기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 작업AWS Site-to-Site VPN
Amazon VPC 콘솔 또는AWS CLI를 사용하여 Site-to-Site VPN 리소스 관련 작업을 수행할 수 있습니다.
**Topics**
+ [VPN Concentrator 생성 및 관리](create-manage-vpn-concentrators.md)
+ [VPN 연결 생성](create-vpn-connection.md)
+ [VPN 연결 테스트](HowToTestEndToEnd_Linux.md)
+ [VPN 연결 및 게이트웨이 삭제](delete-vpn.md)
+ [VPN 연결의 대상 게이트웨이 수정](modify-vpn-target.md)
+ [VPN 연결 옵션 수정](modify-vpn-connection-options.md)
+ [VPN 터널 옵션 수정](modify-vpn-tunnel-options.md)
+ [VPN 연결의 정적 경로 편집](vpn-edit-static-routes.md)
+ [VPN 연결의 고객 게이트웨이 변경](change-vpn-cgw.md)
+ [손상된 자격 증명 교체](CompromisedCredentials.md)
+ [VPN 터널 엔드포인트 인증서 교체](rotate-vpn-certificate.md)
+ [Direct Connect를 사용한 프라이빗 IP VPN](private-ip-dx.md)
# AWS Site-to-Site VPN Concentrator 생성 및 관리
Site-to-Site VPN Concentrators를 사용하면 원격 사이트에서 여러 VPN 연결을 집계하고 관리할 수 있으므로 중앙 집중식 관리가 가능합니다.
Site-to-Site VPN Concentrators를 생성한 후 Amazon VPC 콘솔의 Site-to-Site VPN Concentrators 기본 페이지에서 이를 보고 관리할 수 있습니다. 이 대시보드에는 AWS와 원격 사이트 간의 보안 연결을 관리하는 모든 활성 VPN Concentrator가 표시됩니다.
**Topics**
+ [VPN 집중기 생성](create-vpn-concentrator.md)
+ [VPN Concentrator 태그 관리](manage-vpn-concentrator-tags.md)
+ [VPN 집중기 삭제](delete-vpn-concentrator.md)
# AWS Site-to-Site VPN 집중기 생성
Amazon VPC 콘솔, APIs 또는를 사용하여 Concentrator를 생성합니다 AWS CLI. Concentrator를 생성하기 전에 먼저 Concentrator와 연결할 전송 게이트웨이를 생성해야 합니다. 전송 게이트웨이 생성에 대한 자세한 내용은 *Amazon VPC AWS * [Transit Gateway 안내서의 전송 게이트웨이 생성을](https://docs.aws.amazon.com/vpc/latest/tgw/create-tgw.html) 참조하세요.
## 콘솔을 사용하여 Site-to-Site VPN Concentrator 생성
AWS 관리 콘솔을 사용하여 Site-to-Site VPN Concentrator를 생성하려면 다음 단계를 따릅니다.
**콘솔을 사용하여 Site-to-Site VPN Concentrator를 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN Concentrators**를 선택합니다.
1. **Site-to-Site VPN Concentrator 생성을** 선택합니다.
1. (선택 사항) **이름 태그**에 Site-to-Site VPN Concentrator의 이름을 입력합니다.
1. **전송 게이트웨이**에서 기존 전송 게이트웨이를 선택합니다.
1. (선택 사항) Site-to-Site VPN Concentrator를 식별하고 구성하는 데 도움이 되는 태그를 추가합니다.
1. **새로운 태그 추가**를 선택합니다.
1. **키**에 태그 키(예: **Name**)를 입력합니다.
1. **값에** 태그 값(예: **Production-VPN-Concentrator**)을 입력합니다.
1. 이전 단계를 반복하여 필요에 따라 태그를 추가합니다.
1. **Site-to-Site VPN Concentrator 생성을** 선택합니다.
생성 후 Site-to-Site VPN Concentrator는 프로비저닝되는 동안 `pending` 상태가 됩니다. 준비가 되면 상태가 로 변경`available`되고 Site-to-Site VPN Concentrator를 사용하는 VPN 연결 생성을 시작할 수 있습니다.
## CLI를 사용하여 Site-to-Site VPN Concentrator 생성
CLI를 사용하여 Site-to-Site VPN Concentrator를 생성하기 전에 다음이 있는지 확인합니다.
+ AWS 계정의 기존 Transit Gateway
+ Site-to-Site VPN Concentrator를 생성하기 위한 적절한 IAM 권한
+ Concentrator를 연결하려는 Transit Gateway의 ID입니다.
다음 예시에서는 지정된 전송 게이트웨이에 대한 Site-to-Site VPN Concentrator를 생성합니다.
```
aws ec2 create-vpn-concentrator --transit-gateway-id tgw-123456789
```
다음은 성공적인 응답을 보여줍니다.
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "pending",
"TransitGatewayId": "tgw-123456789",
"CreationTime": "2025-09-29T17:26:31.000Z",
"Tags": []
}
}
```
## API를 사용하여 Site-to-Site VPN Concentrator 생성
CreateVpnConcentrators API를 사용하여 Site-to-Site VPN Concentrator를 생성할 수 있습니다. CreateVpnConcentrators
API는 다음 키 파라미터를 허용합니다.
`TransitGatewayId`
Site-to-Site VPN Concentrator를 연결할 Transit Gateway의 ID입니다.
`TagSpecification`
리소스 구성 및 결제를 위해 Site-to-Site VPN Concentrator에 할당할 태그입니다.
다음 예제에서는 Transit Gateway에 연결된 Site-to-Site VPN Concentrator를 생성하는 방법을 보여줍니다.
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConcentrator
&Version=2016-11-15
&TransitGatewayId=tgw-0123456789abcdef0
&TagSpecification.1.ResourceType=vpn-concentrator
&TagSpecification.1.Tag.1.Key=Name
&TagSpecification.1.Tag.1.Value=MyVpnConcentrator
```
성공적으로 생성되면 API는 새로 생성된 Site-to-Site VPN Concentrator에 대한 세부 정보를 반환합니다.
```
12345678-1234-1234-1234-123456789012
vcn-0123456789abcdef0
pending
tgw-0123456789abcdef0
2024-01-15T10:30:00.000Z
-
Name
MyVpnConcentrator
```
# AWS Site-to-Site VPN Concentrator 태그 관리
태그는 Site-to-Site VPN Concentrator를 구성하고 관리하는 데 도움이 되는 키-값 페어입니다. 태그를 사용하여 용도, 환경, 비용 센터 또는 조직에 적합한 기타 기준에 따라 Site-to-Site VPN Concentrator를 분류할 수 있습니다.
## 콘솔을 사용하여 태그 관리
AWS관리 콘솔을 사용하여 Site-to-Site VPN Concentrator에 대한 태그를 추가하거나 삭제할 수 있습니다.
**Site-to-Site VPN Concentrator에 태그를 추가하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN Concentrators**를 선택합니다.
1. 태그를 지정할 Site-to-Site VPN Concentrator를 선택합니다.
1. **태그** 탭을 선택합니다.
1. **태그 관리**를 선택합니다.
1. **새로운 태그 추가**를 선택합니다.
1. **키**에 태그 키(예: **Environment**)를 입력합니다.
1. **값에** 태그 값(예: **Production**)을 입력합니다.
1. **변경 사항 저장**을 선택합니다.
**Site-to-Site VPN Concentrator에서 태그를 삭제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN Concentrators를 선택합니다.**
1. 태그를 제거할 Site-to-Site VPN Concentrator를 선택합니다.
1. **태그** 탭을 선택합니다.
1. **태그 관리**를 선택합니다.
1. 제거할 각 태그에 대해 **제거**를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
## CLI를 사용하여 태그 관리
를 사용하여 태그를 추가, 수정 또는 제거할 수 있습니다AWS CLI.
**태그 추가**
다음 예시에서는 Site-to-Site VPN Concentrator에 태그를 추가합니다.
```
aws ec2 create-tags --resources vcn-0123456789abcdef0 --tags Key=Environment,Value=Production Key=Team,Value=NetworkOps
```
이 명령은 성공 시 출력을 반환하지 않습니다.
**태그 보기**
다음 예제에서는 Site-to-Site VPN Concentrator의 태그를 설명합니다.
