AWS VPN은 AWS Site-to-Site VPN 및 AWS Client VPN이라는 두 가지 서비스로 구성됩니다. AWS Site-to-Site VPN을 사용하면 온프레미스 네트워크 또는 지사 사이트를 Amazon Virtual Private Cloud(Amazon VPC)에 안전하게 연결할 수 있습니다. AWS Client VPN을 사용하면 사용자를 AWS 또는 온프레미스 네트워크에 안전하게 연결할 수 있습니다.

일반 질문

Q: Client VPN 엔드포인트란 무엇입니까?

A: Client VPN 엔드포인트는 서비스를 사용하도록 구성하는 리전 구성입니다. 최종 사용자의 VPN 세션은 Client VPN 엔드포인트에서 종료됩니다. Client VPN 엔드포인트 구성의 일부로 인증 세부 정보, 서버 인증서 정보, 클라이언트 IP 주소 할당, 로깅 및 VPN 옵션을 지정합니다.

Q: 대상 네트워크란 무엇입니까?

A: 대상 네트워크는 온프레미스에 액세스하는 것 뿐만 아니라 AWS 리소스에 안전하게 액세스할 수 있도록 Client VPN 엔드포인트에 연결하는 네트워크입니다. 현재 대상 네트워크는 Amazon VPC의 서브넷입니다.

결제

Q: 청구 대상 VPN 연결 시간을 어떻게 정의합니까?

A: VPN 연결이 "사용 가능" 상태인 시간에 대해서만 VPN 연결 시간에 대한 비용이 청구됩니다. AWS Management Console, CLI 또는 API를 통해 VPN 연결 상태를 확인할 수 있습니다. VPN 연결을 더 이상 사용하지 않을 경우, VPN 연결을 종료하여 추가로 VPN 연결 시간이 청구되지 않도록 합니다.

Q: 요금에 세금이 포함되어 있습니까?

A: 달리 명시되어 있지 않는 한 요금에는 VAT 및 해당 판매세를 포함한 관련 세금이 포함되지 않습니다. 청구지 주소가 일본으로 되어 있는 고객의 경우 AWS 서비스 사용 시 일본 소비세의 적용을 받게 됩니다. 자세히 알아보기.

AWS Site-to-Site VPN 설정 및 관리

Q: AWS Management Console을 사용하여 AWS Site-to-Site VPN을 제어하고 관리할 수 있습니까?

A: 예 AWS Management Console을 사용하여 AWS Site-to-Site VPN과 같은 IPSec VPN 연결을 관리할 수 있습니다.

Q: 몇 개의 고객 게이트웨이, 가상 프라이빗 게이트웨이 및 AWS Site-to-Site VPN 연결을 만들 수 있습니까?

A: 다음을 생성할 수 있습니다.

  • VPC당 하나의 인터넷 게이트웨이
  • AWS 리전별로 AWS 계정당 5개의 가상 프라이빗 게이트웨이
  • AWS 리전별로 AWS 계정당 50개의 고객 게이트웨이
  • 가상 프라이빗 게이트웨이당 10개의 IPsec VPN 연결

VPC 한도에 대한 자세한 내용은 VPC 사용 설명서를 참조하십시오.

AWS Site-to-Site VPN 연결

Q: VPC의 VPN 연결 옵션에는 무엇이 있습니까?

A: 가상 프라이빗 게이트웨이를 통해 하드웨어 VPN 연결을 사용하여 VPC를 회사 데이터 센터에 연결할 수 있습니다.

Q: 퍼블릭 IP 주소가 없는 인스턴스가 인터넷에 액세스하려면 어떻게 해야 합니까?

A: 퍼블릭 IP 주소가 없는 인스턴스는 다음 두 가지 방법 중 하나를 사용하여 인터넷에 액세스할 수 있습니다.

퍼블릭 IP 주소가 없는 인스턴스는 네트워크 주소 변환(NAT) 게이트웨이 또는 NAT 인스턴스를 통해 트래픽을 라우팅하여 인터넷에 액세스할 수 있습니다. 이러한 인스턴스는 인터넷을 통과하기 위해 NAT 게이트웨이 또는 NAT 인스턴스의 퍼블릭 IP 주소를 사용합니다. NAT 게이트웨이 또는 NAT 인스턴스는 아웃바운드 통신을 허용하지만, 인터넷상에서 시스템이 프라이빗 주소의 인스턴스에 연결을 시도하는 것을 허용하지 않습니다.

하드웨어 VPN 연결 또는 Direct Connect 연결이 지원되는 VPC의 경우, 인스턴스는 가상 프라이빗 게이트웨이의 인터넷 트래픽을 사용자의 기존 데이터 센터로 라우팅할 수 있습니다. 여기서 기존 송신 지점 및 네트워크 보안/모니터링 디바이스를 통해 인터넷에 액세스할 수 있습니다.

Q: AWS Site-to-Site VPN 연결은 Amazon VPC에서 어떻게 작동합니까?

A: AWS Site-to-Site VPN 연결은 사용자의 VPC를 데이터센터에 연결합니다. Amazon은 인터넷 프로토콜 보안(IPsec) VPN 연결을 지원합니다. VPC와 데이터센터 간에 전송되는 데이터는 암호화된 VPN 연결을 통해 라우팅되어 전송 데이터의 기밀성과 무결성이 유지됩니다. Site-to-Site VPN 연결을 형성하는데 인터넷 게이트웨이는 필요하지 않습니다.

Q: IPsec란 무엇입니까?

A: IPsec은 데이터 흐름의 각 IP 패킷을 인증하고 암호화함으로써 인터넷 프로토콜(IP) 통신의 보안을 유지하는 프로토콜입니다.

