VPC 간의 액세스를 허용하지 않고 전송 게이트웨이에 연결된 단일 VPN 연결에서 여러 VPC 간의 통신을 허용하려면 어떻게 해야 합니까?

간략한 설명

VPC가 두 개(예: 프로덕션 환경 및 개발 환경)이고 VPN 연결이 하나인 경우, 아래의 단계를 완료하여 여러 VPC에 있는 리소스 간에 다음과 같은 구성의 네트워크 연결을 설정합니다.

• 온프레미스 사용자는 VPN의 모든 VPC에서 리소스에 액세스할 수 있음
• VPC 리소스가 다른 VPC의 리소스에 액세스할 수 없음

해결 방법

전송 게이트웨이를 생성한 다음 VPC와 사이트 간 VPN 연결

1. Amazon Virtual Private Cloud(Amazon VPC) 콘솔에서 전송 게이트웨이를 생성합니다.
   참고: 전송 게이트웨이를 생성할 때에는 기본 연결(Default association) 라우팅 테이블 설정을 비활성화합니다.
2. 전송 게이트웨이에 VPC를 연결합니다.
3. 사이트 간 VPN 연결을 생성해서 전송 게이트웨이에 연결합니다.
   참고: VPN 경로를 전송 게이트웨이 라우팅 테이블로 자동 전파하려면 **라우팅 옵션(Routing option)**에서 **동적(Dynamic)**을 선택합니다. 이 옵션을 사용하려면 경계 경로 프로토콜이 필요합니다.

전송 게이트웨이 라우팅 테이블을 생성해서 VPC에 연결

1. Amazon VPC 콘솔을 엽니다.
2. 탐색 창에서 **전송 게이트웨이(Transit gateways)**를 선택합니다.
3. 전송 게이트웨이에 대한 기본 연결 라우팅 테이블(Default association route table) 설정이 **비활성화(Disable)**로 설정되어 있는지 확인합니다.
   참고: **기본 연결 라우팅 테이블(Default association route table)**이 **활성화(Enable)**로 설정된 경우 9단계로 건너뜁니다.
4. **전송 게이트웨이 라우팅 테이블(Transit gateway route tables)**을 선택합니다.
5. **전송 게이트웨이 라우팅 테이블 생성(Create transit gateway route table)**을 선택합니다.
   **이름 태그(Name tag)**에 Route Table A를 입력합니다.
   **전송 게이트웨이 ID(Transit gateway ID)**에서 해당 전송 게이트웨이의 ID를 선택합니다.
   그런 다음 **전송 게이트웨이 라우팅 테이블 생성(Create transit gateway route table)**을 선택합니다.
6. 이전 단계에서 생성한 Route Table A 또는 전송 게이트웨이의 기본 라우팅 테이블을 선택합니다.
7. **연결(Associations)**을 선택하고, **연결 생성(Create association)**을 선택합니다.
8. **연결할 대상 선택(Choose attachment to associate)**에서 VPC의 연결 ID를 선택합니다. 그런 다음 **연결 생성(Create association)**을 선택합니다. 연결(Association) 아래에 모든 VPC가 표시될 때까지 이 단계를 반복합니다.
9. 기본 전송 게이트웨이 라우팅 테이블에서 VPN 연결을 삭제합니다.

두 번째 전송 게이트웨이 라우팅 테이블을 생성해서 VPN 연결에 연결

1. Amazon VPC 콘솔에서 **전송 게이트웨이 라우팅 테이블(Transit gateway route tables)**을 선택합니다.
2. **전송 게이트웨이 라우팅 테이블 생성(Create transit gateway route table)**을 선택합니다.
   **이름 태그(Name tag)**에 Route Table B를 입력합니다.
   전송 게이트웨이(Transit gateway) ID에서 해당 전송 게이트웨이의 ID를 선택합니다.
   그런 다음 **전송 게이트웨이 라우팅 테이블 생성(Create transit gateway route table)**을 선택합니다.
3. 이전 단계에서 생성한 Route Table B 선택
4. **연결(Associations)**을 선택하고, **연결 생성(Create association)**을 선택합니다.
5. 생성한 VPN 연결을 Route Table B에 연결합니다.

VPC 및 VPN에서 두 라우팅 테이블로 경로 전파

1. Amazon VPC 콘솔에서 **전송 게이트웨이 라우팅 테이블(Transit gateway route tables)**을 선택합니다.
2. Route Table A를 선택합니다.
3. **작업(Actions)**을 선택한 다음 **전파 생성(Create propagation)**을 선택합니다.
4. **전파할 연결 선택(Choose attachment to propagate)**에서 VPN에 대한 전파를 선택합니다. 모든 연결에 대해 전파를 활성화한 경우, 이 라우팅 테이블에 VPN 연결이 활성화되지 않았는지 확인합니다.
   중요: 동적 라우팅이 아닌 정적 경로 VPN 연결을 생성한 경우 Route Table A의 VPN에 대한 온프레미스 네트워크의 정적 경로를 생성해야 합니다. 정책 기반 정적 VPN 연결의 경우 보안 연결(SA) 쌍 하나만 허용됩니다. 온프레미스 CIDR 및 VPC의 CIDR을 단일 SA에 통합합니다. 자세한 내용은 AWS VPN 엔드포인트와 정책 기반 VPN 간의 연결 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.
5. **전파 생성(Create propagtion)**을 선택합니다.
6. 전송 게이트웨이 라우팅 테이블에서 Route Table B를 선택합니다.
7. **작업(Actions)**을 선택한 다음 **전파 생성(Create propagation)**을 선택합니다.
8. **전파할 연결 선택(Choose attachment to propagate)**에서 모든 VPC에 대한 전파를 선택합니다. 그런 다음 **전파 생성(Create propagtion)**을 선택합니다.

VPC 및 연결 서브넷과 연결된 라우팅 테이블 구성

1. Amazon VPC 콘솔에서 **라우팅 테이블(Route tables)**을 선택합니다.
2. 연결 서브넷에 연결된 라우팅 테이블을 선택합니다.
3. 경로(Routes) 탭을 선택하고 **경로 편집(Edit routes)**을 선택합니다.
4. 경로 추가(Add route) 탭을 선택합니다.
   **대상(Destination)**에서 온프레미스 네트워크의 서브넷을 선택합니다.
   **목표(Target)**에서 해당 전송 게이트웨이를 선택합니다.
5. **경로 저장(Save routes)**을 선택합니다.

참고: 사용 사례에서 VPC 간에 더 제한적인 액세스가 필요한 경우 각 VPC에 대해 별도의 라우팅 테이블을 생성하고 경로를 구성할 수 있습니다. 다음 사항에 유의하세요.

• Transit Gateway 루트 테이블의 라우팅은 Transit Gateway 연결과 Transit Gateway 루트 테이블의 연결을 기반으로 합니다.
• 모든 전송 게이트웨이 라우팅 테이블의 전송 게이트웨이 연결에서 모든 대상에 대한 경로를 구성할 수 있습니다. 전송 게이트웨이 연결은 특정 라우팅 테이블과 연결할 필요가 없습니다.

---