```
aws ec2 describe-tags --filters "Name=resource-id,Values=vcn-0123456789abcdef0"
```
다음 응답이 반환됩니다.
```
{
"Tags": [
{
"Key": "Environment",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "Production"
},
{
"Key": "Team",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "NetworkOps"
}
]
}
```
**태그 제거**
다음 예시에서는 Site-to-Site VPN Concentrator에서 태그를 제거합니다.
```
aws ec2 delete-tags --resources vcn-0123456789abcdef0 --tags Key=Environment Key=Team
```
이 명령은 성공 시 출력을 반환하지 않습니다.
## API를 사용하여 태그 관리
Amazon EC2 API 작업을 사용하여 프로그래밍 방식으로 Site-to-Site VPN Concentrator 태그를 관리할 수 있습니다.
**CreateTags**
`CreateTags` 작업을 사용하여 태그를 추가하거나 업데이트합니다.
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.1.Value=Production
&Tag.2.Key=Team
&Tag.2.Value=NetworkOps
&Version=2016-11-15
```
다음 응답이 반환됩니다.
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
**DescribeTags**
`DescribeTags` 작업을 사용하여 태그를 검색합니다.
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DescribeTags
&Filter.1.Name=resource-id
&Filter.1.Value.1=vcn-0123456789abcdef0
&Version=2016-11-15
```
다음 응답이 반환됩니다.
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
-
vcn-0123456789abcdef0
vpn-concentrator
Environment
Production
-
vcn-0123456789abcdef0
vpn-concentrator
Team
NetworkOps
```
**DeleteTags**
`DeleteTags` 작업을 사용하여 태그를 제거합니다.
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.2.Key=Team
&Version=2016-11-15
```
다음 응답이 반환됩니다.
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
# AWS Site-to-Site VPN 집중기 삭제
Site-to-Site VPN Concentrator가 더 이상 필요하지 않은 경우 삭제하여 요금 발생을 중지할 수 있습니다. Site-to-Site VPN Concentrator를 삭제하면 해당 VPN Concentrator와 연결된 모든 구성이 영구적으로 제거됩니다.
## 사전 조건
Site-to-Site VPN Concentrator를 삭제하기 전에 다음을 확인합니다.
+ Site-to-Site VPN Concentrator와 연결된 모든 VPN 연결이 삭제됩니다.
+ Site-to-Site VPN Concentrator()를 삭제하는 데 필요한 권한이 있습니다`ec2:DeleteVpnConcentrator`.
## 콘솔을 사용하여 Site-to-Site VPN Concentrator 삭제
**Site-to-Site VPN Concentrator를 삭제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site Concentrators**를 선택합니다.
1. 삭제할 Site-to-Site VPN Concentrator를 선택합니다.
1. **작업을** 선택한 다음 ** Site-to-Site VPN Concentrator 삭제**를 선택합니다.
1. 확인 대화 상자에서 **delete**을 입력하여 삭제를 확인합니다.
1. **삭제**를 선택합니다.
## CLI를 사용하여 Site-to-Site VPN Concentrator 삭제
`delete-vpn-concentrator` 명령을 사용하여 Site-to-Site VPN Concentrator를 삭제합니다. 삭제`vpn-concentrator-id`하려면이 필요합니다.
다음 예시에서는 Site-to-Site VPN Concentrator를 삭제합니다.
```
aws ec2 delete-vpn-concentrator --vpn-concentrator-id vcn-0123456789abcdef0
```
다음 응답이 반환됩니다.
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "deleting",
"Message": "The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account."
}
}
```
## API를 사용하여 Site-to-Site VPN Concentrator 삭제
`DeleteVpnConcentrator` 작업을 사용하여 Site-to-Site VPN Concentrator를 삭제합니다. 삭제`VpnConcentratorId`하려면이 필요합니다.
다음 예시에서는 Site-to-Site VPN Concentrator를 삭제합니다.
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteVpnConcentrator
&VpnConcentratorId=vcn-0123456789abcdef0
&Version=2016-11-15
```
다음 응답이 반환됩니다.
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vcn-0123456789abcdef0
deleting
The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account.
```
# AWS Site-to-Site VPN연결 생성
전송 게이트웨이 또는 Cloud WAN 글로벌 네트워크에 연결하는 Site-to-Site VPN 연결을 생성할 수 있습니다. 두 연결 유형 모두 IPv4 및 IPv6 프로토콜을 지원하며 선택적으로 Site-to-Site VPN Concentrator를 사용하여 여러 원격 사이트를 비용 효율적으로 연결할 수 있습니다.
## 콘솔을 사용하여 VPN 연결 생성
**콘솔을 사용하여 VPN 연결을 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. **VPN 연결 생성**을 선택합니다.
1. (선택 사항) **이름 태그**에 연결의 이름을 입력합니다. 이렇게 하면 `Name` 키와 지정한 값으로 태그가 생성됩니다.
1. **대상 게이트웨이 유형**에서 다음 중 하나를 선택합니다.
+ **가상 프라이빗 게이트웨이** - 기존 가상 프라이빗 게이트웨이를 선택하여 새 **가상 프라이빗 게이트웨이** VPN 연결을 생성합니다.
+ **전송 게이트웨이** - 기존 전송 게이트웨이를 선택하여 새 **전송 게이트웨이** VPN 연결을 생성합니다. 전송 게이트웨이 생성에 대한 자세한 내용은 *Amazon VPC Transit Gateway*의 [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)를 참조하십시오.
+ **Site-to-Site VPN Concentrator** - 기존 Site-to-Site VPN Concentrator를 사용하거나 새 Site-to-Site VPN Concentrator 연결을 생성하여 새 Site-to-Site VPN Concentrator 연결을 생성합니다. 다음 중 하나를 선택합니다.
+ **기존** - 기존 Concentrator를 사용하여 새 Site-to-Site VPN Concentrator VPN 연결을 생성합니다.
+ **신규** - Site-to-Site VPN Concentrator의 선택적 이름을 입력한 다음 연결할 전송 게이트웨이를 선택합니다.
+ **연결되지 않음** - 연결되지 않은 VPN 연결을 생성하여 나중에 Network Manager 콘솔 또는 API를 통해 Cloud WAN과 연결할 수 있습니다. VPN 연결 및 Cloud WAN에 대한 자세한 내용은 Cloud WAN *AWS사용 설명서*의 [AWS Cloud WAN의 Site-to-site VPN 연결을](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) 참조하세요.
1. **고객 게이트웨이**에서 다음 중 하나를 수행합니다.
+ 기존 고객 게이트웨이를 사용하려면 **기존**을 선택한 다음 **고객 게이트웨이 ID**를 선택합니다.
+ 새 고객 게이트웨이를 생성하려면 **새로 만들기**를 선택한 후 다음을 수행합니다.
+ **IP 주소**에 정적 **IPv4** 또는 **IPv6** 주소를 입력합니다.
+ (선택 사항) **인증서 ARN**에서 프라이빗 인증서의 ARN을 선택합니다(인증서 기반 인증을 사용하는 경우).
+ **BGP ASN**에 고객 게이트웨이의 BGP(Border Gateway Protocol) ASN(자율 시스템 번호)을 입력합니다. 자세한 내용은 [고객 게이트웨이 옵션](cgw-options.md) 단원을 참조하십시오.
1. **라우팅 옵션**에서 **동적(BGP 필요)** 또는 **정적**을 선택합니다.
**참고**
Concentrators를 사용하는 클라우드 WAN VPN 연결 및 VPN 연결은 BGP 라우팅만 지원합니다. 이러한 연결 유형에는 정적 라우팅이 지원되지 않습니다.
1. **사전 공유 키 스토리지**에서 **표준** 또는 **Secrets Manager**를 선택합니다. 기본 선택은 **표준**입니다.AWS Secrets Manager사용에 관한 자세한 내용은 [보안](security.md) 부분을 참조하세요.
1. **터널 내부 IP 버전**에서 **IPv4** 또는 **IPv6**를 선택합니다.
1. (선택 사항) **가속 활성화**에 대해 확인란을 선택하여 가속을 사용 설정합니다. 자세한 내용은 [가속 VPN 연결](accelerated-vpn.md) 단원을 참조하십시오.