Q: Amazon VPC에 연결하려면 어떤 고객 게이트웨이 디바이스를 사용해야 합니까?

A: 정적으로 라우팅되는 VPN 연결과 동적으로 라우팅되는 VPN 연결 등 두 가지 유형의 AWS Site-to-Site VPN 연결을 생성할 수 있습니다. 정적으로 라우팅되는 VPN 연결을 지원하는 고객 게이트웨이 디바이스는 다음 기능을 수행할 수 있어야 합니다.

사전에 공유한 키를 사용하여 IKE 보안 연결을 설정합니다.

터널 모드에서 IPsec 보안 연결을 설정합니다.

AES 128비트, 256비트, 128비트 GCM-16 또는 256비트 GCM-16 암호화 기능을 활용합니다.

SHA-1, SHA-2(256), SHA2(384) 또는 SHA2(512) 해싱 기능을 활용합니다.

"Group 2" 모드의 Diffie-Hellman(DH) Perfect Forward Secrecy 또는 AWS에서 지원하는 추가 DH 그룹 중 하나를 활용합니다.

암호화 전에 패킷 조각화를 수행합니다.

동적으로 라우팅되는 Site-to-Site VPN 연결을 지원하는 디바이스는 위에 나열된 기능 외에 다음 기능을 추가로 수행할 수 있어야 합니다.

BGP(Border Gateway Protocol) 피어링을 설정합니다.

논리적 인터페이스(라우터 기반 VPN)에 터널을 바인딩합니다.

IPsec Dead Peer Detection을 활용합니다.

Q: Diffie-Hellman 그룹 중 지원하는 것은 무엇입니까?

A: 다음 Phase1과 Phase2의 Diffie-Hellman(DH) 그룹을 지원합니다.

Phase 1 DH 그룹 2, 14-24

Phase 2 DH 그룹 2, 5, 14-24

Q: AWS는 IKE 교체가 필요한 경우 어떤 알고리즘을 제안합니까?

A: 기본적으로 AWS 측의 VPN 엔드포인트에서는 AES-128, SHA-1 및 DH 그룹 2를 제안합니다. 특정한 교체 제안을 원하는 경우 [Modify VPN Tunnel Options(VPN 터널 옵션 수정)]를 사용하여 필요한 특정 VPN 파라미터로 터널 옵션을 제한하는 것이 좋습니다.

Q: Amazon VPC에서 작동하는 것으로 확인된 고객 게이트웨이 디바이스는 무엇입니까?

A: 네트워크 관리자 안내서에는 앞서 언급한 요구 조건에 부합하는 다음 디바이스가 하드웨어 VPN 연결에서 작동하는 것으로 알려진 디바이스 목록이 있으며 명령줄 도구에서 디바이스에 적합한 구성 파일의 자동 생성을 지원합니다.

Q: 디바이스가 목록에 있지 않다면 해당 디바이스를 Amazon VPC에서 사용하기 위한 추가 정보를 어디에서 얻을 수 있습니까?

A: 다른 고객이 이미 사용자의 디바이스를 사용하고 있을 수 있으므로, Amazon VPC 포럼을 확인해 보시기 바랍니다.

Q: Site-to-Site VPN 연결의 적절한 최대 처리량은 어떻게 됩니까?

A: 각 AWS Site-to-Site VPN 연결은 2개의 터널로 구성되며 각 터널은 최대 1.25Gbps의 처리량을 지원합니다. VPN이 가상 프라이빗 게이트웨이에 연결되는 경우 총 처리량 제한이 적용됩니다.

Q: 가상 프라이빗 게이트웨이에 대한 총 처리량 제한이 있습니까?

A: 가상 프라이빗 게이트웨이에는 연결 유형별로 총 처리량 제한이 적용됩니다. 동일한 가상 프라이빗 게이트웨이에 대한 여러 VPN 연결에는 AWS에서 온프레미스로 처리량을 기준으로 최대 1.25Gbps의 총 처리량 제한이 적용됩니다. 가상 프라이빗 게이트웨이의 AWS Direct Connect 연결의 경우 처리량은 Direct Connect 물리적 포트 자체에 따라 처리량이 결정됩니다. 여러 VPC에 연결하는 경우 더 높은 처리량 제한을 적용하려면 AWS Transit Gateway를 사용하십시오.

Q: 내 VPN 연결의 처리량에 영향을 주는 요소는 무엇입니까?

A: VPN 연결 처리량은 고객 게이트웨이의 용량, 연결 용량, 평균 패킷 크기, 사용된 프로토콜(TCP 또는 UDP), 고객 게이트웨이와 가상 프라이빗 게이트웨이 간 네트워크 지연 시간 등과 같은 여러 요소에 따라 달라질 수 있습니다.

Q: Site-to-Site VPN 연결의 적절한 최대 초당 패킷 수는 어떻게 됩니까?

A: 각 AWS Site-to-Site VPN 연결은 2개의 터널로 구성되며, 각 터널은 최대 초당 140,000개 패킷을 지원합니다.  

Q: 내 Site-to-Site VPN 구성 문제를 해결하는 데 사용할 수 있는 도구에는 어떤 것이 있습니까?

A: DescribeVPNConnection API는 VPN 연결 상태를 표시하는데, 각각의 VPN 터널 상태("up"/"down") 및 터널이 "down"일 때에 해당하는 오류 메시지 등이 표시됩니다. 이러한 정보는 AWS Management Console에도 표시됩니다.

Q: VPC를 회사 데이터 센터에 연결하려면 어떻게 해야 합니까?

