기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Transit Gateway 작업
Amazon VPC 콘솔 또는 AWS CLI를 사용하여 Transit Gateway로 작업할 수 있습니다. 전송 게이트웨이에 대한 암호화 지원을 활성화하고 관리하는 방법에 대한 자세한 내용은 섹션을 참조하세요[AWS Transit Gateway에 대한 암호화 지원](tgw-encryption-support.md).
**Topics**
+ [공유된 Transit Gateway](#transit-gateway-share)
+ [Transit Gateway](tgw-transit-gateways.md)
+ [VPC 연결](tgw-vpc-attachments.md)
+ [네트워크 함수 연결](tgw-nf-fw.md)
+ [VPN 연결](tgw-vpn-attachments.md)
+ [VPN Concentrator 연결](tgw-vpn-concentrator-attachments.md)
+ [Direct Connect 게이트웨이에 Transit Gateway Attachment](tgw-dcg-attachments.md)
+ [피어링 연결](tgw-peering.md)
+ [Connect 연결 및 Connect 피어](tgw-connect.md)
+ [Transit Gateway 라우팅 테이블](tgw-route-tables.md)
+ [Transit Gateway 정책 테이블](tgw-policy-tables.md)
+ [Transit Gateway의 멀티캐스트](tgw-multicast-overview.md)
+ [유연한 비용 할당](metering-policy.md)
## 공유된 Transit Gateway
AWS Resource Access Manager(RAM)를 사용하여 계정 간 또는 조직 간에 VPC 연결에 대한 전송 게이트웨이를 공유할 수 있습니다 AWS Organizations. RAM을 활성화하고 리소스를 조직과 공유해야 합니다. 자세한 내용은 *AWS RAM 사용 설명서*에서 [AWS Organizations을(를) 사용하여 공유 사용](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)을 참조하세요.
### 고려 사항
Transit Gateway를 공유할 때는 다음 사항을 고려하세요.
+ 전송 게이트웨이를 소유한 동일한 AWS 계정에 AWS Site-to-Site VPN 연결을 생성해야 합니다.
+ Direct Connect 게이트웨이에 대한 연결은 전송 게이트웨이 연결을 사용하며 Direct Connect 게이트웨이와 동일한 AWS 계정에 있거나 Direct Connect 게이트웨이와 다른 계정에 있을 수 있습니다.
기본적으로 사용자는 AWS RAM 리소스를 생성하거나 수정할 권한이 없습니다. 사용자에게 리소스 생성 또는 수정 및 작업 수행을 허용하려면 특정 리소스 및 API 작업을 사용할 권한을 부여하는 IAM 정책을 생성해야 합니다. 그런 다음 해당 권한이 필요한 IAM 사용자 또는 그룹에 이러한 정책을 연결합니다.
리소스 소유자만 다음 작업을 수행할 수 있습니다.
+ 리소스 공유를 생성할 수 있습니다.
+ 리소스 공유를 업데이트할 수 있습니다.
+ 리소스 공유를 볼 수 있습니다.
+ 귀하의 계정이 공유한 리소스를 모든 리소스 공유에 걸쳐 볼 수 있습니다.
+ 귀하와 리소스를 공유 중인 보안 주체를 모든 리소스 공유에 걸쳐 볼 수 있습니다. 귀하와 공유 중인 보안 주체를 볼 수 있다면 귀하의 공유 리소스에 누가 액세스할 수 있는지 확인할 수도 있습니다.
+ 리소스 공유를 삭제할 수 있습니다.
+ 모든 Transit Gateway, Transit Gateway Attachment 및 Transit Gateway 라우팅 테이블 API를 실행합니다.
공유되는 리소스에 대해 다음 작업을 수행할 수 있습니다.
+ 리소스 공유 초대를 수락하거나 거부할 수 있습니다.
+ 리소스 공유를 볼 수 있습니다.
+ 액세스 가능한 공유 리소스를 볼 수 있습니다.
+ 귀하와 리소스를 공유 중인 모든 보안 주체의 목록을 볼 수 있습니다. 귀하와 보안 주체가 공유한 리소스와 리소스 공유를 볼 수 있습니다.
+ `DescribeTransitGateways` API를 실행할 수 있습니다.
+ VPC에서 연결을 생성 및 설명하는 API(예: `CreateTransitGatewayVpcAttachment` 및 `DescribeTransitGatewayVpcAttachments`)를 실행할 수 있습니다.
+ 리소스 공유를 나갈 수 있습니다.
Transit Gateway가 공유되면 Transit Gateway 라우팅 테이블 또는 Transit Gateway 라우팅 테이블 전파 및 연관을 생성, 수정 또는 삭제할 수 없습니다.
Transit Gateway를 생성할 때 Transit Gateway는 계정에 매핑되며 다른 계정과는 별도인 가용 영역에서 생성됩니다. Transit Gateway와 연결 개체가 서로 다른 계정에 있는 경우에는 가용 영역 ID를 사용하여 가용 영역을 고유하고 지속적으로 식별합니다. 예를 들어 use1-az1은 us-east-1 리전의 AZ ID이며 모든 AWS 계정의 동일한 위치에 매핑됩니다.
### Transit Gateway 공유 해제
공유 소유자가 Transit Gateway를 공유 해제하면 다음 규칙이 적용됩니다.
+ Transit Gateway Attachment는 계속 작동합니다.
+ 공유 계정은 Transit Gateway를 설명할 수 없습니다.
+ Transit Gateway 소유자 및 공유 소유자는 Transit Gateway Attachment를 삭제할 수 있습니다.
전송 게이트웨이가 다른 AWS 계정과 공유 해제되거나 전송 게이트웨이가 공유되는 AWS 계정이 조직에서 제거되는 경우 전송 게이트웨이 자체는 영향을 받지 않습니다.
### 공유 서브넷
VPC 소유자는 공유 VPC 서브넷에 Transit Gateway를 연결할 수 있습니다. 참가자는 연결할 수 없습니다. 참여자의 리소스에서 오는 트래픽은 VPC 소유자가 공유 VPC 서브넷에 설정한 경로에 따라 연결을 사용할 수 있습니다.
자세한 내용은 *Amazon VPC 사용 설명서*의 [다른 계정과 VPC 공유하기](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)를 참조하세요.
# Transit Gateway의 AWS 전송 게이트웨이
Transit Gateway를 사용하면 VPC와 VPN 연결을 연결하고 두 리전 간의 트래픽을 라우팅할 수 있습니다. 전송 게이트웨이는 서로 작동하며 AWS 계정 AWS RAM 를 사용하여 전송 게이트웨이를 다른 계정과 공유할 수 있습니다. 전송 게이트웨이를 다른와 공유한 후 계정 소유자 AWS 계정는 VPCs 전송 게이트웨이에 연결할 수 있습니다. 두 계정의 사용자는 언제든지 연결을 삭제할 수 있습니다.
Transit Gateway에서 멀티캐스트를 활성화한 다음 도메인과 연결된 VPC 연결을 통해 멀티캐스트 소스에서 멀티캐스트 그룹 멤버로 멀티캐스트 트래픽을 보낼 수 있는 Transit Gateway 멀티캐스트 도메인을 생성할 수 있습니다.
각 VPC 또는 VPN 연결은 단일 라우팅 테이블과 연결됩니다. 해당 라우팅 테이블은 해당 리소스 연결에서 들어오는 트래픽에 대한 다음 홉을 결정합니다. Transit Gateway 내부의 라우팅 테이블은 IPv4 또는 IPv6 CIDR 및 대상에 대해 모두 허용됩니다. 대상은 VPC 및 VPN 연결입니다. Transit Gateway에서 VPC를 연결하거나 VPN 연결을 생성하면 Transit Gateway의 기본 라우팅 테이블과 연결됩니다.
Transit Gateway 내부에 추가 라우팅 테이블을 생성하고 VPC 또는 VPN 연결을 이 라우팅 테이블로 변경할 수 있습니다. 이를 통해 네트워크를 세분화할 수 있습니다. 예를 들어, 개발 VPC를 라우팅 테이블 하나와 연결하고 프로덕션 VPC를 다른 라우팅 테이블과 연결할 수 있습니다. 이를 통해 기존 네트워크에서 가상 라우팅 및 전달(VRF)과 유사한 Transit Gateway 내부의 격리된 네트워크를 생성할 수 있습니다.
Transit Gateway는 연결된 VPC와 VPN 연결 간의 동적 및 정적 라우팅을 지원합니다. 각 연결에 대해 라우팅 전파를 활성화하거나 비활성화할 수 있습니다. VPN Concentrator 연결은 BGP(동적) 라우팅만 지원합니다. Transit Gateway 피어링 연결은 정적 라우팅만 지원합니다. Transit Gateway 라우팅 테이블의 경로를 피어링 연결로 가리키면 피어링된 Transit Gateway 간의 트래픽을 라우팅할 수 있습니다.
선택적으로 하나 이상의 IPv4 또는 IPv6 CIDR 블록을 Transit Gateway와 연결할 수 있습니다. [Transit Gateway Connect 연결](tgw-connect.md)에 대한 Transit Gateway Connect 피어를 설정할 때 CIDR 블록에서 IP 주소를 지정합니다. `169.254.0.0/16` 범위 내의 주소와 VPC 연결 및 온프레미스 네트워크의 주소와 겹치는 범위를 제외한 모든 퍼블릭 또는 프라이빗 IP 주소 범위를 연결할 수 있습니다. IPv4 및 IPv6 CIDR 블록에 대한 자세한 내용은 *Amazon VPC 사용 설명서*의 [IP 주소](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) 지정을 참조하십시오.
**Topics**
+ [Transit Gateway 생성](create-tgw.md)
+ [Transit Gateway 보기](view-tgws.md)
+ [Transit Gateway 태그 관리](tgw-tagging.md)
+ [Transit Gateway 수정](tgw-modifying.md)
+ [리소스 공유 수락](share-accept-tgw.md)
+ [공유 연결 수락](acccept-tgw-attach.md)
+ [Transit Gateway 삭제](delete-tgw.md)
+ [암호화 지원](tgw-encryption-support.md)
# Transit Gateway에서 AWS 전송 게이트웨이 생성
Transit Gateway를 생성할 때 기본 Transit Gateway 라우팅 테이블을 만들어 기본 연결 라우팅 테이블과 기본 전파 라우팅 테이블로 사용합니다. 기본 Transit Gateway 라우팅 테이블을 생성하지 않도록 선택한 경우 나중에 생성할 수 있습니다. 경로 및 라우팅 테이블에 대한 자세한 내용은 [라우팅](how-transit-gateways-work.md#tgw-routing-overview) 단원을 참조하세요.
**참고**
전송 게이트웨이에서 암호화 지원을 활성화하려면 게이트웨이를 생성하는 동안 활성화할 수 없습니다. 전송 게이트웨이를 생성한 후 사용 가능한 상태가 되면 이를 수정하여 암호화 지원을 활성화할 수 있습니다. 자세한 내용은 [AWS Transit Gateway에 대한 암호화 지원](tgw-encryption-support.md) 단원을 참조하십시오.
**콘솔을 사용하여 Transit Gateway 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway**를 선택합니다.
1. **Transit Gateway 생성**을 선택합니다.
1. (선택 사항) **이름 태그**에 Transit Gateway의 이름을 입력합니다. 이름 태그를 사용하면 게이트웨이 목록에서 특정 게이트웨이를 쉽게 식별할 수 있습니다. **이름 태그**를 추가하면 키가 **이름**이고 입력한 값과 동일한 값을 가진 태그가 생성됩니다.
1. (선택 사항) **설명**에 Transit Gateway에 대한 설명을 입력합니다.
1. **Amazon 측 Autonomous System Number(ASN)**의 경우 기본 ASN을 사용하도록 기본값을 그대로 두거나 Transit Gateway용 프라이빗 ASN을 입력합니다. 이는 BGP(Border Gateway Protocol) 세션 AWS 측의 ASN이어야 합니다.
16비트 ASN의 경우 범위는 64512\$165534입니다.
32비트 ASN의 경우 범위는 4200000000\$14294967294입니다.
다중 리전 배포가 있는 경우 각 Transit Gateway에 고유한 ASN을 사용하는 것이 좋습니다.
1. Transit Gateway에 연결된 다른 VPC의 인스턴스에서 쿼리할 때 퍼블릭 IPv4 DNS 호스트 이름을 프라이빗 IPv4 주소로 확인하기 위해 VPC가 필요한 경우 **DNS 지원**에서 이 옵션을 선택합니다.
1. **보안 그룹 참조 지원**의 경우 이 기능을 활성화하여 Transit Gateway에 연결된 VPC의 보안 그룹을 참조합니다. 보안 그룹 참조에 대한 자세한 내용은 [보안 그룹 참조](tgw-vpc-attachments.md#vpc-attachment-security)을 참조하세요.
1. VPN 터널 간에 ECMP(Equal Cost Multipath) 라우팅 지원이 필요한 경우 **VPN ECMP 지원**에서 이 옵션을 선택합니다. 연결에서 동일한 CIDR을 공고하는 경우 해당 트래픽은 이러한 CIDR 간에 균등하게 분산됩니다.
이 옵션을 선택하는 경우 알려진 BGP ASN, AS-path와 같은 BGP 속성은 동일해야 합니다.
**참고**
ECMP를 사용하려면 동적 라우팅을 사용하는 VPN 연결을 생성해야 합니다. 정적 라우팅을 사용하는 VPN 연결은 ECMP를 지원하지 않습니다.
1. Transit Gateway의 기본 라우팅 테이블이 있는 Transit Gateway Attachment에 자동으로 연결하려면 **기본 라우팅 테이블 연결**에서 이 옵션을 선택합니다.
1. Transit Gateway Attachment를 Transit Gateway의 기본 라우팅 테이블로 자동으로 전파하려면 **기본 라우팅 테이블 전파**에서 이 옵션을 선택합니다.
1. (선택 사항) Transit Gateway를 멀티캐스트 트래픽의 라우터로 사용하려면 **멀티캐스트 지원**을 선택합니다.
1. (선택 사항) **교차 계정 공유 옵션 구성** 섹션에서 **공유 연결 자동 수락** 여부를 선택합니다. 활성화된 경우 연결이 자동으로 수락됩니다. 그렇지 않으면 연결 요청을 수락하거나 거부해야 합니다.
교차 계정 연결을 자동으로 수락하려면 **공유 연결 자동 수락**에서 이 옵션을 선택합니다.
1. (선택 사항) **Transit Gateway CIDR 블록**에서 Transit Gateway에 대해 하나 이상의 IPv4 또는 IPv6 CIDR 블록을 지정합니다.
IPv4의 경우 크기 /24 이상의 CIDR 블록(예: /23 또는 /22) 또는 IPv6의 경우 크기 /64 이상의 CIDR 블록(예: /63 또는 /62)을 지정할 수 있습니다. 169.254.0.0/16 범위 내의 주소와 VPC 연결 및 온프레미스 네트워크의 주소와 겹치는 범위를 제외한 모든 퍼블릭 또는 프라이빗 IP 주소 범위를 연결할 수 있습니다.
**참고**
Transit Gateway CIDR 블록은 Connect(GRE) 연결 또는 PrivateIP VPNs 구성하는 경우 사용됩니다. Transit Gateway는 이 범위에서 Tunnel 엔드포인트(GRE/PrivateIP VPN)에 IP를 할당.
1. **Transit Gateway 생성**을 선택합니다.
**를 사용하여 전송 게이트웨이를 생성하려면 AWS CLI**
[create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html) 명령을 사용합니다.
# Transit Gateway에서 AWS Transit Gateway 정보 보기
Transit Gateway를 아무거나 봅니다.
**콘솔을 사용하여 Transit Gateway 보기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway**를 선택합니다. Transit Gateway 세부 정보는 페이지의 게이트웨이 목록 아래에 표시됩니다.
**AWS CLI를 사용하여 Transit Gateway 보기**
[describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html) 명령을 사용합니다.
# Transit Gateway에서 AWS Transit Gateway 태그 관리
리소스에 태그를 추가하면 용도, 소유자 또는 환경과 같은 기준으로 태그를 구성하고 식별할 수 있습니다. 각 Transit Gateway에 여러 태그를 추가할 수 있습니다. 태그 키는 Transit Gateway별로 고유해야 합니다. Transit Gateway에 이미 연결된 키를 통해 태그를 추가하면 태그의 값이 업데이트됩니다. 자세한 내용은 [Amazon EC2 리소스에 태깅](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)을 참조하세요.
**콘솔을 사용하여 Transit Gateway에 태그 추가**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway**를 선택합니다.
1. 태그를 추가하거나 편집할 Transit Gateway를 선택합니다.
1. 페이지 아래쪽에서 **태그** 탭을 선택합니다.
1. **태그 관리**를 선택합니다.
1. **새로운 태그 추가**를 선택합니다.
1. 해당 태그의 **키**와 **값**을 입력합니다.
1. **저장**을 선택합니다.
# Transit Gateway에서 AWS 전송 게이트웨이 수정
Transit Gateway에 대한 구성 옵션을 수정할 수 있습니다. Transit Gateway를 수정할 때, 기존 Transit Gateway Attachment는 서비스 중단을 겪지 않습니다.
공유된 Transit Gateway는 수정할 수 없습니다.
IP 주소 중 하나라도 현재 [Connect 피어](tgw-connect.md)에 사용되는 경우 Transit Gateway의 CIDR 블록을 제거할 수 없습니다.
**참고**
암호화 지원이 활성화된 전송 게이트웨이는 모니터 또는 적용 모드에서 암호화 제어가 있는 VPCs 또는 암호화 제어가 활성화되지 않은 VPCs에 연결할 수 있습니다. Enforce 모드의 암호화 제어가 있는 VPCs는 암호화 지원이 활성화된 전송 게이트웨이에만 연결할 수 있습니다.
더 자세한 내용은 [AWS Transit Gateway에 대한 암호화 지원](tgw-encryption-support.md)섹션을 참조하세요.
**Transit Gateway 수정**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateways**를 선택합니다.
1. 수정할 Transit Gateway를 선택합니다.
1. **작업**, **Transit Gateway 수정**을 선택합니다.
1. 필요에 따라 옵션을 수정하고 **Transit Gateway 수정**을 선택합니다.
**를 사용하여 전송 게이트웨이를 수정하려면 AWS CLI**
[modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) 명령을 사용합니다.
# AWS Resource Access Manager 콘솔을 사용하여 AWS Transit Gateway 리소스 공유 수락
리소스 공유에 추가되면 해당 리소스 공유에 가입하라는 초대가 발송됩니다. 공유 리소스에 액세스하려면 먼저 리소스 공유를 수락해야 합니다.
**리소스 공유 수락**
1. [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/) AWS RAM 콘솔을 엽니다.
1. 탐색 창에서 **나와 공유됨**, **리소스 공유**를 선택합니다.
1. 리소스 공유를 선택합니다.
1. **리소스 공유 수락**을 선택합니다.
1. 공유 Transit Gateway를 보려면 Amazon VPC 콘솔에서 **Transit Gateways** 페이지를 엽니다.
# AWS Transit Gateway 내 공유 연결 수락
Transit Gateway를 생성할 때 **공유 연결 자동 수락** 기능을 활성화하지 않은 경우 Amazon VPC Console 또는 AWS CLI를 이용하여 교차 계정(공유) 연결을 수동으로 수락해야 합니다.
**공유 연결 수동 수락**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. 수락이 보류 중인 Transit Gateway Attachment를 선택합니다.
1. **작업**, **Transit Gateway Attachment 수락**을 선택합니다.
**AWS CLI을(를) 사용하여 공유 연결 수락**
[accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html) 명령을 사용합니다.
# Transit Gateway에서 AWS 전송 게이트웨이 삭제
기존 연결이 있는 Transit Gateway는 삭제할 수 없습니다. Transit Gateway를 삭제하려면 먼저 모든 연결을 삭제해야 합니다.
**콘솔을 사용하여 Transit Gateway 삭제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 삭제할 Transit Gateway를 선택합니다.
1. **작업**, **Transit Gateway 삭제**를 선택합니다. **delete**를 입력하고 **삭제**를 선택하여 삭제를 확인합니다.
**를 사용하여 전송 게이트웨이를 삭제하려면 AWS CLI**
[delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html) 명령을 사용합니다.
# AWS Transit Gateway에 대한 암호화 지원
암호화 제어를 사용하면 VPC에서 트래픽 흐름의 암호화 상태를 감사한 다음 VPC 내의 모든 트래픽에 encryption-in-transit를 적용할 수 있습니다. VPC 암호화 제어가 적용 모드인 경우 해당 VPC의 모든 탄력적 네트워크 인터페이스(ENI)는 AWS Nitro 암호화 지원 인스턴스에만 연결하도록 제한되며 전송 중 데이터를 암호화하는 AWS 서비스만 암호화 제어 적용 VPC에 연결할 수 있습니다. VPC 암호화 제어에 대한 자세한 내용은이 [설명서를](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html) 참조하세요.
## 전송 게이트웨이 암호화 지원 및 VPC 암호화 제어
Transit Gateway의 암호화 지원을 사용하면 Transit Gateway에 연결된 VPCs 간의 트래픽에 대해 전송 중 encryption-in-transit를 적용할 수 있습니다. VPC 간의 트래픽을 암호화하려면 [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) 명령을 사용하여 Transit Gateway에서 암호화 지원을 수동으로 활성화해야 합니다. VPCs 활성화되면 모든 트래픽이 Transit Gateway를 통해 강제 적용 모드(제외 없음)에 있는 VPCs 간에 100% 암호화된 링크를 통과합니다. 암호화 제어가 켜져 있지 않거나 암호화 지원이 활성화된 Transit Gateway를 통해 모니터링 모드에 있는 VPCs를 연결할 수도 있습니다. 이 시나리오에서는 Transit Gateway가 적용 모드에서 실행되지 않는 VPC의 Transit Gateway 연결까지 트래픽을 암호화하도록 보장됩니다. 그 외에도 적용 모드에서 실행되지 않는 VPC에서 트래픽이 전송되는 인스턴스에 따라 달라집니다.
암호화 지원은 기존 전송 게이트웨이에만 추가할 수 있으며 기존 전송 게이트웨이를 생성하는 동안에는 추가할 수 없습니다. Transit Gateway가 암호화 지원 활성화 상태로 전환되면 Transit Gateway 또는 연결에 가동 중지가 발생하지 않습니다. 마이그레이션은 트래픽이 삭제되지 않고 원활하고 투명합니다. 암호화 지원을 추가하도록 전송 게이트웨이를 수정하는 단계는 섹션을 참조하세요[Transit Gateway 수정](tgw-modifying.md#tgw-modifying.title).
### 요구 사항
전송 게이트웨이에서 암호화 지원을 활성화하기 전에 다음을 확인하세요.
+ 전송 게이트웨이에 Connect 연결이 없습니다.
+ 전송 게이트웨이에 피어링 연결이 없음
+ 전송 게이트웨이에 Network Firewall 연결이 없습니다.
+ 전송 게이트웨이에 VPN Concentrator 연결이 없습니다.
+ 전송 게이트웨이에 보안 그룹 참조가 활성화되어 있지 않습니다.
+ 전송 게이트웨이에 멀티캐스트 기능이 활성화되어 있지 않습니다.
### 암호화 지원 상태
전송 게이트웨이는 다음 암호화 상태 중 하나를 가질 수 있습니다.
+ **활성화** - 전송 게이트웨이가 암호화 지원을 활성화하는 중입니다. 이 프로세스를 완료하는 데 최대 14일이 걸릴 수 있습니다.
+ **enabled** - 전송 게이트웨이에서 암호화 지원이 활성화되어 있습니다. 암호화 제어가 적용된 VPC 연결을 생성할 수 있습니다.
+ **비활성화** - 전송 게이트웨이가 암호화 지원을 비활성화하는 중입니다.
+ **disabled** - 전송 게이트웨이에서 암호화 지원이 비활성화되었습니다.
### Transit Gateway 연결 규칙
전송 게이트웨이에 암호화 지원이 활성화된 경우 다음 연결 규칙이 적용됩니다.
+ 전송 게이트웨이 암호화 상태가 **활성화** 또는 **비활성화되면** 암호화 제어 적용 또는 적용 모드가 아닌 Direct Connect 연결, VPN 연결 및 VPC 연결을 생성할 수 있습니다.
+ 전송 게이트웨이 암호화 상태가 **활성화**되면 모든 암호화 제어 모드에서 VPC, Direct Connect 연결, VPN 연결 및 VPC 연결을 생성할 수 있습니다.
+ 전송 게이트웨이 암호화 상태가 **비활성화되면** 암호화 제어가 적용된 새 VPC 연결을 생성할 수 없습니다.
+ 연결 연결, 피어링 연결, 보안 그룹 참조 및 멀티캐스트 기능은 암호화 지원에서 지원되지 않습니다.
호환되지 않는 연결을 생성하려고 하면 API 오류와 함께 실패합니다.
# AWS Transit Gateway의 Amazon VPC 연결
전송 게이트웨이에 대한 Amazon Virtual Private Cloud (VPC) 연결을 사용하면 하나 이상의 VPC 서브넷으로 트래픽을 라우팅할 수 있습니다. VPC를 Transit Gateway에 연결하는 경우 트래픽을 라우팅하기 위해 Transit Gateway에서 사용할 각 가용 영역의 서브넷을 하나 지정해야 합니다. 지정된 서브넷은 Transit Gateway 트래픽의 진입점 및 출구점 역할을 합니다. 트래픽은 Transit Gateway Attachment 서브넷의 라우팅 테이블에 대상 서브넷을 가리키는 적절한 경로가 구성된 경우에만 동일한 가용 영역 내의 다른 서브넷에 있는 리소스에 도달할 수 있습니다.
**한도**
+ VPC를 Transit Gateway에 연결하면 Transit Gateway Attachment가 없는 가용 영역의 모든 리소스는 Transit Gateway에 도달할 수 없습니다.
**참고**
Transit Gateway Attachment이 있는 가용 영역 내에서 트래픽은 연결과 연결된 특정 서브넷에서만 Transit Gateway로 전달됩니다. 서브넷 라우팅 테이블에 Transit Gateway로 가는 라우팅이 있는 경우, Transit Gateway가 동일한 가용 영역의 서브넷에 연결을 가지고 있고, 연결 서브넷의 라우팅 테이블에 트래픽의 의도된 VPC 내 대상에 대한 적절한 라우팅이 포함되어 있을 때만 트래픽이 Transit Gateway로 전달됨
+ Transit Gateway는 Amazon Route 53에서 프라이빗 호스팅 영역을 사용하여 설정된 연결된 VPC의 사용자 지정 DNS 이름에 대한 DNS 확인은 지원하지 않습니다. 전송 게이트웨이에 연결된 모든 VPCs에 대한 프라이빗 호스팅 영역의 이름 확인을 구성하려면 [Amazon Route 53 및 AWS Transit Gateway를 사용한 하이브리드 클라우드의 중앙 집중식 DNS 관리를](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/) 참조하세요.