가속을 활성화하면 VPN 연결에 사용되는 두 개의 액셀러레이터가 생성됩니다. 추가 요금이 발생합니다.
1. (선택 사항) 선택한 IP 버전 내의 터널에 따라 다음 중 하나를 수행합니다.
+ IPv4 - **로컬 IPv4 네트워크 CIDR**에서 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이(온프레미스) 측의 IPv4 CIDR 범위를 지정합니다. **원격 IPv4 네트워크 CIDR**에서 VPN 터널을 통해 통신할 수 있는AWS측의 CIDR 범위를 선택합니다. 두 필드의 기본값은 `0.0.0.0/0`입니다.
+ IPv6 - **로컬 IPv6 네트워크 CIDR**에서 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이(온프레미스) 측의 IPv6 CIDR 범위를 지정합니다. **원격 IPv6 네트워크 CIDR**에서 VPN 터널을 통해 통신할 수 있는AWS측의 CIDR 범위를 선택합니다. 두 필드의 기본값은 `::/0`입니다.
1. **외부 IP 주소 유형**의 경우 다음 옵션 중에서 하나를 선택합니다.
+ **퍼블릭 IPv4** - (기본값) 외부 터널 IP에 IPv4 주소를 사용합니다.
+ **프라이빗 IPv4** - 프라이빗 네트워크 내에서 사용할 프라이빗 IPv4 주소를 사용합니다.
+ **IPv6** - 외부 터널 IP에 IPv6 주소를 사용합니다. 이 옵션을 사용하려면 고객 게이트웨이 디바이스가 IPv6 주소 지정을 지원해야 합니다.
**참고**
외부 IP 주소 유형으로 **IPv6**를 선택하는 경우 IPv6 주소로 고객 게이트웨이를 생성해야 합니다.
1. (선택 사항) **터널 1 옵션**에서 각 터널별로 다음 정보를 지정할 수 있습니다.
+ 내부 터널 IPv4 주소의 `169.254.0.0/16` 범위에서 크기 /30 IPv4 CIDR 블록을 지정합니다.
+ **터널 내부 IP 버전**에 **IPv6**을 지정한 경우 내부 터널 IPv6 주소의 `fd00::/8` 범위에서 /126 IPv6 CIDR 블록을 지정합니다.
+ IKE 사전 공유 키(PSK) IKEv1 또는 IKEv2 버전이 지원됩니다.
+ 터널의 고급 옵션을 편집하려면 **터널 옵션 편집**을 선택합니다. 자세한 내용은 [VPN 터널 옵션](VPNTunnels.md) 단원을 참조하십시오.
+ (선택 사항) **터널 활동 로그**에 대해 **활성화**를 선택하여 IPsec 활동 및 DPD 프로토콜 메시지에 대한 로그 메시지를 캡처합니다.
+ (선택 사항) **터널 엔드포인트 수명 주기**에서 **켜기**를 선택하여 엔드포인트 교체 일정을 제어합니다. 터널 엔드포인트 수명 주기에 대한 자세한 내용은 [터널 엔드포인트 수명 주기](tunnel-endpoint-lifecycle.md) 섹션을 참조하세요.
1. (선택 사항) **터널 2 옵션**을 선택하고 이전 단계에 따라 두 번째 터널을 설정합니다.
1. **VPN 연결 생성**을 선택합니다.
# CLI 또는 API를 사용하여 AWS Site-to-Site VPN 전송 게이트웨이 연결 생성
## CLI를 사용하여 Transit Gateway에 대한 VPN 연결 생성
[create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html) 명령을 사용하고 `--transit-gateway-id` 옵션에 대한 전송 게이트웨이 ID를 지정합니다.
다음 예제에서는 IPv6 외부 터널 IPs 및 IPv6 내부 터널 IPs
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
응답 예제:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## API를 사용하여 Transit Gateway에 대한 VPN 연결 생성
Amazon EC2 API를 사용하여 VPN 연결을 생성할 수 있습니다. 이 섹션에서는 API를 사용하여 전송 게이트웨이 VPN 연결을 생성하기 위한 요청 및 응답 메시지 예제를 제공합니다.
### 사전 조건
API를 사용하여 VPN 연결을 생성하기 전에 다음이 있는지 확인합니다.
+ 전송 게이트웨이 생성 및 사용 가능
+ 온프레미스 디바이스 세부 정보로 구성된 고객 게이트웨이
다음 예제에서는 `CreateVpnConnection` API 작업을 사용하여 VPN 연결을 생성하는 방법을 보여줍니다.
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
이 예제에서는 지정된 전송 게이트웨이와 고객 게이트웨이 간에 동적 라우팅(BGP)을 사용하여 VPN 연결을 생성합니다.
API 응답이 성공하면 VPN 연결 세부 정보가 반환됩니다.
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
응답에는 VPN 연결 ID, 현재 상태 및 구성 세부 정보가 포함됩니다. AWS가 VPN 터널을 프로비저닝하는 동안 연결은 처음에 "보류 중" 상태가 됩니다.
# CLI 또는 API를 사용하여 AWS Site-to-Site VPN Cloud WAN 연결 생성
아래 절차에 따라 온프레미스와 AWS Cloud WAN 간에 Site-to-Site VPN 연결을 생성할 수 있습니다. 자세한 내용은 [AWS Cloud WAN 사용 설명서의 Cloud WAN의 Site-to-site VPN 연결을 ](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) 참조하세요. *AWS *
## CLI를 사용하여 Cloud WAN에 대한 VPN 연결 생성
[create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html) 명령을 사용하여 나중에 Cloud WAN 글로벌 네트워크에 연결할 VPN 연결을 생성합니다. 이렇게 하면 연결되지 않은 VPN 연결이 생성되어 나중에 Network Manager 콘솔 또는 API를 통해 Cloud WAN과 연결할 수 있습니다.
**사전 조건**
Cloud WAN VPN 연결을 생성하기 전에 다음이 있는지 확인합니다.
+ `customer-gateway-id` - 온프레미스 VPN 디바이스를 나타내는 기존 고객 게이트웨이 리소스(`cgw-xxxxxxxxx`)입니다.
+ **Cloud WAN 글로벌 네트워크** - Cloud WAN 글로벌 네트워크를 생성하고 적절한 네트워크 세그먼트로 구성해야 합니다.
+ **BGP 구성** - 클라우드 WAN VPN 연결에는 BGP 라우팅이 필요하며 정적 라우팅은 지원되지 않습니다. 옵션 파라미터`StaticRoutesOnly=false`에서를 설정해야 합니다.
이 명령은 대상 게이트웨이를 지정하지 않고 VPN 연결을 생성합니다. 연결은 연결되지 않은 상태이며 나중에 Network Manager 콘솔 또는 API를 통해 Cloud WAN 글로벌 네트워크에 연결할 수 있습니다. `StaticRoutesOnly=false` 옵션은 정적 라우팅이 지원되지 않으므로 Cloud WAN VPN 연결에 필수인 BGP 라우팅을 활성화합니다.
다음 예시에서는 Cloud WAN에 연결되지 않은 VPN 연결을 생성합니다.
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
응답은 다음을 반환합니다.
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
VPN 연결을 생성한 후 Network Manager 콘솔 또는 `create-site-to-site-vpn-attachment` API 호출을 사용하여 Cloud WAN 글로벌 네트워크에 연결할 수 있습니다.
## API를 사용하여 VPN Cloud WAN 연결 생성
EC2 API를 사용하여 Cloud WAN 통합을 위한 VPN 연결을 생성할 수 있습니다. 여기에는 연결되지 않은 VPN 연결을 생성하는 `CreateVpnConnection` API 호출이 포함되며, 연결되지 않은 VPN 연결은 Cloud WAN 글로벌 네트워크와 연결할 수 있습니다.
API 요청은 대상 게이트웨이를 지정하지 않고 VPN 연결을 생성하여 Cloud WAN 통합 준비가 된 연결되지 않은 상태로 둡니다. 연결은 Cloud WAN VPN 연결에 필요한 BGP 라우팅을 사용합니다.
다음 예제에서는 Cloud WAN VPN 연결을 생성하기 위한 HTTP 요청을 보여줍니다.
