기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Site-to-Site VPN 아키텍처 시나리오
<a name="site-site-architectures"></a>

다음은 하나 이상의 고객 게이트웨이 디바이스를 사용하여 여러 VPN 연결을 만들 수 있는 시나리오입니다.

**동일한 고객 게이트웨이 디바이스를 사용하여 여러 VPN 연결**  
온프레미스 위치에서 동일한 고객 게이트웨이 디바이스를 사용하여 다른 VPC에 대한 VPN 연결을 추가로 생성할 수 있습니다. 이러한 VPN 연결 각각에 대해 동일한 고객 게이트웨이 IP 주소를 재사용할 수 있습니다.

**여러 고객 게이트웨이 디바이스를 단일 가상 프라이빗 게이트웨이에 연결(Site-to-Site VPN CloudHub)**  
여러 고객 게이트웨이 디바이스에서 단일 가상 프라이빗 게이트웨이로 VPN 연결을 여러 개 설정할 수 있습니다. 이렇게 하면 AWS VPN CloudHub에 여러 위치를 연결할 수 있습니다. 자세한 내용은 [VPN CloudHub를 사용한 AWS Site-to-Site VPN 연결 간 보안 통신](VPN_CloudHub.md) 단원을 참조하십시오. 고객 게이트웨이 디바이스가 여러 지리적 위치에 분산되어 있을 때, 각 디바이스는 해당 위치에 특정한 고유의 IP 범위 집합을 공고해야 합니다.

**두 번째 고객 게이트웨이 디바이스를 사용하여 중복 VPN 연결**  
고객 게이트웨이 디바이스를 사용할 수 없을 때 연결이 끊어지지 않도록 두 번째 고객 게이트웨이 디바이스를 사용하여 두 번째 VPN 연결을 설정할 수 있습니다. 자세한 내용은 [장애 조치를 위한 중복 AWS Site-to-Site VPN 연결](vpn-redundant-connection.md) 단원을 참조하십시오. 단일 위치에 중복 고객 게이트웨이 디바이스를 설정하는 경우 두 디바이스가 모두 같은 IP 범위를 공고해야 합니다.

다음은 일반적인 Site-to-Site VPN 아키텍처입니다.
+ [단일 및 다중 VPN 연결 예](Examples.md)
+ [장애 조치를 위한 중복 AWS Site-to-Site VPN 연결](vpn-redundant-connection.md)
+ [VPN CloudHub를 사용한 VPN 연결 간 보안 통신](VPN_CloudHub.md)

# AWS Site-to-Site VPN 단일 및 다중 VPN 연결 예
<a name="Examples"></a>

다음 다이어그램은 단일 및 다중 Site-to-Site VPN 연결을 보여 줍니다.

**Topics**
+ [단일 Site-to-Site VPN 연결](#SingleVPN)
+ [전송 게이트웨이를 통한 단일 Site-to-Site VPN 연결](#SingleVPN-transit-gateway)
+ [다중 Site-to-Site VPN 연결](#MultipleVPN)
+ [전송 게이트웨이를 통한 다중 Site-to-Site VPN 연결](#MultipleVPN-transit-gateway)
+ [로 Site-to-Site VPN 연결Direct Connect](#vpn-direct-connect)
+ [Direct Connect로 프라이빗 IP Site-to-Site VPN 연결](#private-ip-direct-connect)

## 단일 Site-to-Site VPN 연결
<a name="SingleVPN"></a>

VPC에는 가상 프라이빗 게이트웨이가 연결되어 있고, 온프레미스(원격) 네트워크에는 고객 게이트웨이 디바이스가 있습니다. 이 고객 게이트웨이 디바이스는 VPN 연결을 사용하도록 구성해야 합니다. 네트워크로 바인딩되는 VPC의 모든 트래픽이 가상 프라이빗 게이트웨이로 전송되도록 VPC 라우팅 테이블을 업데이트해야 합니다.

![\[연결된 가상 프라이빗 게이트웨이와 온프레미스 네트워크에 대한 VPN 연결이 있는 VPC.\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)


이 시나리오를 설정하는 단계는 [시작하기 AWS Site-to-Site VPN](SetUpVPNConnections.md) 단원을 참조하십시오.

## 전송 게이트웨이를 통한 단일 Site-to-Site VPN 연결
<a name="SingleVPN-transit-gateway"></a>

VPC에는 전송 게이트웨이가 연결되어 있고, 온프레미스(원격) 네트워크에는 고객 게이트웨이 디바이스가 있습니다. 이 고객 게이트웨이 디바이스는 VPN 연결을 사용하도록 구성해야 합니다. 네트워크로 바인딩되는 VPC의 모든 트래픽이 전송 게이트웨이로 전송되도록 VPC 라우팅 테이블을 업데이트해야 합니다.