+ Transit Gateway는 CIDR이 동일한 VPC 또는 범위 내의 CIDR이 연결된 VPC의 CIDR과 겹치는 경우 VPC 간의 라우팅을 지원하지 않습니다. VPC를 Transit Gateway에 연결하고 해당 CIDR이 이미 Transit Gateway에 연결된 다른 VPC의 CIDR과 동일하거나 겹치는 경우 새로 연결된 VPC의 경로가 Transit Gateway 라우팅 테이블로 전파되지 않습니다.
+ 로컬 영역에 상주하는 VPC 서브넷에 대해서는 연결을 생성할 수 없습니다. 대신 로컬 영역의 서브넷이 상위 가용 영역을 통해 Transit Gateway에 연결할 수 있도록 네트워크를 구성할 수 있습니다. 자세한 내용은 [Transit Gateway에 로컬 영역 서브넷 연결](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw)을 참조하세요.
+ IPv6 전용 서브넷을 사용하여 Transit Gateway Attachment를 생성할 수 없습니다. Transit Gateway Attachment 서브넷은 IPv4 주소도 지원해야 합니다.
+ Transit Gateway에 하나 이상의 VPC 연결 파일이 있어야 해당 Transit Gateway를 라우팅 테이블에 추가할 수 있습니다.
## VPC 연결에 대한 라우팅 테이블 요구 사항
Transit Gateway VPC 연결이 제대로 작동하려면 특정 라우팅 테이블 구성이 필요합니다.
+ **연결 서브넷 라우팅 테이블**: Transit Gateway Attachment와 연결된 서브넷에는 Transit Gateway를 통해 연결할 수 있어야 하는 VPC 내의 모든 대상에 대한 라우팅 테이블 항목이 있어야 합니다. 여기에는 다른 서브넷, 인터넷 게이트웨이, NAT 게이트웨이, 그리고 VPC 엔드포인트로 향하는 경로가 포함됩니다.
+ **대상 서브넷 라우팅 테이블**: Transit Gateway를 통해 통신해야 하는 리소스를 포함하는 서브넷은 외부 대상으로 향하는 반환 트래픽을 위해 Transit Gateway를 가리키는 경로를 가지고 있어야 합니다.
+ **로컬 VPC 트래픽**: Transit Gateway Attachment는 동일한 VPC 내의 서브넷 간 통신을 자동으로 활성화하지 않습니다. 표준 VPC 라우팅 규칙이 적용되며, VPC 내 통신을 위해 라우팅 테이블에 로컬 라우팅(VPC CIDR)이 있어야 합니다.
**참고**
동일한 가용 영역 내에서 연결되지 않은 서브넷에 경로가 구성되어 있어도 트래픽 흐름은 활성화되지 않습니다. Transit Gateway Attachment와 연결된 특정 서브넷만 Transit Gateway 트래픽의 진입/출구 지점 역할을 할 수 있습니다.
## VPC 연결 수명 주기
VPC 연결은 요청이 시작될 때부터 다양한 단계를 거칩니다. 각 단계에는 취할 수 있는 몇 가지 조치가 있으며, 수명 주기가 끝날 때 VPC 연결은 Amazon Virtual Private Cloud Console 과 API 또는 명령줄 출력에 일정 시간 동안 표시됩니다.
다음 다이어그램에서는 단일 계정 구성이나 **공유 연결 자동 수락**을 설정한 교차 계정 구성에서 연결이 진행될 수 있는 상태를 보여줍니다.
![\[VPC 연결 수명 주기\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **대기 중**: VPC 연결에 대한 요청이 시작되어 프로비저닝 프로세스 중입니다. 이 단계에서 연결은 실패하거나 `available`로 이동할 수 있습니다.
+ **실패 중**: VPC 연결에 대한 요청의 실패가 처리 중입니다. 이 단계에서 VPC 연결은 `failed`로 이동합니다.
+ **실패**: VPC 연결에 대한 요청이 실패했습니다. 이 상태에서는 삭제할 수 없습니다. 실패한 VPC 연결은 2시간 동안 표시된 후에 사라집니다.
+ **사용 가능**: VPC 연결이 사용 가능하며, 트래픽이 VPC와 전송 게이트웨이 간에 전송될 수 있습니다. 이 단계에서 연결은 `modifying` 또는 `deleting`으로 이동할 수 있습니다.
+ **삭제**: VPC 연결이 삭제되고 있습니다. 이 단계에서 연결은 `deleted`로 이동할 수 있습니다.
+ **삭제**: `available` VPC 연결이 삭제되었습니다. 이 상태에서는 VPC 연결을 수정할 수 없습니다. VPC 연결은 2시간 동안 표시된 후에 사라집니다.
+ **수정 중**: VPC 연결의 속성을 수정하라는 요청을 제출했습니다. 이 단계에서 연결은 `available` 또는 `rolling back`으로 이동할 수 있습니다.
+ **롤백 중**: VPC 연결 요청을 완료할 수 없으며, 시스템에서 변경된 내용을 실행 취소합니다. 이 단계에서 연결은 `available`로 이동할 수 있습니다.
다음 다이어그램에서는 **공유 연결 자동 수락**이 해제되어 있는 교차 계정 구성에서 연결이 진행될 수 있는 상태를 보여줍니다.
![\[공유 연결 자동 수락이 해제된 교차 계정 VPC 연결 수명 주기\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **수락 대기 중**: VPC 연결 요청이 수락을 기다리고 있습니다. 이 단계에서 연결은 `pending`, `rejecting` 또는 `deleting`으로 이동할 수 있습니다.
+ **거부 중**: VPC 연결의 거부가 처리되고 있습니다. 이 단계에서 연결은 `rejected`로 이동할 수 있습니다.
+ **거부**: `pending acceptance` VPC 연결이 거부되었습니다. 이 상태에서는 VPC 연결을 수정할 수 없습니다. VPC 연결은 2시간 동안 표시된 후에 사라집니다.
+ **대기 중**: VPC 연결이 수락되었으며 프로비저닝 프로세스 중입니다. 이 단계에서 연결은 실패하거나 `available`로 이동할 수 있습니다.
+ **실패 중**: VPC 연결에 대한 요청의 실패가 처리 중입니다. 이 단계에서 VPC 연결은 `failed`로 이동합니다.
+ **실패**: VPC 연결에 대한 요청이 실패했습니다. 이 상태에서는 삭제할 수 없습니다. 실패한 VPC 연결은 2시간 동안 표시된 후에 사라집니다.
+ **사용 가능**: VPC 연결이 사용 가능하며, 트래픽이 VPC와 전송 게이트웨이 간에 전송될 수 있습니다. 이 단계에서 연결은 `modifying` 또는 `deleting`으로 이동할 수 있습니다.
+ **삭제**: VPC 연결이 삭제되고 있습니다. 이 단계에서 연결은 `deleted`로 이동할 수 있습니다.
+ **삭제**: `available` 또는 `pending acceptance` VPC 연결이 삭제되었습니다. 이 상태에서는 VPC 연결을 수정할 수 없습니다. VPC 연결은 2시간 동안 표시된 후에 사라집니다.
+ **수정 중**: VPC 연결의 속성을 수정하라는 요청을 제출했습니다. 이 단계에서 연결은 `available` 또는 `rolling back`으로 이동할 수 있습니다.
+ **롤백 중**: VPC 연결 요청을 완료할 수 없으며, 시스템에서 변경된 내용을 실행 취소합니다. 이 단계에서 연결은 `available`로 이동할 수 있습니다.
## 어플라이언스 모드
VPC에서 상태 저장 네트워크 어플라이언스를 구성할 계획이라면, 연결을 생성할 때 어플라이언스가 위치한 VPC 연결에 어플라이언스 모드 지원을 활성화할 수 있습니다. 이렇게 하면 AWS Transit Gateway가 소스와 대상 간의 트래픽 흐름 수명 동안 해당 VPC 연결에 대해 동일한 가용 영역을 사용할 수 있습니다. 또한 해당 영역에 서브넷 연결이 있는 경우 Transit Gateway는 VPC의 모든 가용 영역으로 트래픽을 전송할 수 있습니다. 어플라이언스 모드는 VPC 연결에서만 지원되지만, 네트워크 흐름은 VPC, VPN, Connect 연결을 포함하여 다른 Transit Gateway Attachment 유형에서도 올 수 있습니다. 어플라이언스 모드는 다른 AWS 리전간에 소스와 대상이 있는 네트워크 흐름에서도 작동합니다. 어플라이언스 모드를 처음에 활성화하지 않고 나중에 연결 구성을 편집하여 활성화하는 경우 네트워크 흐름이 다른 가용 영역으로 재조정될 수 있습니다. 콘솔, 명령줄 또는 API를 사용하여 어플라이언스 모드를 활성화 또는 비활성화할 수 있습니다.
AWS Transit Gateway의 어플라이언스 모드는 어플라이언스 모드 VPC를 통해 경로를 결정할 때 소스 및 대상 가용 영역을 고려하여 트래픽 라우팅을 최적화합니다. 이 접근 방식은 효율성을 높이고 지연 시간을 줄입니다. 동작은 특정 구성 및 트래픽 패턴에 따라 달라집니다. 다음은 예시 시나리오입니다.
### 시나리오 1: 어플라이언스 VPC를 통한 가용 영역 내 트래픽 라우팅
트래픽이 소스 가용 영역 us-east-1a에서 대상 가용 영역 us-east-1a로 흐르고, us-east-1a와 us-east-1b 모두에 어플라이언스 모드 VPC 연결이 있는 경우, Transit Gateway는 어플라이언스 VPC 내의 us-east-1a에서 네트워크 인터페이스를 선택합니다. 이 가용 영역은 소스와 대상 간의 트래픽 흐름 전체 기간 동안 유지됩니다.
### 시나리오 2: 어플라이언스 VPC를 통한 가용 영역 간 트래픽 라우팅
트래픽이 소스 가용 영역 us-east-1a에서 대상 가용 영역 us-east-1b로 흐르고, us-east-1a와 us-east-1b 모두에 어플라이언스 모드 VPC 연결이 있는 경우, Transit Gateway는 흐름 해시 알고리즘을 사용하여 어플라이언스 VPC 내의 us-east-1a 또는 us-east-1b 중 하나를 선택합니다. 선택된 가용 영역은 흐름 수명 동안 일관되게 사용됩니다.
### 시나리오 3: 가용 영역 데이터 없이 어플라이언스 VPC를 통한 트래픽 라우팅
트래픽이 소스 가용 영역 us-east-1a에서 가용 영역 정보가 없는 대상(예: 인터넷 바운드 트래픽)으로 흐르고, us-east-1a와 us-east-1b 모두에 어플라이언스 모드 VPC 연결이 있는 경우, Transit Gateway는 어플라이언스 VPC 내의 us-east-1a에서 네트워크 인터페이스를 선택합니다.
### 시나리오 4: 소스 또는 대상과 다른 가용 영역의 어플라이언스 VPC를 통한 트래픽 라우팅
트래픽이 소스 가용 영역 us-east-1a에서 대상 가용 영역 us-east-1b로 흐르고, us-east-1c 및 us-east-1d와 같이 다른 가용 영역에 어플라이언스 모드 VPC 연결이 있는 경우, Transit Gateway는 흐름 해시 알고리즘을 사용하여 어플라이언스 VPC 내의 us-east-1c 또는 us-east-1d 중 하나를 선택합니다. 선택된 가용 영역은 흐름 수명 동안 일관되게 사용됩니다.
**참고**
어플라이언스 모드는 VPC 연결에서만 지원됩니다. 어플라이언스 VPC 연결과 연결된 라우팅 테이블에 대해 라우팅 전파가 활성화되어 있는지 확인하세요.
## 보안 그룹 참조
이 기능을 사용하면 동일한 Transit Gateway에 연결된 VPC 간의 인스턴스 간 트래픽에 대한 보안 그룹 관리 및 제어를 간소화할 수 있습니다. 인바운드 규칙에서만 보안 그룹을 상호 참조할 수 있습니다. 아웃바운드 보안 규칙은 보안 그룹 참조를 지원하지 않습니다. 보안 그룹 참조 활성화 또는 사용과 관련된 추가 비용은 없습니다.
보안 그룹 참조 지원은 Transit Gateway와 Transit Gateway VPC 연결 모두에 대해 구성할 수 있으며, Transit Gateway와 해당 VPC 연결 모두에 대해 활성화된 경우에만 작동합니다.
### 제한 사항
VPC 연결에서 보안 그룹 참조를 사용할 때 다음 제한 사항이 적용됩니다.
+ Transit Gateway 피어링 연결 간에는 보안 그룹 참조가 지원되지 않습니다. 두 VPC는 동일한 Transit Gateway에 연결되어 있어야 합니다.
+ 가용 영역 use1-az3의 VPC 연결에는 보안 그룹 참조가 지원되지 않습니다.
+ 보안 그룹 참조는 PrivateLink 엔드포인트에 대해 지원되지 않습니다. 대안으로 IP CIDR 기반 보안 규칙을 사용할 것을 권장합니다.
+ EFS 인터페이스에 대한 허용 모든 송신 보안 그룹 규칙이 VPC에 구성되어 있는 한, 보안 그룹 참조는 Elastic File System (EFS)에 대해 작동합니다.
+ Transit Gateway를 통한 로컬 영역 연결의 경우, us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a 및 us-west-2-phx-2a와 같은 로컬 영역만 지원됩니다.
+ 지원되지 않는 로컬 영역, AWS Outpost 및 AWS Wavelength Zone에 서브넷VPCs 연결 수준에서이 기능을 비활성화하는 것이 좋습니다.
+ 검사 VPC가 있는 경우 전송 게이트웨이를 통해 참조하는 보안 그룹은 AWS Gateway Load Balancer 또는 AWS Network Firewall에서 작동하지 않습니다.
**Topics**
+ [VPC 연결에 대한 라우팅 테이블 요구 사항](#vpc-attachment-routing-requirements)
+ [VPC 연결 수명 주기](#vpc-attachment-lifecycle)
+ [어플라이언스 모드](#tgw-appliancemode)
+ [보안 그룹 참조](#vpc-attachment-security)
+ [VPC 연결 생성](create-vpc-attachment.md)
+ [VPC 연결 수정](modify-vpc-attachment.md)
+ [VPC 연결 태그 수정](modify-vpc-attachment-tag.md)
+ [VPC 연결 보기](view-vpc-attachment.md)
+ [VPC 연결 삭제](delete-vpc-attachment.md)
+ [보안 그룹 인바운드 규칙 업데이트](tgw-sg-updates-update.md)
+ [참조된 보안 그룹 식별](tgw-sg-updates-identify.md)
+ [무효 보안 그룹 규칙 삭제](tgw-sg-updates-stale.md)
+ [VPC 연결 문제 해결](transit-gateway-vpc-attach-troubleshooting.md)
# AWS Transit Gateway 내 VPC 연결 생성
**콘솔을 사용하여 VPC 연결을 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. **Transit Gateway Attachment 생성**을 선택합니다.
1. (선택 사항) **이름 태그**에 Transit Gateway Attachment의 이름을 입력합니다.
1. **Transit gateway ID**에서 연결에 사용할 Transit Gateway를 선택합니다. 소유한 Transit Gateway나 공유하는 Transit Gateway를 선택하면 됩니다.
1. **연결 유형**에서 **VPC**를 선택합니다.
1. **DNS 지원**, **IPv6 지원**, **어플라이언스 모드 지원**의 활성화 여부를 선택합니다.
어플라이언스 모드 선택 시 소스와 대상 간의 트래픽 흐름은 해당 흐름의 전체 기간 동안 VPC 연결에 대해 동일한 가용 영역을 사용합니다.
1. **Security Group Referencing 지원**을 활성화할지 여부를 선택합니다. Transit Gateway에 연결된 VPC에서 보안 그룹을 참조하려면 이 기능을 활성화합니다. 보안 그룹 참조에 대한 자세한 내용은 [보안 그룹 참조](tgw-vpc-attachments.md#vpc-attachment-security)을 참조하세요.
1. **IPv6 지원**을 활성화할지 선택합니다.
1. **VPC ID**에서 Transit Gateway에 연결할 VPC를 선택합니다.
이 VPC에는 적어도 하나의 서브넷이 연결되어 있어야 합니다.
1. **서브넷 ID**에서 트래픽을 라우팅하기 위해 Transit Gateway에서 사용할 각 가용 영역에 대해 하나의 서브넷을 선택합니다. 하나 이상의 서브넷을 선택해야 합니다. 가용 영역당 서브넷 한 개만 선택할 수 있습니다.
1. **Transit Gateway Attachment 생성**을 선택합니다.
**AWS CLI를 사용하여 VPC 연결 생성**
[create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html) 명령을 사용합니다.
# AWS Transit Gateway에서 VPC 연결 수정
**콘솔을 사용하여 VPC 연결 수정**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. VPC 연결을 선택한 다음 **작업**, **Transit Gateway Attachment 수정**을 선택합니다.
1. 다음 중 하나를 활성화 또는 비활성화합니다.
+ **DNS 지원**
+ **IPv6 지원**
+ **어플라이언스 모드 지원**
1. 연결에서 서브넷을 추가하거나 제거하려면 추가 또는 제거하려는 **서브넷 ID** 옆에 있는 확인란을 선택하거나 선택 취소합니다.
**참고**
VPC 연결 서브넷을 추가하거나 수정하면 연결이 수정 상태에 있는 동안 데이터 트래픽에 영향을 줄 수 있습니다.
1. Transit Gateway에 연결된 VPC에서 보안 그룹을 참조하려면 **보안 그룹 참조 지원**을 선택합니다. 보안 그룹 참조에 대한 자세한 내용은 [보안 그룹 참조](tgw-vpc-attachments.md#vpc-attachment-security)을 참조하세요.
**참고**
기존 Transit Gateway에 대한 보안 그룹 참조를 비활성화하면 모든 VPC 연결에서 비활성화됩니다.
1. **Transit Gateway Attachment 수정**을 선택합니다.
**를 사용하여 VPC 연결을 수정하려면 AWS CLI**
[modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html) 명령을 사용합니다.
# AWS Transit Gateway 내 VPC 연결 태그 수정
**콘솔을 사용하여 VPC 연결 태그 수정**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. VPC 연결을 선택한 다음 **작업**, **태그 관리**를 선택합니다.
1. [태그 추가] **새 태그 추가**를 선택하고 다음을 수행합니다.
+ **키**에서 키 이름을 입력합니다.
+ **값**에 키 값을 입력합니다.
1. [태그 제거] 태그 옆에 있는 **제거**를 선택합니다.
1. **저장**을 선택합니다.
VPC 연결 태그는 콘솔로만 수정할 수 있습니다.
# AWS Transit Gateway 내 VPC 연결 보기
**콘솔을 사용하여 VPC 연결 보기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. **리소스 유형** 열에서 **VPC**를 찾습니다. 이것이 VPC 연결입니다.
1. 세부 정보를 볼 연결을 선택합니다.
**AWS CLI를 사용하여 VPC 연결 보기**
[describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html) 명령을 사용합니다.
# AWS Transit Gateway 내 VPC 연결 삭제
**콘솔을 사용하여 VPC 연결 삭제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. VPC 연결을 선택합니다.
1. **작업**, **Transit Gateway Attachment 삭제**를 선택합니다.
1. 메시지가 표시되면 **delete**를 입력한 후 **삭제**를 선택합니다.
**AWS CLI를 사용하여 VPC 연결 삭제**
[delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html) 명령을 사용합니다.
# AWS Transit Gateway 보안 그룹 인바운드 규칙 업데이트
전송 게이트웨이와 연결된 인바운드 보안 그룹 규칙을 업데이트할 수 있습니다. Amazon VPC 콘솔을 사용하거나 명령줄 또는 API를 사용하여 보안 그룹 규칙을 업데이트할 수 있습니다. 보안 그룹 참조에 대한 자세한 내용은 [보안 그룹 참조](tgw-vpc-attachments.md#vpc-attachment-security)을 참조하세요.
**콘솔을 사용하여 보안 그룹 규칙을 업데이트하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Security groups**를 선택합니다.
1. 보안 그룹을 선택하고 **작업**, **인바운드 규칙 편집**을 선택하여 인바운드 규칙을 수정합니다.
1. 규칙을 추가하려면 **규칙 추가**를 선택한 다음 유형, 프로토콜 및 포트 범위를 지정합니다. **소스**(인바운드 규칙)에 전송 게이트웨이에 연결된 VPC에 보안 그룹의 ID를 입력합니다.
**참고**
전송 게이트웨이에 연결된 VPC의 보안 그룹은 자동으로 표시되지 않습니다.
1. 기존 규칙을 편집하려면 해당 값(예: 소스 또는 설명)을 변경합니다.
1. 규칙을 삭제하려면 규칙 옆의 **삭제**를 선택합니다.
1. **규칙 저장**을 선택합니다.
**명령줄을 사용하여 인바운드 규칙을 업데이트하려면**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)(AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html)(AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html)(AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)(AWS CLI)
# AWS Transit Gateway 참조된 보안 그룹 식별
귀하의 보안 그룹이 동일한 Transit Gateway에 연결된 VPC 내 보안 그룹의 규칙에서 참조되고 있는지 확인하려면, 다음 명령 중 하나를 사용하세요.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html)(AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html)(AWS Tools for Windows PowerShell)
# 무효 AWS Transit Gateway 보안 그룹 규칙 삭제
오래된 보안 그룹 규칙은 동일한 전송 게이트웨이에 연결된 동일한 VPC 또는 VPC에서 삭제된 보안 그룹을 참조하는 규칙입니다. 보안 그룹 규칙이 무효로 되면, 해당 규칙은 보안 그룹에서 자동으로 제거되지 않습니다. 따라서 규칙을 수동으로 제거해야 합니다.
Amazon VPC 콘솔을 사용하여 VPC에 대한 무효 보안 그룹 규칙을 보고 삭제할 수 있습니다.
**무효 보안 그룹 규칙을 보고 삭제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Security groups**를 선택합니다.
1. **작업(Actions)**, **오래된 규칙 관리(Manage stale rules)**를 선택합니다.
1. **VPC**에서 오래된 규칙이 있는 VPC를 선택합니다.
1. **편집(Edit)**을 선택합니다.
1. 삭제할 규칙 옆에 있는 **삭제(Delete)** 버튼을 선택합니다. **변경 사항 미리 보기(Preview changes)**, **규칙 저장(Save rules)**을 선택합니다.
**명령줄을 사용하여 부실한 보안 그룹 규칙을 설명하려면**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html)(AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html)(AWS Tools for Windows PowerShell)
무효 보안 그룹 규칙을 식별한 후에는 [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) 또는 [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) 명령을 사용하여 해당 규칙을 삭제할 수 있습니다.
# AWS Transit Gateway VPC 연결 생성 문제 해결
다음 주제는 VPC 연결을 생성할 때 발생할 수 있는 문제를 해결하는 데 도움이 될 수 있습니다.
**문제**
VPC 연결에 실패했습니다.
**원인**
원인은 다음 중 하나일 수 있습니다.
1. VPC 연결을 생성하는 사용자에게 서비스 연결 역할을 생성할 수 있는 올바른 권한이 없습니다.
1. IAM 요청이 너무 많아 조절 문제가 발생했습니다. 예를 들어, CloudFormation을 사용하여 권한 및 역할을 생성하는 경우입니다.
1. 계정에 서비스 연결 역할이 있고 서비스 연결 역할이 수정되었습니다.
1. Transit Gateway가 `available` 상태가 아닙니다.
**솔루션**
원인에 해당하는 다음 작업을 수행하세요.
1. 사용자에게 서비스 연결 역할을 생성할 수 있는 올바른 권한이 있는지 확인합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)을 참조하세요. 사용자에게 권한이 부여되면 VPC 연결을 생성합니다.
1. VPC 연결을 수동으로 생성합니다. 자세한 내용은 [AWS Transit Gateway 내 VPC 연결 생성](create-vpc-attachment.md) 단원을 참조하세요.
1. 서비스 연결 역할의 사용 권한이 올바른지 확인합니다. 자세한 내용은 [Transit Gateway 서비스 연결 역할](service-linked-roles.md#tgw-service-linked-roles) 단원을 참조하세요.
1. Transit Gateway가 `available` 상태인지 확인합니다. 자세한 내용은 [Transit Gateway에서 AWS Transit Gateway 정보 보기](view-tgws.md) 단원을 참조하세요.
# AWS Transit Gateway 네트워크 함수 연결
네트워크 함수 연결을 생성하여 Transit Gateway를 AWS Network Firewall에 직접 연결할 수 있습니다. 이는 검사 VPC를 생성하고 관리할 필요성을 없애줍니다.
방화벽 연결을 사용하면 AWS이(가) 필요한 모든 리소스를 백그라운드에서 자동으로 프로비저닝하고 관리합니다. 새로운 Transit Gateway Attachment이 표시되며, 개별 방화벽 엔드포인트는 표시되지 않습니다. 이는 중앙 집중식 네트워크 트래픽 검사 구현 프로세스를 간소화합니다.
방화벽 연결을 사용하기 전에, 먼저 AWS Network Firewall에서 연결을 생성해야 합니다. 연결을 생성하는 단계는 *AWS Network Firewall개발자 가이드*의 [AWS Network Firewall 관리 시작하기](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html)를 참조하십시오. 방화벽이 생성되면, Transit Gateway 콘솔의 **연결** 섹션에서 해당 연결을 볼 수 있습니다. 연결은 **네트워크 함수** 유형과 함께 나열됩니다.
**Topics**
+ [Transit Gateway 네트워크 함수 연결 수락 또는 거부](accept-reject-firewall-attachment.md)
+ [네트워크 함수 연결 보기](view-nf-attachment-nm.md)
+ [Transit Gateway 네트워크 함수 연결을 통해 트래픽 라우팅](route-traffic-nf-attachment.md)
# AWS Transit Gateway 네트워크 함수 연결 수락 또는 거부
Amazon VPC 콘솔이나 AWS Network Firewall CLI 또는 API를 사용하여 Network Firewall 연결을 포함한 전송 게이트웨이 네트워크 함수 연결을 수락하거나 거부할 수 있습니다. Transit Gateway의 소유자이고 다른 계정에서 Transit Gateway에 대한 방화벽 연결을 생성한 경우 연결 요청을 수락하거나 거부해야 합니다.
Network Firewall CLI를 사용하여 네트워크 함수 연결을 수락하거나 거부하려면 [https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html)의 `AcceptNetworkFirewallTransitGatewayAttachment` 또는 `RejectNetworkFirewallTransitGatewayAttachment` API를 확인하세요.