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
API는 VPN 연결 세부 정보가 포함된 성공적인 응답을 반환합니다. 처음에는가 VPN 터널을 AWS 프로비저닝하는 동안 연결이 `pending` 상태가 되고,이 상태에서 상태가 로 변경됩니다`available`.
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**응답 세부 정보**
API 응답은 다음과 같은 주요 정보를 제공합니다.
+ **vpnConnectionId** - Cloud WAN에 연결하는 데 사용할 VPN 연결의 고유 식별자(예: `vpn-0abcdef1234567890`)입니다.
+ **상태** - AWS가 VPN 터널을 프로비저닝하는 동안 처음에 "보류 중"인 다음 연결할 준비가 되면 "사용 가능"으로 전환됩니다.
+ **category** - Cloud WAN 통합에 적합한 연결되지 않은 VPN 연결임을 나타내는 "VPN"을 표시합니다.
+ **staticRoutesOnly** - "false"로 설정하여 Cloud WAN VPN 연결에 필요한 BGP 라우팅을 활성화합니다.
VPN 연결이 "사용 가능" 상태에 도달하면 Network Manager `CreateSiteToSiteVpnAttachment` API를 사용하거나 AWS 콘솔을 통해 Cloud WAN 글로벌 네트워크에 연결할 수 있습니다.
# CLI 또는 API를 사용하여 AWS Site-to-Site VPN Concentrator 연결 생성
## CLI를 사용하여 Site-to-Site VPN Concentrator 연결 생성
Site-to-Site VPN Concentrator를 생성한 후에는 원격 사이트에서 Site-to-Site VPN Concentrator로 개별 VPN 연결을 설정해야 합니다. 각 원격 사이트에는 Site-to-Site VPN Concentrator ID를 참조하는 자체 VPN 연결이 필요합니다. 이를 통해 여러 원격 사이트가 각 사이트에 대해 별도의 보안 터널을 유지하면서 동일한 Site-to-Site VPN Concentrator 인프라를 공유할 수 있습니다.
Site-to-Site VPN Concentrator를 사용하여 VPN 연결을 설정하려면 VPN 연결을 생성할 때 전송 게이트웨이 대신 Site-to-Site VPN Concentrator를 지정합니다. 다음 예제에서는 Site-to-Site VPN Concentrator를 사용하여 VPN 연결을 생성합니다.
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
응답이 성공하면 다음이 반환됩니다.
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## API를 사용하여 Site-to-Site VPN Concentrator 연결 생성
Amazon EC2 API를 사용하여 Site-to-Site VPN Concentrator를 사용하는 VPN 연결을 생성할 수 있습니다. 이 섹션에서는 Site-to-Site VPN Concentrator와의 VPN 연결을 생성하기 위한 요청 및 응답 메시지 예제를 제공합니다.
API를 사용하여 Site-to-Site VPN Concentrator와 VPN 연결을 생성하기 전에 다음을 수행해야 합니다.
+ Site-to-Site VPN Concentrator 생성 및 사용 가능
+ 원격 사이트에 대해 구성된 고객 게이트웨이
+ 사이트와 AWS 간의 IPsec 트래픽을 허용하는 네트워크 구성
다음 예제에서는 `CreateVpnConnection` API 작업과 함께 Site-to-Site VPN Concentrator를 사용하여 VPN 연결을 생성하는 방법을 보여줍니다.
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
이 예제에서는 지정된 Site-to-Site VPN Concentrator와 고객 게이트웨이 간에 VPN 연결을 생성합니다. Site-to-Site VPN Concentrator는 AWS 측면 엔드포인트 역할을 하므로 여러 원격 사이트가 중앙 집중식 허브를 통해 연결할 수 있습니다.
API 응답이 성공하면 Site-to-Site VPN Concentrator 정보와 함께 VPN 연결 세부 정보가 반환됩니다.
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
응답에는 VPN 연결 ID가 포함되며 전송 게이트웨이 ID 대신 Site-to-Site VPN Concentrator ID를 참조합니다. 이 연결을 통해 원격 사이트는 동일한 Site-to-Site VPN Concentrator에 연결된 다른 사이트와 통신할 수 있으므로 hub-and-spoke 네트워크 토폴로지가 활성화됩니다.
# AWS Site-to-Site VPN연결 보기
## 콘솔을 사용하여 VPN 연결 보기
AWS Management Console을 사용하여 VPN 연결 및 세부 정보를 볼 수 있습니다. 이를 통해 연결 상태, 터널 상태 및 구성 세부 정보를 모니터링할 수 있는 시각적 인터페이스를 제공합니다.
**콘솔을 사용하여 VPN 연결을 보려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결(Site-to-Site VPN Connections)**을 선택합니다.
1. VPN 연결을 선택하여 다음을 포함한 세부 정보를 봅니다.
+ 연결 상태 및 상태
+ 터널 세부 정보 및 상태
+ 경로 정보
+ 구성 파라미터
콘솔에는 실시간 상태 정보가 표시되고 터널 연결을 모니터링하고, 라우팅 테이블을 보고, 문제 해결을 위해 구성 세부 정보에 액세스할 수 있습니다.
## CLI를 사용하여 VPN 연결 보기
AWS CLI를 사용하여 VPN 연결에 대한 세부 정보를 프로그래밍 방식으로 쿼리하고 검색할 수 있습니다. 이 방법을 사용하면 자동화, 스크립팅 및 모니터링 도구와의 통합이 가능합니다.
현재 AWS 계정 및 리전의 모든 VPN 연결을 쿼리하려면 파라미터 없이 `describe-vpn-connections` 명령을 실행합니다. 그러나 특정 VPN 연결에 대한 세부 정보를 보려면 VPN 연결 ID를 알아야 합니다.
특정 VPN 연결에 대한 세부 정보를 검색하려면 연결 ID를 파라미터로 지정합니다. 다음 예제에서는 특정 VPN 연결에 대한 세부 정보를 보는 요청을 보여줍니다.
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
응답에는 터널 옵션, 라우팅 세부 정보 및 현재 상태를 포함하여 VPN 연결에 대한 포괄적인 정보가 포함됩니다.
+ `State` - VPN 연결의 현재 상태
+ `TunnelOptions` - 각 터널의 구성 및 상태
+ `OutsideIpAddress` - VPN 터널의 퍼블릭 IP 주소
+ `Routes` - 연결에 대한 라우팅 정보
주요 연결 세부 정보를 보여주는 예제 응답 발췌문:
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## API를 사용하여 VPN 연결 보기
Amazon EC2 서비스에 직접 API를 호출하여 VPN 연결 정보를 검색합니다. 이 접근 방식은 사용자 지정 애플리케이션 및 프로그래밍 방식의 통합에 대한 유연성을 극대화합니다.
`DescribeVpnConnections` API 작업은 하나 이상의 VPN 연결에 대한 세부 정보를 쿼리하고 반환합니다. 연결 ID, 상태 또는 기타 속성별로 필터를 적용하여 결과를 좁힐 수 있습니다.
다음은 단일 VPN 연결에 대한 세부 정보를 제공하는 요청의 예입니다.
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
응답은 해당 VPN 연결에 대한 세부 정보를 반환합니다.
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```
# AWS Site-to-Site VPN 연결 테스트
AWS Site-to-Site VPN 연결을 설정하고 고객 게이트웨이를 구성한 후 인스턴스를 시작하고 인스턴스를 ping하여 연결을 테스트할 수 있습니다.
시작하기 전에 다음을 확인하십시오.
+ ping 요청에 응답하는 AMI를 사용합니다. Amazon Linux AMI 중 하나를 사용하는 것이 좋습니다.
+ 인스턴스에 대한 트래픽을 필터링하는 VPC의 네트워크 ACL 또는 보안 그룹을 구성하여 인바운드 및 아웃바운드 ICMP 트래픽을 허용합니다. 그러면 인스턴스가 `ping` 요청을 수신할 수 있습니다.
+ Windows Server를 실행하는 인스턴스를 사용하는 경우 인스턴스에 연결하여 Windows 방화벽에서 인바운드 ICMPv4를 활성화해야 인스턴스를 ping할 수 있습니다.
+ (정적 라우팅) 고객 게이트웨이 디바이스에 VPC에 대한 정적 경로가 있고, 트래픽이 고객 게이트웨이 디바이스로 되돌아갈 수 있도록 VPN 연결에 정적 경로가 있는지 확인합니다.
