기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Site-to-Site VPN를 사용한 프라이빗 IP Direct Connect
프라이빗 IP VPN을 사용하면 퍼블릭 IP 주소 또는 추가 타사 VPN 장비를 사용하지AWS않고도 온프레미스 네트워크와 간의 트래픽을 암호화하여Direct Connect를 통해 IPsec VPN을 배포할 수 있습니다.
를 통한 프라이빗 IP VPN의 주요 사용 사례 중 하나는 금융, 의료 및 연방 산업의 고객이 규제 및 규정 준수 목표를 달성할 수 있도록 지원하는Direct Connect것입니다. 를 통한 프라이빗 IP VPN은AWS와 온프레미스 네트워크 간의 트래픽이 안전하고 프라이빗이Direct Connect되도록 하여 고객이 규제 및 보안 규정을 준수할 수 있도록 합니다.
## 프라이빗 IP VPN의 이점
+ **간소화된 네트워크 관리 및 운영:** 프라이빗 IP VPN이 없으면 고객은 타사 VPN 및 라우터를 배포하여Direct Connect네트워크를 통해 프라이빗 VPNs 구현해야 합니다. 프라이빗 IP VPN 기능을 사용하면 고객이 자체 VPN 인프라를 배포하고 관리할 필요가 없습니다. 따라서 네트워크 운영이 간소화되고 비용이 절감됩니다.
+ **보안 태세 개선:** 이전에는 고객이 트래픽을 암호화하기 위해 퍼블릭Direct Connect가상 인터페이스(VIF)를 사용해야 했으며Direct Connect, 이를 위해서는 VPN 엔드포인트에 대한 퍼블릭 IP 주소가 필요합니다. 퍼블릭 IP를 사용하면 외부의 DOS 공격 가능성이 높아져 고객이 네트워크 보호를 위해 추가 보안 장비를 배포해야 합니다. 또한 퍼블릭 VIF는 모든AWS퍼블릭 서비스와 고객 온프레미스 네트워크 간에 액세스를 열어 위험의 심각도를 높입니다. 프라이빗 IP VPN 기능은 프라이빗 IP를 구성하는 기능과 함께Direct Connect전송 VIFs(퍼블릭 VIFs 대신)를 통한 암호화를 허용합니다. IPs 암호화 외에도 엔드 투 엔드 프라이빗 연결이 구현되어 전반적인 보안 태세가 개선됩니다.
+ **더 높은 라우팅 규모:** 프라이빗 IP VPN 연결은 현재 아웃바운드 경로 200개와 인바운드 경로 100개로 제한되어 있는Direct Connect단일 경로에 비해 더 높은 라우팅 제한(아웃바운드 경로 5,000개와 인바운드 경로 1,000개)을 제공합니다.
## 프라이빗 IP VPN의 작동 방식
프라이빗 IP Site-to-Site VPN은Direct Connect전송 가상 인터페이스(VIF)를 통해 작동합니다.Direct Connect게이트웨이와 전송 게이트웨이를 사용하여 온프레미스 네트워크를AWS VPC와 상호 연결합니다. 프라이빗 IP VPN 연결에는AWS측의 전송 게이트웨이와 온프레미스 측의 고객 게이트웨이 디바이스에 종료 지점이 있습니다. IPsec 터널의 전송 게이트웨이와 고객 게이트웨이 디바이스 종단 모두에 프라이빗 IP 주소를 할당할 수 있습니다. RFC1918 또는 RFC6598 프라이빗 IPv4 주소 범위에서 프라이빗 IP 주소를 사용할 수 있습니다.
전송 게이트웨이에 프라이빗 IP VPN을 연결합니다. 그런 다음 VPN 연결과 전송 게이트웨이에도 연결된 모든 VPC(또는 기타 네트워크) 간에 트래픽을 라우팅합니다. 이를 위해 라우팅 테이블을 VPN에 연결하면 됩니다. 반대 방향으로 VPC에 연결된 라우팅 테이블을 사용하여 VPC에서 프라이빗 IP VPN 연결로 트래픽을 라우팅할 수 있습니다.
