인증서 기반 인증을 사용하여 클라이언트 VPN 엔드포인트를 생성하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 3월 13일

AWS Client VPN을 사용하여 AWS 리소스에 액세스하려고 하지만, Active Directory를 사용하고 싶지 않습니다. 인증서 기반 인증을 사용하여 클라이언트 VPN 엔드포인트를 생성하려면 어떻게 해야 합니까?

​해결 방법

클라이언트 VPN 엔드포인트는 모든 클라이언트 VPN 세션이 종료되는 서버입니다. AWS에서 관리하는 엔드포인트는 VPC와 OpenVPN 기반 클라이언트 간에 보안 TLS 연결을 설정합니다. 인증서 기반 인증을 사용하여 클라이언트 VPN 엔드포인트를 생성하려면 다음 단계를 따르십시오.

서버 및 클라이언트 인증서 및 키 생성

클라이언트를 인증하려면 서버 및 클라이언트 인증서와 클라이언트 키를 생성한 다음, AWS Certificate Manager(ACM)에 업로드해야 합니다. 인증서를 생성하는 방법과 인증서를 ACM에 업로드하는 방법을 알아보려면 클라이언트 VPN 상호 인증을 참조하십시오.

클라이언트 VPN 엔드포인트 생성

클라이언트 VPN 엔드포인트를 생성할 때 ACM이 제공하는 서버 인증서 ARN을 지정하십시오. 또한 VPN이 설정된 후 클라이언트에 할당되는 IP 주소 범위인 Client IPv4 CIDR도 선택해야 합니다. IP 주소 범위는 VPC CIDR 블록과 겹칠 수 없습니다.

CloudWatch Logs를 사용하여 클라이언트 연결 로깅을 활성화하고 클라이언트에서 사용할 사용자 지정 DNS 서버를 지정하면 됩니다. VPN 엔드포인트에서 분할 터널을 활성화하고 전송 프로토콜로 UDP 또는 TCP를 선택해도 됩니다.

클라이언트에 대해 VPN 연결 활성화

클라이언트가 VPN 세션을 설정할 수 있도록 하려면 대상 네트워크를 클라이언트 VPN 엔드포인트에 연결해야 합니다. 대상 네트워크는 VPC의 서브넷입니다. 권한 부여 규칙에서 허용하는 경우, 서브넷 연결 하나면 클라이언트가 VPC의 전체 네트워크에 액세스하기에 충분합니다. 가용 영역이 중단될 경우 추가 서브넷을 연결하여 고가용성을 제공할 수 있습니다. 자세한 내용은 서브넷 연결을 참조하십시오.

클라이언트가 VPC 리소스 또는 기타 네트워크에 액세스할 수 있도록 권한 부여

클라이언트가 VPC에 액세스할 수 있도록 권한을 부여하려면 권한 부여 규칙을 생성하십시오. 권한 부여 규칙은 VPC에 액세스할 수 있는 클라이언트를 지정합니다.

AWS 서비스, 피어링된 VPC, 온프레미스 네트워크 또는 인터넷과 같은 추가 네트워크에 액세스하도록 설정할 수도 있습니다. 각 추가 네트워크에 대해서 클라이언트 VPN 엔드포인트 라우팅 테이블에 경로를 추가하고, 클라이언트에 액세스 권한을 부여하도록 권한 부여 규칙을 구성해야 합니다.

클라이언트가 VPC 및 다른 네트워크에 액세스할 수 있도록 권한을 부여하려면 클라이언트가 네트워크에 연결하도록 승인하십시오.

클라이언트 VPN 엔드포인트 구성 파일 다운로드

마지막 단계는 클라이언트 VPN 엔드포인트 구성 파일을 다운로드하여 준비하는 것입니다. 구성 설정을 VPN 클라이언트 애플리케이션에 업로드할 수 있도록 클라이언트에 이 파일을 제공하십시오. 클라이언트 애플리케이션을 사용하여 AWS Client VPN 엔드포인트에 연결하는 방법에 대한 자세한 내용은 AWS Client VPN 사용 설명서를 참조하십시오.


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?