+ (동적 라우팅) 고객 게이트웨이 디바이스의 BGP 상태가 설정되어 있는지 확인합니다. BGP 피어링 세션이 구성되려면 약 30초 가량 걸립니다. 트래픽이 고객 게이트웨이로 돌아갈 수 있도록 경로가 BGP를 통해 올바르게 알려지고 서브넷 라우팅 테이블에 표시되었는지 확인합니다. 두 터널 모두 BGP 라우팅으로 구성된 상태여야 합니다.
+ VPN 연결에 대한 서브넷 라우팅 테이블에서 라우팅을 구성했는지 확인합니다.
**연결을 테스트하려면**
1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.
1. 대시보드에서 **인스턴스 시작**을 선택합니다.
1. (선택 사항) **이름**에 인스턴스를 설명하는 이름을 입력합니다.
1. **애플리케이션 및 OS 이미지(Amazon Machine Image)**에서 **빠른 시작**을 선택한 다음 인스턴스의 운영 체제를 선택합니다.
1. **키 페어 이름**에서 기존 키 페어를 선택하거나 새 이름을 생성합니다.
1. **네트워크 설정**에서 **기존 보안 그룹 선택**을 선택한 다음 구성한 보안 그룹을 선택합니다.
1. **요약(Summary)** 패널에서 **인스턴스 실행(Launch instance)**을 선택합니다.
1. 인스턴스가 실행되면 프라이빗 IP 주소(예: 10.0.0.4)를 가져옵니다. Amazon EC2 콘솔에 주소가 인스턴스 세부 정보의 일부로 표시됩니다.
1. 고객 게이트웨이 디바이스 뒤에 있는 네트워크의 컴퓨터에서 인스턴스의 프라이빗 IP 주소와 함께 **ping** 명령을 사용합니다.
```
ping 10.0.0.4
```
올바른 응답은 다음과 유사합니다.
```
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```
터널 장애 조치를 테스트하기 위해 고객 게이트웨이 디바이스에 있는 터널 중 하나를 일시적으로 비활성화한 다음 이 단계를 반복할 수 있습니다. VPN 연결의 AWS 측에서는 터널을 비활성화할 수 없습니다.
1. AWS에서 온프레미스 네트워크로의 연결을 테스트하기 위해 SSH 또는 RDP를 사용하여 네트워크에서 인스턴스에 연결할 수 있습니다. 그런 다음, 네트워크에 있는 다른 컴퓨터의 프라이빗 IP 주소로 `ping` 명령을 실행하여 연결의 양쪽에서 요청을 시작하고 수신할 수 있는지 확인할 수 있습니다.
Linux 인스턴스에 연결하는 방법에 대한 자세한 내용은 *Amazon EC2 사용 설명서*의 [Linux 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html)을 참조하세요. Windows 인스턴스에 연결하는 방법에 대한 자세한 내용은 *Amazon EC2 사용 설명서*의 [Windows 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connecting_to_windows_instance.html)을 참조하세요.
# AWS Site-to-Site VPN 연결 및 게이트웨이 삭제
AWS Site-to-Site VPN 연결이 더 이상 필요하지 않으면 삭제할 수 있습니다. Site-to-Site VPN 연결을 삭제해도 Site-to-Site VPN 연결과 연결된 고객 게이트웨이 또는 가상 프라이빗 게이트웨이는 삭제되지 않습니다. 고객 게이트웨이 및 가상 프라이빗 게이트웨이가 더 이상 필요하지 않은 경우 해당 게이트웨이를 삭제할 수 있습니다.
**주의**
Site-to-Site VPN 연결을 삭제한 다음 새 연결을 만드는 경우 새 구성 파일을 다운로드하고 고객 게이트웨이 디바이스를 다시 구성해야 합니다.
**Topics**
+ [VPN 연결 삭제](delete-vpn-connection.md)
+ [고객 게이트웨이 삭제](delete-cgw.md)
+ [가상 프라이빗 게이트웨이 분리 및 삭제](delete-vgw.md)
# AWS Site-to-Site VPN 연결 삭제
Site-to-Site VPN 연결을 삭제한 후에는 `deleted` 상태로 잠시 동안 표시가 유지된 후 항목이 자동으로 제거됩니다.
**콘솔을 사용하여 VPN 연결을 삭제하는 방법**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. VPN 연결을 선택하고 **작업**, **VPN 연결 삭제**를 차례로 선택합니다.
1. 확인 메시지가 나타나면 **delete**을 입력한 다음 **삭제**를 선택합니다.
**명령줄 또는 API를 사용하여 VPN 연결을 삭제하는 방법**
+ [DeleteVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnection.html)(Amazon EC2 쿼리 API)
+ [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html)(AWS CLI)
+ [Remove-EC2VpnConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnection.html)(AWS Tools for Windows PowerShell)
# AWS Site-to-Site VPN 고객 게이트웨이 삭제
고객 게이트웨이가 더 이상 필요하지 않으면 삭제할 수 있습니다. Site-to-Site VPN 연결에 사용 중인 고객 게이트웨이는 삭제할 수 없습니다.
**콘솔을 사용하여 고객 게이트웨이를 삭제하는 방법**
1. 탐색 창에서 **고객 게이트웨이**를 선택합니다.
1. 고객 게이트웨이를 선택하고 **작업**, **고객 게이트웨이 삭제**를 차례로 선택합니다.
1. 확인 메시지가 나타나면 **delete**을 입력한 다음 **삭제**를 선택합니다.
**명령줄 또는 API를 사용하여 고객 게이트웨이를 삭제하는 방법**
+ [DeleteCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteCustomerGateway.html)(Amazon EC2 쿼리 API)
+ [delete-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-customer-gateway.html)(AWS CLI)
+ [Remove-EC2CustomerGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2CustomerGateway.html)(AWS Tools for Windows PowerShell)
# AWS Site-to-Site VPN에서 가상 프라이빗 게이트웨이 분리 및 삭제
VPC에 가상 프라이빗 게이트웨이가 더 이상 필요하지 않으면 이를 VPC에서 분리할 수 있습니다.
**콘솔을 사용하여 가상 프라이빗 게이트웨이를 분리하는 방법**
1. 탐색 창에서 **가상 프라이빗 게이트웨이**를 선택합니다.
1. 가상 프라이빗 게이트웨이를 선택하고 [**Actions**]와 [**Detach from VPC**]를 차례로 선택합니다.
1. **가상 프라이빗 게이트웨이 분리**를 선택합니다.
분리된 가상 프라이빗 게이트웨이가 더 이상 필요하지 않으면 이를 삭제할 수 있습니다. 아직 VPC에 연결된 가상 프라이빗 게이트웨이는 삭제할 수 없습니다. 가상 프라이빗 게이트웨이를 삭제한 후에는 `deleted` 상태로 잠시 동안 표시가 유지된 후 항목이 자동으로 제거됩니다.
**콘솔을 사용하여 가상 프라이빗 게이트웨이를 삭제하는 방법**
1. 탐색 창에서 **가상 프라이빗 게이트웨이**를 선택합니다.
1. 가상 프라이빗 게이트웨이를 선택하고 **작업**, **가상 프라이빗 게이트웨이 삭제**를 선택합니다.
1. 확인 메시지가 나타나면 **delete**을 입력한 다음 **삭제**를 선택합니다.
**명령줄 또는 API를 사용하여 가상 프라이빗 게이트웨이를 분리하는 방법**
+ [DetachVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DetachVpnGateway.html)(Amazon EC2 쿼리 API)
+ [detach-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-vpn-gateway.html)(AWS CLI)
+ [Dismount-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2VpnGateway.html)(AWS Tools for Windows PowerShell)
**명령줄 또는 API를 사용하여 가상 프라이빗 게이트웨이를 삭제하는 방법**
+ [DeleteVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnGateway.html)(Amazon EC2 쿼리 API)
+ [delete-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-gateway.html)(AWS CLI)
+ [Remove-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnGateway.html)(AWS Tools for Windows PowerShell)
# AWS Site-to-Site VPN 연결의 대상 게이트웨이 수정
AWS Site-to-Site VPN 연결의 대상 게이트웨이를 수정할 수 있습니다. 다음 마이그레이션 옵션을 사용할 수 있습니다.