A: 기존 네트워크와 Amazon VPC 간에 하드웨어 VPN 연결을 설정하면 마치 기존 네트워크에 있는 것처럼 VPC 내에서 Amazon EC2 인스턴스와 상호 작용할 수 있습니다. AWS는 하드웨어 VPN 연결을 통해 액세스한 VPC 내 Amazon EC2 인스턴스에서는 NAT(Network Address Translation)를 수행하지 않습니다.

Q: 내 고객 게이트웨이를 라우터 또는 방화벽 위에서 NAT할 수 있습니까?

A: NAT 디바이스의 퍼블릭 IP 주소를 사용하게 됩니다.

Q: 내 고객 게이트웨이 주소에는 어떤 IP 주소를 사용해야 합니까?

A: NAT 디바이스의 퍼블릭 IP 주소를 사용하게 됩니다.

Q: 내 연결에서 NAT-T를 비활성화하려면 어떻게 해야 합니까?

A: 디바이스에서 NAT-T를 비활성화해야 합니다. NAT-T를 사용하지 않을 예정이고 디바이스에서 NAT-T가 비활성화되어 있는 경우, AWS에서는 UDP 포트 4500을 통해 터널을 설정하려고 시도합니다. 해당 포트가 개방되어 있지 않으면, 터널이 설정되지 않습니다.

Q: NAT를 통해 여러 개의 고객 게이트웨이를 두도록 구성하려면 어떻게 해야 합니까?

A: 디바이스에서 NAT-T를 비활성화해야 합니다. NAT-T를 사용하지 않을 예정이고 디바이스에서 NAT-T가 비활성화되어 있는 경우, AWS에서는 UDP 포트 4500을 통해 터널을 설정하려고 시도합니다. 해당 포트가 개방되어 있지 않으면, 터널이 설정되지 않습니다.

Q: 현재 터널당 설정할 수 있는 IPsec 보안 연결(SA)의 수는 어떻게 됩니까?

A: AWS VPN 서비스는 라우팅 기반 솔루션입니다. 따라서 라우팅 기반 구성을 사용하는 경우에는 SA 한도가 적용되지 않습니다. 또한, AWS VPN 서비스가 라우팅 기반 솔루션이므로, 정책 기반 솔루션을 사용하는 경우에는 단일 SA로 제한해야 합니다.

Q: VPC 공인 IP 주소 범위를 인터넷에 알리고, 데이터 센터의 트래픽을 Site-to-Site VPN을 통해 내 VPC로 라우팅할 수 있습니까?

A: 예. VPN 연결을 통해 트래픽을 라우팅하고, 자신의 홈 네트워크에서 주소 범위를 알릴 수 있습니다.

Q: VPN 연결에서 고객 게이트웨이 디바이스에 알릴 수 있는 최대 경로 수는 몇 개입니까?

A: VPN 연결은 고객 게이트웨이 디바이스에 최대 1,000개의 경로를 알릴 수 있습니다. 가상 프라이빗 게이트웨이의 VPN에 대해 알리는 경로 소스로는, VPC 경로, 기타 VPN 경로 및 DX 가상 인터페이스의 경로가 포함됩니다. AWS Transit Gateway의 VPN에 대해 알리는 소스 경로는 VPN 접속에 연결된 경로 테이블에서 가져옵니다. 1,000개가 넘는 경로를 전송하려고 하면 1,000개의 하위 집합만 알립니다.  

Q: 고객 게이트웨이 디바이스에서 VPN 연결에 알릴 수 있는 최대 경로 수는 몇 개입니까?

A: 고객 게이트웨이 디바이스에서 VPN 연결로 최대 100개의 경로를 알릴 수 있습니다. 정적 경로를 사용하는 VPN 연결의 경우 100개가 넘는 정적 경로를 추가할 수 없습니다. BGP를 사용하는 VPN 연결의 경우 100개가 넘는 경로를 알리려고 하면 BGP 세션이 재설정됩니다.

Q: VPN 연결은 IPv6 트래픽을 지원하나요?

A: 예. AWS Transit Gateway로의 VPN 연결은 IPv4 또는 IPv6 트래픽을 지원할 수 있으며 새 VPN 연결을 생성할 때 둘 중 하나를 선택할 수 있습니다. VPN 트래픽에 IPv6을 선택하려면 Inside IP 버전에 대한 VPN 터널 옵션을 IPv6으로 설정합니다. 터널 엔드포인트 및 고객 게이트웨이의 IP 주소는 IPv4 전용입니다.

Q: VPN 터널에서 IKE(Internet Key Exchange) 세션이 시작되는 쪽은 어디인가요?

A: 기본적으로 고객 게이트웨이(CGW)에서 IKE를 시작해야 합니다. 또는 AWS VPN 엔드포인트에서 적절한 옵션을 활성화하여 시작할 수 있습니다.

AWS Accelerated Site-to-Site VPN

Q: Accelerated Site-to-Site VPN을 사용해야 하는 이유는 무엇입니까?

A: AWS에서 VPN 엔드포인트에 도달하기 전에 트래픽이 인터넷에서 여러 퍼블릭 네트워크를 통과할 때 VPN 연결은 일관성 없는 가용성과 성능에 직면합니다. 이러한 퍼블릭 네트워크는 정체될 수 있습니다. 각 홉은 가용성과 성능 위협을 초래할 수 있습니다. Accelerated Site-to-Site VPN은 가용성이 높고 정체되지 않는 AWS 글로벌 네트워크를 사용하여 보다 일관된 사용자 경험을 제공합니다.

Q: Accelerated Site-to-Site VPN을 어떻게 생성할 수 있습니까?

A: VPN 연결을 생성할 때 가속화 활성화(Enable Acceleration) 옵션을 true로 설정합니다.