## 콘솔을 사용하여 네트워크 함수 연결 수락 또는 거부
Amazon VPC 콘솔을 사용하여 Transit Gateway 네트워크 함수 연결을 수락하거나 거부합니다.
**콘솔을 사용하여 네트워크 함수 연결을 수락하거나 거부하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway**를 선택합니다.
1. **Transit Gateway Attachment**를 선택합니다.
1. **수락 보류** 중 상태와 **네트워크 함수** 유형이 있는 연결을 선택합니다.
1. **작업**을 선택한 다음 **연결 수락** 또는 **연결 거부**를 선택합니다.
1. 확인 대화 상자에서 **수락** 또는 **거부**.를 선택합니다.
연결을 수락하면 연결이 활성화되고 방화벽이 트래픽을 검사할 수 있습니다. 연결을 거부하면 거부된 상태로 전환되고 결국 삭제됩니다.
# AWS Transit Gateway 네트워크 함수 연결 보기
Amazon VPC 콘솔 또는 Network Manager 콘솔을 사용하여 연결을 포함한 네트워크 함수 AWS Network Firewall 연결을 보고 네트워크 토폴로지를 시각적으로 표현할 수 있습니다.
## Network Manager 콘솔을 사용하여 네트워크 함수 연결 보기
Network Manager 콘솔을 사용하여 네트워크 함수 연결을 볼 수 있습니다.
**Network Manager에서 방화벽 연결을 보려면**
1. [https://console.aws.amazon.com/networkmanager/home/](https://console.aws.amazon.com/networkmanager/home) Network Manager 콘솔을 엽니다.
1. 아직 글로벌 네트워크가 없는 경우 Network Manager에서 글로벌 네트워크를 생성합니다.
1. Network Manager에 Transit Gateway를 등록합니다.
1. **글로벌 네트워크**에서 연결이 위치한 글로벌 네트워크를 선택합니다.
1. 탐색 창에서 **Transit Gateway**를 선택합니다.
1. 연결을 보려는 Transit Gateway를 선택합니다.
1. **토폴로지 트리** 보기를 선택합니다. Network Firewall 연결에는 네트워크 함수 아이콘이 표시됩니다.
1. 특정 방화벽 연결에 대한 세부 정보를 보려면 토폴로지 보기에서 Transit Gateway를 선택한 다음 **네트워크 함수** 탭을 선택합니다.
Network Manager 콘솔은 방화벽 연결 상태, 연결된 Transit Gateway, 가용 영역 등 방화벽 연결에 대한 자세한 정보를 제공합니다.
## Amazon VPC 콘솔을 사용하여 네트워크 함수 연결 보기
VPC 콘솔을 사용하여 Transit Gateway Attachment 유형 목록을 확인합니다.
**VPC 콘솔을 사용하여 Transit Gateway Attachment 유형을 보려면**
+ [VPC 연결 보기](view-vpc-attachment.md)을(를) 참조하세요.
# AWS Transit Gateway 네트워크 함수 연결을 통해 트래픽 라우팅
네트워크 함수 연결을 생성한 후, Amazon VPC 콘솔 또는 CLI를 사용하여 트래픽이 방화벽을 통해 검사되도록 전송하기 위해 Transit Gateway 라우팅 테이블을 업데이트해야 합니다. Transit Gateway 라우팅 테이블 연결을 업데이트하는 단계는 [Transit Gateway 라우팅 테이블 연결](associate-tgw-route-table.md)에서 확인하세요.
## 콘솔을 사용하여 방화벽 연결을 통해 트래픽 라우팅
Amazon VPC 콘솔을 사용하여 Transit Gateway 네트워크 함수 연결을 통해 트래픽을 라우팅합니다.
**콘솔을 사용하여 네트워크 함수 연결을 통해 트래픽을 라우팅하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway**를 선택합니다.
1. **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 수정할 라우팅 테이블을 선택합니다.
1. **작업**, **정적 경로 생성**을 차례대로 선택합니다.
1. **CIDR**에 경로의 대상 CIDR 블록을 입력합니다.
1. **연결**에서 네트워크 함수 연결을 선택합니다. 예를 들어 첨부 AWS Network Firewall 파일일 수 있습니다.
1. **정적 경로 생성**을 선택합니다.
**참고**
정적 경로만 지원됩니다.
이제 라우팅 테이블의 CIDR 블록과 일치하는 트래픽이 검사를 위해 방화벽 연결로 전송된 후 최종 대상으로 전달됩니다.
## CLI 또는 API를 사용하여 네트워크 함수 연결을 통해 트래픽 라우팅
명령줄 또는 API를 사용하여 Transit Gateway 네트워크 함수 연결을 라우팅합니다.
**명령줄 또는 API를 사용하여 네트워크 함수 연결을 통해 트래픽을 라우팅하려면**
+ [https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html)을(를) 사용합니다.
예를 들어 네트워크 방화벽 연결을 라우팅하는 요청이 있을 수 있습니다.
```
aws ec2 create-transit-gateway-route \
--transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
--destination-cidr-block 0.0.0.0/0 \
--transit-gateway-attachment-id tgw-attach-0123456789abcdef0
```
그럴 경우, 출력은 다음을 반환합니다.
```
{
"Route": {
"DestinationCidrBlock": "0.0.0.0/0",
"TransitGatewayAttachments": [
{
"ResourceId": "network-firewall",
"TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
"ResourceType": "network-function"
}
],
"Type": "static",
"State": "active"
}
}
```
이제 라우팅 테이블의 CIDR 블록과 일치하는 트래픽이 검사를 위해 방화벽 연결로 전송된 후 최종 대상으로 전달됩니다.
# AWS Site-to-Site VPN AWS Transit Gateway의 연결
Site-to-Site VPN 연결을 AWS Transit Gateway의 전송 게이트웨이에 연결하여 VPCs와 온프레미스 네트워크를 연결할 수 있습니다. 동적 및 정적 경로와 IPv4 및 IPv6가 모두 지원됩니다.
**요구 사항**
+ Transit Gateway에 VPN 연결을 연결하려면 특정 디바이스 요구 사항이 있는 VPN 고객 게이트웨이를 지정해야 합니다. Site-to-Site VPN 연결을 생성하기 전에 고객 게이트웨이 요구 사항을 검토하여 게이트웨이가 올바르게 설정되었는지 확인합니다. 예시 게이트웨이 구성 파일을 포함해 이 요구 사항에 관해 자세한 정보는 *AWS Site-to-Site VPN 사용 설명서*의 [Site-to-Site VPN 고객 게이트웨이 디바이스 요구 사항](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html)을 참조하세요.
+ 정적 VPN의 경우 먼저 Transit Gateway 라우팅 테이블에 정적 경로도 추가해야 합니다. VPN 연결을 대상으로 하는 Transit Gateway 라우팅 테이블의 정적 경로는 Site-to-Site VPN에 의해 필터링되지 않습니다. BGP 기반 VPN을 사용할 때 의도하지 않은 아웃바운드 트래픽 흐름이 허용될 수 있기 때문입니다. 정적 VPN의 경우 Transit Gateway 라우팅 테이블에 정적 경로를 추가합니다[정적 경로 생성](tgw-create-static-route.md).
Amazon VPC 콘솔 또는 AWS CLI를 사용하여 전송 게이트웨이 Site-to-Site VPN 연결을 생성, 확인 또는 삭제할 수 있습니다.
**Topics**
+ [VPN에 대한 Transit Gateway Attachment 생성](create-vpn-attachment.md)
+ [VPN 연결 보기](view-vpn-attachment.md)
+ [VPN 연결 삭제](delete-vpn-attachment.md)
# AWS Transit Gateway에 VPN에 대한 Transit Gateway Attachment 생성
**콘솔을 사용하여 VPN 연결 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. **Transit Gateway Attachment 생성**을 선택합니다.
1. **Transit gateway ID**에서 연결에 사용할 Transit Gateway를 선택합니다. 소유한 Transit Gateway를 선택할 수 있습니다.
1. **연결 유형**에서 **VPN**을 선택합니다.
1. **고객 게이트웨이**에서 다음 중 하나를 수행합니다.
+ 기존 고객 게이트웨이를 사용하려면 **기존**을 선택한 다음 사용할 게이트웨이를 선택합니다.
고객 게이트웨이가 NAT-T(NAT traversal)를 지원하는 NAT(Network Address Translation) 디바이스 뒤에 상주하는 경우 NAT 디바이스의 퍼블릭 IP 주소를 사용하고 UDP 포트 4500 차단을 해제하도록 방화벽 규칙을 수정합니다.
+ 고객 게이트웨이를 생성하려면 **새로 만들기**를 선택한 다음 **IP 주소**에 대해 정적 퍼블릭 IP 주소 및 **BGP ASN**을 입력합니다.
**라우팅 옵션**에서 **동적** 또는 **정적**을 선택합니다. 자세한 내용은 *AWS Site-to-Site VPN 사용 설명서*의 [Site-to-Site VPN 라우팅 옵션](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html)을 참조하세요.
1. **터널 옵션**에 터널에 사용할 CIDR 범위와 사전 공유 키를 입력합니다. 자세한 내용은 [Site-to-Site VPN 아키텍처](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html)를 참조하세요.
1. **Transit Gateway Attachment 생성**을 선택합니다.
**를 사용하여 VPN 연결을 생성하려면AWS CLI**
[create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) 명령을 사용합니다.
# AWS Transit Gateway 내 VPN 연결 보기
**콘솔을 사용하여 VPN 연결을 보려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. **리소스 유형** 열에서 **VPN**을 찾습니다. 이것이 VPN 연결입니다.
1. 세부 정보를 보거나 태그를 추가할 연결을 선택합니다.
**AWS CLI를 사용하여 VPN 연결 보기**
[describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html) 명령을 사용합니다.
# AWS Transit Gateway 내 VPN 연결 삭제
**콘솔을 사용하여 VPN 연결 삭제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. VPN 연결을 선택합니다.
1. VPN 연결의 리소스 ID를 선택하여 **VPN 연결** 페이지로 이동합니다.
1. **작업**, **삭제**를 선택합니다.
1. 확인 메시지가 나타나면 **삭제**를 선택합니다.
**AWS CLI를 사용하여 VPN 연결을 삭제하려면**
[delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) 명령을 사용합니다.
# AWS Transit Gateway의 VPN Concentrator 연결
AWS Site-to-Site VPN Concentrator는 분산 엔터프라이즈의 다중 사이트 연결을 간소화하는 새로운 기능입니다. VPN Concentrator는 25개 이상의 원격 사이트를 연결해야 하는 고객에게 적합하며 AWS, 각 사이트에는 낮은 대역폭(100Mbps 미만)이 필요합니다.
## VPN Concentrator 작동 방식
VPN 집중기는 전송 게이트웨이에 단일 연결로 표시되지만 여러 Site-to-Site VPN 연결을 호스팅할 수 있습니다.
Concentrator에 있는 모든 VPN 연결의 트래픽은 동일한 전송 게이트웨이 연결을 통해 라우팅되므로 연결된 모든 사이트에 일관된 라우팅 정책 및 보안 규칙을 적용할 수 있습니다. Concentrator는 전송 게이트웨이 라우팅 테이블과 원활하게 통합되어 원격 사이트와 VPCs, 기타 VPN 연결 및 피어링 연결과 같은 기타 연결 간의 트래픽 흐름을 제어할 수 있습니다.
## VPN Concentrator의 이점
+ **비용 최적화**: 여러 저대역폭 VPN 연결을 단일 전송 게이트웨이 연결에 통합하여 비용을 절감합니다. 특히 개별 사이트에 전체 VPN 연결 용량이 필요하지 않은 경우에 유용합니다.
+ **간소화된 관리**: 개별 VPN 연결 제어 및 모니터링을 유지하면서 통합 연결을 통해 여러 원격 사이트 연결을 관리합니다.
+ **일관된 라우팅**: 단일 전송 게이트웨이 라우팅 테이블 연결을 통해 연결된 모든 사이트에 통합 라우팅 정책을 적용합니다.
+ **확장 가능한 아키텍처**: 단일 Concentrator를 사용하여 최대 100개의 원격 사이트를 연결하고 전송 게이트웨이당 최대 5개의 Concentrator를 지원합니다.
+ **표준 VPN 기능**: 각 VPN 연결은 표준 Site-to-Site VPN 연결과 동일한 보안, 모니터링 및 라우팅 기능을 지원합니다.
**요구 사항 및 제한 사항**
+ **BGP 라우팅만** 해당: VPN Concentrator는 BGP(동적) 라우팅만 지원합니다. 정적 라우팅은 시작 시 지원되지 않습니다.
+ **고객 게이트웨이 요구 사항**: 각 원격 사이트에는 BGP 라우팅을 지원하는 고객 게이트웨이가 필요합니다. Concentrator에서 VPN 연결을 생성하기 전에 *AWS Site-to-Site VPN 사용 설명서*의 [ Site-to-Site VPN 고객 게이트웨이 디바이스 요구 사항에서 고객 게이트웨이](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html) 요구 사항을 검토하세요.
+ **성능 고려 사항**: 집중기의 각 VPN 연결은 최대 100Mbps 대역폭으로 설계되었습니다. 대역폭 요구 사항을 높이려면 표준 전송 게이트웨이 VPN 연결을 사용하는 것이 좋습니다.
AWS VPC 콘솔 또는 AWS CLI를 사용하여 VPN Concentrator 연결을 생성, 확인 또는 삭제할 수 있습니다. Concentrator의 개별 VPN 연결은 표준 VPN 연결 APIs 및 콘솔 인터페이스를 통해 관리됩니다.
**Topics**
+ [VPN Concentrator 작동 방식](#vpn-concentrator-how-it-works)
+ [VPN Concentrator의 이점](#vpn-concentrator-benefits)
+ [VPN Concentrator 연결 생성](create-vpn-concentrator-attachment.md)
+ [VPN Concentrator 연결 보기](view-vpn-concentrator-attachment.md)
+ [VPN Concentrator 연결 삭제](delete-vpn-concentrator-attachment.md)
# AWS Transit Gateway에서 VPN Concentrator 연결 생성
**사전 조건**
+ 계정에 기존 전송 게이트웨이가 있어야 합니다.
**콘솔을 사용하여 VPN Concentrator 연결을 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN Concentrators**를 선택합니다.
1. **Site-to-Site VPN Concentrator 생성을** 선택합니다.
1. (선택 사항) **이름 태그**에 Site-to-Site VPN Concentrator의 이름을 입력합니다.
1. **전송 게이트웨이**에서 기존 전송 게이트웨이를 선택합니다.
1. (선택 사항) 태그를 추가하려면 **새 태그 추가**를 선택하고 각 태그의 키와 값을 지정합니다.
1. **Site-to-Site VPN Concentrator 생성을** 선택합니다.
VPN Concentrator 연결을 생성하면 리소스 유형이 **VPN Concentrator**이고 초기 상태가 **Pending**인 연결 목록에 표시됩니다. 연결이 준비되면 상태가 **사용 가능**으로 변경됩니다. 그런 다음이 Concentrator에서 Site-to-Site VPN 연결을 생성할 수 있습니다.
**를 사용하여 VPN Concentrator 연결을 생성하려면 AWS CLI**
[create-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-concentrator.html) 명령을 사용합니다.
**콘솔을 사용하여 VPN Concentrator에서 VPN 연결을 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결을** 선택합니다.
1. **VPN 연결 생성**을 선택합니다.
1. **대상 게이트웨이 유형**에서 **Site-to-Site VPN Concentrator**를 선택합니다.
1. **Site-to-Site VPN Concentrator**에서 VPN 연결을 생성할 VPN Concentrator를 선택합니다.
1. **고객 게이트웨이**에서 다음 중 하나를 수행합니다.
+ 기존 고객 게이트웨이를 사용하려면 **기존**을 선택한 다음 사용할 게이트웨이를 선택합니다. 고객 게이트웨이가 BGP 라우팅을 지원하는지 확인합니다.
+ 고객 게이트웨이를 생성하려면 **새로 만들기**를 선택합니다. **IP 주소**에 고객 게이트웨이 디바이스의 정적 퍼블릭 IP 주소를 입력합니다. **BGP ASN**에 고객 게이트웨이의 BGP(Border Gateway Protocol) ASN(자율 시스템 번호)을 입력합니다.
고객 게이트웨이가 NAT-T(NAT traversal)를 지원하는 NAT(Network Address Translation) 디바이스 뒤에 상주하는 경우 NAT 디바이스의 퍼블릭 IP 주소를 사용하고 UDP 포트 4500 차단을 해제하도록 방화벽 규칙을 수정합니다.
1. **라우팅 옵션****의 경우 동적(BGP 필요)**이 자동으로 선택됩니다. VPN Concentrator는 BGP를 사용한 동적 라우팅만 지원합니다.
1. **사전 공유 키 스토리지**에서 **Standard** 또는 **Secrets Manager**를 선택합니다.
1. **터널 대역폭**의 경우 **표준**이 자동으로 선택됩니다. VPN Concentrator는 표준 터널 대역폭만 지원합니다.
1. **IP 버전 내 터널**에서 **IPv4** 또는 **IPv6**를 선택합니다.
1. (선택 사항) **가속화 활성화**를 선택하여 VPN 터널의 성능을 개선합니다.
1. (선택 사항) **로컬 IPv4 네트워크 CIDR**에 IPv4 CIDR 범위를 제공합니다.
1. (선택 사항) **원격 IPv4 네트워크 CIDR**에 IPv4 CIDR 범위를 제공합니다.
1. **외부 IP 주소 유형**에서 **퍼블릭 IPv4** 또는 **IPv6** 주소를 선택할 수 있습니다.
1. (선택 사항) **터널 옵션**의 경우 터널 IP 주소 내부 및 사전 공유 키와 같은 터널 설정을 구성할 수 있습니다. 자세한 내용은 *AWS Site-to-Site VPN 사용 설명서*의 [Site-to-Site VPN 아키텍처](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html)를 참조하세요.
1. (선택 사항) 태그를 추가하려면 **새 태그 추가**를 선택하고 각 태그의 키와 값을 지정합니다.
1. **VPN 연결 생성**을 선택합니다.
VPN 연결은 **Transit Gateway ID** 열의 VPN Concentrator ID와 초기 상태가 **Pending**인 VPN 연결 목록에 나타납니다. VPN 연결이 준비되면 상태가 **사용 가능**으로 변경됩니다.
**를 사용하여 VPN Concentrator에서 VPN 연결을 생성하려면 AWS CLI**
[create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) 명령을 사용하고 `--vpn-concentrator-id` 파라미터를 사용하여 VPN Concentrator ID를 지정합니다.
# AWS Transit Gateway에서 VPN Concentrator 연결 보기
**콘솔을 사용하여 VPN Concentrator 연결을 보려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. **리소스 유형** 열에서 **VPN Concentrator**를 찾습니다. 다음은 VPN Concentrator 연결입니다.
1. 세부 정보를 볼 연결을 선택합니다.
**콘솔을 사용하여 VPN Concentrator에서 VPN 연결을 보려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결을** 선택합니다.
1. VPN 연결 목록에서 **Transit Gateway ID** 열에 VPN Concentrator ID를 표시하는 연결을 식별합니다. 다음은 VPN Concentrator에서 호스팅되는 VPN 연결입니다.
1. VPN 연결을 선택하여 세부 정보를 봅니다.
**를 사용하여 VPN Concentrator 연결을 보려면 AWS CLI**
[describe-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-concentrator.html) 명령을 사용하여 VPN Concentrator 세부 정보를 보거나 [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html) 명령을 리소스 유형에 대한 필터와 함께 사용합니다`vpn-concentrator`.
**를 사용하여 VPN Concentrator에서 VPN 연결을 보려면 AWS CLI**
[describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) 명령을 `vpn-concentrator-id`에 대한 필터와 함께 사용하여 특정 Concentrator와 연결된 VPN 연결을 봅니다.
# AWS Transit Gateway에서 VPN Concentrator 연결 삭제
**사전 조건**
+ Concentrator 연결을 삭제하려면 먼저 VPN Concentrator의 모든 VPN 연결을 삭제해야 합니다.
+ VPN Concentrator 및 연결된 VPN 연결의 제거를 고려하도록 라우팅 구성을 업데이트했는지 확인합니다.
**콘솔을 사용하여 VPN Concentrator에서 VPN 연결을 삭제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결을** 선택합니다.
1. **Transit Gateway ID** 열에서 VPN Concentrator ID를 찾아 VPN Concentrator와 연결된 VPN 연결을 식별합니다.
1. 삭제할 VPN 연결을 선택합니다.
1. **작업**, **삭제**를 선택합니다.
1. 확인 메시지가 나타나면 **삭제**를 선택합니다.
1. VPN 집중기와 연결된 각 VPN 연결에 대해 4\$16단계를 반복합니다.
**콘솔을 사용하여 VPN Concentrator 연결을 삭제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. 삭제할 VPN Concentrator 연결을 선택합니다. 이 Concentrator와 연결된 VPN 연결이 없는지 확인합니다.
1. **작업**, **첨부 파일 삭제**를 선택합니다.
1. 확인 메시지가 나타나면 **삭제**를 선택합니다.
VPN Concentrator 연결은 **삭제** 중 상태로 전환되고 계정에서 제거됩니다. 이 프로세스를 완료하는 데 몇 분 정도 걸릴 수 있습니다.
**를 사용하여 VPN Concentrator에서 VPN 연결을 삭제하려면 AWS CLI**
VPN 집중기와 연결된 각 VPN 연결에 대해 [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) 명령을 사용합니다.
**를 사용하여 VPN Concentrator 연결을 삭제하려면 AWS CLI**
모든 VPN 연결이 삭제된 후 [delete-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-concentrator.html) 명령을 사용합니다.
# AWS Transit Gateway의 Direct Connect 게이트웨이에 Transit Gateway Attachment
전송 가상 인터페이스를 사용하여 Transit Gateway를 Direct Connect 게이트웨이에 연결합니다. 이 구성을 사용하면 다음과 같은 이점이 있습니다. 다음을 할 수 있습니다.
+ 동일한 리전에 있는 여러 VPC 또는 VPN에 대한 단일 연결을 관리합니다.
+ 온프레미스에서 AWS로, AWS에서 온프레미스로 접두사를 공급합니다.
다음 다이어그램에서는 Direct Connect 게이트웨이를 사용하여 모든 VPC에서 사용할 수 있는 Direct Connect 연결에 대한 단일 연결을 만드는 방법을 보여줍니다.
![\[Transit Gateway에 연결된 Direct Connect 게이트웨이\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/images/direct-connect-tgw.png)
이 솔루션에는 다음 구성 요소가 포함됩니다.
+ Transit Gateway.
+ Direct Connect 게이트웨이
+ Direct Connect 게이트웨이와 Transit Gateway의 연결
+ Direct Connect 게이트웨이에 연결되는 전송 가상 인터페이스
Transit Gateway를 이용한 Direct Connect 게이트웨이 구성에 관한 자세한 내용은 *AWS Direct Connect 사용 설명서*의 [Transit Gateway Attachment](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)를 참조하세요.
# AWS Transit Gateway의 Transit Gateway 피어링 연결
리전 내 및 리전 간 Transit Gateway를 모두 피어링하고 둘 사이에서 IPv4 및 IPv6 트래픽을 포함한 트래픽을 라우팅할 수 있습니다. 이렇게 하려면 Transit Gateway에서 피어링 연결을 생성하고 Transit Gateway를 지정해야 합니다. 피어 Transit Gateway는 귀하의 계정에 있거나 다른 계정의 것일 수 있습니다. 또한 귀하의 계정에서 다른 계정의 Transit Gateway로 피어링 연결을 요청할 수도 있습니다.
피어링 연결 요청을 생성한 후에는 피어 Transit Gateway의 소유자(*수락자 Transit Gateway*라고도 함)가 요청을 수락해야 합니다. Transit Gateway 간에 트래픽을 라우팅하려면 Transit Gateway 피어링 연결을 가리키는 Transit Gateway 라우팅 테이블에 정적 경로를 추가합니다.
향후 경로 전파 기능을 활용하려면 각각의 피어링된 Transit Gateway에 고유한 ASN을 사용하는 것이 좋습니다.
Transit Gateway 피어링은 다른 리전의 Amazon Route 53 Resolver을 사용하여 Transit Gateway 피어링 연결의 양쪽에 있는 VPC에서 퍼블릭 또는 프라이빗 IPv4 DNS 호스트 이름을 프라이빗 IPv4 주소로 확인하는 것을 지원하지 않습니다. Route 53 Resolver에 대한 자세한 내용은 *Amazon Route 53 개발자 안내서*의 [Route 53 Resolver란 무엇인가요?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) 단원을 참조하세요.
리전 간 게이트웨이 피어링은 VPC 피어링과 동일한 네트워크 인프라를 사용합니다. 따라서 트래픽은 리전 간에 이동할 때 가상 네트워크 계층에서 AES-256 암호화를 사용하여 암호화됩니다. 트래픽은 AWS의 물리적 제어 범위를 벗어나는 네트워크 링크를 통과할 때에도 물리적 계층에서 AES-256 암호화를 사용하여 암호화됩니다. 결과적으로 트래픽은 AWS의 물리적 제어 범위를 벗어나는 네트워크 링크에서 이중 암호화됩니다. 동일한 리전 내에서 트래픽은 AWS의 물리적 제어 범위를 벗어나는 네트워크 링크를 통과할 때에만 물리적 계층에서 암호화됩니다.
Transit Gateway 피어링 연결을 지원하는 리전에 대한 자세한 내용은 [AWS Transit Gateways FAQ](https://aws.amazon.com/transit-gateway/faqs/)를 참조하세요.
## 옵트인 AWS 리전 고려 사항
옵트인 리전 경계를 넘어 Transit Gateway를 피어링할 수 있습니다. 이러한 리전에 대한 정보와 옵트인(opt in)하는 방법에 대해서는 [AWS 리전 관리](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)를 참조하세요. 이러한 리전에서 Transit Gateway 피어링을 사용할 때 다음 사항을 고려합니다.
+ 피어링 연결을 수락한 계정이 해당 리전으로 옵트인한다면 옵트인 리전으로 피어링할 수 있습니다.
+ 리전 옵트인 상태와 관계없이 AWS는 피어링 연결을 수락한 계정과 다음 계정 데이터를 공유합니다.
+ AWS 계정 ID
+ Transit Gateway ID
+ 리전 코드
+ Transit Gateway Attachment를 삭제하면 위의 계정 데이터가 삭제됩니다.
+ 따라서 리전을 옵트아웃하기 전에 Transit Gateway 피어링 연결을 삭제하는 것이 좋습니다. 피어링 연결을 삭제하지 않으면 트래픽이 해당 연결을 통해 계속 전달되어 요금이 계속 발생할 수 있습니다. 연결을 삭제하지 않은 경우 다시 옵트인하고 연결을 삭제할 수 있습니다.