VPN 연결과 연결된 라우팅 테이블은 기본Direct Connect연결과 연결된 라우팅 테이블과 같거나 다를 수 있습니다. 이를 통해 VPC와 온프레미스 네트워크 간에 암호화된 트래픽과 암호화되지 않은 트래픽을 동시에 라우팅할 수 있습니다.
VPN을 떠나는 트래픽 경로에 대한 자세한 내용은 *Direct Connect사용 설명서*의 [프라이빗 가상 인터페이스 및 전송 가상 인터페이스 라우팅 정책](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies)을 참조하세요.
## 사전 조건
다음 표에서는 Direct Connect를 통해 프라이빗 IP VPN을 생성하기 전의 사전 조건에 대해 설명합니다.
| 항목 | 단계(Steps) | 정보 |
| --- | --- | --- |
| Site-to-Site VPN에 대한 전송 게이트웨이를 준비합니다. | Amazon Virtual Private Cloud(VPC) 콘솔을 사용하거나 명령줄 또는 API를 사용하여 전송 게이트웨이를 생성합니다. *Amazon VPC Transit Gateways 설명서*에서 [전송 게이트웨이](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)를 참조하세요. | 전송 게이트웨이는 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다. 새 전송 게이트웨이를 생성하거나 기존 전송 게이트웨이를 프라이빗 IP VPN 연결에 사용할 수 있습니다. 전송 게이트웨이를 생성하거나 기존 전송 게이트웨이를 수정할 때 연결에 대한 프라이빗 IP CIDR 블록을 지정합니다. 프라이빗 IP VPN에 연결할 전송 게이트웨이 CIDR 블록을 지정할 때 CIDR 블록이 전송 게이트웨이의 다른 네트워크 연결에 대한 IP 주소와 겹치지 않도록 합니다. IP CIDR 블록이 겹치는 경우 고객 게이트웨이 디바이스에 구성 문제가 발생할 수 있습니다. |
| Site-to-Site VPN용Direct Connect게이트웨이를 생성합니다. | Direct Connect 콘솔을 사용하거나 명령줄 또는 API를 사용하여 Direct Connect 게이트웨이를 생성합니다. *Direct Connect사용 설명서*의 [AWS Direct Connect 게이트웨이 생성을](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) 참조하세요. | Direct Connect 게이트웨이를 사용하면 여러AWS리전에 걸쳐 가상 인터페이스(VIFs 연결할 수 있습니다. 이 게이트웨이는 VIF에 연결하는 데 사용됩니다. |
| Site-to-Site VPN에 대한 전송 게이트웨이 연결을 생성합니다. | Direct Connect 콘솔을 사용하거나 명령줄 또는 API를 사용하여 Direct Connect 게이트웨이와 전송 게이트웨이 간의 연결을 생성합니다. *Direct Connect사용 설명서*의 [전송 게이트웨이Direct Connect와 연결 또는 연결 해제](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)를 참조하세요. | Direct Connect게이트웨이를 생성한 후 게이트웨이에 대한 전송Direct Connect게이트웨이 연결을 생성합니다. 허용된 접두사 목록에서 이전에 식별된 전송 게이트웨이에 대한 프라이빗 IP CIDR을 지정합니다. |
**Topics**
+ [프라이빗 IP VPN의 이점](#private-ip-dx-features)
+ [프라이빗 IP VPN의 작동 방식](#private-ip-dx-how)
+ [사전 조건](#private-ip-dx-prereqs)
+ [Direct Connect를 통해 프라이빗 IP VPN 생성](private-ip-dx-steps.md)
# 를 AWS Site-to-Site VPN 통해 프라이빗 IP 생성 Direct Connect
를 사용하여 프라이빗 IP VPN을 생성하려면 다음 단계를 Direct Connect 따릅니다. Direct Connect를 통해 프라이빗 IP VPN을 생성하기 전에 먼저 전송 게이트웨이와 Direct Connect 게이트웨이가 생성되었는지 확인해야 합니다. 두 게이트웨이를 생성한 후 두 게이트웨이 간에 연결을 생성해야 합니다. 이러한 사전 조건은 다음 표에 설명되어 있습니다. 두 게이트웨이를 생성하고 연결한 후에는 해당 연결을 사용하여 VPN 고객 케이터웨이와 연결을 생성합니다.