Q: 기존 VPN 연결이 Accelerated Site-to-Site VPN인지 어떻게 알 수 있습니까?

A: VPN 연결 설명에서 가속화 활성화(Enable Acceleration) 값이 true로 설정되어야 합니다.

Q: 기존 Site-to-Site VPN을 어떻게 Accelerated Site-to-Site VPN으로 변환할 수 있습니까?

A: 새 Accelerated Site-to-Site VPN을 생성하고 이 새 VPN 연결에 연결하기 위해 고객 게이트웨이 디바이스를 업데이트한 다음 기존 VPN 연결을 삭제합니다. Accelerated VPN은 비 Accelerated VPN 연결과는 다른 IP 주소 범위를 사용하기 때문에 새 터널 엔드포인트 인터넷 프로토콜(IP) 주소를 받게 됩니다.

Q: Accelerated Site-to-Site VPN이 가상 게이트웨이와 AWS Transit Gateway를 모두 지원합니까?

A: Transit Gateway만 Accelerated Site-to-Site VPN을 지원합니다. VPN 연결을 생성할 때 Transit Gateway를 지정해야 합니다. AWS 측의 VPN 엔드포인트가 Transit Gateway에서 생성됩니다.

Q: Accelerated Site-to-Site VPN 연결이 고가용성을 위해 2개의 터널을 제공합니까?

A: 예. 각 VPN 연결은 고가용성을 위한 2개의 터널을 제공합니다.

Q: Accelerated 및 비 Accelerated Site-to-Site VPN 터널 사이에 프로토콜 차이가 있습니까?

A: NAT-T는 필수이며 Accelerated Site-to-Site VPN 연결에 기본적으로 활성화됩니다. 또한 Accelerated 및 비 Accelerated VPN 터널은 동일한 IP 보안(IPSec) 및 인터넷 키 교환(IKE) 프로토콜을 지원하며 동일한 대역폭, 터널 옵션, 라우팅 옵션 및 인증 유형도 제공합니다.

Q: Accelerated Site-to-Site VPN 연결이 고가용성을 위해 2개의 네트워크 영역을 제공합니까?

A: 예. 2개의 터널 엔드포인트를 위해 독립된 네트워크 영역에서 AWS Global Accelerator 글로벌 인터넷 프로토콜 주소(IP)를 선택합니다.

Q: Accelerated Site-to-Site VPN이 AWS Global Accelerator의 옵션입니까?

A: 아니요. Accelerated Site-to-Site VPN은 AWS Site-to-Site VPN을 통해서만 생성할 수 있습니다. Accelerated Site-to-Site VPN은 AWS Global Accelerator 콘솔 또는 API를 통해 생성할 수 없습니다.

Q: 퍼블릭 AWS Direct Connect 가상 인터페이스를 통해 Accelerated VPN을 사용할 수 있습니까?

A: 아니요. 퍼블릭 Direct Connect 가상 인터페이스를 통해 Accelerated VPN을 사용할 수 없습니다. 대부분의 경우 퍼블릭 Direct Connect 연결을 통해 사용하면 Accelerated Site-to-Site VPN 가속화 이점이 사라집니다.

Q: Accelerated Site-to-Site VPN은 어느 AWS 리전에서 사용할 수 있습니까?

A: Accelerated Site-to-Site VPN은 현재 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤), 미국 서부(캘리포니아 북부), EU(프랑크푸르트), EU(아일랜드), EU(런던), EU(파리), 아시아 태평양(싱가포르), 아시아 태평양(도쿄), 아시아 태평양(시드니), 아시아 태평양(서울), 아시아 태평양(뭄바이), 캐나다(중부)와 같은 AWS 리전에서 사용할 수 있습니다.

AWS Client VPN 설정 및 관리

Q: AWS Client VPN을 어떻게 설정합니까?

A: IT 관리자는 Client VPN 엔드포인트를 생성하고 해당 엔드포인트에 대상 네트워크를 연결하며 최종 사용자 연결을 허용하기 위해 액세스 정책을 설정합니다. IT 관리자는 Client VPN 구성 파일을 최종 사용자에게 배포합니다. 최종 사용자는 OpenVPN 클라이언트를 다운로드해야 하고 VPN 세션을 생성하기 위해 Client VPN 구성 파일을 사용합니다.

Q: 연결을 설정하기 위해 최종 사용자는 무엇을 해야 합니까?

A: 최종 사용자는 디바이스에 OpenVPN 클라이언트를 다운로드해야 합니다. 다음으로 사용자는 AWS Client VPN 구성 파일을 OpenVPN 클라이언트로 가져와 VPN 연결을 시작합니다.

AWS Client VPN 연결

Q: 다른 네트워크에 대한 연결을 어떻게 활성화합니까?

A: 피어링된 Amazon VPC, 가상 게이트웨이 또는 S3와 같은 AWS 서비스, 엔드포인트를 통한 온프레미스 네트워크, AWS PrivateLink를 통한 네트워크 또는 인터넷 게이트웨이를 통한 기타 리소스와 같은 다른 네트워크 연결을 활성화할 수 있습니다. 연결을 활성화하려면 Client VPN 라우팅 테이블에서 특정 네트워크에 라우팅을 추가하고 특정 네트워크에 대한 액세스를 활성화하는 인증 규칙을 추가합니다.

Q: Client VPN 엔드포인트가 연결된 서브넷의 다른 계정에 속할 수 있습니까?

A: 아니요. 연결된 서브넷은 Client VPN 엔드포인트와 동일한 계정에 있어야 합니다.