+ 기존 가상 프라이빗 게이트웨이를 전송 게이트웨이에 연결
+ 기존 가상 프라이빗 게이트웨이를 다른 가상 프라이빗 게이트웨이에 연결
+ 기존 전송 게이트웨이를 다른 전송 게이트웨이에 연결
+ 기존 전송 게이트웨이를 가상 프라이빗 게이트웨이에 연결
대상 게이트웨이를 수정한 후에는 새 엔드포인트를 프로비저닝하는 동안 Site-to-Site VPN 연결을 짧은 기간 동안 일시적으로 사용할 수 없습니다.
다음 작업은 새 게이트웨이로 마이그레이션을 수행하는 데 도움이 됩니다.
**Topics**
+ [1단계: 새 대상 게이트웨이 생성](#step-create-gateway)
+ [2단계: 정적 경로 삭제(조건부)](#step-update-staic-route)
+ [3단계: 새 게이트웨이로 마이그레이션](#step-migrate-gateway)
+ [4단계: VPC 라우팅 테이블 업데이트](#step-update-routing)
+ [5단계: 대상 게이트웨이 라우팅 업데이트(조건부)](#step-update-transit-gateway-routing)
+ [6단계: 고객 게이트웨이 ASN 업데이트(조건부)](#step-update-customer-gateway-asn)
## 1단계: 새 대상 게이트웨이 생성
새 대상 게이트웨이로 마이그레이션을 수행하기 전에 먼저 새 게이트웨이를 구성해야 합니다. 가상 프라이빗 게이트웨이 추가에 대한 자세한 내용은 [가상 프라이빗 게이트웨이 생성](SetUpVPNConnections.md#vpn-create-vpg) 단원을 참조하십시오. 전송 게이트웨이 추가에 대한 자세한 내용은 *Amazon VPC 전송 게이트웨이*의 [전송 게이트웨이 생성](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw)을 참조하십시오.
새 대상 게이트웨이가 전송 게이트웨이인 경우 VPC를 전송 게이트웨이에 연결합니다. VPC 연결에 대한 자세한 내용은 *Amazon VPC 전송 게이트웨이*의 [VPC에 전송 게이트웨이 연결](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html)을 참조하십시오.
가상 프라이빗 게이트웨이에서 전송 게이트웨이로 대상을 수정할 때 선택적으로 전송 게이트웨이 ASN을 가상 프라이빗 게이트웨이 ASN과 동일한 값으로 설정할 수 있습니다. 다른 ASN을 사용하도록 선택한 경우 고객 게이트웨이 디바이스의 ASN을 전송 게이트웨이 ASN으로 설정해야 합니다. 자세한 내용은 [6단계: 고객 게이트웨이 ASN 업데이트(조건부)](#step-update-customer-gateway-asn) 단원을 참조하십시오.
## 2단계: 정적 경로 삭제(조건부)
이 단계는 전송 게이트웨이에 대한 정적 경로를 포함하는 가상 프라이빗 게이트웨이로부터 마이그레이션하는 경우 필요합니다.
새 게이트웨이로 마이그레이션하기 전에 정적 경로를 삭제해야 합니다.
**작은 정보**
정적 경로를 삭제하기 전에 그 사본을 보관하십시오. VPN 연결 마이그레이션이 완료된 후 전송 게이트웨이에 이들 라우팅을 다시 추가해야 합니다.
**라우팅 테이블에서 경로를 삭제하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **라우팅 테이블(Route Tables)**를 선택한 후 라우팅 테이블을 선택합니다.
1. **라우팅** 탭에서 **라우팅 편집**을 선택합니다.
1. 가상 프라이빗 게이트웨이의 정적 라우팅에서 **제거**를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
## 3단계: 새 게이트웨이로 마이그레이션
**대상 게이트웨이를 변경하는 방법**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. VPN 연결을 선택하고 **작업**, **VPN 연결 수정**을 차례로 선택합니다.
1. **대상 유형**에서 게이트웨이 유형을 선택합니다.
1. 새 대상 게이트웨이가 가상 프라이빗 게이트웨이인 경우 **VPN 게이트웨이**를 선택합니다.
1. 새 대상 게이트웨이가 전송 게이트웨이인 경우 **전송 게이트웨이**를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
**명령줄 또는 API를 사용하여 Site-to-Site VPN 연결을 수정하려면**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html)(Amazon EC2 쿼리 API)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html)(AWS CLI)
## 4단계: VPC 라우팅 테이블 업데이트
새 게이트웨이로 마이그레이션 후 VPC 라우팅 테이블을 수정해야 할 수 있습니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [라우팅 테이블](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)을 참조하세요.
다음 표에서는 VPN 게이트웨이 대상을 수정한 후 수행할 VPC 라우팅 테이블 업데이트에 대한 정보를 제공합니다.
| 기존 게이트웨이 | 새 게이트웨이 | VPC 라우팅 테이블 변경 |
| --- | --- | --- |
| 전파된 라우팅을 포함하는 가상 프라이빗 게이트웨이 | Transit Gateway | 전송 게이트웨이의 ID를 포함하는 경로를 추가합니다. |
| 전파된 라우팅을 포함하는 가상 프라이빗 게이트웨이 | 전파된 라우팅을 포함하는 가상 프라이빗 게이트웨이 | 작업이 필요하지 않음 |
| 전파된 라우팅을 포함하는 가상 프라이빗 게이트웨이 | 정적 경로를 포함하는 가상 프라이빗 게이트웨이 | 새 가상 프라이빗 게이트웨이 ID를 포함하는 경로를 추가합니다. |
| 정적 경로를 포함하는 가상 프라이빗 게이트웨이 | Transit Gateway | 가상 프라이빗 게이트웨이의 ID를 포함하는 경로를 전송 게이트웨이의 ID로 업데이트합니다. |
| 정적 경로를 포함하는 가상 프라이빗 게이트웨이 | 정적 경로를 포함하는 가상 프라이빗 게이트웨이 | 가상 프라이빗 게이트웨이 ID를 포함하는 경로를 새 가상 프라이빗 게이트웨이의 ID로 업데이트합니다. |
| 정적 경로를 포함하는 가상 프라이빗 게이트웨이 | 전파된 라우팅을 포함하는 가상 프라이빗 게이트웨이 | 가상 프라이빗 게이트웨이의 ID를 포함하는 경로를 삭제합니다. |
| Transit Gateway | 정적 경로를 포함하는 가상 프라이빗 게이트웨이 | 전송 게이트웨이의 ID를 포함하는 경로를 가상 프라이빗 게이트웨이의 ID로 업데이트합니다. |
| Transit Gateway | 전파된 라우팅을 포함하는 가상 프라이빗 게이트웨이 | 전송 게이트웨이의 ID를 포함하는 경로를 삭제합니다. |
| Transit Gateway | Transit Gateway | 전송 게이트웨이의 ID를 포함하는 경로를 새 전송 게이트웨이의 ID로 업데이트합니다. |
## 5단계: 대상 게이트웨이 라우팅 업데이트(조건부)
새 게이트웨이가 전송 게이트웨이일 경우 전송 게이트웨이 라우팅 테이블을 수정하여 VPC와 Site-to-Site VPN 간 트래픽을 허용합니다. 자세한 내용은 *Amazon VPC Transit Gateways*의 [Transit Gateway 라우팅 테이블](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)을 참조하세요.
VPN 정적 경로를 삭제했다면 전송 게이트웨이 라우팅 테이블에 해당 정적 경로를 추가해야 합니다.
가상 프라이빗 게이트웨이와 달리 Transit Gateway는 VPN 연결의 모든 터널에서 다중 종료 판별기(MED)에 대해 동일한 값을 설정합니다. 가상 프라이빗 게이트웨이에서 Transit Gateway로 마이그레이션하고 터널 선택을 위해 MED 값을 사용하는 경우, 연결 문제를 방지하기 위해 라우팅을 변경하는 것이 좋습니다. 예를 들어, Transit Gateway에 더 구체적인 경로를 알릴 수 있습니다. 자세한 내용은 [라우팅 테이블 및 AWS Site-to-Site VPN 라우팅 우선 순위](vpn-route-priority.md) 단원을 참조하십시오.