![\[전송 게이트웨이를 통한 단일 Site-to-Site VPN 연결.\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)


이 시나리오를 설정하는 단계는 [시작하기 AWS Site-to-Site VPN](SetUpVPNConnections.md) 단원을 참조하십시오.

## 다중 Site-to-Site VPN 연결
<a name="MultipleVPN"></a>

VPC에는 가상 프라이빗 게이트웨이가 연결되어 있고, 여러 온프레미스 위치에 여러 Site-to-Site VPN 연결이 있습니다. 네트워크로 바인딩되는 VPC의 모든 트래픽이 가상 프라이빗 게이트웨이로 라우팅되도록 라우팅을 설정합니다.

![\[다중 Site-to-Site VPN 레이아웃\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/branch-offices-vgw.png)


단일 VPC에 대해 여러 Site-to-Site VPN 연결을 생성할 때 같은 외부 위치에 대해 중복 연결을 생성하도록 두 번째 고객 게이트웨이를 구성할 수 있습니다. 자세한 내용은 [장애 조치를 위한 중복 AWS Site-to-Site VPN 연결](vpn-redundant-connection.md) 섹션을 참조하세요.

이 시나리오를 사용하여 여러 지리적 위치에 대한 Site-to-Site VPN 연결을 만들고 사이트 간에 안전한 통신을 제공할 수도 있습니다. 자세한 내용은 [VPN CloudHub를 사용한 AWS Site-to-Site VPN 연결 간 보안 통신](VPN_CloudHub.md) 섹션을 참조하세요.

## 전송 게이트웨이를 통한 다중 Site-to-Site VPN 연결
<a name="MultipleVPN-transit-gateway"></a>

VPC에는 전송 게이트웨이가 연결되어 있고, 여러 온프레미스 위치에 여러 Site-to-Site VPN 연결이 있습니다. 네트워크로 바인딩되는 VPC의 모든 트래픽이 전송 게이트웨이로 라우팅되도록 라우팅을 설정합니다.

![\[전송 게이트웨이를 통한 다중 Site-to-Site VPN 연결\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/branch-offices-tgw.png)


단일 전송 게이트웨이에 대해 여러 Site-to-Site VPN 연결을 생성할 때 같은 외부 위치에 대해 중복 연결을 생성하도록 두 번째 고객 게이트웨이를 구성할 수 있습니다.

이 시나리오를 사용하여 여러 지리적 위치에 대한 Site-to-Site VPN 연결을 만들고 사이트 간에 안전한 통신을 제공할 수도 있습니다.

## 로 Site-to-Site VPN 연결Direct Connect
<a name="vpn-direct-connect"></a>

VPC에는 연결된 가상 프라이빗 게이트웨이가 있으며 를 통해 온프레미스(원격) 네트워크에 연결됩니다AWS Direct Connect 가상 프라이빗 게이트웨이를 통해 네트워크와 퍼블릭 AWS 리소스 간에 전용 네트워크 연결을 설정하도록 Direct Connect 퍼블릭 가상 인터페이스를 구성할 수 있습니다. 네트워크에 바인딩된 VPC의 모든 트래픽이 가상 프라이빗 게이트웨이 및 Direct Connect 연결로 라우팅되도록 경로를 설정합니다.

![\[로 Site-to-Site VPN 연결Direct Connect\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/vpn-direct-connect.png)


Direct Connect와 VPN 연결이 모두 동일한 가상 프라이빗 게이트웨이에 설정된 경우 객체를 추가하거나 제거하면 가상 프라이빗 게이트웨이가 '연결 중' 상태로 전환될 수 있습니다. 이는 중단 및 패킷 손실을 최소화하기 위해 Direct Connect와 VPN 연결 간에 전환되는 내부 라우팅이 변경되고 있음을 나타냅니다. 이 작업이 완료되면 가상 프라이빗 게이트웨이는 '연결됨' 상태로 돌아갑니다.

## Direct Connect로 프라이빗 IP Site-to-Site VPN 연결
<a name="private-ip-direct-connect"></a>

프라이빗 IP Site-to-Site VPN을 통해, 퍼블릭 IP 주소를 사용하지 않고 온프레미스 네트워크와 AWS 간의 Direct Connect 트래픽을 암호화할 수 있습니다. Direct Connect를 통한 프라이빗 IP VPN을 사용하면 AWS와 온프레미스 네트워크 간의 트래픽이 프라이빗 연결로 안전하게 제공되므로 고객이 규제 및 보안 규정을 준수할 수 있습니다.