+ 일반적으로 Transit Gateway에는 발신자 지불 모델이 있습니다. 옵트인 경계를 지나는 Transit Gateway 피어링 연결을 사용하면 옵트인하지 않은 리전을 포함하여 연결을 수락하는 리전에서 요금이 발생할 수 있습니다. 자세한 내용은 [AWS Transit Gateway 요금](https://aws.amazon.com/transit-gateway/pricing/)을 참조하세요.
**Topics**
+ [옵트인 AWS 리전 고려 사항](#opt-in-considerations)
+ [피어링 연결 생성](tgw-peering-create.md)
+ [피어링 요청 수락 또는 거부](tgw-peering-accept-reject.md)
+ [Transit Gateway 라우팅 테이블에 경로 추가](tgw-peering-add-route.md)
+ [피어링 연결 삭제](tgw-peering-delete.md)
# AWS Transit Gateway 내 피어링 연결 생성
시작하기 전에 연결할 Transit Gateway의 ID가 있는지 확인합니다. Transit Gateway가 다른 AWS 계정에 있는 경우 Transit Gateway 소유자의 AWS 계정 ID가 있어야 합니다. 피어링 연결을 생성한 후 수락자 Transit Gateway의 소유자가 연결 요청을 수락 또는 거부해야 합니다.
**콘솔을 사용하여 피어링 연결 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. **Transit Gateway Attachment 생성**을 선택합니다.
1. **Transit gateway ID**에서 연결에 사용할 Transit Gateway를 선택합니다. 소유한 Transit Gateway를 선택할 수 있습니다. 사용자와 공유되는 Transit Gateway는 피어링에 사용할 수 없습니다.
1. **연결 유형**에서 **피어링 연결**을 선택합니다.
1. 선택적으로 연결에 대한 이름 태그를 입력합니다.
1. **계정**에서 다음 중 하나를 수행합니다.
+ Transit Gateway가 계정에 있는 경우 **내 계정**을 선택합니다.
+ Transit Gateway가 다른 AWS 계정에 있는 경우 **기타 계정**을 선택합니다. **계정 ID**에 AWS 계정 ID를 입력합니다.
1. **리전**에서 Transit Gateway가 위치한 리전을 선택합니다.
1. **Transit Gateway(수락자)**에 연결할 Transit Gateway의 ID를 입력합니다.
1. **Transit Gateway Attachment 생성**을 선택합니다.
**AWS CLI를 사용하여 피어링 연결 생성**
[create-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-peering-attachment.html) 명령을 사용합니다.
# AWS Transit Gateway 내 피어링 연결 요청을 수락 또는 거부
Transit Gateway 피어링 연결이 생성되면 자동으로 `pendingAcceptance` 상태로 생성되며, 수락되거나 거부될 때까지 무기한으로 이 상태를 유지합니다. 피어링 연결을 활성화하려면, 두 Transit Gateway가 동일한 계정에 있더라도 수락자 Transit Gateway의 소유자가 피어링 연결 요청을 수락해야 합니다. 수락자 Transit Gateway가 있는 리전의 피어링 연결 요청을 수락합니다. 또는, 피어링 연결을 거부하는 경우, 수락자 Transit Gateway가 위치한 리전에서 요청을 거부해야 합니다.
**콘솔을 사용하여 피어링 연결 요청 수락**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. 수락 보류 중인 Transit Gateway 피어링 연결을 선택합니다.
1. **작업**, **Transit Gateway Attachment 수락**을 선택합니다.
1. Transit Gateway 라우팅 테이블에 정적 경로를 추가합니다. 자세한 내용은 [AWS Transit Gateway 내 정적 경로 생성](tgw-create-static-route.md) 단원을 참조하세요.
**콘솔을 사용하여 피어링 연결 요청 거부**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. 수락 보류 중인 Transit Gateway 피어링 연결을 선택합니다.
1. **작업**, **Transit Gateway Attachment 거부**를 선택합니다.
**AWS CLI를 사용하여 피어링 연결을 수락 또는 거부**
[accept-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-peering-attachment.html) 및 [reject-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-transit-gateway-peering-attachment.html) 명령을 사용합니다.
# AWS Transit Gateway를 사용하여 전송 게이트웨이 라우팅 테이블에 경로 추가
피어링된 Transit Gateway 간에 트래픽을 라우팅하려면 Transit Gateway 피어링 연결을 가리키는 Transit Gateway 라우팅 테이블에 정적 경로를 추가해야 합니다. 수락자 Transit Gateway의 소유자는 Transit Gateway의 라우팅 테이블에 정적 경로도 추가해야 합니다.
**콘솔을 사용하여 정적 경로 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 경로를 생성할 라우팅 테이블을 선택합니다.
1. **작업**, **정적 경로 생성**을 선택합니다.
1. **정적 경로 생성** 페이지에 경로를 생성할 CIDR 블록을 입력합니다. 예를 들어 피어 Transit Gateway에 연결된 VPC의 CIDR 블록을 지정합니다.
1. 해당 경로에 대한 피어링 연결을 선택합니다.
1. **정적 경로 생성**을 선택합니다.
**를 사용하여 정적 라우팅을 생성하려면 AWS CLI**
[create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html) 명령을 사용합니다.
**중요**
라우팅을 생성한 후, Transit Gateway 피어링 연결은 이미 Transit Gateway 라우팅 테이블과 연결되어 있어야 합니다. 자세한 내용은 [Transit Gateway에서 AWS Transit Gateway 라우팅 테이블 연결](associate-tgw-route-table.md) 단원을 참조하십시오.
# AWS Transit Gateway 내 피어링 연결 삭제
Transit Gateway 피어링 연결을 삭제할 수 있습니다. Transit Gateway의 소유자가 연결을 삭제할 수 있습니다.
**콘솔을 사용하여 피어링 연결 삭제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. Transit Gateway 피어링 연결을 선택합니다.
1. **작업**, **Transit Gateway Attachment 삭제**를 선택합니다.
1. **delete**를 입력한 다음 **삭제**를 선택합니다.
**AWS CLI를 사용하여 피어링 연결 삭제**
[delete-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-peering-attachment.html) 명령을 사용합니다.
# AWS Transit Gateway에서 연결 및 연결 피어
*Transit Gateway Connect 연결*을 생성하여 VPC에서 실행 중인 Transit Gateway와 서드 파티 가상 어플라이언스(예: SD-WAN 어플라이언스) 간에 연결을 설정할 수 있습니다. Connect 연결은 고성능을 위한 일반 라우팅 캡슐화(GRE) 터널 프로토콜과 동적 경로를 위한 Border Gateway Protocol(BGP)을 지원합니다. Connect 연결을 생성한 후 Connect 연결에 하나 이상의 GRE 터널(*Transit Gateway Connect 피어*라고도 함)을 생성하여 Transit Gateway 및 서드 파티 어플라이언스를 연결할 수 있습니다. GRE 터널을 통해 두 BGP 세션을 설정하여 라우팅 정보를 교환합니다.
**중요**
Transit Gateway Connect 피어는 AWS관리형 인프라를 종료하는 두 개의 BGP 피어링 세션으로 구성됩니다. 두 개의 BGP 피어링 세션은 라우팅 플레인 중복성을 제공하여 하나의 BGP 피어링 세션이 손실되어도 라우팅 작업에 영향을 미치지 않도록 합니다. 두 BGP 세션에서 수신된 라우팅 정보는 지정된 Connect 피어에 대해 누적됩니다. 2개의 BGP 피어링 세션은 또한 일상적인 유지 관리, 패치 적용, 하드웨어 업그레이드 및 교체와 같은 모든 AWS 인프라 작업으로부터 보호합니다. Connect 피어가 중복성을 위해 구성된 권장 듀얼 BGP 피어링 세션 없이 작동하는 경우 AWS 인프라 작업 중에 연결이 일시적으로 손실될 수 있습니다. Connect 피어에서 두 BGP 피어링 세션을 모두 구성하는 것이 좋습니다. 어플라이언스 측에서 고가용성을 지원하도록 여러 Connect 피어를 구성한 경우 각 Connect 피어에서 두 BGP 피어링 세션을 모두 구성하는 것이 좋습니다.
Connect 연결에서는 기존 VPC 또는 Direct Connect 연결을 기본 전송 메커니즘으로 사용합니다. 이를 *전송 연결*이라고 합니다. Transit Gateway는 서드 파티 어플라이언스에서 일치하는 GRE 패킷을 Connect 연결의 트래픽으로 식별합니다. 또한 소스 또는 대상 정보가 잘못된 GRE 패킷을 포함하여 다른 모든 패킷을 전송 연결의 트래픽으로 처리합니다.
**참고**
Direct Connect 연결을 전송 메커니즘으로 사용하려면 먼저 Direct Connect를 AWS Transit Gateway와 통합해야 합니다. 이 통합을 생성하는 단계는 [Integrate SD-WAN devices with AWS Transit Gateway and Direct Connect](https://aws.amazon.com/blogs/networking-and-content-delivery/integrate-sd-wan-devices-with-aws-transit-gateway-and-aws-direct-connect/)를 참조하세요.
## Connect 피어
Connect 피어(GRE 터널)는 다음과 같은 구성 요소로 이루어집니다.
**내부 CIDR 블록(BGP 주소)**
BGP 피어링에 사용되는 내부 IP 주소입니다. IPv4의 `169.254.0.0/16` 범위에서 /29 CIDR 블록을 지정해야 합니다. 선택적으로 IPv6의 `fd00::/8` 범위에서 /125 CIDR 블록을 지정할 수 있습니다. 다음 CIDR 블록은 예약되어 사용할 수 없습니다.
+ 169.254.0.0/29
+ 169.254.1.0/29
+ 169.254.2.0/29
+ 169.254.3.0/29
+ 169.254.4.0/29
+ 169.254.5.0/29
+ 169.254.169.248/29
어플라이언스에서 IPv4 범위의 첫 번째 주소를 BGP IP 주소로 구성해야 합니다. IPv6을 사용할 때 내부 CIDR 블록이 fd00::/125인 경우 어플라이언스의 터널 인터페이스에서 이 범위(fd00::1)의 첫 번째 주소를 구성해야 합니다.
BGP 주소는 Transit Gateway의 모든 터널에서 고유해야 합니다.
**피어 IP 주소**
Connect 피어의 어플라이언스 측에 있는 피어 IP 주소(GRE 외부 IP 주소)입니다. 모든 IP 주소가 될 수 있습니다. IP 주소는 IPv4 또는 IPv6 주소일 수 있지만 Transit Gateway 주소와 동일한 IP 주소 패밀리여야 합니다.
**Transit Gateway 주소**
Connect 피어의 Transit Gateway 측에 있는 피어 IP 주소(GRE 외부 IP 주소)입니다. IP 주소는 Transit Gateway CIDR 블록에서 지정되어야 하며 Transit Gateway의 Connect 연결 간에서 고유해야 합니다. IP 주소를 지정하지 않으면 Transit Gateway CIDR 블록에서 사용 가능한 첫 번째 주소를 사용합니다.
Transit Gateway를 [생성](create-tgw.md)하거나 [수정](tgw-modifying.md)할 때 Transit Gateway CIDR 블록을 추가할 수 있습니다.
IP 주소는 IPv4 또는 IPv6 주소일 수 있지만 피어 IP 주소와 동일한 IP 주소 패밀리여야 합니다.
피어 IP 주소와 Transit Gateway 주소는 GRE 터널을 고유하게 식별하는 데 사용됩니다. 두 주소 중 하나를 여러 터널에서 다시 사용할 수 있지만 동일한 터널에서 둘 다 사용할 수는 없습니다.
BGP 피어링용 Transit Gateway Connect는 IPv6 유니캐스트용 BGP 세션을 설정하려면 IPv4 유니캐스트 주소 지정이 필요한 Multiprotocol BGP(MP-BGP)만 지원합니다. GRE 외부 IP 주소에는 IPv4 및 IPv6 주소를 모두 사용할 수 있습니다.
다음 예에서는 VPC의 Transit Gateway 및 어플라이언스 간의 Connect 연결을 보여 줍니다.
![\[Transit Gateway Connect 연결 및 Connect 피어\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/images/transit-gateway-connect-peer.png)
| 다이어그램 구성 요소 | 설명 |
| --- | --- |
| ![\[VPC 연결이 예제 다이어그램에 표시되는 방법을 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/images/VPC-attachment.png) | VPC 연결 |
| ![\[Connect 연결이 예제 다이어그램에 표시되는 방법을 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/images/connect-attachment.png) | Connect 연결 |
| ![\[GRE 터널이 예제 다이어그램에 표시되는 방법을 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/images/GRE-tunnel.png) | GRE 터널(Connect 피어) |
| ![\[예제 다이어그램에서 BGP 피어링 세션이 어떻게 표시되는지 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/images/bgp-peering.png) | BGP 피어링 세션 |
이전 예에서는 기존 VPC 연결(전송 연결)에 Connect 연결이 생성됩니다. Connect 연결에 Connect 피어가 생성되어 VPC의 어플라이언스에 대한 연결을 설정합니다. Transit Gateway 주소는 `192.0.2.1`이고 BGP 주소의 범위는 `169.254.6.0/29`입니다. 범위(`169.254.6.1`)의 첫 번째 IP 주소는 어플라이언스에서 피어 BGP IP 주소로 구성됩니다.
VPC C의 서브넷 라우팅 테이블에는 Transit Gateway CIDR 블록으로 향하는 트래픽을 Transit Gateway로 전달되게 하는 경로가 있습니다.
| 대상 주소 | 대상 |
| --- | --- |
| 172.31.0.0/16 | 로컬 |
| 192.0.2.0/24 | tgw-id |
## 요구 사항 및 고려 사항
다음은 Connect 연결에 대한 요구 사항 및 고려 사항입니다.
+ Connect 연결을 지원하는 리전에 대한 자세한 내용은 [AWS Transit Gateway FAQ](https://aws.amazon.com/transit-gateway/faqs/)를 참조하세요.
+ 서드 파티 어플라이언스는 Connect 연결을 사용하여 Transit Gateway와 주고 받는 트래픽을 GRE 터널을 통해 보내고 받도록 구성해야 합니다.
+ 서드 파티 어플라이언스는 동적 경로 업데이트 및 상태 확인에 BGP를 사용하도록 구성해야 합니다.
+ 다음과 같은 유형의 BGP가 지원됩니다.
+ 외부 BGP(eBGP): Transit Gateway와 다른 자율 시스템에 있는 라우터에 연결하는 데 사용됩니다. eBGP를 사용하는 경우 TTL(Time-to-Live) 값이 2인 ebgp-multihop을 구성해야 합니다.
+ 내부 BGP(iBGP): Transit Gateway와 동일한 자율 시스템에 있는 라우터에 연결하는 데 사용됩니다. 경로가 eBGP 피어에서 시작되어 next-hop-self를 구성해야 하는 경우가 아니면 Transit Gateway는 iBGP 피어(서드 파티 어플라이언스)에서 경로를 설치하지 않습니다. 서드 파티 어플라이언스가 iBGP 피어링을 통해 제공하는 경로에는 ASN이 있어야 합니다.
+ MP-BGP(BGP용 다중 프로토콜 익스텐션): IPv4 및 IPv6 주소 패밀리와 같은 여러 프로토콜 유형을 지원하는 데 사용됩니다.
+ 기본 BGP 연결 유지 시간제한은 10초이고 기본 대기 타이머는 30초입니다.
+ IPv6 BGP 피어링은 지원되지 않으며 IPv4 기반 BGP 피어링만 지원됩니다. IPv6 접두사는 MP-BGP를 사용하여 IPv4 BGP 피어링을 통해 교환됩니다.
+ BFD(Bidirectional Detection)는 지원되지 않습니다.
+ BGP의 정상적인 재시작이 지원되지 않습니다.
+ Transit Gateway 피어를 생성할 때 피어 ASN 번호를 지정하지 않으면 자동으로 Transit Gateway ASN 번호가 선택됩니다. 즉, 어플라이언스와 Transit Gateway가 iBGP를 수행하는 동일한 자율 시스템 안에 있어야 합니다.
+ 두 개의 Connect 피어가 있는 경우 BGP AS-PATH 특성을 사용하는 Connect 피어가 기본 경로가 됩니다.
여러 어플라이언스 간에서 등가 다중 경로(ECMP) 라우팅을 사용하려면 BGP AS-PATH 속성이 같은 Transit Gateway에 동일한 접두사를 알리도록 어플라이언스를 구성해야 합니다. Transit Gateway가 사용 가능한 모든 ECMP 경로를 선택하려면 AS-PATH 및 Autonomous System Number(ASN)가 일치해야 합니다. Transit Gateway는 동일한 Connect 연결의 Connect 피어 사이 또는 동일한 Transit Gateway의 Connect 연결 사이에서 ECMP를 사용할 수 있습니다. Transit Gateway는 단일 피어가 설정하는 중복 BGP 피어링 사이에 ECMP를 사용할 수 없습니다.
+ Connect 연결을 사용하면 라우팅이 기본적으로 Transit Gateway 라우팅 테이블에 전파됩니다.
+ 정적 경로는 지원되지 않습니다.
+ GRE 헤더(24바이트) 및 외부 IP 헤더(20바이트) 오버헤드를 빼서 외부 인터페이스 MTU보다 작도록 GRE 터널 MTU를 구성합니다. 예를 들어 외부 인터페이스 MTU가 1500바이트인 경우 패킷 조각화를 방지하려면 GRE 터널 MTU를 1456바이트(1500\$124\$120 = 1456)로 설정합니다.
**Topics**
+ [Connect 피어](#tgw-connect-peer)
+ [요구 사항 및 고려 사항](#tgw-connect-requirements)
+ [Connect 연결 생성](create-tgw-connect-attachment.md)
+ [Connect 피어 생성](create-tgw-connect-peer.md)
+ [Connect 연결 및 Connect 피어 보기](view-tgw-connect-attachments.md)
+ [Connect 연결 및 Connect 피어 태그 수정](modify-connect-attachment-tag.md)
+ [Connect 피어 삭제](delete-tgw-connect-peer.md)
+ [Connect 연결을 삭제합니다](delete-tgw-connect-attachment.md)
# AWS Transit Gateway 내 Connect 연결 생성
Connect 연결을 생성하려면 기존 연결을 전송 연결로 지정해야 합니다. VPC 연결 또는 Direct Connect 연결을 전송 연결로 지정할 수 있습니다.
**콘솔을 사용하여 Connect 연결 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. **Transit Gateway Attachment 생성**을 선택합니다.
1. (선택 사항) **이름 태그**에 연결의 이름 태그를 지정합니다.
1. **Transit gateway ID**에서 연결에 사용할 Transit Gateway를 선택합니다.
1. **연결 유형**에서 **Connect**를 선택합니다.
1. **전송 연결 ID**에서 기존 연결(전송 연결)의 ID를 선택합니다.
1. **Transit Gateway Attachment 생성**을 선택합니다.
**AWS CLI을(를) 사용하여 Connect 연결 생성**
[create-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect.html) 명령을 사용합니다.
# AWS Transit Gateway 내 Connect 피어 생성
기존 Connect 연결에 대한 Connect 피어(GRE 터널)를 생성할 수 있습니다. 시작하기 전에 Transit Gateway CIDR 블록을 구성했는지 확인합니다. Transit Gateway를 [생성](create-tgw.md)하거나 [수정](tgw-modifying.md)할 때 Transit Gateway CIDR 블록을 구성할 수 있습니다.
Connect 피어를 생성할 때 Connect 피어의 어플라이언스 측에서 GRE 외부 IP 주소를 지정해야 합니다.
**콘솔을 사용하여 Connect 피어를 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. Connect 연결을 선택하고 **작업**, **Connect 피어 생성**을 선택합니다.
1. (선택 사항) **이름 태그**에 Connect 피어의 이름 태그를 지정합니다.
1. (선택 사항) **Transit Gateway GRE 주소**에 Transit Gateway의 GRE 외부 IP 주소를 지정합니다. 기본적으로 Transit Gateway CIDR 블록에서 사용 가능한 첫 번째 주소가 사용됩니다.
1. **피어 GRE 주소**에 Connect 피어의 어플라이언스 측에 대한 GRE 외부 IP 주소를 지정합니다.
1. **BGP 내부 CIDR 블록 IPv4**에 BGP 피어링에 사용되는 내부 IPv4 주소의 범위를 지정합니다. `169.254.0.0/16` 범위에서 /29 CIDR 블록을 지정합니다.
1. (선택 사항) **BGP 내부 CIDR 블록 IPv6**에 BGP 피어링에 사용되는 내부 IPv6 주소의 범위를 지정합니다. `fd00::/8` 범위에서 /125 CIDR 블록을 지정합니다.
1. (선택 사항) **피어 ASN**에 어플라이언스의 Border Gateway Protocol(BGP) Autonomous System Number(ASN)를 지정합니다. 네트워크에 할당된 기존 ASN을 사용할 수 있습니다. 해당 ASN이 없는 경우에는 64512–65534(16비트 ASN) 또는 4200000000–4294967294(32비트 ASN) 범위의 프라이빗 ASN을 사용할 수 있습니다.
기본값은 Transit Gateway와 동일한 ASN입니다. **피어 ASN**을 Transit Gateway ASN(eBGP)과 다르게 구성하는 경우 TTL(Time-to-Live) 값이 2인 ebgp-multihop을 구성해야 합니다.
1. **Connect 피어 생성**을 선택합니다.
**AWS CLI을(를) 사용하여 Connect 피어 생성**
[create-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html) 명령을 사용합니다.
# AWS Transit Gateway에서 Connect 연결 및 Connect 피어 보기
Connect 연결 및 Connect 피어를 봅니다.
**콘솔을 사용하여 Connect 연결 및 Connect 피어를 보려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. Connect 연결을 선택합니다.
1. 연결의 Connect 피어를 보려면 **Connect 피어** 탭을 선택합니다.
**를 사용하여 Connect 연결 및 Connect 피어를 보려면 AWS CLI**
[describe-transit-gateway-connects](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connects.html) 및 [describe-transit-gateway-connect-peers](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html) 명령을 사용합니다.
# AWS Transit Gateway에서 Connect 연결 및 Connect 피어 태그 수정
Connect 연결의 태그를 수정할 수 있습니다.
**콘솔을 사용하여 Connect 연결 태그 수정**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. Connect 연결을 선택한 다음 **작업**, **태그 관리**를 선택합니다.
1. 태그를 추가하려면 **새 태그 추가**를 선택하고 키 이름 및 키 값을 지정합니다.
1. 태그를 제거하려면 **제거**를 선택합니다.
1. **저장**을 선택합니다.
Connect 피어의 태그를 수정할 수 있습니다.
**콘솔을 사용하여 Connect 피어 태그를 수정하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. Connect 연결을 선택한 다음 **Connect 피어**를 선택합니다.
1. Connect 피어를 선택한 다음 **작업**, **태그 관리**를 선택합니다.
1. 태그를 추가하려면 **새 태그 추가**를 선택하고 키 이름 및 키 값을 지정합니다.
1. 태그를 제거하려면 **제거**를 선택합니다.
1. **저장**을 선택합니다.
**를 사용하여 Connect 연결 및 Connect 피어 태그를 수정하려면 AWS CLI**
[create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) 및 [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) 명령을 사용합니다.
# AWS Transit Gateway 내 Connect 피어 삭제
Connect 피어가 더 이상 필요하지 않으면 삭제할 수 있습니다.
**콘솔을 사용하여 Connect 피어를 삭제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. Connect 연결을 선택합니다.
1. **Connect 피어** 탭에서 Connect 피어를 선택하고 **작업**, **Connect 피어 삭제**를 선택합니다.
**AWS CLI을(를) 사용하여 Connect peer 삭제**
[delete-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html) 명령을 사용합니다.
# AWS Transit Gateway 내 Connect 연결 삭제
Connect 연결이 더 이상 필요하지 않으면 삭제할 수 있습니다. 먼저 연결의 Connect 피어를 삭제해야 합니다.
**콘솔을 사용하여 Connect 연결 삭제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway Attachment**를 선택합니다.
1. Connect 연결을 선택한 다음 **작업**, **Transit Gateway Attachment 삭제**를 선택합니다.
1. **delete**를 입력한 다음 **삭제**를 선택합니다.
**AWS CLI를 사용하여 Connect 연결 삭제**
[delete-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect.html) 명령을 사용합니다.
# Transit Gateway의 AWS 전송 게이트웨이 라우팅 테이블
Transit Gateway 라우팅 테이블을 사용하여 Transit Gateway Attachment의 라우팅을 구성합니다. 라우팅 테이블은 네트워크 트래픽이 VPC와 VPN 간에 라우팅되는 방법을 지시하는 규칙이 포함된 테이블입니다. 테이블의 각 경로에는 트래픽을 전송하려는 대상의 IP 주소 범위가 포함되어 있습니다.
Transit Gateway 라우팅 테이블에서는 Transit Gateway Attachment를 연결할 수 있습니다. VPC, VPN, VPN Concentrator, Direct Connect 게이트웨이, 피어링 및 Connect 연결은 모두 지원됩니다. 연결된 경우 이러한 연결에 대한 경로는 연결에서 대상 Transit Gateway 라우팅 테이블로 전파됩니다. 연결은 여러 라우팅 테이블에 전파될 수 있습니다.
또한 라우팅 테이블을 사용하여 정적 경로를 생성하고 관리할 수 있습니다. 예를 들어 동적 경로에 영향을 미치는 네트워크 중단이 발생할 경우 백업 경로로 사용되는 정적 경로가 있을 수도 있습니다.
**Topics**
+ [Transit Gateway 라우팅 테이블 생성](create-tgw-route-table.md)
+ [Transit Gateway 라우팅 테이블 보기](view-tgw-route-tables.md)
+ [Transit Gateway 라우팅 테이블 연결](associate-tgw-route-table.md)
+ [Transit Gateway 라우팅 테이블 연결 해제](disassociate-tgw-route-table.md)
+ [경로 전파 활성화](enable-tgw-route-propagation.md)
+ [경로 전파 비활성화](disable-tgw-route-propagation.md)
+ [정적 경로 생성](tgw-create-static-route.md)
+ [정적 경로 삭제](tgw-delete-static-route.md)
+ [정적 경로 바꾸기](tgw-replace-static-route.md)
+ [Amazon S3에 라우팅 테이블 내보내기](tgw-export-route-tables.md)
+ [Transit Gateway 라우팅 테이블 삭제](delete-tgw-route-table.md)
+ [접두사 목록 참조 생성](create-prefix-list-reference.md)
+ [접두사 목록 참조 수정](modify-prefix-list-reference.md)
+ [접두사 목록 참조 삭제](delete-prefix-list-reference.md)
# Transit Gateway에서 AWS Transit Gateway 라우팅 테이블 생성
**콘솔을 사용하여 Transit Gateway 라우팅 테이블 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. **Transit Gateway 라우팅 테이블 생성**을 선택합니다.