## 6단계: 고객 게이트웨이 ASN 업데이트(조건부)
새 게이트웨이에 이전 게이트웨이와 다른 ASN이 있는 경우 고객 게이트웨이 디바이스에서 새 ASN을 가리키도록 ASN을 업데이트해야 합니다. 자세한 내용은 [AWS Site-to-Site VPN 연결을 위한 고객 게이트웨이 옵션](cgw-options.md)를 참조하십시오.
# AWS Site-to-Site VPN 연결 옵션 수정
Site-to-Site VPN 연결에 대한 연결 옵션을 수정할 수 있습니다. 다음 옵션을 수정할 수 있습니다.
+ IPv4 CIDR 범위는 VPN 터널을 통해 통신할 수 있는 VPN 연결의 로컬(고객 게이트웨이) 측과 원격(AWS) 측에 있습니다. 기본값은 두 범위 모두 `0.0.0.0/0`입니다.
+ IPv6 CIDR 범위는 VPN 터널을 통해 통신할 수 있는 VPN 연결의 로컬(고객 게이트웨이) 측과 원격(AWS) 측에 있습니다. 기본값은 두 범위 모두 `::/0`입니다.
VPN 연결 옵션을 수정할 때 AWS 측의 VPN 엔드포인트 IP 주소는 변경되지 않으며 터널 옵션도 변경되지 않습니다. VPN 연결이 업데이트되는 동안 잠시 VPN 연결을 일시적으로 사용할 수 없습니다.
**콘솔을 사용하여 VPN 연결 옵션을 수정하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. VPN 연결을 선택하고 **작업**, **VPN 연결 옵션 수정**을 선택합니다.
1. 필요에 따라 새 CIDR 범위를 입력합니다.
1. **변경 사항 저장**을 선택합니다.
**명령줄 또는 API를 사용하여 VPN 연결 옵션을 수정하려면**
+ [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html)(AWS CLI)
+ [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html)(Amazon EC2 쿼리 API)
# AWS Site-to-Site VPN 터널 옵션 수정
Site-to-Site VPN 연결에서 VPN 터널의 터널 옵션을 수정할 수 있습니다. 한 번에 하나의 VPN 터널을 수정할 수 있습니다.
**중요**
VPN 터널을 수정하면 터널을 통한 연결이 최대 몇 분 동안 중단됩니다. 예상된 가동 중지를 계획해야 합니다.
**콘솔을 사용하여 VPN 터널 옵션을 수정하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. Site-to-Site VPN 연결을 선택하고 **작업**, **VPN 터널 옵션 수정**을 선택합니다.
1. **VPN 터널 외부 IP 주소**에서 VPN 터널의 터널 엔드포인트 IP를 선택합니다.
1. 필요에 따라 터널 옵션의 값을 선택하거나 새 값을 입력합니다. 터널 옵션에 대한 자세한 내용은 [VPN 터널 옵션](VPNTunnels.md) 섹션을 참조하세요.
**참고**
일부 터널 옵션에는 여러 기본값이 있습니다. 클릭하여 기본값을 제거합니다. 그러면 터널 옵션에서 기본값이 제거됩니다.
1. **변경 사항 저장**을 선택합니다.
**명령줄 또는 API를 사용하여 VPN 터널 옵션을 수정하려면**
+ (AWS CLI) 현재 터널 옵션을 보려면 [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)를 사용하고 터널 옵션을 수정하려면 [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)를 사용합니다.
+ (Amazon EC2 쿼리 API) 현재 터널 옵션을 보려면 [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html)를 사용하고 터널 옵션을 수정하려면 [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)를 사용합니다.
# AWS Site-to-Site VPN 연결의 정적 경로 편집
정적 라우팅을 위해 구성된 가상 프라이빗 게이트웨이에서 Site-to-Site VPN 연결의 경우 VPN 구성의 고정 경로를 추가하거나 제거할 수 있습니다.
**콘솔을 사용하여 정적 경로를 추가하거나 제거하는 방법**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. VPN 연결을 선택합니다.
1. **정적 경로 편집**을 선택합니다.
1. 필요에 따라 경로를 추가하거나 제거합니다.
1. **변경 사항 저장**을 선택합니다.
1. 라우팅 테이블에 대해 경로 전파를 활성화하지 않은 경우 라우팅 테이블의 경로를 수동으로 업데이트하여 업데이트된 고정 IP 접두사를 VPN 연결에 반영해야 합니다. 자세한 내용은 [(가상 프라이빗 게이트웨이) 라우팅 테이블에서 라우팅 전파 활성화](SetUpVPNConnections.md#vpn-configure-routing) 섹션을 참조하세요.
1. 전송 게이트웨이 VPN 연결의 경우 전송 게이트웨이 라우팅 테이블에서 정적 경로를 추가, 수정 또는 제거합니다. 자세한 내용은 *Amazon VPC Transit Gateways*의 [Transit Gateway 라우팅 테이블](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)을 참조하세요.
**명령줄 또는 API를 사용하여 정적 경로를 추가하는 방법**
+ [CreateVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnectionRoute.html)(Amazon EC2 쿼리 API)
+ [create-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection-route.html)(AWS CLI)
+ [New-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnConnectionRoute.html)(AWS Tools for Windows PowerShell)
**명령줄 또는 API를 사용하여 정적 경로를 삭제하는 방법**
+ [DeleteVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnectionRoute.html)(Amazon EC2 쿼리 API)
+ [delete-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection-route.html)(AWS CLI)
+ [Remove-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnectionRoute.html)(AWS Tools for Windows PowerShell)
# AWS Site-to-Site VPN 연결의 고객 게이트웨이 변경
Amazon VPC 콘솔 또는 명령줄 도구를 사용하여 Site-to-Site VPN 연결의 고객 게이트웨이를 변경할 수 있습니다.
고객 게이트웨이를 변경한 후에는 새 엔드포인트를 프로비저닝하는 동안 VPN 연결을 짧은 기간 동안 일시적으로 사용할 수 없습니다.
**콘솔을 사용하여 고객 게이트웨이를 변경하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. VPN 연결을 선택합니다.
1. **작업**, **VPN 연결 수정**을 선택합니다.
1. **대상 유형**에서 **고객 게이트웨이**를 선택합니다.
1. **대상 고객 게이트웨이**에서 새 고객 게이트웨이를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
**명령줄 또는 API를 사용하여 고객 게이트웨이를 변경하는 방법**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html)(Amazon EC2 쿼리 API)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html)(AWS CLI)
# AWS Site-to-Site VPN 연결에 대해 손상된 자격 증명 교체
Site-to-Site VPN 연결의 터널 자격 증명이 손상된 것 같으면 IKE 사전 공유 키를 변경하거나 ACM 인증서를 변경할 수 있습니다. 사용하는 방법은 VPN 터널에 사용한 인증 옵션에 따라 다릅니다. 자세한 내용은 [AWS Site-to-Site VPN 터널 인증 옵션](vpn-tunnel-authentication-options.md) 섹션을 참조하세요.
**IKE 사전 공유 키를 변경하려면**
VPN 연결의 터널 옵션을 수정하고 각 터널에 대해 새 IKE 사전 공유 키를 지정할 수 있습니다. 자세한 내용은 [AWS Site-to-Site VPN 터널 옵션 수정](modify-vpn-tunnel-options.md) 섹션을 참조하세요.
또는 VPN 연결을 삭제할 수 있습니다. 자세한 내용은 [VPN 연결 및 게이트웨이 삭제](delete-vpn.md) 섹션을 참조하세요. VPC나 가상 프라이빗 게이트웨이는 삭제할 필요가 없습니다. 그런 다음 동일한 가상 프라이빗 게이트웨이를 사용하여 새 VPN 연결을 생성한 후 고객 게이트웨이 디바이스에 새 키를 구성합니다. 터널에 대한 사전 공유 키를 지정하거나 AWS에서 새로운 사전 공유 키를 자동 생성하도록 할 수 있습니다. 자세한 내용은 [VPN 연결 생성](SetUpVPNConnections.md#vpn-create-vpn-connection)을 참조하세요. VPN 연결을 다시 생성할 때 터널의 내부 및 외부 주소가 변경될 수 있습니다.
