TIL

04. AWS 제공 VPN (Virtual Private Network)

• VPN은 공용 인터넷을 통해 가상의 사설 네트워크를 구성하여 프라이빗 통신을 제공한다.
  • 이를 통해 데이터 암호화, 전용 연결 등의 보안 요구사항들을 충족할 수 있다.
• AWS의 두 가지 관리형 VPN
  • Site-toSite VPN
  • 클라이언트 VPN

4.1 AWS Site-to-Site VPN 소개

AWS Site-to-Site VPN은 두 네트워크 도메인이 가상의 사설 네트워크 연결을 통해 프라이빗 통신을 제공한다.

4.1.1 AWS Site-to-Site VPN 구성 소개

• S2S VPN은 기본적으로 고가용성 아키텍처를 제공한다.
  • VPN 연결을 설정하면 고가용성을 위해 서로 다른 가용 영역에 두 개의 엔드 포인트가 생성된다. (터널 이중화)

4.1.2 주요 용어

• VPN 연결 (VPN Connection)
  • 온프레미스의 장비와 AWS VPC 간의 보안 연결
• VPN 터널 (VPN Tunnel)
  • AWS VPC 네트워크와 온프레미스 네트워크 간 주고 받을 수 있는 암호화된 링크
• 가상 프라이빗 게이트웨이 (Virtual Private Gateway, VGW)
  • AWS의 관리형 Site-to-Site VPN의 게이트웨이
• 고객 게이트웨이 (Customer Gateway, CGW)
  • 온프레미스의 장비 정보를 지정
  • AWS 가상 프라이빗 게이트웨이와 VPN 연결 설정을 위한 IPsec 정보 지정
• 고객 게이트웨이 디바이스 (Customer Gateway Device)
  • 온프레미스 장비 혹은 소프트웨어 애플리케이션

4.1.3 VPN 특징

1. VPN 연결 협상 시, Responder로 동작
   1. VGW는 통신 요청자가 아니기 때문에 VPN 협상은 항상 고객 게이트웨이 디바이스에서 시도해야 한다.
   2. IKE 버전 2를 사용하면 가상 프라이빗 게이트웨이가 통신을 시도하도록 할 수도 있다.
2. VPN 터널의 Idle Timeout
   1. VPN 터널 연결 후 10초 이상 트래픽이 흐르지 않으면 해당 터널은 down된다.
   2. 터널 유지를 위해선 DPD를 설정하거나 Ping을 일정 간격으로 발생시킬 것을 권장한다.
3. 표준 IPsec 지원
   1. 데이터 암호화와 인증에 관한 다양한 알고리즘 지원
4. NAT-T(NAT Traversal) 지원
   1. 고객 게이트웨이 디바이스가 NAT 내부에 있어도 VPN 연결이 가능하다.
5. VPN 성능
   1. VGW 1개 터널은 최대 1.25Gbps 성능을 가진다.
   2. 전송 게이트웨이의 ECMP를 사용하면 더 향상시킬 수 있다.

4.1.4 VPN 라우팅 옵션

1. Static Routing
   1. 사용자가 직접 원격 네트워크 경로에 대해 설정
2. Dynamic Routing
   1. BGP 라우팅 프로토콜을 사용하여 상대가 보내는 내트워크 경로를 자동으로 인지하여 통신할 수 있다.
   2. 수동으로 필요한 네트워크 정보를 설정할 필요 없이 네트워크 정보를 관리할 수 있다.

4.1.5 VPN 라우팅 모니터링

• AWS CloudWatch로 모니터링할 수 있지만 일부 제한적이며 별도 로그가 없다.
• 지원되는 메트릭
  • TunnelDataIn: VPN 터널을 통해 수신된 데이터
  • TunnelDataOut VPN 터널을 통해 송신된 데이터
  • TunnelState: 터널의 상태, 1은 연결 상태, 0은 연결 해제 상태

4.1.6 VPN 구성 시나리오

• CGW 디바이스가 1대인 경우
  • 온프레미스 단일 VPN 구성 시나리오
  • 반드시 터널 이중화 구성 설정 권장
  • 장점
    • 가장 적은 비용으로 구성 가능
    • Active 터널이 Down되면 Standby 터널이 Active 되어 지속적 통신 가능
  • 단점
    • 고객 온프레미스 환경에 장애 발생 시 대응 방안이 없음
• CGW 디바이스 2대, 해당 디바이스 2대가 클러스터링 지원
  • 온프레미스 CGW 디바이스 가용성을 위한 시나리오
  • 2대의 장비가 논리적으로 1대의 장비로 동작하는 클러스터링 필요
  • 장점
    • 1대 장애 발생 시 나머지 1대가 지속적 통신 환경 제공, 높은 고가용성
  • 단점
    • 클러스터링 기능 미지원 시 구성 불가능
• CGW 디바이스 2대, 클러스터링 미지원 시 Static Routing 사용
  • CGW 디바이스의 이중화로 가용성을 높이는 구성 시나리오
  • AWS VPN 연결을 2개로 설정(터널 엔드포인트 총 4개)하고 CGW 디바이스와 연결
  • Active 터널 이상 감지를 위해 별도의 상태 확인을 사용하고 Static Routing 설정
  • 장점
    • 높은 수준 고가용성 환경 제공
  • 단점
    • 상태 감지가 제대로 되지 않으면 비대칭 라우팅 환경이 발생하여 통신 불능이 될 수 있다.
    • 네트워크 설정 변경 시 수동 설정이 필요
• CGW 디바이스 2대, 클러스터링 미지원 시 Dynamic Routing 사용
  • AWS VPN과 온프레미스 네트워크 대역을 Dynamic Routing을 통해 구성
  • 장점
    • 높은 고가용성
    • 터널 이상 시 BGP나 BFD로 자동 감지 후 Standby 터널이 Active
    • 네트워크 대역 정보가 자동으로 학습 및 갱신되어 수동 설정 불필요
  • 단점
    • CGW 디바이스가 BGP를 미지원 시 해당 구성을 할 수 없음