1. (선택 사항) **이름 태그**에 Transit Gateway 라우팅 테이블의 이름을 입력합니다. 태그 키 ‘이름’이 있는 태그가 생성됩니다. 여기서 태그 값은 지정한 이름입니다.
1. **Transit Gateway ID**에서 라우팅 테이블에 대한 Transit Gateway를 선택합니다.
1. **Transit Gateway 라우팅 테이블 생성**을 선택합니다.
**AWS CLI을(를) 사용하여 Transit Gateway 라우팅 테이블 생성**
[create-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route-table.html) 명령을 사용합니다.
# Transit Gateway를 사용하여 AWS 전송 게이트웨이 라우팅 테이블 보기
**콘솔을 사용하여 Transit Gateway 라우팅 테이블 보기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. (선택 사항) 특정 라우팅 테이블 또는 테이블 집합을 찾으려면 필터 필드에 이름, 키워드 또는 속성의 전체 또는 일부를 입력합니다.
1. 라우팅 테이블의 확인란을 선택하거나 ID를 선택하여 해당 연결, 전달, 경로 및 태그에 대한 정보를 표시합니다.
**를 사용하여 전송 게이트웨이 라우팅 테이블을 보려면 AWS CLI**
[describe-transit-gateway-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-route-tables.html) 명령을 사용합니다.
**를 사용하여 전송 게이트웨이 라우팅 테이블의 경로를 보려면 AWS CLI**
[search-transit-gateway-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-routes.html) 명령을 사용합니다.
**를 사용하여 전송 게이트웨이 라우팅 테이블의 라우팅 전파를 보려면 AWS CLI**
[get-transit-gateway-route-table-propagations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-propagations.html) 명령을 사용합니다.
**를 사용하여 전송 게이트웨이 라우팅 테이블의 연결을 보려면 AWS CLI**
[get-transit-gateway-route-table-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-associations.html) 명령을 사용합니다.
# Transit Gateway에서 AWS Transit Gateway 라우팅 테이블 연결
Transit Gateway 라우팅 테이블에 Transit Gateway Attachment를 연결할 수 있습니다.
**콘솔을 사용하여 Transit Gateway 라우팅 테이블 연결**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 라우팅 테이블을 선택합니다.
1. 페이지의 하단에서 **연결** 탭을 선택합니다.
1. **연결 생성**을 선택합니다.
1. 원하는 연결을 선택하고 **연결 생성**을 선택합니다.
**AWS CLI를 사용하여 Transit Gateway 라우팅 테이블 연결**
[associate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-route-table.html) 명령을 사용합니다.
# AWS Transit Gateway에서 전송 게이트웨이 라우팅 테이블에 대한 연결 삭제
Transit Gateway Attachment와 Transit Gateway 라우팅 테이블의 연결을 해제할 수 있습니다.
**콘솔을 사용하여 Transit Gateway 라우팅 테이블의 연결 해제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 라우팅 테이블을 선택합니다.
1. 페이지의 하단에서 **연결** 탭을 선택합니다.
1. 해제할 연결을 선택하고 **연결 삭제**를 선택합니다.
1. 확인 메시지가 나타나면 **연결 삭제**를 선택합니다.
**를 사용하여 전송 게이트웨이 라우팅 테이블의 연결을 해제하려면 AWS CLI**
[disassociate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-route-table.html) 명령을 사용합니다.
# AWS Transit Gateway의 전송 게이트웨이 라우팅 테이블에 대한 라우팅 전파 활성화
경로 전파를 사용하여 연결의 경로를 라우팅 테이블에 추가합니다.
**Transit Gateway Attachment 라우팅 테이블에 경로 전파**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 전파를 생성할 라우팅 테이블을 선택합니다.
1. **작업**, **전파 생성**을 선택합니다.
1. **전파 생성** 페이지에서 연결을 선택합니다.
1. **전파 생성**을 선택합니다.
**를 사용하여 라우팅 전파를 활성화하려면 AWS CLI**
[enable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-propagation.html) 명령을 사용합니다.
# AWS Transit Gateway 내 경로 전파 비활성화
라우팅 테이블 연결에서 전파 경로를 제거합니다.
**콘솔을 사용하여 경로 전파 비활성화**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 전파를 삭제할 라우팅 테이블을 선택합니다.
1. 페이지의 하단에서 **전파** 탭을 선택합니다.
1. 연결을 선택한 다음 **전파 삭제**를 선택합니다.
1. 확인 메시지가 나타나면 **전파 삭제**를 선택합니다.
**AWS CLI를 사용하여 경로 전파 비활성화**
[disable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-transit-gateway-route-table-propagation.html) 명령을 사용합니다.
# AWS Transit Gateway 내 정적 경로 생성
VPC, VPN 또는 Transit Gateway 피어링 연결에 대한 정적 경로를 생성하거나 해당 경로와 일치하는 트래픽을 삭제하는 블랙홀 경로를 생성합니다.
VPN 연결을 대상으로 하는 Transit Gateway 라우팅 테이블의 정적 경로는 Site-to-Site VPN을 기준으로 필터링되지 않습니다. 이렇게 하면 BGP-기반 VPN을 사용할 때 의도하지 않은 아웃바운드 트래픽 흐름이 허용될 수 있습니다.
**콘솔을 사용하여 정적 경로 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 경로를 생성할 라우팅 테이블을 선택합니다.
1. **작업**, **정적 경로 생성**을 선택합니다.
1. **정적 경로 생성** 페이지에 라우팅을 생성할 CIDR 블록을 입력한 다음 **활성**을 선택합니다.
1. 경로에 대한 연결을 선택합니다.
1. **정적 경로 생성**을 선택합니다.
**콘솔을 사용하여 블랙홀 경로 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 경로를 생성할 라우팅 테이블을 선택합니다.
1. **Actions**, **정적 경로 생성**을 선택합니다.
1. **정적 경로 생성** 페이지에 라우팅을 생성할 CIDR 블록을 입력한 다음 **블랙홀**을 선택합니다.
1. **정적 경로 생성**을 선택합니다.
**AWS CLI를 사용하여 정적 경로 또는 블랙홀 경로를 생성하려면**
[create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html) 명령을 사용합니다.
# AWS Transit Gateway 내 정적 경로 삭제
Transit Gateway 라우팅 테이블에서 정적 경로를 삭제합니다.
**콘솔을 사용하여 정적 경로 삭제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 경로를 삭제할 라우팅 테이블을 선택하고 **경로**를 선택합니다.
1. 삭제할 경로를 선택합니다.
1. **정적 경로 삭제**를 선택합니다.
1. 확인 상자에서 **정적 경로 삭제**를 선택합니다.
**AWS CLI를 사용하여 정적 경로를 삭제하려면**
[delete-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route.html) 명령을 사용합니다.
# AWS Transit Gateway 내 정적 경로 교체
Transit Gateway 라우팅 테이블의 정적 경로를 다른 고정 경로로 바꿉니다.
**콘솔을 사용하여 정적 경로 바꾸기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 라우팅 테이블에서 교체하려는 경로를 선택합니다.
1. 세부 정보 섹션에서 **라우팅** 탭을 선택합니다.
1. **작업**, **정적 경로 바꾸기**를 선택합니다.
1. **유형**에서 **활성** 또는 **블랙홀**을 선택합니다.
1. **연결 선택** 드롭다운에서 라우팅 테이블의 현재 게이트웨이를 대체할 Transit Gateway를 선택합니다.
1. **정적 경로 바꾸기**를 선택합니다.
**AWS CLI을 사용하여 정적 경로 바꾸기**
[replace-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-transit-gateway-route.html) 명령을 사용합니다.
# AWS Transit Gateway 내 Amazon S3로 라우팅 테이블 내보내기
Transit Gateway 라우팅 테이블의 라우팅을 Amazon S3 버킷으로 내보낼 수 있습니다. 라우팅은 JSON 파일의 지정된 Amazon S3 버킷에 저장됩니다.
**콘솔을 사용하여 Transit Gateway 라우팅 테이블 내보내기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 내보낼 경로가 포함된 라우팅 테이블을 선택합니다.
1. **작업**, **경로 내보내기**를 선택합니다.
1. **경로 내보내기** 페이지에서 **S3 버킷 이름**에 대해 S3 버킷의 이름을 입력합니다.
1. 내보낸 경로를 필터링하려면 페이지의 **필터** 섹션에서 필터 파라미터를 지정합니다.
1. **경로 내보내기**를 선택합니다.
내보낸 경로에 액세스하려면 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 열고 지정한 버킷으로 이동합니다. 파일 이름에는 AWS 계정 ID, AWS 리전, 라우팅 테이블 ID 및 타임스탬프가 포함됩니다. 파일을 선택하고 **다운로드**를 선택합니다. 다음은 VPC 연결에 대한 두 개의 전파 경로 정보를 포함한 JSON 파일의 예입니다.
```
{
"filter": [
{
"name": "route-search.subnet-of-match",
"values": [
"0.0.0.0/0",
"::/0"
]
}
],
"routes": [
{
"destinationCidrBlock": "10.0.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-0123456abcd123456",
"transitGatewayAttachmentId": "tgw-attach-1122334455aabbcc1",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
},
{
"destinationCidrBlock": "10.2.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-abcabc123123abca",
"transitGatewayAttachmentId": "tgw-attach-6677889900aabbcc7",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
}
]
}
```
# Transit Gateway에서 AWS Transit Gateway 라우팅 테이블 삭제
**콘솔을 사용하여 Transit Gateway 라우팅 테이블 삭제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. 삭제할 라우팅 테이블을 선택합니다.
1. **작업**, **Transit Gateway 라우팅 테이블 삭제**를 선택합니다.
1. **delete**를 입력하고 **삭제**를 선택하여 삭제를 확인합니다.
**AWS CLI를 사용하여 Transit Gateway 라우팅 테이블 삭제**
[delete-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route-table.html) 명령을 사용합니다.
# AWS Transit Gateway에서 라우팅 테이블 접두사 목록 참조를 생성하세요.
Transit Gateway 라우팅 테이블에서 접두사 목록을 참조할 수 있습니다. 접두사 목록은 사용자가 정의하고 관리하는 하나 이상의 CIDR 블록 항목 세트입니다. 접두사 목록을 사용하면 리소스에서 네트워크 트래픽을 라우팅하기 위해 참조하는 IP 주소의 관리를 간소화할 수 있습니다. 예를 들어 여러 Transit Gateway 라우팅 테이블에서 동일한 대상 CIDR을 자주 지정하는 경우 각 라우팅 테이블에서 동일한 CIDR을 반복해서 참조하는 대신 단일 접두사 목록에서 이러한 CIDR을 관리할 수 있습니다. 대상 CIDR 블록을 제거해야 하는 경우 영향을 받는 모든 라우팅 테이블에서 경로를 제거하는 대신 접두사 목록에서 해당 항목을 제거할 수 있습니다.
Transit Gateway 라우팅 테이블에서 접두사 목록 참조를 생성하면 접두사 목록의 각 항목이 Transit Gateway 라우팅 테이블에 경로로 표시됩니다.
접두사 목록에 대한 자세한 내용을 알아보려면 Amazon VPC 사용 설명서**의 [접두사 목록](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)을 참조하세요.
**콘솔을 사용하여 접두사 목록 참조를 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. Transit Gateway 라우팅 테이블을 선택합니다.
1. **작업**, **접두사 목록 참조 생성**을 선택합니다.
1. **접두사 목록 ID**에서 접두사 목록의 ID를 선택합니다.
1. **유형**에서 이 접두사 목록에 대한 트래픽을 허용(**활성**)할지, 아니면 삭제(**블랙홀**)할지를 선택합니다.
1. **Transit Gateway Attachment ID**에서 트래픽을 라우팅할 연결의 ID를 선택합니다.
1. **접두사 목록 참조 생성**을 선택합니다.
**AWS CLI를 사용하여 접두사 목록 참조 생성**
[create-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-prefix-list-reference.html) 명령을 사용합니다.
# AWS Transit Gateway 내 접두사 목록 참조 수정
트래픽이 라우팅되는 연결을 변경하거나 해당 경로와 일치하는 트래픽을 삭제할지 여부를 지정하여 접두사 목록 참조를 수정할 수 있습니다.
**경로** 탭에서는 접두사 목록의 개별 경로를 수정할 수 없습니다. 접두사 목록의 항목을 수정하려면 **관리형 접두사 목록** 화면을 사용합니다. 자세한 내용을 알아보려면 Amazon VPC 사용 설명서**의 [접두사 목록 수정](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#modify-managed-prefix-list)을 참조하세요.
**콘솔을 사용하여 접두사 목록 참조 수정**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. Transit Gateway 라우팅 테이블을 선택합니다.
1. 아래쪽 창에서 **접두사 목록 참조**를 선택합니다.
1. 접두사 목록 참조를 선택하고 **참조 수정**를 선택합니다.
1. **유형**에서 이 접두사 목록에 대한 트래픽을 허용(**활성**)할지, 아니면 삭제(**블랙홀**)할지를 선택합니다.
1. **Transit Gateway Attachment ID**에 대해 트래픽을 라우팅할 연결의 ID를 선택하세요.
1. **접두사 목록 참조 수정**을 선택합니다.
**AWS CLI를 사용하여 접두사 목록 참조 수정**
[modify-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-prefix-list-reference.html) 명령을 사용합니다.
# AWS Transit Gateway 내 접두사 목록 참조 삭제
접두사 목록 참조가 더 이상 필요하지 않은 경우 Transit Gateway 라우팅 테이블에서 삭제할 수 있습니다. 참조를 삭제해도 접두사 목록은 삭제되지 않습니다.
**콘솔을 사용하여 접두사 목록 참조를 삭제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 라우팅 테이블**을 선택합니다.
1. Transit Gateway 라우팅 테이블을 선택합니다.
1. 접두사 목록 참조를 선택하고 **참조 삭제**를 선택합니다.
1. **참조 삭제**를 선택합니다.
**AWS CLI를 사용하여 접두사 목록 참조 수정**
[delete-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-prefix-list-reference.html) 명령을 사용합니다.
# AWS Transit Gateway 내 Transit Gateway 정책 테이블
Transit Gateway 동적 라우팅은 정책 테이블을 사용하여 AWS Cloud WAN에 대한 네트워크 트래픽을 라우팅합니다. 테이블에는 정책 속성별로 네트워크 트래픽을 일치시키는 정책 규칙이 포함되어 있으며 규칙과 일치하는 트래픽을 대상 라우팅 테이블에 매핑합니다.
Transit Gateway에 대한 동적 라우팅을 사용하여 피어링된 Transit Gateway 유형과 라우팅 및 연결 가능성 정보를 자동으로 교환할 수 있습니다. 정적 경로와 달리 트래픽은 경로 장애 또는 정체와 같은 네트워크 조건에 따라 다른 경로를 따라 라우팅될 수 있습니다. 또한 동적 라우팅은 네트워크 침해 또는 침입이 발생한 경우 트래픽을 더 쉽게 재라우팅한다는 점에서 추가적인 보안 계층을 추가합니다.
**참고**
Transit Gateway 정책 테이블은 현재 Transit Gateway 피어링 연결을 생성할 때 Cloud WAN에서만 지원됩니다. 피어링 연결을 생성할 때 이 연결과 해당 테이블을 연결할 수 있습니다. 그러면 이 연결이 정책 규칙으로 테이블을 자동으로 채웁니다.
Cloud WAN에서 피어링 연결에 대한 자세한 정보는 *AWS Cloud WAN 사용 설명서*의 [피어링](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-peerings.html)을 참조하세요.
**Topics**
+ [Transit Gateway 정책 테이블 생성](tgw-policy-tables-create.md)
+ [Transit Gateway 정책 테이블 삭제](tgw-policy-tables-disable.md)
# Transit Gateway에서 AWS 전송 게이트웨이 정책 테이블 생성
**콘솔을 사용하여 Transit Gateway 정책 테이블 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 정책 테이블**을 선택합니다.
1. **Transit Gateway 정책 테이블 생성**을 선택합니다.
1. (선택 사항) **이름 태그**에 Transit Gateway 정책 테이블의 이름을 입력합니다. 그러면 태그 값이 지정한 이름인 태그가 생성됩니다.
1. Transit Gateway ID에서 정책 테이블에 대한 Transit Gateway를 선택합니다.
1. **Transit Gateway 정책 테이블 생성**을 선택합니다.
**를 사용하여 전송 게이트웨이 정책 테이블을 생성하려면 AWS CLI**
[create-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-policy-table.html) 명령을 사용합니다.
# Transit Gateway에서 AWS 전송 게이트웨이 정책 테이블 삭제
Transit Gateway 정책 테이블을 삭제합니다. 테이블이 삭제되면 해당 테이블 내의 모든 정책 규칙이 삭제됩니다.
**콘솔을 사용하여 Transit Gateway 정책 테이블 삭제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 정책 테이블**을 선택합니다.
1. 삭제할 Transit Gateway 정책 테이블을 선택합니다.
1. **작업**을 선택한 후 **정책 테이블 삭제**를 선택합니다.
1. 테이블을 삭제하려 한다는 것을 확인합니다.
**를 사용하여 전송 게이트웨이 정책 테이블을 삭제하려면 AWS CLI**
[delete-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-policy-table.html) 명령을 사용합니다.
# AWS Transit Gateway의 멀티캐스트
멀티캐스트는 데이터의 단일 스트림을 여러 수신 컴퓨터에 동시에 전달하는 데 사용되는 통신 프로토콜입니다. Transit Gateway는 연결된 VPC의 서브넷 간에 멀티캐스트 트래픽 라우팅을 지원하며 여러 수신 인스턴스로 향하는 트래픽을 보내는 인스턴스에 대한 멀티캐스트 라우터 역할을 합니다.
**Topics**
+ [멀티캐스트 개념](#concepts)
+ [고려 사항](#limits)
+ [멀티캐스트 라우팅](#how-multicast-works)
+ [멀티캐스트 도메인 수](multicast-domains-about.md)
+ [공유 멀티캐스트 도메인](multicast-share-domain.md)
+ [멀티캐스트 그룹에 소스 등록](add-source-multicast-group.md)
+ [멀티캐스트 그룹에 멤버 등록](add-members-multicast-group.md)
+ [멀티캐스트 그룹에서 소스 등록 취소](remove-source-multicast-group.md)
+ [멀티캐스트 그룹에서 멤버 등록 취소](remove-members-multicast-group.md)
+ [멀티캐스트 그룹 보기](view-multicast-group.md)
+ [Windows Server용 멀티캐스트 설정](multicastwin.md)
+ [예: IGMP 구성 관리](multicast-configurations-igmp.md)
+ [예: 정적 소스 구성 관리](multicast-configurations-no-igmp.md)
+ [예: 정적 그룹 멤버 구성 관리](multicast-configurations-no-igmp-source.md)
## 멀티캐스트 개념
다음은 멀티캐스트의 핵심 개념입니다.
+ **멀티캐스트 도메인** — 멀티캐스트 네트워크를 여러 도메인으로 분할할 수 있으며 Transit Gateway를 여러 멀티캐스트 라우터로 사용할 수 있습니다. 서브넷 수준에서 멀티캐스트 도메인 멤버십을 정의합니다.
+ **멀티캐스트 그룹** — 동일한 멀티캐스트 트래픽을 보내고 받을 호스트 집합을 식별합니다. 멀티캐스트 그룹은 그룹 IP 주소로 식별됩니다. 멀티캐스트 그룹 멤버십은 EC2 인스턴스에 연결된 개별 탄력적 네트워크 인터페이스에 의해 정의됩니다.
+ **인터넷 그룹 관리 프로토콜(IGMP)** - 호스트와 라우터가 멀티캐스트 그룹 멤버십을 동적으로 관리할 수 있도록 하는 인터넷 프로토콜입니다. IGMP 멀티캐스트 도메인에는 IGMP 프로토콜을 사용하여 메시지를 조인, 종료 및 보내는 호스트가 포함됩니다. AWS는 IGMPv2 프로토콜과 IGMP 및 정적(API 기반) 그룹 멤버십 멀티캐스트 도메인을 모두 지원합니다.
+ **멀티캐스트 소스** — 멀티캐스트 트래픽을 전송하도록 정적으로 구성된 지원되는 EC2 인스턴스와 연결된 탄력적 네트워크 인터페이스입니다. 멀티캐스트 소스는 정적 소스 구성에만 적용됩니다.
정적 소스 멀티캐스트 도메인에는 메시지의 가입, 종료 및 전송을 처리하는 데 IGMP 프로토콜을 사용하지 않는 호스트가 포함됩니다. AWS CLI를 사용하여 소스 및 그룹 멤버를 추가합니다. 정적으로 추가된 소스는 멀티캐스트 트래픽을 전송하고 멤버는 멀티캐스트 트래픽을 수신합니다.
+ **멀티캐스트 그룹 멤버** — 멀티캐스트 트래픽을 수신하는, 지원되는 EC2 인스턴스와 연결된 탄력적 네트워크 인터페이스입니다. 멀티캐스트 그룹에는 여러 그룹 멤버가 있습니다. 정적 소스 그룹 멤버십 구성에서 멀티캐스트 그룹 멤버는 트래픽을 수신할 수만 있습니다. IGMP 그룹 구성에서 멤버는 트래픽을 보내고 받을 수 있습니다.
## 고려 사항
+ Transit Gateway 멀티캐스트는 고빈도 거래 또는 성능에 민감한 애플리케이션에 적합하지 않을 수 있습니다. 제한 사항에 대한 [멀티캐스트 할당량](transit-gateway-quotas.md#multicast-quotas)을 검토해 보실 것을 강력히 권장합니다. 성능 요구 사항에 대한 상세 검토를 위해 귀하의 계정 또는 솔루션 아키텍트 팀에 문의하세요.
+ 지원되는 리전에 대한 자세한 내용은 [AWS Transit Gateway FAQ](https://aws.amazon.com/transit-gateway/faqs/)를 참조하세요.
+ 멀티캐스트를 지원하려면 새 Transit Gateway를 생성해야 합니다.
+ 멀티캐스트 그룹 멤버십은 Amazon Virtual Private Cloud Console 또는 AWS CLI 또는 IGMP를 사용하여 관리합니다.
+ 서브넷은 하나의 멀티캐스트 도메인에만 있을 수 있습니다.
+ Nitro 인스턴스가 아닌 인스턴스를 사용하는 경우 **소스/대상** 확인을 비활성화해야 합니다. 확인 비활성화에 대한 자세한 내용은 *Amazon EC2 사용 설명서*의 [소스 또는 대상 확인 변경](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check)을 참조하세요.
+ Nitro 인스턴스가 아닌 인스턴스는 멀티캐스트 발신자가 될 수 없습니다.
+ 멀티캐스트 라우팅은 Direct Connect, Site-to-Site VPN, 피어링 연결 또는 Transit Gateway Connect 연결에는 지원되지 않습니다.
+ Transit Gateway는 멀티캐스트 패킷의 조각화를 지원하지 않습니다. 조각화된 멀티캐스트 패킷은 삭제됩니다. 자세한 내용은 [최대 전송 단위(MTU)](transit-gateway-quotas.md#mtu-quotas) 단원을 참조하세요.
+ 시작할 때 IGMP 호스트는 멀티캐스트 그룹에 가입하기 위해 IGMP JOIN 메시지를 여러 번 보냅니다(일반적으로 2\$13회 재시도). 가능성은 낮지만 모든 IGMP JOIN 메시지가 손실되는 경우 호스트는 Transit Gateway 멀티캐스트 그룹의 멤버가 되지 않습니다. 이러한 시나리오에서는 애플리케이션별 방법을 사용하여 호스트에서 IGMP JOIN 메시지를 다시 트리거해야 합니다.
+ 그룹 멤버십은 Transit Gateway에 의한 IGMPv2 JOIN 메시지 수신으로 시작되어 IGMPv2 LEAVE 메시지의 수신으로 종료됩니다. Transit Gateway는 그룹에 성공적으로 조인한 호스트를 추적합니다. 클라우드 멀티캐스트 라우터로서 Transit Gateway는 2분마다 IGMPv2 QUERY 메시지를 모든 멤버에게 보냅니다. 각 멤버는 응답으로 IGMPv2 JOIN 메시지를 전송하고, 이 메시지는 멤버가 해당 멤버십을 갱신하는 방법을 나타냅니다. 멤버가 연속 세 번 쿼리에 응답하지 못하면 Transit Gateway가 조인된 모든 그룹에서 이 멤버십을 제거합니다. 그러나 쿼리할 목록에서 멤버를 영구적으로 제거하기 전에 12시간 동안 이 멤버에게 쿼리를 계속 보냅니다. 명시적 IGMPv2 LEAVE 메시지는 이후의 모든 멀티캐스트 처리에서 호스트를 즉시 영구적으로 제거합니다.
+ Transit Gateway는 그룹에 성공적으로 조인한 호스트를 추적합니다. Transit Gateway는 중단이 발생한 경우 IGMP JOIN 메시지가 마지막으로 성공한 시점부터 7분(420초) 동안 호스트로 멀티캐스트 데이터를 보냅니다. Transit Gateway는 최대 12시간 동안 또는 호스트에서 IGMP LEAVE 메시지를 받을 때까지 호스트에 멤버십 쿼리를 계속 보냅니다.
+ Transit Gateway는 멀티캐스트 그룹 멤버십을 추적할 수 있도록 모든 IGMP 멤버에게 멤버십 쿼리 패킷을 보냅니다. 이러한 IGMP 쿼리 패킷의 소스 IP는 0.0.0.0/32이고 대상 IP는 224.0.0.1/32이며 프로토콜은 2입니다. IGMP 호스트(인스턴스)의 보안 그룹 구성과 호스트 서브넷의 모든 ACL 구성은 이러한 IGMP 프로토콜 메시지를 허용해야 합니다.
+ 멀티캐스트 소스와 대상이 동일한 VPC에 있는 경우 보안 그룹 참조를 사용하여 소스 보안 그룹의 트래픽을 허용하도록 대상 보안 그룹을 설정할 수 없습니다.
+ 정적 멀티캐스트 그룹 및 소스의 경우 AWS Transit Gateway는 더 이상 존재하지 않는 ENI의 정적 그룹과 소스를 자동으로 제거합니다. 이는 정기적으로 [Transit Gateway 서비스 연결 역할](service-linked-roles.md#tgw-service-linked-roles)을 맡아 계정의 ENI를 설명함으로써 수행됩니다.
+ 정적 멀티캐스트만 IPv6를 지원합니다. 동적 멀티캐스트는 그렇지 않습니다.