## 사전 조건
다음 표에서는 Direct Connect를 통해 프라이빗 IP VPN을 생성하기 전의 사전 조건에 대해 설명합니다.
| 항목 | 단계(Steps) | 정보 |
| --- | --- | --- |
| Site-to-Site VPN에 대한 전송 게이트웨이를 준비합니다. | Amazon Virtual Private Cloud (VPC) 콘솔을 사용하거나 명령줄 또는 API를 사용하여 전송 게이트웨이를 생성합니다. *Amazon VPC Transit Gateways 설명서*에서 [전송 게이트웨이](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)를 참조하세요. | 전송 게이트웨이는 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다. 새 전송 게이트웨이를 생성하거나 기존 전송 게이트웨이를 프라이빗 IP VPN 연결에 사용할 수 있습니다. 전송 게이트웨이를 생성하거나 기존 전송 게이트웨이를 수정할 때 연결에 대한 프라이빗 IP CIDR 블록을 지정합니다. 프라이빗 IP VPN에 연결할 전송 게이트웨이 CIDR 블록을 지정할 때 CIDR 블록이 전송 게이트웨이의 다른 네트워크 연결에 대한 IP 주소와 겹치지 않도록 합니다. IP CIDR 블록이 겹치는 경우 고객 게이트웨이 디바이스에 구성 문제가 발생할 수 있습니다. |
| Site-to-Site VPN용 Direct Connect 게이트웨이를 생성합니다. | Direct Connect 콘솔을 사용하거나 명령줄 또는 API를 사용하여 Direct Connect 게이트웨이를 생성합니다. *Direct Connect 사용 설명서*의 [AWS Direct Connect 게이트웨이 생성을](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) 참조하세요. | Direct Connect 게이트웨이를 사용하면 여러 AWS 리전에서 가상 인터페이스(VIFs 연결할 수 있습니다. 이 게이트웨이는 VIF에 연결하는 데 사용됩니다. |
| Site-to-Site VPN에 대한 전송 게이트웨이 연결을 생성합니다. | Direct Connect 콘솔을 사용하거나 명령줄 또는 API를 사용하여 Direct Connect 게이트웨이와 전송 게이트웨이 간의 연결을 생성합니다. *Direct Connect 사용 설명서*의 [전송 게이트웨이 Direct Connect 와 연결 또는 연결 해제](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)를 참조하세요. | Direct Connect 게이트웨이를 생성한 후 게이트웨이에 대한 전송 Direct Connect 게이트웨이 연결을 생성합니다. 허용된 접두사 목록에서 이전에 식별된 전송 게이트웨이에 대한 프라이빗 IP CIDR을 지정합니다. |
## 고객 게이트웨이 및 Site-to-Site VPN 연결 생성
고객 게이트웨이는 사용자가 생성하는 리소스입니다 AWS. 이는 온프레미스 네트워크의 고객 게이트웨이 디바이스를 나타냅니다. 고객 게이트웨이를 생성할 때 디바이스에 대한 정보를 제공합니다 AWS. 자세한 내용은 [고객 게이트웨이](how_it_works.md#CustomerGateway) 섹션을 참조하세요.
**콘솔을 사용하여 고객 게이트웨이를 생성하는 방법**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **고객 게이트웨이**를 선택합니다.
1. **고객 게이트웨이 생성**을 선택합니다.