Q: 프라이빗 IP 주소를 사용하여 TLS 세션을 설정한 리전과는 다른 리전 내에서 VPC의 리소스를 액세스할 수 있습니까?

A: 다음 두 단계를 통해 액세스할 수 있습니다. 먼저 다른 리전의 대상 VPC와 Client VPN 연결 VPC 사이에 교차 리전 피어링 연결을 설정합니다. 다음으로 Client VPN 엔드포인트에서 대상 VPC에 대한 라우팅 및 액세스 규칙을 추가합니다. 이제 사용자는 Client VPN 엔드포인트와는 다른 리전에 있는 대상 VPC에서 리소스를 액세스할 수 있습니다.

Q: Client VPN이 어떤 전송 프로토콜을 지원합니까?

A: VPN 세션을 위해 TCP 또는 UDP 중 하나를 선택할 수 있습니다.

Q: AWS Client VPN은 분할 터널을 지원합니까?

A: 예. 분할 터널이 활성화 또는 비활성화된 상태로 엔드포인트를 생성하도록 선택할 수 있습니다. 이전에 분할 터널이 비활성화된 엔드포인트를 생성한 경우 이를 수정하여 분할 터널을 활성화하도록 선택할 수 있습니다. 분할 터널이 활성화된 경우 해당 엔드포인트에 구성된 라우팅으로 보내진 트래픽이 VPN 터널을 통해 라우팅됩니다. 다른 모든 트래픽은 로컬 네트워크 인터페이스를 통해 라우팅됩니다. 분할 터널이 비활성화되면 디바이스에서 온 모든 트래픽이 VPN 터널을 통과합니다.

AWS Client VPN 인증 및 권한 부여

Q: AWS Client VPN은 어떤 인증 메커니즘을 지원합니까?

A: AWS Client VPN은 AWS Directory Services를 사용하는 Active Directory 인증, 인증서 기반 인증 및 SAML 2.0을 사용하는 연합 인증을 지원합니다.

Q: 사용자를 인증하는 데 온프레미스 Active Directory를 사용할 수 있습니까?

A: 예. AWS Client VPN은 AWS Directory Service와 통합되므로 온프레미스 Active Directory에 연결될 수 있습니다.

Q: AWS Client VPN이 상호 인증을 지원합니까?

A: 예. AWS Client VPN은 상호 인증을 지원합니다. 상호 인증이 활성화되면 고객은 서버에서 클라이언트 인증서를 발급하는 데 사용되는 루트 인증서를 업로드해야 합니다.

Q: 클라이언트 인증서를 차단 목록에 추가할 수 있습니까?

A: 예. AWS Client VPN은 정적으로 구성된 CRL(Certificate Revocation List)을 지원합니다.

Q: AWS Client VPN은 고객이 자체 인증서를 가져오는 기능을 지원합니까?

A: 예 인증서, 루트 인증 기관(CA) 인증서 및 서버의 프라이빗 키를 업로드해야 합니다. AWS Certificate Manager로 업로드됩니다.

Q: 서버 인증서를 생성하기 위해 AWS Client VPN이 AWS Certificate Manager(ACM)와 통합됩니까?

A: 예 ACM을 외부 루트 CA에 연결된 하위 CA로 사용할 수 있습니다. 그런 다음 ACM은 서버 인증서를 생성합니다. 이 시나리오에서 ACM은 서버 인증서를 순환시키기도 합니다.

Q: AWS Client VPN이 태세 평가를 지원합니까?

A: 아니요. AWS Client VPN은 태세 평가를 지원하지 않습니다. Amazon Inspectors와 같은 다른 AWS 서비스는 태세 평가를 지원합니다.

Q: AWS Client VPN은 Multi-Factor Authentication(MFA)을 지원합니까?

A: 예. AWS Client VPN은 AWS Directory Services를 사용하는 Active Directory 및 외부 자격 증명 공급자(예: Okta)를 통한 MFA를 지원합니다.

Q: AWS Client VPN은 인증을 어떻게 지원합니까?

A: 네트워크를 액세스할 수 있는 사용자를 제한하는 인증 규칙을 구성합니다. 특정 대상 네트워크에서는 액세스가 허용된 Active Directory 그룹/자격 증명 공급자 그룹을 구성할 수 있습니다. 이 Active Directory 그룹/자격 증명 공급자 그룹에 속한 사용자만 지정된 네트워크에 액세스할 수 있습니다.

Q: AWS Client VPN이 보안 그룹을 지원합니까?

A: Client VPN은 보안 그룹을 지원합니다. 연결 그룹에 대한 보안 그룹을 지정할 수 있습니다. 서브넷이 연결된 경우 서브넷의 기본 VPC 보안 그룹이 자동으로 적용됩니다.

Q: Client VPN 연결로만 내 애플리케이션을 액세스하도록 제한하려면 보안 그룹을 어떻게 사용해야 합니까?

A: 애플리케이션에서 연결된 서브넷에 적용된 보안 그룹에서만 액세스하도록 지정할 수 있습니다. 이제 Client VPN을 통해 연결된 사용자만 액세스하도록 제한합니다.

Q: 연합 인증에서 IDP 메타데이터 문서를 수정할 수 있습니까?

A: 예, 클라이언트 VPN 엔드포인트에 연결된 IAM 자격 증명 공급자에서 새 메타데이터 문서를 업로드할 수 있습니다. 업데이트된 메타데이터는 2-4시간 후에 반영됩니다.

Q: 연합 인증에서 타사 OpenVPN 클라이언트를 사용하여 클라이언트 VPN 엔드포인트에 연결할 수 있습니까?

A: 아니요, 엔드포인트에 연결하려면 AWS Client VPN 소프트웨어를 사용해야 합니다.