![\[Direct Connect로 프라이빗 IP Site-to-Site VPN 연결\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/private-ip-dx.png)


자세한 내용은 블로그 게시물 [AWS Site-to-Site VPN 프라이빗 IP VPN 소개](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/)를 참조하세요.

# VPN CloudHub를 사용한 AWS Site-to-Site VPN 연결 간 보안 통신
<a name="VPN_CloudHub"></a>

 AWS Site-to-Site VPN 연결이 여러 개인 경우 AWS VPN CloudHub를 사용하여 사이트 간에 보안 통신을 제공할 수 있습니다. 이를 통해 사이트가 VPC의 리소스 뿐만 아니라 서로 통신할 수 있습니다. VPN CloudHub는 VPC와 함께 또는 VPC 없이 사용할 수 있는 간단한 허브 앤 스포크 모델에서 작동합니다. 이러한 설계는 여러 지사가 있고 기존 인터넷 연결을 사용하는 사용자가 사이트 간에 기본 또는 백업 연결을 위해 편리하고도 경제적인 허브 앤 스포크 모델을 구현하고자 할 때 적합합니다.

## 개요
<a name="vpn-cloudhub-overview"></a>

다음 다이어그램은 VPN CloudHub의 아키텍처입니다. 점선은 VPN 연결을 통해 라우팅되는 원격 사이트 간의 네트워크 트래픽을 보여줍니다. 사이트의 IP 범위가 서로 중복되어서는 안 됩니다.

![\[CloudHub 아키텍처 다이어그램\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/AWS_VPN_CloudHub-diagram.png)


이 시나리오의 경우 다음을 수행합니다.

1. 단일 가상 프라이빗 게이트웨이를 생성합니다.

1. 각각 게이트웨이의 퍼블릭 IP 주소를 사용하여 여러 고객 게이트웨이를 만듭니다. 각 고객 게이트웨이의 고유한 BGP(Border Gateway Protocol) ASN(자율 시스템 번호)을 사용해야 합니다.

1. 각 고객 게이트웨이에서 공통 가상 프라이빗 게이트웨이로 동적으로 라우팅된 Site-to-Site VPN 연결을 생성합니다.

1. 사이트에 특정한 접두사(예: 10.0.0.0/24, 10.0.1.0/24)를 가상 프라이빗 게이트웨이에 알리도록 고객 게이트웨이 디바이스를 구성합니다. 이처럼 라우팅을 공급하면 각 BGP 피어에서 이를 수신하여 다시 공급함으로써 각 사이트는 다른 사이트와 데이터를 주고받을 수 있습니다. 그러기 위해서 Site-to-Site VPN 연결에 사용되는 VPN 구성 파일에 네트워크 명령문을 사용합니다. 네트워크 명령문은 사용하는 라우터 유형에 따라 약간 다릅니다.

1. VPC의 인스턴스가 사이트와 통신할 수 있도록 서브넷 라우팅 테이블의 경로를 구성합니다. 자세한 내용은 [(가상 프라이빗 게이트웨이) 라우팅 테이블에서 라우팅 전파 활성화](SetUpVPNConnections.md#vpn-configure-routing) 단원을 참조하십시오. 라우팅 테이블에서 집계 경로를 구성할 수 있습니다(예: 10.0.0.0/16). 고객 게이트웨이 디바이스와 가상 프라이빗 게이트웨이 간에 보다 구체적인 접두사를 사용하십시오.

가상 프라이빗 게이트웨이에 대한 Direct Connect 연결을 사용하는 사이트도 AWS VPN CloudHub의 일부가 될 수 있습니다. 예를 들어, 뉴욕 본사에서는 VPC에 대해 Direct Connect 연결을 설정할 수 있고, 지사에서는 VPC에 대해 Site-to-Site VPN 연결을 사용할 수 있습니다. 로스앤젤레스와 마이애미의 지사는 AWS VPN CloudHub를 사용하여 서로, 그리고 본사와 데이터를 주고받을 수 있습니다.

## 가격 책정
<a name="vpn-cloudhub-pricing"></a>

 AWS VPN CloudHub를 사용하려면 일반적인 Amazon VPC Site-to-Site VPN 연결 요금을 지불합니다. 각 VPN이 가상 프라이빗 게이트웨이로 연결될 때 시간당 연결 요금이 청구됩니다. AWS VPN CloudHub를 사용하여 한 사이트에서 다른 사이트로 데이터를 전송하는 경우 사이트에서 가상 프라이빗 게이트웨이로 데이터를 전송하는 데 드는 비용은 없습니다. 가상 프라이빗 게이트웨이에서 엔드포인트까지 릴레이되는 데이터의 스탠다드 AWS 데이터 전송 요금만 청구됩니다.

