04. AWS 제공 VPN (Virtual Private Network)
- VPN은 공용 인터넷을 통해 가상의 사설 네트워크를 구성하여 프라이빗 통신을 제공한다.
- 이를 통해 데이터 암호화, 전용 연결 등의 보안 요구사항들을 충족할 수 있다.
- AWS의 두 가지 관리형 VPN
- Site-toSite VPN
- 클라이언트 VPN
4.1 AWS Site-to-Site VPN 소개
AWS Site-to-Site VPN은 두 네트워크 도메인이 가상의 사설 네트워크 연결을 통해 프라이빗 통신을 제공한다.
4.1.1 AWS Site-to-Site VPN 구성 소개
- S2S VPN은 기본적으로 고가용성 아키텍처를 제공한다.
- VPN 연결을 설정하면 고가용성을 위해 서로 다른 가용 영역에 두 개의 엔드 포인트가 생성된다. (터널 이중화)
4.1.2 주요 용어
- VPN 연결 (VPN Connection)
- 온프레미스의 장비와 AWS VPC 간의 보안 연결
- VPN 터널 (VPN Tunnel)
- AWS VPC 네트워크와 온프레미스 네트워크 간 주고 받을 수 있는 암호화된 링크
- 가상 프라이빗 게이트웨이 (Virtual Private Gateway, VGW)
- AWS의 관리형 Site-to-Site VPN의 게이트웨이
- 고객 게이트웨이 (Customer Gateway, CGW)
- 온프레미스의 장비 정보를 지정
- AWS 가상 프라이빗 게이트웨이와 VPN 연결 설정을 위한 IPsec 정보 지정
- 고객 게이트웨이 디바이스 (Customer Gateway Device)
4.1.3 VPN 특징
- VPN 연결 협상 시, Responder로 동작
- VGW는 통신 요청자가 아니기 때문에 VPN 협상은 항상 고객 게이트웨이 디바이스에서 시도해야 한다.
- IKE 버전 2를 사용하면 가상 프라이빗 게이트웨이가 통신을 시도하도록 할 수도 있다.
- VPN 터널의 Idle Timeout
- VPN 터널 연결 후 10초 이상 트래픽이 흐르지 않으면 해당 터널은 down된다.
- 터널 유지를 위해선 DPD를 설정하거나 Ping을 일정 간격으로 발생시킬 것을 권장한다.
- 표준 IPsec 지원
- 데이터 암호화와 인증에 관한 다양한 알고리즘 지원
- NAT-T(NAT Traversal) 지원
- 고객 게이트웨이 디바이스가 NAT 내부에 있어도 VPN 연결이 가능하다.
- VPN 성능
- VGW 1개 터널은 최대 1.25Gbps 성능을 가진다.
- 전송 게이트웨이의 ECMP를 사용하면 더 향상시킬 수 있다.
4.1.4 VPN 라우팅 옵션
- Static Routing
- 사용자가 직접 원격 네트워크 경로에 대해 설정
- Dynamic Routing
- BGP 라우팅 프로토콜을 사용하여 상대가 보내는 내트워크 경로를 자동으로 인지하여 통신할 수 있다.
- 수동으로 필요한 네트워크 정보를 설정할 필요 없이 네트워크 정보를 관리할 수 있다.
4.1.5 VPN 라우팅 모니터링
- AWS CloudWatch로 모니터링할 수 있지만 일부 제한적이며 별도 로그가 없다.
- 지원되는 메트릭
- TunnelDataIn: VPN 터널을 통해 수신된 데이터
- TunnelDataOut VPN 터널을 통해 송신된 데이터
- TunnelState: 터널의 상태, 1은 연결 상태, 0은 연결 해제 상태
4.1.6 VPN 구성 시나리오
- CGW 디바이스가 1대인 경우
- 온프레미스 단일 VPN 구성 시나리오
- 반드시 터널 이중화 구성 설정 권장
- 장점
- 가장 적은 비용으로 구성 가능
- Active 터널이 Down되면 Standby 터널이 Active 되어 지속적 통신 가능
- 단점
- 고객 온프레미스 환경에 장애 발생 시 대응 방안이 없음
- CGW 디바이스 2대, 해당 디바이스 2대가 클러스터링 지원
- 온프레미스 CGW 디바이스 가용성을 위한 시나리오
- 2대의 장비가 논리적으로 1대의 장비로 동작하는 클러스터링 필요
- 장점
- 1대 장애 발생 시 나머지 1대가 지속적 통신 환경 제공, 높은 고가용성
- 단점
- CGW 디바이스 2대, 클러스터링 미지원 시 Static Routing 사용
- CGW 디바이스의 이중화로 가용성을 높이는 구성 시나리오
- AWS VPN 연결을 2개로 설정(터널 엔드포인트 총 4개)하고 CGW 디바이스와 연결
- Active 터널 이상 감지를 위해 별도의 상태 확인을 사용하고 Static Routing 설정
- 장점
- 단점
- 상태 감지가 제대로 되지 않으면 비대칭 라우팅 환경이 발생하여 통신 불능이 될 수 있다.
- 네트워크 설정 변경 시 수동 설정이 필요
- CGW 디바이스 2대, 클러스터링 미지원 시 Dynamic Routing 사용
- AWS VPN과 온프레미스 네트워크 대역을 Dynamic Routing을 통해 구성
- 장점
- 높은 고가용성
- 터널 이상 시 BGP나 BFD로 자동 감지 후 Standby 터널이 Active
- 네트워크 대역 정보가 자동으로 학습 및 갱신되어 수동 설정 불필요
- 단점
- CGW 디바이스가 BGP를 미지원 시 해당 구성을 할 수 없음