AWS Client VPN 가시성 및 모니터링

Q: AWS Client VPN에 어떤 로그가 지원됩니까?

A: Client VPN은 연결 로그를 CloudWatch 로그로 내보내도록 최선을 다합니다. 이러한 로그는 15분 간격으로 계속 내보냅니다. 연결 로그는 생성된 연결 요청 및 종료된 연결 요청에 대한 세부 정보를 포함합니다.

Q: Client VPN은 엔드포인트에서 Amazon VPC Flow Logs를 지원합니까?

A: 아니요. Amazon VPC Flow Logs는 연결된 VPC에서 사용할 수 있습니다.

Q: 활성 연결을 모니터링할 수 있습니까?

A: 예. CLI 또는 콘솔을 사용하여 엔드포인트의 현재 활성 연결을 보고 활성 연결을 종료할 수 있습니다.

Q: CloudWatch를 사용하여 엔드포인트별로 모니터링할 수 있습니까?

A: 예 CloudWatch 모니터를 사용하여 각 Client VPN 엔드포인트에 대한 바이트 수신과 송신 및 활성 연결을 볼 수 있습니다.

VPN 클라이언트

Q: AWS Client VPN에 대한 무료 소프트웨어 클라이언트를 배포하려면 어떻게 해야 합니까?

A: AWS Client VPN의 소프트웨어 클라이언트는 기존 AWS Client VPN 구성과 호환 가능합니다. 클라이언트는 AWS Client VPN 서비스에서 생성하는 OpenVPN 구성 파일을 사용하여 프로필 추가를 지원합니다. 프로필이 생성되면 클라이언트는 사용자 설정에 따라 엔드포인트에 연결합니다.

Q: AWS Client VPN의 소프트웨어 클라이언트를 사용하는 데 추가 요금이 있습니까?

A: 소프트웨어 클라이언트는 무료로 제공됩니다. AWS Client VPN 서비스 사용에 대한 요금만 청구됩니다.

Q: 어떤 유형의 디바이스 및 운영 체제 버전이 지원됩니까?

A: 현재 Windows 7 이상 및 macOS(macOS High Sierra, Mojave 및 Catalina의 64비트 버전) 데스크톱 디바이스를 지원합니다. 여기에는 Windows 10 및 macOS 디바이스도 포함됩니다. 새 운영 체제가 출시되면 이에 대한 지원도 신속하게 추가할 예정입니다.

Q: 사용자 연결 프로필은 사용자가 소유한 모든 디바이스 사이에서 동기화됩니까?

A: 아니오. 하지만 IT 관리자가 설정을 미리 구성하도록 소프트웨어 클라이언트 배포에 대한 구성 파일을 제공할 수 있습니다.

Q: AWS Client VPN의 소프트웨어 클라이언트를 실행하는 데 내 디바이스에서 관리자 권한이 필요합니까?

A: 예. Windows 및 Mac 모두에서 앱을 설치하려면 관리자 액세스 권한이 필요합니다. 이후에는 관리자 액세스 권한은 필요하지 않습니다.

Q: AWS Client VPN의 클라이언트에서는 어떤 VPN 프로토콜을 사용합니까?

A: 소프트웨어 클라이언트를 포함하여 AWS Client VPN은 OpenVPN 프로토콜을 지원합니다.

Q: AWS Client VPN 서비스에서 지원하는 모든 기능이 소프트웨어 클라이언트를 사용하여 지원됩니까?

A: 예. 클라이언트는 AWS Client VPN 서비스에서 제공하는 모든 기능을 지원합니다.

Q: AWS Client VPN의 소프트웨어 클라이언트에서는 연결 시 LAN 액세스를 허용합니까?

A: 예, AWS VPN Client에 연결할 때 LAN(Local Area Network)에 액세스할 수 있습니다.

Q: 소프트웨어 클라이언트에서 어떤 인증 기능을 지원합니까?

A: AWS Client VPN 소프트웨어는 AWS Directory Services를 사용하는 Active Directory 인증, 인증서 기반 인증 및 SAML 2.0을 사용하는 연합 인증과 같이 AWS Client VPN에서 제공하는 모든 인증 메커니즘을 지원합니다.

Q: AWS Client VPN에서는 어떤 유형의 클라이언트 로깅을 지원합니까?

A: 사용자가 연결을 시도하면 연결 설정에 대한 세부 정보가 로깅됩니다. 연결 시도는 최대 30일 동안, 최대 파일 크기 90MB까지 저장됩니다.

Q: AWS Client VPN의 소프트웨어 클라이언트 및 AWS Client VPN 엔드포인트에 연결하는 표준 기반 OpenVPN 클라이언트를 함께 사용할 수 있습니까?

A: 예, 표준 기반 OpenVPN 클라이언트가 AWS Client VPN 엔드포인트에 정의된 인증 유형을 지원한다고 가정했을 때 함께 사용할 수 있습니다.

Q: AWS Client VPN의 소프트웨어 클라이언트는 어디에서 다운로드할 수 있습니까?

A: AWS Client VPN 제품 페이지에서 사용자 지정 없이 일반 클라이언트를 다운로드할 수 있습니다. IT 관리자는 자체 시스템에서 다운로드를 호스팅하도록 선택할 수 있습니다.

Q: 하나의 디바이스에서 여러 유형의 VPN 클라이언트를 실행할 수 있습니까?

A: 하나의 디바이스에서 여러 VPN 클라이언트 실행을 권장하지 않습니다. 이로 인해 충돌이 발생하거나 VPN 클라이언트가 서로를 간섭하고 이로 인해 연결에 실패할 수 있습니다. 그렇긴 하지만, AWS Client VPN은 다른 VPN 클라이언트와 동시에 설치 가능합니다.

