가상 프라이빗 게이트웨이에서 Transit Gateway로 VPN을 마이그레이션하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2019년 5월 23일

Transit Gateway를 사용하여 Amazon Virtual Private Cloud(Amazon VPC) 및 VPN 사이에서 보안 연결성을 제공하고자 합니다. 가상 프라이빗 게이트웨이에서 Transit Gateway로 VPN을 마이그레이션하려면 어떻게 해야 합니까?

간략한 설명

가상 프라이빗 게이트웨이에서 Transit Gateway로 VPN을 마이그레이션하려면 다음을 수행합니다.

1.    Transit Gateway 생성

2.    Transit Gateway에 VPC 연결

3.    Transit Gateway에 VPN 연결

4.    가상 게이트웨이에서 Transit Gateway로 트래픽 장애 조치

​해결 방법

Transit Gateway에 대한 VPN을 종료할 수 있습니다. 그런 다음, 가상 게이트웨이에서 Transit Gateway로 트래픽 장애 조치를 구성할 수 있습니다. Transit Gateway에 연결된 모든 VPC는 단일 VPN 연결을 사용하여 액세스할 수 있습니다. Transit Gateway에 연결된 모든 VPC는 라우팅 및 보안 그룹을 통해 허용된 경우 서로 통신할 수 있습니다.

참고: AWS Transit Gateway에 대한 단일 VPN 연결은 여전히 최대 1.25Gbps의 처리량을 지원해야 합니다. 더 빠른 대역폭이 필요한 경우 Transit Gateway에 대한 여러 VPN 연결을 종료한 후 해당 연결에서 온프레미스 서브넷을 배포해야 합니다.

시작하기 전에 다음 사항을 확인합니다.

  • TGW Migrator를 사용하여 아래 1단계와 2단계를 자동화할 수 있습니다.
  • 변경하지 않고 기존 가상 게이트웨이에서 Transit Gateway로 마이그레이션하려는 경우 ModifyVpnConnection API 호출을 사용할 수 있습니다. 이로 인해 가동 중단이 발생할 수 있으므로 예약된 유지 관리 기간에 변경하는 방법을 고려하십시오.

1단계: Transit Gateway 생성

Transit Gateway를 구성하는 경우 교차 계정 연결을 자동으로 수락하도록 Auto accept shared attachments를 선택해야 합니다.

AWS CLI(명령줄 인터페이스)를 사용하여 Transit Gateway를 생성할 수도 있습니다.

aws ec2 create-transit-gateway

2단계: Transit Gateway에 VPC 연결

각 가용 영역에서 트래픽 라우팅을 위해 Transit Gateway에서 사용할 하나의 서브넷을 지정해야 합니다. 각 가용 영영에서 하나의 서브넷을 지정하면 해당 가용 영역의 모든 서브넷에 있는 리소스에 트래픽이 도달할 수 있습니다.

CLI를 사용하여 Transit Gateway에 VPC를 연결하려면 다음을 수행합니다.

aws ec2 create-transit-gateway-vpc-attachment
--transit-gateway-id tgw-14324bbc412a43243
--vpc-id vpc-2321314314
--subnet-ids subnet-12312312,subnet-41343432

3단계: Transit Gateway에 VPN 연결

Transit Gateway 연결을 생성하는 경우:

  • [고객 게이트웨이]에서 [기존]을 선택하고 드롭다운에서 고객 게이트웨이 ID를 선택합니다.
  • [터널 옵션]에서 선택적으로 CIDR 내 사용자 지정 터널과 VPN 터널에 대한 사전 공유 키를 지정할 수 있습니다. 그렇지 않은 경우 터널 옵션은 무작위로 생성됩니다.

AWS CLI를 사용하여 VPN 연결을 생성하려면 create-vpn-connection 명령을 사용합니다.

VPN 연결을 생성한 후 구성 파일을 다운로드하고 고객 게이트웨이에 해당 구성을 적용합니다. IPsec(Internet Protocol Security) 및 BGP(Border Gateway Protocol) 세션을 불러올 수 있지만, 가상 게이트웨이에 대한 VPN을 통해 트래픽 라우팅을 유지해야 합니다.

AWS Transit Gateway 라우팅 도메인에는 연결된 VPC 및 VPN 라우팅이 포함됩니다. 라우팅 테이블을 보려면 다음을 수행합니다.

  • 콘솔의 탐색 창에서 [Transit Gateway 라우팅 테이블]을 선택하고 라우팅 테이블을 선택합니다.
  • AWS CLI에서 다음 명령을 실행합니다.
aws ec2 search-transit-gateway-routes --transit-gateway-route-table-id tgw-rtb-xxxxxxxxxxxxxxxxxx --filters Name=route-search.subnet-of-match,Values="0.0.0.0/0"

4단계: 가상 게이트웨이에서 Transit Gateway로 트래픽 장애 조치

1.    Amazon Virtual Private Cloud(Amazon VPC) 콘솔을 엽니다.

2.    탐색 창에서 [라우팅 테이블]을 선택합니다.

3.    가상 게이트웨이 항목을 포함하는 각 VPC 라우팅 테이블에서 다음을 수행합니다.

  • 목록에서 VPC 라우팅 테이블을 선택합니다.
  • [라우팅] 탭을 선택하고 [라우팅 편집]을 선택합니다.
  • Transit Gateway를 가리키도록 온프레미스 네트워크에 대한 덜 구체적인 경로를 추가합니다. 예를 들어, 가상 프라이빗 게이트웨이를 통해 네트워크에서 온프레미스 네트워크에 액세스하는 현재 라우팅이 10.10.0.0/24인 경우 10.10.0.0/16 CIDR 블록을 사용합니다. 이 구성을 사용하면 Transit Gateway로 트래픽을 리디렉션할 준비가 될 때까지 가상 프라이빗 게이트웨이에 대한 경로가 우선됩니다.
  • Transit Gateway로 트래픽을 전환하려면 VPN 터널에서 온프레미스 CIDR 알림을 중지하도록 가상 게이트웨이에 연결된 고객 게이트웨이를 구성합니다. 또는 BGP 세션을 비활성화할 수 있습니다.
  • VPC 라우팅에 대한 라우팅 전파를 비활성화합니다.

이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?