세션 종료 또는 세션 재시작 가능
  • 옵션: clear, restart, none

⚙️ 내부 터널 IP 주소 대역

• Aws는 아래의 범위 IP를 터널 내부에 자동 할당한다.

 

⚠️ 규칙 및 제한사항

항목 설명

항 목	설 명
IKE 버전	AWS는 IKEv2만 지원
Public IP	고객 게이트웨이 디바이스의 퍼블릭 IP 필수
NAT 사용 시	고객 ID를 설정해야 함
유휴 상태	터널이 일정 시간 유휴 상태가 되면 자동으로 종료 가능성
엔드포인트 교체	고객이 직접 or AWS 관리형으로 수행 가능
인증서 기반 인증 구성 시	고객 게이트웨이 리소스에 IP 주소 미지정 시 → 이후 수정 필요

 

🔜 다음 포스팅 예고: 원격 근무 환경을 위한 AWS Client VPN 구성 가이드

Site-to-Site VPN은 조직 간 네트워크 연결에 적합하지만, 개별 사용자가 사무실 외부에서 AWS 리소스에 안전하게 접근해야 하는 상황이라면 이야기가 달라집니다.

이럴 때 필요한 것이 바로 AWS Client VPN입니다.
이는 AWS가 제공하는 완전관리형 원격 액세스 VPN 서비스로, 사용자 단말에서 AWS 클라우드로 안전한 연결을 보장합니다.

다음 포스팅에서는 Client VPN의 개념부터 구성 방법, 인증 방식, 실무에서의 활용 팁까지 하나씩 정리해드릴 예정입니다.

재택근무, 보안 접속, 개발자 원격 액세스가 필요한 분들이라면 절대 놓치지 마세요.