가상 프라이빗 게이트웨이

Q: 이 기능은 무엇입니까?

A: 새로운 가상 게이트웨이의 경우, 구성 가능한 프라이빗 ASN(자율 시스템 번호)을 사용하면 고객이 VPN 및 AWS Direct Connect 프라이빗 VIF에 대한 Amazon 측 BGP 세션에 ASN을 설정할 수 있습니다.

Q: 이 기능의 요금은 얼마입니까?

A: 이 기능을 사용하는 데 따른 추가 비용은 없습니다.

Q: 내 ASN이 Amazon 측 ASN으로 노출되도록 구성/지정하려면 어떻게 해야 합니까?

A: 새로운 가상 프라이빗 게이트웨이(가상 게이트웨이)를 생성할 때 Amazon 측 ASN으로 노출될 ASN을 구성/지정할 수 있습니다. VPC 콘솔 또는 EC2/CreateVpnGateway API 호출을 사용하여 가상 게이트웨이를 생성할 수 있습니다.

Q: 이 기능이 출시되기 전에 Amazon에서 지정했던 ASN은 무엇입니까?

A: Amazon에서는 다음과 같은 ASN을 지정했습니다. EU 서부(더블린) 9059, 아시아 태평양(싱가포르) 17493, 아시아 태평양(도쿄) 10124, 그리고 다른 모든 리전에는 ASN 7224를 지정했으며, 이러한 ASN을 리전의 '레거시 퍼블릭 ASN'이라고 부릅니다.

Q: 원하는 퍼블릭 및 프라이빗 ASN을 사용할 수 있습니까?

A: 모든 프라이빗 ASN을 Amazon 측에 지정할 수 있습니다. 2018년 6월 30일까지는 해당 리전의 '레거시 퍼블릭 ASN'을 지정해야 하며, 다른 퍼블릭 ASN은 지정할 수 없습니다. 2018년 6월 30일 이후에는 Amazon에서 ASN 64512를 제공합니다.

Q: Amazon 측 BGP 세션에 퍼블릭 ASN을 지정할 수 없는 이유는 무엇입니까?

A: Amazon에서는 ASN의 소유권을 확인하지 않습니다. 따라서 Amazon 측 ASN을 프라이빗 ASN으로 제한하고 있습니다. AWS에서는 BGP 스푸핑으로부터 고객을 보호하고자 합니다.

Q: 선택할 수 있는 ASN은 무엇입니까?

A: 원하는 프라이빗 ASN을 선택할 수 있습니다. 16비트 프라이빗 ASN의 범위는 64512에서 65534 사이이며, 32비트 ASN은 4200000000에서 4294967294 사이입니다.

Amazon에서는 사용자가 선택하지 않는 경우 가상 게이트웨이용 기본 ASN을 제공합니다. 2018년 6월 30일까지는 Amazon에서 해당 리전의 '레거시 퍼블릭 ASN'을 계속 제공합니다. 2018년 6월 30일 이후에는 Amazon에서 ASN 64512를 제공합니다.

Q: Amazon 측 BGP 세션에 퍼블릭 ASN을 지정하려고 시도하면 어떤 일이 발생합니까?

A: 사용자가 가상 게이트웨이를 생성하려고 시도할 때 프라이빗 ASN을 다시 입력하라는 메시지가 표시됩니다(해당 리전의 '레거시 퍼블릭 ASN'을 입력한 경우는 제외).

Q: Amazon 측 BGP 세션에 대한 ASN을 제공하지 않으면 Amazon에서는 내게 어떤 ASN을 지정하게 됩니까?

A: 사용자가 선택하지 않는 경우 Amazon에서 가상 게이트웨이용 ASN을 제공합니다. 2018년 6월 30일까지는 Amazon에서 해당 리전의 '레거시 퍼블릭 ASN'을 계속 제공합니다. 2018년 6월 30일 이후에는 Amazon에서 ASN 64512를 제공합니다.

Q: Amazon 측 ASN은 어디에서 확인할 수 있습니까?

A: Amazon 측 ASN은 VPC 콘솔의 가상 게이트웨이 페이지 또는 EC2/DescribeVpnGateways API의 응답에서 확인할 수 있습니다.

Q: 퍼블릭 ASN을 보유하고 있는 경우, AWS 측 프라이빗 ASN과 함께 사용할 수 있습니까?

A: 예. Amazon 측 BGP 세션은 프라이빗 ASN으로 구성하고 고객 측은 퍼블릭 ASN으로 구성할 수 있습니다.

Q: 프라이빗 VIF가 이미 구성되어 있지만, 기존 VIF의 Amazon 측 BGP 세션에 다른 ASN을 설정하고 싶습니다. 이러한 변경 사항을 적용하려면 어떻게 해야 합니까?

A: 원하는 ASN으로 새로운 가상 게이트웨이를 생성하고 새로 생성된 가상 게이트웨이로 새로운 VIF를 생성해야 합니다. 디바이스 구성도 적절하게 변경해야 합니다.

Q: VPN 연결이 이미 구성되어 있지만, 해당 VPN의 Amazon 측 BGP 세션의 ASN을 변경하고 싶습니다. 이러한 변경 사항을 적용하려면 어떻게 해야 합니까?

A: 원하는 ASN으로 새로운 가상 게이트웨이를 생성하고 고객 게이트웨이와 새로 생성된 가상 게이트웨이 간에 VPN 연결을 다시 생성해야 합니다.