## 멀티캐스트 라우팅
Transit Gateway에서 멀티캐스트를 활성화하면 Transit Gateway는 멀티캐스트 라우터 역할을 합니다. 서브넷을 멀티캐스트 도메인에 추가하면 해당 멀티캐스트 도메인과 연결된 Transit Gateway로 모든 멀티캐스트 트래픽을 보냅니다.
### 네트워크 ACL
네트워크 ACL 규칙은 서브넷 수준에서 작동합니다. Transit Gateway는 서브넷 외부에 있기 때문에 이는 멀티캐스트 트래픽에 적용됩니다. 자세한 내용을 알아보려면 Amazon VPC 사용 설명서**의 [네트워크 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)을 참조하세요.
인터넷 그룹 관리 프로토콜(IGMP) 멀티캐스트 트래픽의 경우 다음과 같은 최소 인바운드 규칙이 있습니다. 원격 호스트는 멀티캐스트 트래픽을 보내는 호스트입니다.
| 유형 | 프로토콜 | 소스 | 설명 |
| --- | --- | --- | --- |
| 사용자 지정 프로토콜 | IGMP(2) | 0.0.0.0/32 | IGMP 쿼리 |
| 사용자 지정 UDP 프로토콜 | UDP | 원격 호스트 IP 주소 | 인바운드 멀티캐스트 트래픽 |
다음은 IGMP용 최소 아웃바운드 규칙입니다.
| 유형 | 프로토콜 | 대상 주소 | 설명 |
| --- | --- | --- | --- |
| 사용자 지정 프로토콜 | IGMP(2) | 224.0.0.2/32 | IGMP 나가기 |
| 사용자 지정 프로토콜 | IGMP(2) | 멀티캐스트 그룹 IP 주소 | IGMP 가입 |
| 사용자 지정 UDP 프로토콜 | UDP | 멀티캐스트 그룹 IP 주소 | 아웃바운드 멀티캐스트 트래픽 |
### 보안 그룹
보안 그룹 규칙은 인스턴스 수준에서 작동합니다. 인바운드 및 아웃바운드 멀티캐스트 트래픽 모두에 적용할 수 있습니다. 이 동작은 유니캐스트 트래픽과 동일합니다. 모든 그룹 멤버 인스턴스에 대해 그룹 소스로부터의 인바운드 트래픽을 허용해야 합니다. 자세한 내용을 알아보려면 Amazon VPC 사용 설명서**의 [보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)을 참조하세요.
IGMP 멀티캐스트 트래픽의 경우 최소한 다음과 같은 인바운드 규칙이 있어야 합니다. 원격 호스트는 멀티캐스트 트래픽을 보내는 호스트입니다. 보안 그룹을 UDP 인바운드 규칙의 소스로 지정할 수 없습니다.
| 유형 | 프로토콜 | 소스 | 설명 |
| --- | --- | --- | --- |
| 사용자 지정 프로토콜 | 2 | 0.0.0.0/32 | IGMP 쿼리 |
| 사용자 지정 UDP 프로토콜 | UDP | 원격 호스트 IP 주소 | 인바운드 멀티캐스트 트래픽 |
IGMP 멀티캐스트 트래픽의 경우 최소한 다음과 같은 아웃바운드 규칙이 있어야 합니다.
| 유형 | 프로토콜 | 대상 주소 | 설명 |
| --- | --- | --- | --- |
| 사용자 지정 프로토콜 | 2 | 224.0.0.2/32 | IGMP 나가기 |
| 사용자 지정 프로토콜 | 2 | 멀티캐스트 그룹 IP 주소 | IGMP 가입 |
| 사용자 지정 UDP 프로토콜 | UDP | 멀티캐스트 그룹 IP 주소 | 아웃바운드 멀티캐스트 트래픽 |
# AWS Transit Gateway의 멀티캐스트 도메인
멀티캐스트 도메인에서는 멀티캐스트 네트워크를 서로 다른 여러 도메인으로 분할할 수 있습니다. Transit Gateway와 함께 멀티캐스트를 사용하려면 멀티캐스트 도메인을 생성한 다음 서브넷을 도메인에 연결합니다.
## 멀티캐스트 도메인 속성
다음 표에 멀티캐스트 도메인 속성에 대해 자세히 설명되어 있습니다. 두 가지 속성을 동시에 사용할 수 없습니다.
| 속성 | 설명 |
| --- | --- |
| Igmpv2Support (AWS CLI) **IGMPv2 지원**(콘솔) | 이 속성은 그룹 멤버가 멀티캐스트 그룹에 조인하거나 나가는 방법을 결정합니다. 이 속성을 사용하지 않도록 설정한 경우 도메인에 수동으로 그룹 멤버를 추가해야 합니다. 하나 이상의 멤버가 IGMP 프로토콜을 사용하면 이 속성을 사용하도록 설정합니다. 멤버는 다음 방법 중 하나로 멀티캐스트 그룹에 조인합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/multicast-domains-about.html) 멀티캐스트 그룹 멤버를 등록한 경우 멤버 등록 취소도 직접 해야 합니다. Transit Gateway는 수동으로 추가된 그룹 멤버가 보낸 IGMP `LEAVE` 메시지를 무시합니다. |
| StaticSourcesSupport (AWS CLI) **정정 소스 지원**(콘솔) | 이 속성은 그룹에 대한 정적 멀티캐스트 소스가 있는지 여부를 결정합니다. 이 속성이 사용하도록 설정되어 있으면 [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html)를 사용하여 멀티캐스트 도메인에 대한 소스를 추가해야 합니다. 멀티캐스트 소스만 멀티캐스트 트래픽을 보낼 수 있습니다. 이 속성이 사용하도록 설정되어 있지 않으면 지정된 멀티캐스트 소스가 없습니다. 멀티캐스트 도메인과 연결된 서브넷에 있는 모든 인스턴스는 멀티캐스트 트래픽을 보낼 수 있으며 그룹 멤버는 멀티캐스트 트래픽을 받을 수 있습니다. |
# AWS Transit Gateway에서 IGMP 멀티캐스트 도메인 생성
아직 수행하지 않은 경우 사용 가능한 멀티캐스트 도메인 속성을 검토합니다. 자세한 내용은 [AWS Transit Gateway의 멀티캐스트 도메인](multicast-domains-about.md) 단원을 참조하십시오.
**콘솔을 사용하여 IGMP 멀티캐스트 도메인 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. **Transit Gateway 멀티캐스트 도메인 생성**을 선택합니다.
1. **이름 태그**에 서브넷의 이름을 입력합니다.
1. **Transit gateway ID**에서 멀티캐스트 트래픽을 처리하는 Transit Gateway를 선택합니다.
1. **IGMPv2 지원**의 경우 확인란을 선택합니다.
1. **정적 소스 지원**의 경우 확인란을 선택 취소합니다.
1. 이 멀티캐스트 도메인에 대한 교차 계정 서브넷 연결을 자동으로 수락하려면 **공유 연결 자동 수락**을 선택합니다.
1. **Transit Gateway 멀티캐스트 도메인 생성**을 선택합니다.
**를 사용하여 IGMP 멀티캐스트 도메인을 생성하려면 AWS CLI**
[create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html) 명령을 사용합니다.
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=disable,Igmpv2Support=enable
```
# AWS Transit Gateway에서 정적 소스 멀티캐스트 도메인 생성
아직 수행하지 않은 경우 사용 가능한 멀티캐스트 도메인 속성을 검토합니다. 자세한 내용은 [AWS Transit Gateway의 멀티캐스트 도메인](multicast-domains-about.md) 단원을 참조하세요.
**콘솔을 사용하여 정적 멀티캐스트 도메인 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. **Transit Gateway 멀티캐스트 도메인 생성**을 선택합니다.
1. **이름 태그**에 도메인을 식별하는 이름을 입력합니다.
1. **Transit gateway ID**에서 멀티캐스트 트래픽을 처리하는 Transit Gateway를 선택합니다.
1. **IGMPv2 지원**의 경우 확인란을 선택 취소합니다.
1. **정적 소스 지원**에서 확인란을 선택합니다.
1. 이 멀티캐스트 도메인에 대한 교차 계정 서브넷 연결을 자동으로 수락하려면 **공유 연결 자동 수락**을 선택합니다.
1. **Transit Gateway 멀티캐스트 도메인 생성**을 선택합니다.
**AWS CLI를 사용하여 정적 멀티캐스트 도메인 생성**
[create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html) 명령을 사용합니다.
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=enable,Igmpv2Support=disable
```
# AWS Transit Gateway에서 VPC 연결 및 서브넷을 멀티캐스트 도메인과 연결
VPC 연결을 멀티캐스트 도메인과 연결하려면 다음 절차를 따릅니다. 연결을 생성할 때 멀티캐스트 도메인에 포함할 서브넷을 선택할 수 있습니다.
시작하기 전에 Transit Gateway에 VPC 연결을 생성해야 합니다. 자세한 내용은 [AWS Transit Gateway의 Amazon VPC 연결](tgw-vpc-attachments.md) 단원을 참조하십시오.
**콘솔을 사용하여 VPC 연결을 멀티캐스트 도메인과 연결**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. 멀티캐스트 도메인을 선택한 다음 **작업**, **연결 생성**을 선택합니다.
1. **연결할 연결 선택**에서 Transit Gateway Attachment를 선택합니다.
1. **연결할 서브넷 선택**에서 멀티캐스트 도메인에 포함할 서브넷을 선택합니다.
1. **연결 생성**을 선택합니다.
**를 사용하여 VPC 연결을 멀티캐스트 도메인과 연결하려면 AWS CLI**
[associate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-multicast-domain.html) 명령을 사용합니다.
# AWS Transit Gateway에서 멀티캐스트 도메인에서 서브넷 연결 해제
멀티캐스트 도메인에서 서브넷을 연결 해제하려면 다음 절차를 따릅니다.
**콘솔을 사용하여 서브넷의 연결 해제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. 멀티캐스트 도메인을 선택합니다.
1. **연결** 탭을 선택합니다.
1. 서브넷을 선택한 후 **작업**, **연결 삭제**를 선택합니다.
**AWS CLI를 사용하여 서브넷의 연결 해제**
[disassociate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-multicast-domain.html) 명령을 사용합니다.
# AWS Transit Gateway에서 멀티캐스트 도메인 연결 보기
멀티캐스트 도메인을 보고 사용 가능 여부와 적절한 서브넷 및 연결이 포함되어 있는지 봅니다.
**콘솔을 사용하여 멀티캐스트 도메인을 보려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. 멀티캐스트 도메인을 선택합니다.
1. **연결** 탭을 선택합니다.
**를 사용하여 멀티캐스트 도메인을 보려면 AWS CLI**
[describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html) 명령을 사용합니다.
# AWS Transit Gateway 내 멀티캐스트 도메인에 태그 추가
리소스에 태그를 추가하면 용도, 소유자 또는 환경과 같은 기준으로 태그를 구성하고 식별할 수 있습니다. 각 멀티캐스트 도메인에 여러 태그를 추가할 수 있습니다. 태그 키는 각 멀티캐스트 도메인에 대해 고유해야 합니다. 멀티캐스트 도메인에 이미 연결된 키를 통해 태그를 추가하면 해당 태그의 값이 업데이트됩니다. 자세한 내용은 [Amazon EC2 리소스에 태깅](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)을 참조하세요.
**콘솔을 사용하여 멀티캐스트 도메인에 태그를 추가하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. 멀티캐스트 도메인을 선택합니다.
1. **작업**, **태그 관리**를 선택합니다.
1. 각 태그에 대해 **새 태그 추가**를 선택하고 태그의 **키** 및 **값**을 입력합니다.
1. **저장**을 선택합니다.
**AWS CLI를 사용하여 멀티캐스트 도메인에 태그를 추가하려면**
[create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) 명령을 사용합니다.
# AWS Transit Gateway 내 멀티캐스트 도메인 삭제
멀티캐스트 도메인을 삭제하려면 다음 절차를 따릅니다.
**콘솔을 사용하여 멀티캐스트 도메인 삭제**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. 멀티캐스트 도메인을 선택한 다음 **작업**, **멀티캐스트 도메인 삭제**(Delete multicast domain)를 선택합니다.
1. 확인 메시지가 나타나면 **delete**을 입력한 다음 **삭제**를 선택합니다.
**AWS CLI를 사용하여 멀티캐스트 도메인 삭제**
[delete-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-multicast-domain.html) 명령을 사용합니다.
# AWS Transit Gateway의 공유 멀티캐스트 도메인
멀티캐스트 도메인 공유를 사용하면 멀티캐스트 도메인 소유자가 해당 도메인을 조직 내, 또는 AWS 의 여러 조직에 걸쳐 다른 AWS Organizations계정과 공유할 수 있습니다. 멀티캐스트 도메인 소유자는 멀티캐스트 도메인을 중앙에서 생성하고 관리할 수 있습니다. 공유가 되면 사용자는 공유 멀티캐스트 도메인에서 다음 작업을 수행할 수 있습니다.
+ 멀티캐스트 도메인의 그룹 멤버 또는 그룹 소스 등록 및 등록 취소
+ 멀티캐스트 도메인에 서브넷 연결 및 멀티캐스트 도메인에서 서브넷 연결 해제
멀티캐스트 도메인 소유자는 멀티캐스트 도메인을 다음과 공유할 수 있습니다.
+ AWS 조직 내 또는의 조직 간 계정 AWS Organizations
+ 의 조직 내 조직 단위 AWS Organizations
+ 의 전체 조직 AWS Organizations
+ AWS 외부의 계정 AWS Organizations.
멀티캐스트 도메인을 조직 외부의 AWS 계정과 공유하려면를 사용하여 리소스 공유를 생성한 AWS Resource Access Manager다음 멀티캐스트 도메인을 공유할 보안 주체를 선택할 때 **누구와**도 공유 허용을 선택해야 합니다. 리소스 공유 생성에 관한 자세한 정보는 *AWS RAM 사용 설명서*의 [AWS RAM에서 리소스 공유 생성](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)을 참조하세요.
**Topics**
+ [멀티캐스트 도메인 공유를 위한 사전 조건](#sharing-prereqs)
+ [관련 서비스](#sharing-related)
+ [공유 멀티캐스트 도메인 권한](#sharing-perms)
+ [결제 및 측정](#sharing-billing)
+ [할당량](#sharing-quotas)
+ [가용 영역 간에 리소스 공유](sharing-azs.md)
+ [멀티캐스트 도메인 공유](sharing-share.md)
+ [공유 멀티캐스트 도메인 공유 해제](sharing-unshare.md)
+ [공유 멀티캐스트 도메인 식별](sharing-identify.md)
## 멀티캐스트 도메인 공유를 위한 사전 조건
+ 멀티캐스트 도메인을 공유하려면 AWS 계정에서 해당 도메인을 소유해야 합니다. 다른 사용자가 자신과 공유한 멀티캐스트 도메인은 공유할 수 없습니다.
+ 멀티캐스트 도메인을 조직 또는의 조직 단위와 공유하려면 와의 공유를 활성화 AWS Organizations해야 합니다 AWS Organizations. 자세한 내용은 *AWS RAM 사용 설명서*의 [AWS Organizations를 사용하여 공유 사용](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)을 참조하세요.
## 관련 서비스
멀티캐스트 도메인 공유는 AWS Resource Access Manager (AWS RAM)와 통합됩니다. AWS RAM 는 모든 AWS 계정 또는를 통해 AWS 리소스를 공유할 수 있는 서비스입니다 AWS Organizations. AWS RAM을 사용하여 *리소스 공유*로 생성한 사용자 소유 리소스를 공유할 수 있습니다. 리소스 공유는 공유할 리소스와 공유 대상 사용자를 지정합니다. 소비자는 개별 AWS 계정, 조직 단위 또는 전체 조직일 수 있습니다 AWS Organizations.
에 대한 자세한 내용은 *[AWS RAM 사용 설명서를](https://docs.aws.amazon.com/ram/latest/userguide/)* AWS RAM참조하세요.
## 공유 멀티캐스트 도메인 권한
### 소유자에 대한 권한
소유자는 멀티캐스트 도메인과 자신이 도메인에 등록하거나 연결한 멤버 및 연결을 관리할 책임이 있습니다. 소유자는 언제든지 공유 액세스를 변경하거나 취소할 수 있습니다. AWS Organizations를 사용하여 소비자가 공유 멀티캐스트 도메인에서 생성하는 리소스를 보고 수정하고 삭제할 수 있습니다.
### 소비자에 대한 권한
공유 멀티캐스트 도메인의 사용자는 자신이 생성한 멀티캐스트 도메인과 동일한 방식으로 공유 멀티캐스트 도메인에 대해 다음 작업을 수행할 수 있습니다.
+ 멀티캐스트 도메인의 그룹 멤버 또는 그룹 소스 등록 및 등록 취소
+ 멀티캐스트 도메인에 서브넷 연결 및 멀티캐스트 도메인에서 서브넷 연결 해제
소비자는 자신이 공유 멀티캐스트 도메인에 생성한 리소스를 관리할 책임이 있습니다.
소비자는 다른 소비자나 멀티캐스트 도메인 소유자가 소유한 리소스를 보거나 수정할 수 없으며, 자신에게 공유된 멀티캐스트 도메인을 수정할 수 없습니다.
## 결제 및 측정
소유자 또는 소비자에 대한 멀티캐스트 도메인 공유에는 추가 요금이 없습니다.
## 할당량
공유 멀티캐스트 도메인은 소유자 및 공유 사용자의 멀티캐스트 도메인 할당량에 포함됩니다.
# AWS Transit Gateway의 가용 영역 간에 리소스 공유
리소스가 리전의 가용 영역에 분산되도록 하기 위해 AWS Transit Gateway는의 가용 영역을 각 계정의 이름에 독립적으로 매핑합니다. 이로 인해 계정 전체에서 가용 영역 이름의 차이가 발생할 수 있습니다. 예를 들어 `us-east-1a` 계정의 가용 영역은 `us-east-1a` 다른 AWS 계정의 가용 영역과 위치가 동일하지 않을 수 AWS 있습니다.
계정과 관련된 멀티캐스트 도메인의 위치를 확인하려면 *가용 영역 ID*(AZ ID)를 사용해야 합니다. AZ ID는 모든 AWS 계정의 가용 영역에 대한 고유하고 일관된 식별자입니다. 예를 들어 `use1-az1`는 `us-east-1` 리전의 AZ ID이며 모든 AWS 계정에서 동일한 위치입니다.
**계정의 가용 영역에 대한 AZ ID 보려면**
1. [https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home) AWS RAM 콘솔을 엽니다.
1. 현재 리전의 AZ ID는 화면의 오른쪽에 있는 **사용자 AZ ID** 패널에 표시됩니다.
# AWS Transit Gateway에서 멀티캐스트 도메인 공유
소유자가 멀티캐스트 도메인을 사용자와 공유하는 경우 사용자는 다음을 수행할 수 있습니다.
+ 그룹 멤버 또는 그룹 소스 등록 및 등록 취소
+ 서브넷 연결 및 연결 해제
**참고**
멀티캐스트 도메인을 공유하려면 리소스 공유에 추가해야 합니다. 리소스 공유는 AWS 계정 간에 AWS RAM 리소스를 공유할 수 있는 리소스입니다. 리소스 공유는 공유할 리소스와 공유 대상 소비자를 지정합니다. 를 사용하여 멀티캐스트 도메인을 공유하는 경우 기존 리소스 공유에 Amazon Virtual Private Cloud Console추가합니다. 새 리소스 공유에 멀티캐스트 도메인을 추가하려면 먼저 [AWS RAM 콘솔](https://console.aws.amazon.com/ram)을 사용하여 리소스 공유를 만들어야 합니다.
의 조직에 속 AWS Organizations 해 있고 조직 내 공유가 활성화된 경우 조직의 소비자에게 공유 멀티캐스트 도메인에 대한 액세스 권한이 자동으로 부여됩니다. 그렇지 않은 경우 리소스 공유에 가입하라는 초대를 받은 소비자가 초대를 수락하면 공유 멀티캐스트 도메인에 대한 액세스 권한이 부여됩니다.
Amazon Virtual Private Cloud 콘솔, AWS RAM 콘솔 또는를 사용하여 소유하고 있는 멀티캐스트 도메인을 공유할 수 있습니다 AWS CLI.
**\$1Amazon Virtual Private Cloud Console을 사용하여 사용자가 소유한 멀티캐스트 도메인을 공유하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **멀티캐스트 도메인**을 선택합니다.
1. 멀티캐스트 도메인을 선택한 다음 **작업**, **멀티캐스트 도메인 공유**를 선택합니다.
1. 리소스 공유를 선택하고 **멀티캐스트 도메인 공유**를 선택합니다.
**AWS RAM 콘솔을 사용하여 소유한 멀티캐스트 도메인을 공유하려면**
*AWS RAM 사용 설명서*의 [리소스 공유 생성](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)을 참조하세요.
**를 사용하여 소유한 멀티캐스트 도메인을 공유하려면 AWS CLI**
[create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 명령을 사용합니다.
# AWS Transit Gateway에서 공유 멀티캐스트 도메인 공유 해제
공유 멀티캐스트 도메인이 공유 해제되면 소비자 멀티캐스트 도메인 리소스에 다음과 같은 상황이 발생합니다.
+ 소비자 서브넷이 멀티캐스트 도메인에서 연결 해제됩니다. 서브넷은 소비자 계정에 남아 있습니다.
+ 소비자 그룹 소스 및 그룹 멤버가 멀티캐스트 도메인에서 연결 해제된 다음 소비자 계정에서 삭제됩니다.
멀티캐스트 도메인을 공유 해제하려면 리소스 공유에서 제거해야 합니다. AWS RAM 콘솔 또는에서이 작업을 수행할 수 있습니다 AWS CLI.
자신이 소유한 공유 멀티캐스트 도메인을 공유 해제하려면 리소스 공유에서 제거해야 합니다. 이 작업은 Amazon Virtual Private Cloud, AWS RAM 콘솔 또는를 사용하여 수행할 수 있습니다 AWS CLI.
**\$1Amazon Virtual Private Cloud Console을 사용하여 사용자가 소유한 공유 멀티캐스트 도메인의 공유를 해제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **멀티캐스트 도메인**을 선택합니다.
1. 멀티캐스트 도메인을 선택한 다음 **작업**, **공유 중지**를 선택합니다.
**AWS RAM 콘솔을 사용하여 소유한 공유 멀티캐스트 도메인을 공유 해제하려면**
*AWS RAM 사용 설명서*에서 [리소스 공유 업데이트](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)를 참조하세요.
**를 사용하여 소유한 공유 멀티캐스트 도메인을 공유 해제하려면 AWS CLI**
[disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 명령을 사용합니다.
# AWS Transit Gateway에서 공유 멀티캐스트 도메인 식별
소유자와 소비자는 Amazon Virtual Private Cloud 및를 사용하여 공유 멀티캐스트 도메인을 식별할 수 있습니다. AWS CLI
**\$1Amazon Virtual Private Cloud Console을 사용하여 공유 멀티캐스트 도메인을 식별하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **멀티캐스트 도메인**을 선택합니다.
1. 멀티캐스트 도메인을 선택합니다.
1. **전송 멀티캐스트 도메인 세부 정보 **페이지에서 **소유자 ID**를 보고 멀티캐스트 도메인의 AWS 계정 ID를 식별합니다.
**를 사용하여 공유 멀티캐스트 도메인을 식별하려면 AWS CLI**
[describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html) 명령을 사용합니다. 이 명령은 사용자가 소유한 멀티캐스트 도메인과 사용자와 공유된 멀티캐스트 도메인을 반환합니다.는 멀티캐스트 도메인 소유자의 AWS 계정 ID를 `OwnerId` 보여줍니다.
# AWS Transit Gateway에서 멀티캐스트 그룹에 소스 등록
**참고**
이 절차는 **정적 소스 지원** 속성을 **활성화**로 설정한 경우에만 필요합니다.
멀티캐스트 그룹에 소스를 등록하려면 다음 절차를 따릅니다. 소스는 멀티캐스트 트래픽을 전송하는 네트워크 인터페이스입니다.
소스를 추가하려면 다음 정보가 필요합니다.
+ 멀티캐스트 도메인의 ID
+ 소스의 네트워크 인터페이스 ID
+ 멀티캐스트 그룹 IP 주소
**콘솔을 사용하여 소스를 등록하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. 멀티캐스트 도메인을 선택한 다음 **작업**, **그룹 소스 추가**를 선택합니다.
1. **그룹 IP 주소**에 멀티캐스트 도메인에 할당할 IPv4 CIDR 블록 또는 IPv6 CIDR 블록을 입력합니다.
1. **네트워크 인터페이스 선택**에서 멀티캐스트 발신자의 네트워크 인터페이스를 선택합니다.
1. **소스 추가**를 선택합니다.
**를 사용하여 소스를 등록하려면 AWS CLI**
[register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html) 명령을 사용합니다.
# AWS Transit Gateway에서 멀티캐스트 그룹에 멤버 등록
멀티캐스트 그룹에 그룹 멤버를 등록하려면 다음 절차를 따릅니다.
멤버를 추가하려면 다음 정보가 필요합니다.
+ 멀티캐스트 도메인의 ID
+ 그룹 멤버의 네트워크 인터페이스 ID
+ 멀티캐스트 그룹 IP 주소
**콘솔을 사용하여 멤버 등록**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. 멀티캐스트 도메인을 선택한 다음 **작업**, **그룹 멤버 추가**를 선택합니다.
1. **그룹 IP 주소**에 멀티캐스트 도메인에 할당할 IPv4 CIDR 블록 또는 IPv6 CIDR 블록을 입력합니다.
1. **네트워크 인터페이스 선택**에서 멀티캐스트 수신자의 네트워크 인터페이스를 선택합니다.
1. **멤버 추가**를 선택합니다.
**를 사용하여 멤버를 등록하려면 AWS CLI**
[register-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-members.html) 명령을 사용합니다.
# AWS Transit Gateway에서 멀티캐스트 그룹의 소스 등록 해제
멀티캐스트 그룹에 소스를 수동으로 추가하지 않은 경우 이 절차를 따르지 않아도 됩니다.
**콘솔을 사용하여 소스 제거**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. 멀티캐스트 도메인을 선택합니다.
1. **그룹** 탭을 선택합니다.
1. 소스를 선택한 다음 **소스 제거**를 선택합니다.
**AWS CLI를 사용하여 소스 제거**
[deregister-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-sources.html) 명령을 사용합니다.
# AWS Transit Gateway의 멀티캐스트 그룹에서 멤버 등록 취소
멀티캐스트 그룹에 멤버를 수동으로 추가하지 않은 경우 이 절차를 따르지 않아도 됩니다.
**콘솔을 사용하여 멤버 등록 취소**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. 멀티캐스트 도메인을 선택합니다.
1. **그룹** 탭을 선택합니다.