1. (선택 사항) **이름 태그**에 고객 게이트웨이 이름을 입력합니다. 이렇게 하면 `Name` 키와 지정한 값으로 태그가 생성됩니다.
1. **BGP ASN**에 고객 게이트웨이의 경계 경로 프로토콜(BGP) 자율 시스템 번호(ASN)를 입력합니다.
1. **IP 주소(IP address)**에 고객 게이트웨이 디바이스의 프라이빗 IP 주소를 입력합니다.
**중요**
AWS 프라이빗 IP AWS Site-to-Site VPN를 구성할 때는 RFC 1918 주소를 사용하여 자체 터널 엔드포인트 IP 주소를 지정해야 합니다. 고객 게이트웨이 라우터와 Direct Connect 엔드포인트 간의 eBGP 피어링에 point-to-point IP 주소를 사용하지 마세요.는 point-to-point 연결 대신 고객 게이트웨이 라우터의 루프백 또는 LAN 인터페이스를 소스 또는 대상 주소로 사용하는 것이 AWS 좋습니다.
RFC 1918에 대한 자세한 내용은 [프라이빗 인터넷의 주소 할당](https://datatracker.ietf.org/doc/html/rfc1918)을 참조하세요.
1. (선택 사항) **디바이스(Device)**에 이 고객 게이트웨이를 호스트하는 디바이스의 이름을 입력합니다.
1. **고객 게이트웨이 생성**을 선택합니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. **VPN 연결 생성(Create VPN connection)**을 선택합니다.
1. (선택 사항) **이름 태그**에 Site-to-Site VPN 연결의 이름을 입력합니다. `Name` 키와 지정한 값으로 태그가 생성됩니다.
1. **대상 게이트웨이 유형(Target gateway type)**에서 **전송 게이트웨이(Transit gateway)**를 선택합니다. 그런 다음 이전에 식별한 전송 게이트웨이를 선택합니다.
1. **고객 게이트웨이(Customer gateway)**에서 **기존(Existing)**을 선택합니다. 그런 다음 이전에 생성한 고객 게이트웨이를 선택합니다.
1. 고객 게이트웨이 디바이스에서 BGP(Border Gateway Protocol)를 지원하는지 여부에 따라 라우팅 옵션 중 하나를 선택합니다.
+ 고객 게이트웨이 디바이스가 BGP를 지원하는 경우 **동적(BGP 필요)**을 선택합니다.
+ 고객 게이트웨이 디바이스가 BGP를 지원하지 않는 경우 **정적**을 선택합니다.
1. **터널 내부 IP 버전**에서 VPN 터널이 IPv4 트랙을 지원하는지 아니면 IPv6 트래픽을 지원하는지 지정합니다.
1. (선택 사항) **IP 버전 내에서 터널**용 **IPv4**를 지정한 경우 선택적으로 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이 및 AWS 측의 IPv4 CIDR 범위를 지정할 수 있습니다. 기본값은 `0.0.0.0/0`입니다.
**IP 버전 내에서 터널**용 **IPv6**를 지정한 경우 선택적으로 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이 및 AWS 측의 IPv6 CIDR 범위를 지정할 수 있습니다. 두 범위의 기본값은 `::/0`입니다.
1. **외부 IP 주소 유형**에서 **PrivateIpv4**를 선택합니다.
1. **전송 연결 ID**에서 적절한 게이트웨이에 대한 전송 Direct Connect 게이트웨이 연결을 선택합니다.
1. **VPN 연결 생성**을 선택합니다.
**참고**
**가속화 활성화(Enable acceleration)** 옵션은 Direct Connect를 통한 VPN 연결에는 적용되지 않습니다.
**명령줄 또는 API를 사용하여 고객 게이트웨이를 생성하는 방법**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(Amazon EC2 쿼리 API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html)(AWS CLI)