Q: 이미 Amazon에서 지정한 퍼블릭 ASN 7224를 사용하여 가상 게이트웨이와 프라이빗 VIF/VPN 연결을 구성했습니다. Amazon에서 이 새로운 프라이빗 가상 게이트웨이에 대한 ASN을 자동으로 생성한다면, 내게 지정되는 Amazon 측 ASN은 무엇입니까?

A: Amazon에서는 새로운 가상 게이트웨이에 대한 Amazon 측 ASN으로 64512를 지정합니다.

Q: Amazon에서 지정한 퍼블릭 ASN을 사용하여 가상 게이트웨이와 프라이빗 VIF/VPN 연결을 구성했습니다. 생성하는 새로운 프라이빗 VIF/VPN 연결에 Amazon에서 지정한 동일한 퍼블릭 ASN을 사용하고 싶습니다. 어떻게 하면 됩니까?

A: 새로운 가상 프라이빗 게이트웨이(가상 게이트웨이)를 생성할 때 Amazon 측 ASN으로 노출될 ASN을 구성/지정할 수 있습니다. 콘솔 또는 EC2/CreateVpnGateway API 호출을 사용하여 가상 게이트웨이를 생성할 수 있습니다. 앞서 언급했듯이, 2018년 6월 30일까지는 Amazon에서 해당 리전의 '레거시 퍼블릭 ASN'을 계속 제공합니다. 2018년 6월 30일 이후에는 Amazon에서 ASN 64512를 제공합니다.

Q: Amazon에서 지정한 퍼블릭 ASN 7224를 사용하여 가상 게이트웨이와 프라이빗 VIF/VPN 연결을 구성했습니다. Amazon에선 같은 가상 게이트웨이를 사용한 새로운 프라이빗 VIF/VPN 연결을 위해 ASN을 자동으로 생성한다면, 내게 지정되는 Amazon 측 ASN은 무엇입니까?

A: Amazon에서는 새로운 VIF/VPN 연결에 대한 Amazon 측 ASN으로 7224를 지정합니다. 새로운 프라이빗 VIF/VPN 연결에 대한 Amazon 측 ASN은 해당 ASN에 대한 기본값 및 기존 가상 게이트웨이를 상속받습니다.

Q: 여러 개의 프라이빗 VIF를 하나의 가상 게이트웨이에 연결하고 있습니다. 각 VIF가 별도의 Amazon 측 ASN을 가질 수 있습니까?

A: 아니요. 각 VIF가 아니라 각 가상 게이트웨이에 별도의 Amazon 측 ASN을 지정/구성할 수 있습니다. VIF에 대한 Amazon 측 ASN은 연결된 가상 게이트웨이의 Amazon 측 ASN을 상속받습니다.

Q: 하나의 가상 게이트웨이에 여러 개의 VPN 연결을 생성하고 있습니다. 각 VPN 연결이 별도의 Amazon 측 ASN을 가질 수 있습니까?

A: 아니요. 각 VPN 연결이 아니라 각 가상 게이트웨이에 별도의 Amazon 측 ASN을 지정/구성할 수 있습니다. VPN 연결에 대한 Amazon 측 ASN은 연결된 가상 게이트웨이의 Amazon 측 ASN에서 상속됩니다.

Q: 자체 ASN은 어디에서 선택할 수 있습니까?

A: VPC 콘솔에서 가상 게이트웨이를 생성할 때 Amazon BGP ASN을 자동 생성하길 원하는지 묻는 상자의 선택을 취소하고 Amazon 부분의 BGP 세션에 대한 자체 프라이빗 ASN을 제공합니다. Amazon 측 ASN으로 가상 게이트웨이가 구성되고 나면, 가상 게이트웨이를 사용해 생성된 프라이빗 VIF 또는 VPN 연결에서 사용자의 Amazon 측 ASN을 사용하게 됩니다.

Q: 현재 CloudHub를 사용하고 있습니다. 나중에 내 구성을 조정해야 합니까?

A: 어떤 변경 사항도 적용할 필요가 없습니다.

Q: 32비트 ASN을 선택하고 싶습니다. 32비트 프라이빗 ASN의 범위가 어떻게 됩니까?

A: AWS에서는 32비트 ASN을 4200000000에서 4294967294까지 지원합니다.

Q: 가상 게이트웨이가 생성된 후에 Amazon 측 ASN을 변경하거나 수정할 수 있습니까?

A: 아니요. 생성된 후에는 Amazon 측 ASN을 수정할 수 없습니다. 가상 게이트웨이를 삭제하고 원하는 ASN으로 새 가상 게이트웨이를 다시 생성할 수 있습니다.

Q: Amazon 측 ASN을 구성/지정하는 데 사용할 새로운 API가 있습니까?

A: 이전과 같은 API(EC2/CreateVpnGateway)를 사용해 구성할 수 있습니다. AWS에서는 이 API에 새로운 파라미터(amazonSideAsn)만 추가했습니다.

Q: Amazon 측 ASN을 확인하는 데 사용할 새로운 API가 있습니까?

A: 동일한 EC2/DescribeVpnGateways API를 사용해 Amazon 측 ASN을 확인할 수 있습니다. AWS에서는 이 API에 새로운 파라미터(amazonSideAsn)만 추가했습니다.

Product-Page_Standard-Icons_01_Product-Features_SqInk
요금에 대해 자세히 알아보기

단순한 요금 체계 덕분에 최적의 옵션을 쉽게 결정할 수 있습니다.

자세히 알아보기 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
무료 계정에 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다. 

가입하기 
Product-Page_Standard-Icons_03_Start-Building_SqInk
AWS 콘솔에서 구축 시작

AWS 콘솔에서 AWS VPN으로 구축을 시작하십시오.

시작하기