예를 들어, 로스앤젤레스에 한 사이트, 뉴욕에 두 번째 사이트가 있으며 두 사이트에 모두 가상 프라이빗 게이트웨이에 대한 Site-to-Site VPN 연결이 설정되어 있는 경우, 각 Site-to-Site VPN 연결에 대해 시간당 요금이 청구됩니다(요금이 시간당 0.05 USD인 경우 시간당 총 0.10 USD). 또한 각 Site-to-Site VPN 연결을 통과하는 로스앤젤레스에서 뉴욕으로(그 반대의 경우도 마찬가지) 전송하는 모든 데이터에 대해 표준 AWS 데이터 전송 요금을 지불합니다. Site-to-Site VPN 연결을 통해 가상 프라이빗 게이트웨이로 전송되는 네트워크 트래픽은 무료이지만 가상 프라이빗 게이트웨이에서 엔드포인트로 Site-to-Site VPN 연결을 통해 전송되는 네트워크 트래픽은 표준 AWS 데이터 전송 속도로 청구됩니다.

자세한 내용은 [Site-to-Site VPN 연결 요금](https://aws.amazon.com/vpn/pricing/)을 참조하십시오.

# 장애 조치를 위한 중복 AWS Site-to-Site VPN 연결
<a name="vpn-redundant-connection"></a>

고객 게이트웨이 디바이스를 사용할 수 없을 때 연결이 끊어지지 않도록 두 번째 고객 게이트웨이 디바이스를 추가하여 VPC와 가상 프라이빗 게이트웨이에 대한 두 번째 Site-to-Site VPN 연결을 설정할 수 있습니다. 중복 VPN 연결 및 고객 게이트웨이 디바이스를 사용하면 디바이스 중 하나에서 유지 관리를 수행하는 동안에도 두 번째 VPN 연결을 통해 트래픽이 계속 전송됩니다.

다음 다이어그램은 두 VPN 연결을 보여줍니다. 각 VPN 연결에는 자체 터널과 자체 고객 게이트웨이가 있습니다.

![\[동일한 온프레미스 네트워크를 위한 두 개의 고객 게이트웨이에 대한 중복 VPN 연결입니다.\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/images/Multiple_Gateways_diagram.png)


이 시나리오의 경우 다음을 수행합니다.
+ 동일한 가상 프라이빗 게이트웨이를 사용하고 새 고객 게이트웨이를 생성하여 두 번째 Site-to-Site VPN 연결을 설정합니다. 두 번째 Site-to-Site VPN 연결에 사용되는 고객 게이트웨이 IP 주소는 공개적으로 액세스할 수 있어야 합니다.
+ 두 번째 고객 게이트웨이 디바이스를 구성합니다. 두 디바이스 모두 동일한 IP 범위를 가상 프라이빗 게이트웨이에 보급해야 합니다. BGP 라우팅을 사용하여 트래픽의 경로를 결정합니다. 한 고객 게이트웨이 디바이스에 장애가 발생하면 가상 프라이빗 게이트웨이가 모든 트래픽을 작동 중인 고객 게이트웨이 디바이스로 보냅니다.

동적으로 라우팅되는 Site-to-Site VPN 연결은 BGP(Border Gateway Protocol)를 사용하여 고객 게이트웨이와 가상 프라이빗 게이트웨이 간에 라우팅 정보를 교환합니다. 고정으로 라우팅되는 Site-to-Site VPN 연결에서는 고객 게이트웨이의 사용자 측 원격 네트워크의 고정 경로를 입력해야 합니다. BGP를 통해 알려지고 고정으로 입력된 경로 정보를 사용하여 양 측의 게이트웨이는 사용 가능한 터널을 확인하고 오류가 발생할 경우 트래픽을 다시 라우팅할 수 있습니다. BGP(사용 가능한 경우)에서 제공한 라우팅 정보를 사용하여 사용 가능한 경로를 선택하도록 네트워크를 구성하는 것이 좋습니다. 네트워크의 아키텍처에 따라 정확한 구성이 결정됩니다.

고객 게이트웨이 및 Site-to-Site VPN 연결 생성 및 구성에 대한 자세한 내용은 [시작하기 AWS Site-to-Site VPN](SetUpVPNConnections.md) 단원을 참조하십시오.