1. 멤버를 선택한 다음 **멤버 제거**를 선택합니다.
**를 사용하여 멤버 등록을 취소하려면 AWS CLI**
[deregister-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-members.html) 명령을 사용합니다.
# AWS Transit Gateway에서 멀티캐스트 그룹 보기
멀티캐스트 그룹에 대한 정보를 보고 IGMPv2 프로토콜을 사용하여 멤버가 검색되었는지 확인할 수 있습니다. **멤버 유형**(콘솔에서) 또는 `MemberType` (에서 AWS CLI)는 프로토콜로 멤버를 AWS 검색하면 IGMP를 표시합니다.
**콘솔을 사용하여 멀티캐스트 그룹 보기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Transit Gateway 멀티캐스트**를 선택합니다.
1. 멀티캐스트 도메인을 선택합니다.
1. **그룹** 탭을 선택합니다.
**를 사용하여 멀티캐스트 그룹을 보려면 AWS CLI**
[search-transit-gateway-multicast-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-multicast-groups.html) 명령을 사용합니다.
다음 예제에서는 IGMP 프로토콜이 멀티캐스트 그룹 멤버를 검색한 것을 보여 줍니다.
```
aws ec2 search-transit-gateway-multicast-groups --transit-gateway-multicast-domain tgw-mcast-domain-000fb24d04EXAMPLE
{
"MulticastGroups": [
{
"GroupIpAddress": "224.0.1.0",
"TransitGatewayAttachmentId": "tgw-attach-0372e72386EXAMPLE",
"SubnetId": "subnet-0187aff814EXAMPLE",
"ResourceId": "vpc-0065acced4EXAMPLE",
"ResourceType": "vpc",
"NetworkInterfaceId": "eni-03847706f6EXAMPLE",
"MemberType": "igmp"
}
]
}
```
# AWS Transit Gateway에서 Windows Server용 멀티캐스트 설정
Windows Server 2019 또는 2022에서 Transit Gateway와 함께 작동하도록 멀티캐스트를 설정할 때는 추가 단계를 수행해야 합니다. 이를 설정하려면 PowerShell 을 사용하고 다음 명령을 실행해야 합니다.
**PowerShell을 사용하여 Windows Server용 멀티캐스트를 설정하려면**
1. TCP/IP 스택에 IGMPv3 대신 IGMPv2를 사용하도록 윈도우 서버를 변경하세요.
`PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IGMPVersion -PropertyType DWord -Value 3 `
**참고**
`New-ItemProperty`는 IGMP 버전을 지정하는 속성 인덱스입니다. IGMP v2는 멀티캐스트에 지원되는 버전이므로 속성 `Value`은 `3`여야 합니다. Windows 레지스트리를 편집하는 대신 다음 명령을 실행하여 IGMP 버전을 2로 설정할 수 있습니다.
`Set-NetIPv4Protocol -IGMPVersion Version2`
1. Windows 방화벽은 기본적으로 대부분의 UDP 트래픽을 삭제합니다. 먼저 멀티캐스트에 사용되는 연결 프로필을 확인해야 합니다.
```
PS C:\> Get-NetConnectionProfile | Select-Object NetworkCategory
NetworkCategory
---------------
Public
```
1. 필수 UDP 포트에 액세스할 수 있도록 이전 단계의 연결 프로필을 업데이트하세요.
`PS C:\> Set-NetFirewallProfile -Profile Public -Enabled False`
1. EC2 인스턴스를 재부팅합니다.
1. 멀티캐스트 애플리케이션을 테스트하여 트래픽이 예상대로 흐르고 있는지 확인하세요.
# 예: AWS Transit Gateway를 사용하여 IGMP 구성 관리
이 예제는 멀티캐스트 트래픽에 IGMP 프로토콜을 사용하는 호스트 하나 이상을 보여줍니다. AWS 는 인스턴스로부터 IGMP `JOIN` 메시지를 수신할 때 멀티캐스트 그룹을 자동으로 생성한 다음 해당 인스턴스를 이 그룹의 멤버로 추가합니다. 를 사용하여 비 IGMP 호스트를 그룹에 멤버로 정적으로 추가할 수도 있습니다 AWS CLI. 멀티캐스트 도메인과 연결된 서브넷에 있는 모든 인스턴스는 트래픽을 보낼 수 있으며 그룹 멤버는 멀티캐스트 트래픽을 받을 수 있습니다.
다음 단계에 따라 구성을 완료합니다.
1. VPC를 만듭니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC 생성](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)을 참조하세요.
1. VPC에서 서브넷을 만듭니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [서브넷 생성](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)을 참조하세요.
1. 멀티캐스트 트래픽에 대해 구성된 Transit Gateway를 만듭니다. 자세한 내용은 [Transit Gateway에서 AWS 전송 게이트웨이 생성](create-tgw.md) 단원을 참조하십시오.
1. VPC 연결을 만듭니다. 자세한 내용은 [AWS Transit Gateway 내 VPC 연결 생성](create-vpc-attachment.md) 단원을 참조하십시오.
1. IGMP 지원을 위해 구성된 멀티캐스트 도메인을 만듭니다. 자세한 내용은 [AWS Transit Gateway에서 IGMP 멀티캐스트 도메인 생성](create-tgw-igmp-domain.md) 단원을 참조하십시오.
다음 설정을 사용합니다.
+ **IGMPv2 지원**을 사용하도록 설정합니다.
+ **정적 소스 지원**을 사용하지 않도록 설정합니다.
1. Transit Gateway VPC 연결의 서브넷과 멀티캐스트 도메인 간에 연결을 생성합니다. 자세한 내용을 알아보려면 [AWS Transit Gateway에서 VPC 연결 및 서브넷을 멀티캐스트 도메인과 연결](associate-attachment-to-domain.md) 섹션을 참조하세요.
1. EC2의 기본 IGMP 버전은 IGMPv3입니다. 모든 IGMP 그룹 멤버의 버전을 변경해야 합니다. 다음 명령을 실행할 수 있습니다.
```
sudo sysctl net.ipv4.conf.eth0.force_igmp_version=2
```
1. IGMP 프로토콜을 사용하지 않는 멤버를 멀티캐스트 그룹에 추가합니다. 자세한 내용은 [AWS Transit Gateway에서 멀티캐스트 그룹에 멤버 등록](add-members-multicast-group.md) 단원을 참조하십시오.
# 예: AWS Transit Gateway에서 정적 소스 구성 관리
이 예제에서는 멀티캐스트 소스를 그룹에 정적으로 추가합니다. 호스트는 IGMP 프로토콜을 사용하여 멀티캐스트 그룹에 조인하거나 나가지 않습니다. 멀티캐스트 트래픽을 수신하는 그룹 멤버를 정적으로 추가해야 합니다.
다음 단계에 따라 구성을 완료합니다.
1. VPC를 만듭니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC 생성](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)을 참조하세요.
1. VPC에서 서브넷을 만듭니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [서브넷 생성](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)을 참조하세요.
1. 멀티캐스트 트래픽에 대해 구성된 Transit Gateway를 만듭니다. 자세한 내용은 [Transit Gateway에서 AWS 전송 게이트웨이 생성](create-tgw.md) 단원을 참조하십시오.
1. VPC 연결을 만듭니다. 자세한 내용은 [AWS Transit Gateway 내 VPC 연결 생성](create-vpc-attachment.md) 단원을 참조하십시오.
1. IGMP 지원 없이 구성된 멀티캐스트 도메인을 만들고 소스를 정적으로 추가할 수 있도록 지원합니다. 자세한 내용은 [AWS Transit Gateway에서 정적 소스 멀티캐스트 도메인 생성](create-tgw-domain.md) 단원을 참조하십시오.
다음 설정을 사용합니다.
+ **IGMPv2 지원**을 사용하지 않도록 설정합니다.
+ 소스를 수동으로 추가하려면 **정적 소스 지원**을 사용하도록 설정합니다.
이 소스가 이 속성이 사용하도록 설정된 경우 멀티캐스트 트래픽을 전송할 수 있는 유일한 리소스입니다. 그렇지 않으면 멀티캐스트 도메인과 연결된 서브넷에 있는 모든 인스턴스가 멀티캐스트 트래픽을 보낼 수 있으며 그룹 멤버는 멀티캐스트 트래픽을 받을 수 있습니다.
1. Transit Gateway VPC 연결의 서브넷과 멀티캐스트 도메인 간에 연결을 생성합니다. 자세한 내용은 [AWS Transit Gateway에서 VPC 연결 및 서브넷을 멀티캐스트 도메인과 연결](associate-attachment-to-domain.md) 섹션을 참조하세요.
1. **정적 소스 지원**을 사용하도록 설정한 경우 소스를 멀티캐스트 그룹에 추가합니다. 자세한 내용은 [AWS Transit Gateway에서 멀티캐스트 그룹에 소스 등록](add-source-multicast-group.md) 단원을 참조하십시오.
1. 멀티캐스트 그룹에 멤버를 추가합니다. 자세한 내용은 [AWS Transit Gateway에서 멀티캐스트 그룹에 멤버 등록](add-members-multicast-group.md) 단원을 참조하십시오.
# 예: AWS Transit Gateway에서 정적 그룹 멤버 구성 관리
이 예제는 그룹에 멀티캐스트 멤버를 정적으로 추가하는 방법을 보여줍니다. 호스트는 IGMP 프로토콜을 사용하여 멀티캐스트 그룹에 조인하거나 나갈 수 없습니다. 멀티캐스트 도메인과 연결된 서브넷에 있는 모든 인스턴스는 멀티캐스트 트래픽을 보낼 수 있으며 그룹 멤버는 멀티캐스트 트래픽을 받을 수 있습니다.
다음 단계에 따라 구성을 완료합니다.
1. VPC를 만듭니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC 생성](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)을 참조하세요.
1. VPC에서 서브넷을 만듭니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [서브넷 생성](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)을 참조하세요.
1. 멀티캐스트 트래픽에 대해 구성된 Transit Gateway를 만듭니다. 자세한 내용은 [Transit Gateway에서 AWS 전송 게이트웨이 생성](create-tgw.md) 단원을 참조하십시오.
1. VPC 연결을 만듭니다. 자세한 내용은 [AWS Transit Gateway 내 VPC 연결 생성](create-vpc-attachment.md) 단원을 참조하십시오.
1. IGMP 지원 없이 구성된 멀티캐스트 도메인을 만들고 소스를 정적으로 추가할 수 있도록 지원합니다. 자세한 내용은 [AWS Transit Gateway에서 정적 소스 멀티캐스트 도메인 생성](create-tgw-domain.md) 단원을 참조하십시오.
다음 설정을 사용합니다.
+ **IGMPv2 지원**을 사용하지 않도록 설정합니다.
+ **정적 소스 지원**을 사용하지 않도록 설정합니다.
1. Transit Gateway VPC 연결의 서브넷과 멀티캐스트 도메인 간에 연결을 생성합니다. 자세한 내용을 알아보려면 [AWS Transit Gateway에서 VPC 연결 및 서브넷을 멀티캐스트 도메인과 연결](associate-attachment-to-domain.md) 섹션을 참조하세요.
1. 멀티캐스트 그룹에 멤버를 추가합니다. 자세한 내용은 [AWS Transit Gateway에서 멀티캐스트 그룹에 멤버 등록](add-members-multicast-group.md) 단원을 참조하십시오.
# 유연한 비용 할당
기본적으로 전송 게이트웨이는 데이터 처리 요금이 소스 연결을 소유한 계정에 할당되는 발신자 기반 비용 할당 모델을 사용합니다. 연결 유형, 특정 연결 IDs 또는 네트워크 주소와 같은 트래픽 흐름 속성을 기반으로 청구할 계정을 정의하는 사용자 지정 측정 정책을 생성할 수 있습니다.
측정 정책은 가장 낮은 규칙 번호에서 가장 높은 규칙 번호로 평가되는 순서가 지정된 규칙으로 구성됩니다. 트래픽이 규칙과 일치하면 규칙의 구성에 따라 지정된 계정에 요금이 부과됩니다. 다음 옵션에서 비용을 할당할 계정 소유자를 지정할 수 있습니다.
+ **소스 연결 소유자** - 소스 연결을 소유한 계정에 요금이 할당됩니다(기본 동작).
+ **대상 연결 소유자** - 대상 연결을 소유한 계정에 요금이 할당됩니다.
+ **전송 게이트웨이 소유자** - 전송 게이트웨이를 소유한 계정에 요금이 할당됩니다.
유연한 비용 할당을 사용하면 중앙 집중식 네트워크 아키텍처를 사용하는 조직의 비용 관리를 개선할 수 있으므로 네트워크 토폴로지에 관계없이 적절한 사업부 또는 애플리케이션 소유자에게 비용을 할당할 수 있습니다.
**참고**
유연한 비용 할당을 사용하면 측정 사용량을 유연하게 할당하고 선택한 계정 소유자에게 비용을 할당할 수 있습니다. 그러나 AWS 계정에 대한 세금 영향은 지리적 위치, 사용 패턴 및 기타 요인에 따라 크게 달라질 수 있습니다. 이 기능을 활성화하기 전에 AWS 조직의 계정에 대한 결제, 세금 및 비용 관리 영향을 검토하세요. 참조: [AWS Billing and Cost Management란 무엇입니까?](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)
## 측정 정책
측정 정책을 사용하면 전송 게이트웨이에 대한 비용 할당 규칙을 구성하여 트래픽 흐름 속성을 기반으로 데이터 처리 및 전송 비용에 대해 청구되는 계정을 제어할 수 있습니다. 이 기능을 사용하면 중앙 집중식 네트워크 아키텍처를 사용하는 조직의 비용 관리 및 차지백 기능을 개선할 수 있습니다.
측정 정책은 다음으로 구성됩니다.
+ **측정 정책** - 측정 정책 규칙이 포함된 전체 구성 컨테이너입니다. 생성 시 소스 연결 소유자에게 모든 트래픽을 청구하도록 구성된 단일 기본 측정 정책 항목이 포함됩니다. 각 전송 게이트웨이에는 측정 정책이 하나만 있을 수 있습니다.
+ **측정 정책 항목** - 특정 일치 기준과 사용량을 측정할 계정을 정의하는 측정 정책 내의 개별 규칙입니다. 각 항목에는 평가 순서에 대한 규칙 번호, 트래픽 일치 조건(예: 소스 및 대상 연결 유형, 연결 IDs, CIDR 블록, 포트 및 프로토콜), 일치하는 트래픽에 대해 청구할 계정 소유자가 포함됩니다. 정책에는 규칙 번호가 가장 낮은 항목부터 가장 높은 항목까지 최대 50개의 항목이 포함될 수 있습니다.
다음 중 하나에 측정 사용량을 할당할 수 있습니다.
+ **소스 연결 소유자**: 트래픽이 시작되는 연결을 소유한 계정에 측정 사용량을 할당합니다(기본 동작).
+ **대상 연결 소유자**: 트래픽이 종료되는 연결을 소유한 계정에 측정 사용량을 할당합니다.
+ **전송 게이트웨이 소유자**: 전송 게이트웨이를 소유한 계정에 측정 사용량을 할당합니다.
+ **미들박스 연결** - (선택 사항) 보안 검사, 로드 밸런싱 또는 기타 네트워크 함수를 위해 네트워크 어플라이언스를 통해 트래픽을 라우팅하는 지정된 전송 게이트웨이 연결입니다. 미들박스 연결을 통과하는 트래픽의 데이터 사용량은 측정 정책에 지정된 계정 소유자에게 측정됩니다. 미들박스 연결은 최대 10개까지 지정할 수 있습니다. 지원되는 미들박스 연결 유형은 네트워크 함수(AWS 네트워크 방화벽), VPC 및 VPN 연결입니다.
### 측정 정책 작동 방식
기본적으로 전송 게이트웨이는 데이터 처리 요금이 소스 연결을 소유한 계정으로 측정되는 발신자 기반 비용 할당 모델을 사용합니다. 측정 정책을 사용하면 다음 트래픽 흐름 속성을 기반으로 사용량을 유연하게 측정하는 사용자 지정 규칙을 생성할 수 있습니다.
+ 소스 및 대상 연결 유형(VPC, VPN, Direct Connect Gateway, 피어링, 네트워크 함수 및 VPN 집중기)
+ 소스 및 대상 연결 IDs
+ 소스 및 대상 IP 주소, 포트 범위 및 프로토콜
측정 정책은 가장 낮은 규칙 번호에서 가장 높은 규칙 번호로 평가되는 순서가 지정된 규칙으로 구성됩니다. 트래픽이 규칙과 일치하면 규칙의 측정된 계정 설정에 따라 지정된 계정에 요금이 부과됩니다. 측정 정책은 다음과 같은 몇 가지 일반적인 조직 시나리오를 다룹니다.
+ **하이브리드 환경 비용 할당**: Direct Connect Gateway를 통해 온프레미스 AWS 에서 중앙 IT 관리자 계정 소유자가 아닌 대상 VPC 계정 소유자에게 데이터 입력 비용을 할당합니다.
+ **중앙 집중식 검사 아키텍처**: 검사 VPC를 통해 통과하는 트래픽에 대해 중앙 보안 팀이 아닌 개별 애플리케이션 또는 VPCs.
+ **애플리케이션 기반 차지백**: 트래픽 방향에 관계없이 VPC 소유자에게 워크로드에 대한 모든 데이터 사용 비용을 할당합니다.
+ **클라이언트 비용 할당**: 전송 게이트웨이에 대한 연결을 생성할 때 클라이언트 계정에 데이터 비용을 할당합니다.
### 미들박스 연결
전송 게이트웨이 측정 정책은 미들박스 연결을 지원하므로 네트워크 방화벽 및 로드 밸런서와 같은 미들박스 어플라이언스를 통해 라우팅되는 네트워크 트래픽에 대한 데이터 처리 요금을 유연하게 할당할 수 있습니다. 미들박스 연결의 예로는 Network Firewall에 AWS 대한 Network Function 연결 또는 VPC의 타사 보안 어플라이언스로 트래픽을 라우팅하는 VPC 연결 등이 있습니다. 소스와 대상 전송 게이트웨이 연결 간의 트래픽은 일반적인 보안 검사 사용 사례에 대해 이러한 미들박스 연결을 통해 통과합니다. 원본 소스 연결, 최종 대상 연결 또는 전송 게이트웨이 계정 소유자에 대한 미들박스 연결에 데이터 처리 사용량을 유연하게 할당하도록 측정 정책을 정의할 수 있습니다. Network Function 연결의 경우 AWS Network Firewall 데이터 처리 요금도 측정된 계정에 할당됩니다.
### 유연한 비용 할당 - 사용량 유형 측정
측정 정책을 통한 유연한 비용 할당은 다음 데이터 사용 유형에 적용됩니다.
+ VPC, VPN, VPN Concentrator 및 Direct Connect 연결의 전송 게이트웨이 데이터 처리 사용량
+ VPN 연결에서 Site-to-site VPN 데이터 전송 사용량
+ Direct Connect 첨부 파일에서 Direct Connect 데이터 전송 사용량입니다.
+ TGW 피어링 연결의 데이터 전송 사용량
+ Network Function 연결의 전송 게이트웨이 데이터 처리 사용량
+ AWS Network Function 연결에서 네트워크 방화벽(NFW) 데이터 처리 사용량입니다.
유연한 비용 할당은 첨부 파일 시간당 사용량 및 멀티캐스트 데이터 처리 사용량에는 적용되지 않습니다. Transit Gateway Connect 연결의 경우 기본 전송 VPC 또는 Direct Connect 연결에 대해 측정 정책을 정의할 수 있습니다. 프라이빗 IP VPN 연결의 경우 기본 전송 Direct Connect 연결에 대해 측정 정책을 정의할 수 있습니다.
### 고려 사항 및 제한 사항
전송 게이트웨이에 대한 측정 정책을 구현할 때는 다음 사항을 고려하세요.
#### 권한
+ 전송 게이트웨이 소유자만 측정 정책을 생성, 수정 또는 삭제할 수 있습니다.
+ 비용 할당 설정은 전송 게이트웨이 수준에서 적용됩니다.
+ 연결 소유자는 전송 게이트웨이 소유자가 구성한 비용 할당 설정을 재정의할 수 없습니다.
#### 전송 게이트웨이 피어링
트래픽이 전송 게이트웨이 피어링 연결을 통과하는 경우:
+ 각 전송 게이트웨이는 자체 측정 정책을 독립적으로 적용합니다.
+ 데이터 요금은 로컬 정책에 따라 각 전송 게이트웨이별로 별도로 할당됩니다.
+ 트래픽은 피어링에 대한 소스 연결과 대상 연결에 대한 피어링이라는 두 개의 별도 흐름으로 생각할 수 있습니다.
#### 클라우드 WAN 통합
전송 게이트웨이가 Cloud WAN 코어 네트워크에 연결된 경우:
+ 피어링 연결에 대한 전송 게이트웨이 데이터 전송 요금은 전송 게이트웨이 측정 정책에 따라 할당됩니다.
+ Cloud WAN 코어 네트워크에서는 측정 정책이 지원되지 않습니다.
#### 성능 영향
+ 측정 정책에는 추가 데이터 경로 지연 시간이 발생하지 않습니다.
+ 측정 정책은 연결당 최대 대역폭에 영향을 주지 않습니다.
+ 전송 게이트웨이 리소스 공유 기능에는 변경 사항이 없습니다.
#### 결제 통합
+ 비용 할당 태그는 사업부별로 비용을 구성하기 위한 측정 정책과 함께 계속 작동합니다.
+ 측정 정책은 비용이 발생하는 계정을 정의하는 반면, 비용 할당 태그는 이러한 비용을 분류하는 데 도움이 됩니다.
+ 측정 정책에 대한 변경 사항은 다음 결제 시간이 끝날 때 적용됩니다.
#### IPv6 지원
측정 정책은 IPv4 및 IPv6 트래픽 모두에 대해 지원됩니다. 정책 항목의 CIDR 블록 일치는 두 주소 패밀리 모두에서 작동합니다.
#### 미들박스 연결 지원
+ 미들박스 측정 정책은 원래 소스와 대상 연결 간의 트래픽이 지정된 미들박스 연결(예: VPC-to-VPC 트래픽에 대한 동서 검사)을 통해 머리카락 고정되어 있다고 가정합니다. 따라서 미들박스 연결로 들어오고 나가는 흐름에 대한 네트워크 5튜플(소스/대상 IPs, 소스/대상 포트 및 프로토콜)이 일치해야 합니다. 미들박스 연결에서 5튜플 불일치가 있는 흐름(예: 검사 VPC의 NAT 변환)은 (미들박스 연결 흐름과 달리) 정기적인 소스 대상 연결 흐름으로 처리됩니다.
+ 미들박스 연결의 모든 송신 전용 흐름(예: 검사 VPC에서 IGW를 통해 인터넷으로 전송되는 남북 트래픽)은 (미들박스 연결 흐름과 달리) 정기적인 소스 대상 흐름으로 처리됩니다.
+ 네트워크 방화벽이 패킷을 삭제할 때 AWS 네트워크 함수 연결의 경우 측정 정책 구성에 관계없이 모든 데이터 처리 사용량이 발신자 계정으로 다시 청구됩니다.
# AWS Transit Gateway 측정 정책 생성
측정 정책을 활성화하려면 전송 게이트웨이에 대한 측정 정책을 생성하고 측정 사용량 할당 방법을 정의하는 정책 항목을 구성해야 합니다. 측정 정책은 프레임워크 및 기본 설정을 설정하는 반면, 정책 항목에는 트래픽 특성에 따라 측정할 계정을 결정하는 특정 규칙이 포함되어 있습니다.
측정 정책 항목은 전송 게이트웨이를 통해 흐르는 트래픽에 대해 가장 낮은 규칙 수에서 가장 높은 규칙 수까지 순차적으로 적용되는 순서가 지정된 규칙으로 작동합니다. 각 항목은 일치하는 트래픽에 대해 측정해야 하는 계정과 함께 소스 및 대상 연결 유형, CIDR 블록, 프로토콜 및 포트 범위와 같은 일치하는 기준을 정의합니다. 트래픽 흐름이 여러 항목과 일치하면 규칙 번호가 가장 낮은 항목이 우선합니다. 특정 흐름과 일치하는 항목이 없는 경우 정책에 지정된 기본 측정 계정에 요금이 부과됩니다.
정책을 생성한 후 비용 할당 로직을 구현하려면 정책 항목을 추가해야 합니다. 측정 정책 항목을 생성하는 단계는 섹션을 참조하세요[측정 정책 항목 생성](create-metering-policy-entry.md).
## 콘솔을 사용하여 측정 정책 생성
전송 게이트웨이 데이터 사용에 대한 유연한 비용 할당 규칙을 정의하는 정책을 생성합니다. 기본적으로 모든 흐름은 소스 연결 소유자에게 측정됩니다. 항목을 생성하여 특정 네트워크 흐름을 다른 계정으로 청구합니다.
**측정 정책을 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **측정 정책을** 선택합니다.
1. **측정 정책 생성을** 선택합니다.
1. **전송 게이트웨이 ID**에서 측정 정책을 생성하려는 전송 게이트웨이를 선택합니다.
1. (선택 사항) **미들박스 연결 IDs** 미들박스 연결을 하나 이상 선택합니다. 기본적으로 데이터 사용량은 미들박스 소유자에게 측정됩니다. 미들박스 연결 지원을 사용하면 미들박스 연결을 통과하는 트래픽에 측정 정책을 적용할 수 있습니다. 나중에 추가 연결을 추가할 수 있습니다.
1. (선택 사항) **태그** 섹션에서 측정 정책을 식별하고 구성하는 데 도움이 되는 태그를 추가합니다.
1. **새로운 태그 추가**를 선택합니다.
1. 태그 **키**와 선택적으로 태그 **값을** 입력합니다.
1. **새 태그 추가**를 선택하여 태그를 추가하거나 다음 단계로 건너뜁니다. 최대 50개의 태그를 추가할 수 있습니다.
1. **전송 게이트웨이 측정 정책 생성을** 선택합니다.
**참고**
기본 측정 계정은 소스 연결 소유자이며, 측정 정책을 생성한 후 트래픽 흐름 속성을 기반으로 요금이 청구되는 계정을 정의하는 항목을 추가할 수 있습니다. 기본 정책 항목(마지막 항목)은 다른 정책 항목과 마찬가지로 수정하거나 삭제할 수 없습니다.
## 를 사용하여 측정 정책 생성 AWS CLI
측정 정책은 전송 게이트웨이의 기본 비용 할당 동작과 전역 설정을 정의합니다. [create-transit-gateway-metering-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-transit-gateway-metering-policy.html)를 사용합니다.
필요한 파라미터:
+ `--transit-gateway-id` - 정책을 생성할 전송 게이트웨이의 ID입니다.
