가상 프라이빗 게이트웨이에서 Transit Gateway로 VPN을 마이그레이션하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 3월 23일

Transit Gateway를 사용하여 Amazon VPC(Amazon Virtual Private Cloud)와 VPN(가상 프라이빗 네트워크) 사이에 보안 연결을 제공하고자 합니다. 가상 프라이빗 게이트웨이에서 Transit Gateway로 VPN을 마이그레이션하려면 어떻게 해야 합니까?

간략한 설명

가상 프라이빗 게이트웨이에서 Transit Gateway로 VPN을 마이그레이션하려면 다음을 수행합니다.

1.    Transit Gateway 생성

2.    Transit Gateway에 VPC 연결

3.    Transit Gateway에 VPN 연결

4.    가상 게이트웨이에서 Transit Gateway로 트래픽 장애 조치

해결 방법

참고: AWS CLI(AWS 명령줄 인터페이스) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

Transit Gateway에 대한 VPN을 종료할 수 있습니다. 그런 다음, 가상 게이트웨이에서 Transit Gateway로 트래픽 장애 조치를 구성할 수 있습니다. Transit Gateway에 연결된 모든 VPC는 단일 VPN 연결을 사용하여 액세스할 수 있습니다. Transit Gateway에 연결된 모든 VPC는 라우팅 및 보안 그룹을 통해 허용된 경우 통신할 수 있습니다.

AWS Transit Gateway에 대한 단일 VPN 연결은 여전히 최대 1.25Gbps의 처리량을 지원해야 합니다. 더 빠른 대역폭이 필요한 경우 Transit Gateway에 대한 여러 VPN 연결을 종료한 후 해당 연결에 온프레미스 서브넷을 분산해야 합니다.

시작하기 전에 다음 사항을 확인합니다.

  • TGW Migrator Tool을 사용하여 아래의 1단계와 2단계를 자동화할 수 있습니다.
  • 변경하지 않고 기존 가상 게이트웨이에서 Transit Gateway로 마이그레이션하려는 경우 ModifyVpnConnection API 호출을 사용할 수 있습니다. 그러나 이 호출은 가동 중단을 유발할 수 있으므로 예약된 유지 관리 기간에 변경을 수행하는 방법을 고려하세요.

1단계: Transit Gateway 생성

다음 단계를 따라 Transit Gateway를 생성합니다.

Transit Gateway를 구성할 때에는 교차 계정 연결을 자동으로 수락하도록 공유된 연결 자동 수락(Auto accept shared attachments)를 선택해야 합니다.

AWS CLI를 사용하여 Transit Gateway를 생성할 수도 있습니다.

aws ec2 create-transit-gateway

2단계: Transit Gateway에 VPC 연결

다음 단계를 따라 Transit Gateway에 VPC를 연결합니다.

각 가용 영역에서 트래픽 라우팅을 위해 Transit Gateway에서 사용할 하나의 서브넷을 지정해야 합니다. 각 가용 영영에서 하나의 서브넷을 지정하면 해당 가용 영역의 모든 서브넷에 있는 리소스에 트래픽이 도달할 수 있습니다.

AWS CLI를 사용하여 Transit Gateway에 VPC를 연결하려면 다음을 수행합니다.

aws ec2 create-transit-gateway-vpc-attachment
--transit-gateway-id tgw-14324bbc412a43243
--vpc-id vpc-2321314314
--subnet-ids "subnet-12312312" "subnet-41343432"

3단계: Transit Gateway에 VPN 연결

다음 단계를 따라 Transit Gateway에 VPN을 연결합니다.

Transit Gateway 연결을 생성하는 경우:

  • 고객 게이트웨이(Customer Gateway)에서 기존(Existing)을 선택한 다음, 고객 게이트웨이 ID를 선택합니다.
  • 터널 옵션(Tunnel Options)에는 선택적으로 CIDR 내 사용자 지정 터널과 VPN 터널에 대한 사전 공유 키를 지정할 수 있습니다. 지정하지 않는 경우 터널 옵션은 무작위로 생성됩니다.

AWS CLI를 사용하여 VPN 연결을 생성하려면 create-vpn-connection 명령을 사용합니다.

VPN 연결을 생성한 후 구성 파일을 다운로드하고 고객 게이트웨이에 해당 구성을 적용합니다. IPsec(Internet Protocol Security) 및 BGP(Border Gateway Protocol) 세션을 불러올 수 있지만, 가상 게이트웨이에 대한 VPN을 통해 트래픽 라우팅을 유지해야 합니다.

AWS Transit Gateway 라우팅 도메인에는 연결된 VPC 및 VPN에 대한 경로가 포함됩니다. 라우팅 테이블을 보려면 다음을 수행합니다.

1.    Amazon VPC 콘솔을 엽니다.

2.    탐색 창에서 Transit Gateway 라우팅 테이블(Transit Gateway Route Tables)을 선택합니다.

3.    라우팅 테이블을 선택합니다.

-또는-

AWS CLI에서 다음 명령을 실행합니다.

aws ec2 search-transit-gateway-routes --transit-gateway-route-table-id tgw-rtb-xxxxxxxxxxxxxxxxxx --filters Name=route-search.subnet-of-match,Values="0.0.0.0/0"

4단계: 가상 게이트웨이에서 Transit Gateway로 트래픽 장애 조치

1.    Amazon VPC 콘솔을 엽니다.

2.    탐색 창에서 라우팅 테이블(Route Tables)을 선택합니다.

3.    목록에서 VPC 라우팅 테이블을 선택합니다.

4.    작업(Actions)을 선택한 다음 경로 편집(Edit routes)을 선택합니다.

5.    Transit Gateway를 가리키도록 온프레미스 네트워크에 대한 덜 구체적인 경로를 추가합니다. 예를 들어, 가상 프라이빗 게이트웨이를 통해 네트워크에서 온프레미스 네트워크에 액세스하는 현재 경로가 10.10.0.0/24인 경우 10.10.0.0/16 CIDR 블록을 사용합니다. 이 구성을 사용하면 Transit Gateway로 트래픽을 리디렉션할 준비가 될 때까지 가상 프라이빗 게이트웨이에 대한 경로가 우선됩니다.

6.    Transit Gateway로 트래픽을 전환하려면 VPN 터널에서 온프레미스 CIDR 알림을 중지하도록 가상 게이트웨이에 연결된 고객 게이트웨이를 구성합니다. 또는 BGP 세션을 비활성화할 수 있습니다.

7.    VPC 경로에 대한 경로 전파를 비활성화합니다.

8.    가상 게이트웨이 항목을 포함하는 각 VPC 라우팅 테이블에 대해 3~7단계를 반복합니다.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요합니까?