선택적 파라미터:
+ `--middle-box-attachment-ids` - 정책에 미들박스로 추가할 전송 게이트웨이 연결 ID 지원
+ `--tag-specifications` - 측정 정책을 위한 태그
**를 사용하여 측정 정책을 생성하려면 AWS CLI**
1. **create-transit-gateway-metering-policy** 명령을 실행하여 선택적 미들박스 연결로 새 측정 정책을 생성합니다.
```
aws ec2 create-transit-gateway-metering-policy \
--transit-gateway-id tgw-07a5946195a67dc47 \
--middle-box-attachment-ids \
tgw-attach-0123456789abcdef0 \
tgw-attach-0abc123def456789a \
--tag-specifications \
'[{ "ResourceType": "transit-gateway-metering-policy", \
"Tags": [ { "Key": "Env", "Value": "Prod" } ] }]'
```
이 명령은 제공된 미들박스 연결 및 태그를 사용하여 지정된 전송 게이트웨이에 대한 측정 정책을 생성합니다.
1. 이 명령은 정책이 성공적으로 생성되면 다음 출력을 반환합니다.
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0abc123def456789a"],
"State": "pending",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z",
"Tags": [{"Key": "Env","Value": "Prod"}]
}
}
```
후속 명령에서 사용하기 위해 응답에 반환된 측정 정책 ID를 기록해 둡니다. **describe-transit-gateway-metering-policies** 명령을 사용하여 전송 게이트웨이와 연결된 측정 정책을 가져올 수 있습니다.
# AWS Transit Gateway 측정 정책 관리
측정 정책을 생성한 후 현재 설정을 보거나 구성 옵션을 수정하거나 더 이상 필요하지 않을 때 정책을 삭제하여 관리할 수 있습니다. 관리 작업을 사용하면 네트워크 요구 사항이 변경될 때 미들박스 연결을 추가하거나 제거할 수 있습니다. 정책 항목만 생성하거나 삭제할 수 있습니다. 기존 규칙을 수정해야 하는 경우 항목을 삭제하고 수정된 구성으로 새 규칙을 생성할 수 있습니다. 모든 관리 작업에는 전송 게이트웨이 소유자 권한이 필요하며 청구 시간 2시간 후에 적용됩니다.
네트워크 아키텍처가 발전함에 따라 정확한 비용 할당을 유지하려면 효과적인 측정 정책 관리가 중요합니다. 조직은 사업부가 변경되거나, 새 애플리케이션이 배포되거나, 네트워크 토폴로지가 수정될 때 정책을 조정해야 하는 경우가 많습니다. 예를 들어 미들박스 측정 지원 설정은 방화벽 보안 아키텍처가 변경되거나 새 검사 서비스가 트래픽 경로에 도입될 때 업데이트가 필요할 수 있습니다.
정책 수정은 계절적 트래픽 패턴 변경, 인수 합병 활동, 규정 준수 요구 사항 업데이트 등 다양한 운영 시나리오를 지원합니다. 정책을 관리할 때 기존 결제 방식에 미치는 영향을 고려하고 구현 전에 영향을 받는 이해관계자에게 변경 사항을 전달합니다.
정기적인 정책 검토는 비용 할당이 비즈니스 목표 및 조직 구조와 일치하도록 하는 데 도움이 됩니다. 모범 사례에는 정책 변경 사항 문서화, 가능한 경우 비프로덕션 환경에서 수정 사항 테스트, 재무 팀과 협력하여 결제 영향을 이해하는 것이 포함됩니다. 또한 정책 변경 시기를 고려하여 월별 결제 주기 및 재무 보고 프로세스의 중단을 최소화합니다.
**Topics**
+ [측정 정책 편집](metering-policy-edit.md)
+ [측정 정책 삭제](metering-policy-delete.md)
# AWS Transit Gateway 측정 정책 편집
기존 측정 정책을 편집하여 미들박스 연결 구성을 수정합니다. 정책 수정은 다음 결제 시간에 적용되며 전송 게이트웨이를 통한 향후 모든 트래픽 흐름에 적용됩니다.
## 콘솔을 사용하여 측정 정책 편집
콘솔을 사용하여 전송 게이트웨이의 기존 측정 정책 설정을 수정합니다.
**콘솔을 사용하여 기존 측정 정책을 편집하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **측정 정책을** 선택합니다.
1. 정책 ID를 선택하여 수정할 측정 정책을 선택합니다.
1. **작업**에서 사용 가능한 정책 설정을 수정합니다. 콘솔은 중간 상자 연결의 추가 및 제거만 허용합니다.
1. **미들박스 연결** - 특수 결제를 위해 미들박스로 처리해야 하는 전송 게이트웨이 연결을 추가하거나 제거합니다.
## 를 사용하여 측정 정책 편집 AWS CLI
**modify-transit-gateway-metering-policy** 명령을 사용하여 측정 정책을 보고 수정합니다.
수정 작업에 필요한 파라미터:
+ `--transit-gateway-metering-policy-id` - 수정할 측정 정책의 ID입니다.
+ `--add-middle-box-attachment-ids` 또는 `--remove-middle-box-attachment-ids` - 정책에서 미들박스로 추가하거나 제거할 수 있도록 지원되는 전송 게이트웨이 연결 ID
**AWS CLI를 사용하여 측정 정책을 보고 편집하려면**
1. (선택 사항) **describe-transit-gateway-metering-policies** 명령을 사용하여 기존 측정 정책을 보고 현재 구성 설정을 확인합니다.
```
aws ec2 describe-transit-gateway-metering-policies
```
이 명령은 계정의 모든 측정 정책을 반환하여 현재 상태와 각 측정 정책에 대해 미들박스로 활성화된 연결을 표시합니다.
1. **modify-transit-gateway-metering-policy** 명령을 사용하여 측정 정책을 수정하여 구성 옵션을 업데이트합니다.
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--add-middle-box-attachment-ids tgw-attach-0123456789abcdef1 \
--remove-middle-box-attachment-ids tgw-attach-0abc123def456789a
```
이 명령은 미들박스 연결을 추가 및/또는 제거하여 측정 정책을 수정합니다.
1. 명령은 정책이 성공적으로 수정되면 다음 출력을 반환합니다.
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "modifying",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
변경 사항이 적용되는 데 최대 2시간이 걸릴 수 있습니다.
# AWS Transit Gateway 측정 정책 삭제
전송 게이트웨이 비용 할당 전략에 더 이상 필요하지 않은 경우 측정 정책을 삭제합니다. 정책을 삭제하면 비용 할당이 소스 연결을 소유한 계정에 데이터 처리 및 데이터 전송 요금이 할당되는 기본 발신자 기반 모델로 되돌아갑니다. 삭제된 측정 정책과 연결된 모든 정책 항목도 제거됩니다.
## 콘솔을 사용하여 측정 정책 삭제
콘솔을 사용하여 더 이상 필요하지 않은 측정 정책을 제거합니다.
**콘솔을 사용하여 측정 정책을 삭제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **측정 정책을** 선택합니다.
1. 정책 ID를 선택하여 삭제할 정책을 선택합니다.
1. **작업**을 선택한 후 **삭제**를 선택합니다.
1. 확인 대화 **delete** 상자에를 입력하여 삭제를 확인합니다.
1. **삭제**를 선택합니다.
**중요**
측정 정책을 삭제하는 것은 되돌릴 수 없습니다. 모든 정책 항목 및 구성 설정이 영구적으로 제거되고 비용 할당은 기본 발신자 기반 모델로 되돌아갑니다.
## 를 사용하여 측정 정책 삭제 AWS CLI
**delete-transit-gateway-metering-policy** 명령을 사용하여 프로그래밍 방식으로 측정 정책을 삭제합니다.
요구 사항:
+ 전송 게이트웨이 소유자 권한
필요한 파라미터:
+ `--transit-gateway-metering-policy-id` - 삭제할 측정 정책의 ID입니다.
**AWS CLI를 사용하여 측정 정책을 보고 삭제하려면**
1. (선택 사항) **describe-transit-gateway-metering-policies** 명령을 사용하여 기존 측정 정책을 보고 현재 구성 설정을 확인합니다.
```
aws ec2 describe-transit-gateway-metering-policies
```
이 명령은 계정의 모든 측정 정책을 반환하여 현재 상태 및 구성을 표시합니다.
1. **delete-transit-gateway-metering-policy** 명령을 사용하여 측정 정책을 삭제하여 정책을 영구적으로 제거합니다.
```
aws ec2 delete-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7
```
이 명령은 지정된 측정 정책과 모든 관련 항목을 영구적으로 제거합니다. 비용 할당은 향후 모든 트래픽 흐름에 대해 기본 발신자 기반 모델로 되돌아갑니다. 또한이 변경 사항이 적용되는 데 2시간이 걸립니다.
1. 이 명령은 정책이 성공적으로 삭제되면 다음 출력을 반환합니다.
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "deleting",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
응답은 전송 게이트웨이 인프라에서 제거가 처리되는 동안 정책이 `deleting` 상태로 삭제되고 있음을 확인합니다.
# AWS Transit Gateway 측정 정책 항목 생성
기본적으로 모든 흐름은 소스 연결 소유자에게 측정됩니다. 다른 계정에 대한 특정 흐름을 측정하려면 트래픽 흐름 속성을 기반으로 요금이 청구되는 계정을 정의하는 개별 정책 항목을 생성합니다.
측정 정책 항목은 트래픽이 전송 게이트웨이를 통해 흐를 때 규칙 번호를 기반으로 순차적으로 평가되는 조건부 규칙으로 작동합니다. 각 항목은 "if-then" 문 역할을 합니다. 트래픽이 지정된 기준(예: 소스 연결 유형, 대상 CIDR 블록 또는 프로토콜)과 일치하면 지정된 계정에 요금을 청구합니다. 시스템은 가장 낮은 규칙 번호부터 가장 높은 규칙 번호까지 항목을 평가하며, 일치하는 첫 번째 항목은 해당 트래픽 흐름의 결제 계정을 결정합니다.
항목은 연결 유형(VPC, VPN, Direct Connect Gateway), 특정 연결 IDs, 소스 및 대상 CIDR 블록, 프로토콜 유형, 포트 범위 등 다양한 일치 기준을 지원합니다. 단일 항목 내에서 여러 기준을 결합하여 정확한 대상 지정 규칙을 생성할 수 있습니다. 예를 들어 VPC 연결의 모든 HTTPS 트래픽(포트 443)을 특정 대상 CIDR 범위로 일치시키고 해당 흐름을 보안 팀의 계정으로 청구하는 항목을 생성할 수 있습니다. 특정 트래픽 흐름과 일치하는 항목이 없는 경우 상위 측정 정책에 지정된 기본 측정 계정에 요금이 청구되어 모든 트래픽이 적절하게 청구됩니다. 항목을 생성하는 데 2시간의 청구 시간이 걸립니다.
**중요**
규칙 번호 신중하게 계획 - 나중에 삽입할 수 있도록 간격(예: 10, 20, 30)을 둡니다.
더 제한적인 규칙을 추가하기 전에 먼저 특정 조건이 낮은 항목을 테스트합니다.
특정 일치 조건을 사용하여 의도하지 않은 결제 방지
## 콘솔을 사용하여 측정 정책 항목 생성
측정 정책은 전송 게이트웨이의 기본 비용 할당 동작과 전역 설정을 정의합니다.
**콘솔을 사용하여 측정 정책 항목을 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **측정 정책을** 선택합니다.
1. 측정 정책 ID 링크를 선택하여 세부 정보를 확인합니다.
1. **측정 정책 항목** 탭을 선택합니다.
1. **측정 정책 항목 생성을** 선택합니다.
1. **정책 규칙 번호** - 평가 순서를 결정하는 고유 번호(1\$132,766)여야 합니다. 숫자가 작을수록 우선 순위가 높습니다.
1. **측정 계정** - 일치하는 트래픽 흐름에 대해 청구할 다음 계정 유형 중 하나를 선택합니다.
1. **소스 연결 소유자**
1. **대상 연결 소유자**
1. **전송 게이트웨이 연결 소유자**
1. (선택 사항) **규칙 조건** 선택 - 이러한 선택적 조건은 특정 트래픽과 일치하는 기준을 정의합니다.
+ **소스 연결 유형 또는 ID** - 연결 유형(VPC, VPN, Direct Connect Gateway, 피어링) 또는 ID를 기준으로 필터링합니다.
+ **대상 연결 유형 또는 ID** - 대상 연결 유형 또는 ID를 기준으로 필터링
+ **소스 CIDR 블록** - 특정 IP 범위의 트래픽 일치
+ **대상 CIDR 블록** - 트래픽을 특정 IP 범위와 일치시킵니다.
+ **소스 포트 범위** - 특정 소스 포트와 일치
+ **대상 포트 범위** - 특정 대상 포트와 일치
+ **프로토콜** - 규칙에 대한 프로토콜별 필터링(1, 6, 17 등)
1. **측정 정책 항목 생성을** 선택하여 구성을 저장합니다.
## 를 사용하여 측정 정책 항목 생성 AWS CLI
정책 항목은 트래픽 특성에 따라 비용 할당에 대한 특정 규칙을 정의합니다. 규칙은 가장 낮은 규칙 번호부터 가장 높은 규칙 번호까지 순서대로 평가됩니다.
필요한 파라미터:
+ `--transit-gateway-metering-policy-id` - 항목을 추가할 측정 정책의 ID입니다.
+ `--policy-rule-number` - 평가 순서를 결정하는 고유 번호(1\$132,766)
+ `--metered-account` - 지급인 유형(source-attachment-owner/ destination-attachment-owner/transit-gateway-owner)
선택적 파라미터:
특정 트래픽과 일치하는 기준을 정의하는 이러한 선택적 파라미터는 다음과 같습니다.
+ `--source-transit-gateway-attachment-id` - 소스 전송 게이트웨이 연결의 ID입니다.
+ `--source-transit-gateway-attachment-type` - 소스 전송 게이트웨이 연결의 유형입니다.
+ `--source-cidr-block` - 규칙의 소스 CIDR 블록입니다.
+ `--source-port-range` - 규칙의 소스 포트 범위입니다.
+ `--destination-transit-gateway-attachment-id` - 대상 전송 게이트웨이 연결의 ID입니다.
+ `--destination-transit-gateway-attachment-type` - 대상 전송 게이트웨이 연결의 유형입니다.
+ `--destination-cidr-block` - 규칙의 대상 CIDR 블록입니다.
+ `--destination-port-range` - 규칙의 대상 포트 범위입니다.
+ `--protocol` - 규칙의 프로토콜 번호
**를 사용하여 측정 정책 항목을 생성하려면 AWS CLI**
1. **create-transit-gateway-metering-policy-entry** 명령을 사용하여 VPC 트래픽을 특정 측정 계정으로 라우팅하는 새 정책 항목을 생성합니다.
```
aws ec2 create-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--policy-rule-number 100 \
--destination-transit-gateway-attachment-type vpc \
--metered-account destination-attachment-owner
```
이 명령은 VPC 연결로 향하는 트래픽과 일치하는 규칙 번호 100으로 정책 항목을 생성하고 해당 흐름에 대해 대상 연결 소유자에게 요금을 부과합니다.
1. 명령은 항목이 성공적으로 생성되면 다음 출력을 반환합니다.
```
{
"TransitGatewayMeteringPolicyEntry": {
"MeteredAccount": "destination-attachment-owner",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
},
"PolicyRuleNumber": 100,
"State": "available",
"UpdateEffectiveAt": "2025-11-06T02:00:00.000Z"
}
}
```
응답은 항목이 전송 게이트웨이 인프라에서 활성화되는 동안 "사용 가능" 상태로 생성되었음을 확인합니다.
# AWS Transit Gateway 측정 정책 항목 삭제
네트워크 트래픽 흐름에 특정 비용 할당 규칙이 더 이상 필요하지 않은 경우 측정 정책 항목을 삭제합니다. 항목 삭제는 전체 정책 구조를 유지하면서 오래된 규칙이나 불필요한 규칙을 제거하여 정책 관리를 간소화하는 데 도움이 됩니다. 항목을 삭제하면 이전에 삭제된 규칙과 일치한 트래픽이 규칙 번호 순서로 나머지 항목과 비교하여 평가되거나 다른 항목이 일치하지 않는 경우 기본 정책 동작으로 돌아갑니다.
항목을 삭제하기 전에 현재 결제 방식 및 트래픽 흐름에 미치는 영향을 고려하세요. 삭제되면 변경 사항이 적용되는 데 최대 2시간이 걸리고 실행 취소할 수 없으므로 영향을 받는 계정 소유자 및 재무 팀과 변경 사항을 조정합니다. 나머지 항목을 검토하여 삭제 후 트래픽 적용 범위와 결제 할당이 적절한지 확인합니다. 나머지 항목에 대한 규칙 평가 순서는 변경되지 않으며 트래픽 흐름을 계속할 때 예측 가능한 비용 할당 동작을 유지합니다.
**중요**
삭제는 되돌릴 수 없습니다.
이전에이 항목과 일치했던 트래픽은 나머지 항목과 비교하여 재평가됩니다.
나머지 항목을 검토하여 트래픽 범위가 적절한지 확인합니다.
## 콘솔을 사용하여 측정 정책 항목 삭제
콘솔을 사용하여 실수로 삭제되지 않도록 확인 대화 상자를 제공하는 직관적인 인터페이스를 통해 정책 항목을 제거합니다.
**콘솔을 사용하여 정책 항목을 삭제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **측정 정책을** 선택합니다.
1. 삭제할 항목이 포함된 측정 정책을 선택합니다.
1. 제거할 항목을 선택하고 **삭제**를 선택합니다.
1. 확인 대화 상자에서 항목 세부 정보를 검토하고 **delete**를 입력하여 제거를 확인합니다.
1. **삭제**를 선택하여 항목을 영구적으로 제거합니다.
## 를 사용하여 측정 정책 항목 삭제 AWS CLI
**delete-transit-gateway-metering-policy-entry** 명령을 사용하여 프로그래밍 방식으로 정책 항목을 제거합니다.
요구 사항:
+ 전송 게이트웨이 소유자 권한
+ 유효한 측정 정책 ID 및 항목 규칙 번호
필요한 파라미터:
+ `--transit-gateway-metering-policy-id` - 측정 정책의 ID
+ `--policy-rule-number` - 삭제할 항목의 규칙 번호입니다.
**AWS CLI를 사용하여 정책 항목을 보고 삭제하려면**
1. (선택 사항) **get-transit-gateway-metering-policy-entries** 명령을 사용하여 기존 정책 항목을 보고 현재 구성 설정을 확인합니다.
```
aws ec2 get-transit-gateway-metering-policy-entries \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg
```
이 명령은 지정된 정책에 대한 모든 항목을 반환하여 규칙 번호, 일치하는 기준 및 측정된 계정을 표시합니다.
1. **delete-transit-gateway-metering-policy-entry** 명령을 사용하여 정책 항목을 삭제하여 항목을 영구적으로 제거합니다.
```
aws ec2 delete-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--policy-rule-number 100
```
이 명령은 정책에서 지정된 항목을 영구적으로 제거합니다. 이전에이 항목과 일치했던 트래픽은 나머지 항목에 대해 즉시 재평가되거나 기본 정책 동작으로 돌아갑니다.
1. 명령은 항목이 성공적으로 삭제되면 다음 출력을 반환합니다.
```
{
"TransitGatewayMeteringPolicyEntry": [
{
"PolicyRuleNumber": 100,
"MeteredAccount": "destination-attachment-owner",
"UpdateEffectiveAt": "2024-01-01T01:00:00+00:00",
"state": "deleted",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
}
}
}
```
응답은 전송 게이트웨이 인프라에서 제거가 처리되는 동안 항목이 "삭제" 상태로 삭제되고 있음을 확인합니다.
# AWS Transit Gateway 측정 정책 미들박스 연결 관리
전송 게이트웨이 측정 정책은 미들박스 연결을 지원하므로 네트워크 방화벽 및 로드 밸런서와 같은 미들박스 어플라이언스를 통해 라우팅되는 네트워크 트래픽에 대한 데이터 처리 요금을 유연하게 할당할 수 있습니다. 미들박스 연결의 예로는 Network Firewall에 AWS 대한 Network Function 연결 또는 VPC의 타사 보안 어플라이언스로 트래픽을 라우팅하는 VPC 연결 등이 있습니다. 소스와 대상 전송 게이트웨이 연결 간의 트래픽은 일반적인 보안 검사 사용 사례에 대해 이러한 미들박스 연결을 통해 통과합니다. 원본 소스 연결, 최종 대상 연결 또는 전송 게이트웨이 계정 소유자에 대한 미들박스 연결에 데이터 처리 사용량을 유연하게 할당하도록 측정 정책을 정의할 수 있습니다. Network Function 연결의 경우 AWS Network Firewall 데이터 처리 요금도 측정된 계정에 할당됩니다.
보안 검사, 로드 밸런싱 또는 기타 네트워크 함수를 위해 네트워크 어플라이언스를 통해 트래픽을 라우팅하는 지정된 전송 게이트웨이 연결입니다. 미들박스 연결을 통과하는 트래픽의 데이터 사용량은 측정 정책에 지정된 계정 소유자에게 측정됩니다. 미들박스 연결은 최대 10개까지 지정할 수 있습니다. 지원되는 미들박스 연결 유형은 네트워크 함수(AWS 네트워크 방화벽), VPC 및 VPN 연결입니다.
**Topics**
+ [미들박스 연결 추가](create-middlebox-attachment.md)
+ [미들박스 연결 제거](edit-middlebox-attachment.md)
# AWS Transit Gateway 측정 정책 미들박스 연결 추가
미들박스 연결을 추가하여 네트워크 어플라이언스를 Transit Gateway 측정 정책에 통합할 수 있습니다. 이를 통해 세분화된 비용 할당 제어를 유지하면서 보안 어플라이언스, 로드 밸런서 또는 기타 네트워크 함수를 통해 특정 트래픽을 라우팅할 수 있습니다.
**중요**
미들박스 어플라이언스가 올바르게 구성되고 액세스 가능한지 확인
프로덕션 워크로드에 적용하기 전에 트래픽 라우팅 테스트
미들박스 성능을 모니터링하여 지연 시간 발생 방지
고가용성을 위한 적절한 장애 조치 동작 구성
## 콘솔을 사용하여 미들박스 연결 추가
**미들박스 연결 항목을 추가하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **측정 정책을** 선택합니다.
1. 측정 정책 ID 링크를 선택하여 세부 정보를 확인합니다.
1. **미들박스 첨부** 파일 탭을 선택합니다.
1. **추가**를 선택합니다.
1. 메시지가 표시되면 특수 결제를 위해 미들박스로 처리해야 하는 미들박스 연결 IDs를 선택합니다. 미들박스 연결을 최대 10개까지 선택할 수 있습니다.
1. **미들박스 연결 추가**를 선택하여 구성을 저장합니다.
## 를 사용하여 미들박스 연결 추가 AWS CLI
**modify-transit-gateway-metering-policy** 명령을 사용하여 첨부 파일을 추가합니다.
시작하기 전에 다음과 같은 필수 파라미터가 있는지 확인합니다.
+ `--transit-gateway-metering-policy-id` - 기존 측정 정책의 ID
+ `--add-middle-box-attachment-ids` - 정책에 추가할 하나 이상의 첨부 파일 IDs(첨부 파일 추가용)
**AWS CLI를 사용하여 기존 정책에 미들박스 연결을 추가하려면**
1. 다음 예제에서 **modify-transit-gateway-metering-policy**는 기존 측정 정책에 네 개의 미들박스 연결을 추가하는 데 사용됩니다. 명령은 현재 연결을 제거하지 않고 지정된 연결 IDs 기존 목록에 추가합니다.
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--add-middle-box-attachment-ids tgw-attach-0bdc681c211bf71f3 tgw-attach-0987654321fedcba0 tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. 다음 예제 응답에서 JSON 출력은 이제 네 개의 미들박스 연결이 모두 포함된 업데이트된 정책 구성을 보여줍니다.
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0",
"tgw-attach-0456789012345abcd",
"tgw-attach-0fedcba0987654321"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
# AWS Transit Gateway 측정 정책 미들박스 연결 제거
기본적으로 측정 비용은 미들박스 연결 소유자에게 귀속됩니다. 그러나 이러한 할당을 수정하여 비용이 트래픽의 실제 소스 또는 대상에 올바르게 할당되도록 할 수 있습니다. 측정 정책에 대해 최대 10개의 미들박스 연결을 추가하거나 제거할 수 있습니다.
## 콘솔을 사용하여 미들박스 연결 제거
Amazon VPC 콘솔을 사용하여 측정 정책 구성에서 미들박스 연결을 제거합니다.
**미들박스 연결을 제거하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **전송 게이트웨이**, **측정 정책을** 선택합니다.
1. 수정할 측정 정책을 선택합니다.
1. **미들박스 첨부** 파일 탭을 선택합니다.
1. 측정 정책에서 제거할 미들박스 연결을 최대 10개까지 선택합니다.
1. **** 제거를 선택합니다.
1. 메시지가 표시되면 선택한 미들박스 연결을 업데이트하여 제거할 수 있습니다. 제거된 첨부 파일을 통한 트래픽은 미들박스 첨부 파일 소유자에게 측정됩니다.
1. **미들박스 연결 제거**를 선택합니다.
## 를 사용하여 미들박스 연결 제거 AWS CLI
**modify-transit-gateway-metering-policy** 명령을 사용하여 첨부 파일을 제거합니다.
시작하기 전에 다음과 같은 필수 파라미터가 있는지 확인합니다.
+ `--transit-gateway-metering-policy-id` - 기존 측정 정책의 ID
+ `--remove-middle-box-attachment-ids` - 정책에서 제거할 하나 이상의 첨부 파일 IDs(첨부 파일 제거용)
**AWS CLI를 사용하여 기존 정책에서 미들박스 연결을 제거하려면**
1. 다음 예제에서 **modify-transit-gateway-metering-policy**는 기존 측정 정책에서 두 개의 특정 미들박스 연결을 제거하는 데 사용됩니다. 이 명령은 나머지 연결을 유지하면서 지정된 연결 IDs만 제거합니다.
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--remove-middle-box-attachment-ids tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. 다음 예제 응답에서 JSON 출력은 지정된 첨부 파일이 제거되고 나머지 첨부 파일이 여전히 활성 상태인 업데이트된 정책 구성을 보여줍니다.
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
**Topics**
+ [측정 정책](#metering-policies-main)
+ [측정 정책 생성](metering-policy-create-policy.md)
+ [측정 정책 관리](metering-policy-manage-policy.md)
+ [측정 정책 항목 생성](create-metering-policy-entry.md)
+ [측정 정책 항목 삭제](metering-policy-entry-delete.md)
+ [측정 정책 미들박스 연결 관리](metering-policy-middlebox.md)