**터널 엔드포인트의 AWS 측에 대한 인증서를 변경하려면**
인증서를 교체합니다. 자세한 내용은 [VPN 터널 엔드포인트 인증서 교체](rotate-vpn-certificate.md) 섹션을 참조하세요.
**고객 게이트웨이 디바이스에서 인증서를 변경하려면**
1. 새 인증서를 생성합니다. 자세한 내용은 *AWS Certificate Manager 사용자 안내서*의 [인증서 발급 및 관리](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)를 참조하세요.
1. 고객 게이트웨이 디바이스에 인증서를 추가합니다.
# AWS Site-to-Site VPN 터널 엔드포인트 인증서 교체
Amazon VPC 콘솔을 사용하여 AWS 측의 터널 엔드포인트에서 인증서를 교체할 수 있습니다. 터널 엔드포인트의 인증서가 만료에 가까워지면 AWS는 서비스 연결 역할을 사용하여 인증서를 자동으로 교체합니다. 자세한 내용은 [Site-to-Site VPN 서비스 연결 역할](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked) 섹션을 참조하세요.
**콘솔을 사용하여 Site-to-Site VPN 터널 엔드포인트 인증서를 교체하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. Site-to-Site VPN 연결을 선택한 다음 **작업**, **VPN 터널 인증서 수정**을 선택합니다.
1. 터널 엔드포인트를 선택합니다.
1. **저장**을 선택합니다.
**를 사용하여 Site-to-Site VPN 터널 엔드포인트 인증서를 교체하려면AWS CLI**
[modify-vpn-tunnel-certificate](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-certificate.html) 명령을 사용합니다.
# AWS Site-to-Site VPN를 사용한 프라이빗 IP Direct Connect
프라이빗 IP VPN을 사용하면 퍼블릭 IP 주소 또는 추가 타사 VPN 장비를 사용하지AWS않고도 온프레미스 네트워크와 간의 트래픽을 암호화하여Direct Connect를 통해 IPsec VPN을 배포할 수 있습니다.
를 통한 프라이빗 IP VPN의 주요 사용 사례 중 하나는 금융, 의료 및 연방 산업의 고객이 규제 및 규정 준수 목표를 달성할 수 있도록 지원하는Direct Connect것입니다. 를 통한 프라이빗 IP VPN은AWS와 온프레미스 네트워크 간의 트래픽이 안전하고 프라이빗이Direct Connect되도록 하여 고객이 규제 및 보안 규정을 준수할 수 있도록 합니다.
## 프라이빗 IP VPN의 이점
+ **간소화된 네트워크 관리 및 운영:** 프라이빗 IP VPN이 없으면 고객은 타사 VPN 및 라우터를 배포하여Direct Connect네트워크를 통해 프라이빗 VPNs 구현해야 합니다. 프라이빗 IP VPN 기능을 사용하면 고객이 자체 VPN 인프라를 배포하고 관리할 필요가 없습니다. 따라서 네트워크 운영이 간소화되고 비용이 절감됩니다.
+ **보안 태세 개선:** 이전에는 고객이 트래픽을 암호화하기 위해 퍼블릭Direct Connect가상 인터페이스(VIF)를 사용해야 했으며Direct Connect, 이를 위해서는 VPN 엔드포인트에 대한 퍼블릭 IP 주소가 필요합니다. 퍼블릭 IP를 사용하면 외부의 DOS 공격 가능성이 높아져 고객이 네트워크 보호를 위해 추가 보안 장비를 배포해야 합니다. 또한 퍼블릭 VIF는 모든AWS퍼블릭 서비스와 고객 온프레미스 네트워크 간에 액세스를 열어 위험의 심각도를 높입니다. 프라이빗 IP VPN 기능은 프라이빗 IP를 구성하는 기능과 함께Direct Connect전송 VIFs(퍼블릭 VIFs 대신)를 통한 암호화를 허용합니다. IPs 암호화 외에도 엔드 투 엔드 프라이빗 연결이 구현되어 전반적인 보안 태세가 개선됩니다.
+ **더 높은 라우팅 규모:** 프라이빗 IP VPN 연결은 현재 아웃바운드 경로 200개와 인바운드 경로 100개로 제한되어 있는Direct Connect단일 경로에 비해 더 높은 라우팅 제한(아웃바운드 경로 5,000개와 인바운드 경로 1,000개)을 제공합니다.
## 프라이빗 IP VPN의 작동 방식
프라이빗 IP Site-to-Site VPN은Direct Connect전송 가상 인터페이스(VIF)를 통해 작동합니다.Direct Connect게이트웨이와 전송 게이트웨이를 사용하여 온프레미스 네트워크를AWS VPC와 상호 연결합니다. 프라이빗 IP VPN 연결에는AWS측의 전송 게이트웨이와 온프레미스 측의 고객 게이트웨이 디바이스에 종료 지점이 있습니다. IPsec 터널의 전송 게이트웨이와 고객 게이트웨이 디바이스 종단 모두에 프라이빗 IP 주소를 할당할 수 있습니다. RFC1918 또는 RFC6598 프라이빗 IPv4 주소 범위에서 프라이빗 IP 주소를 사용할 수 있습니다.
전송 게이트웨이에 프라이빗 IP VPN을 연결합니다. 그런 다음 VPN 연결과 전송 게이트웨이에도 연결된 모든 VPC(또는 기타 네트워크) 간에 트래픽을 라우팅합니다. 이를 위해 라우팅 테이블을 VPN에 연결하면 됩니다. 반대 방향으로 VPC에 연결된 라우팅 테이블을 사용하여 VPC에서 프라이빗 IP VPN 연결로 트래픽을 라우팅할 수 있습니다.
VPN 연결과 연결된 라우팅 테이블은 기본Direct Connect연결과 연결된 라우팅 테이블과 같거나 다를 수 있습니다. 이를 통해 VPC와 온프레미스 네트워크 간에 암호화된 트래픽과 암호화되지 않은 트래픽을 동시에 라우팅할 수 있습니다.
VPN을 떠나는 트래픽 경로에 대한 자세한 내용은 *Direct Connect사용 설명서*의 [프라이빗 가상 인터페이스 및 전송 가상 인터페이스 라우팅 정책](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies)을 참조하세요.
## 사전 조건
다음 표에서는 Direct Connect를 통해 프라이빗 IP VPN을 생성하기 전의 사전 조건에 대해 설명합니다.
| 항목 | 단계(Steps) | 정보 |
| --- | --- | --- |
| Site-to-Site VPN에 대한 전송 게이트웨이를 준비합니다. | Amazon Virtual Private Cloud(VPC) 콘솔을 사용하거나 명령줄 또는 API를 사용하여 전송 게이트웨이를 생성합니다. *Amazon VPC Transit Gateways 설명서*에서 [전송 게이트웨이](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)를 참조하세요. | 전송 게이트웨이는 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다. 새 전송 게이트웨이를 생성하거나 기존 전송 게이트웨이를 프라이빗 IP VPN 연결에 사용할 수 있습니다. 전송 게이트웨이를 생성하거나 기존 전송 게이트웨이를 수정할 때 연결에 대한 프라이빗 IP CIDR 블록을 지정합니다. 프라이빗 IP VPN에 연결할 전송 게이트웨이 CIDR 블록을 지정할 때 CIDR 블록이 전송 게이트웨이의 다른 네트워크 연결에 대한 IP 주소와 겹치지 않도록 합니다. IP CIDR 블록이 겹치는 경우 고객 게이트웨이 디바이스에 구성 문제가 발생할 수 있습니다. |
| Site-to-Site VPN용Direct Connect게이트웨이를 생성합니다. | Direct Connect 콘솔을 사용하거나 명령줄 또는 API를 사용하여 Direct Connect 게이트웨이를 생성합니다. *Direct Connect사용 설명서*의 [AWS Direct Connect 게이트웨이 생성을](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) 참조하세요. | Direct Connect 게이트웨이를 사용하면 여러AWS리전에 걸쳐 가상 인터페이스(VIFs 연결할 수 있습니다. 이 게이트웨이는 VIF에 연결하는 데 사용됩니다. |
| Site-to-Site VPN에 대한 전송 게이트웨이 연결을 생성합니다. | Direct Connect 콘솔을 사용하거나 명령줄 또는 API를 사용하여 Direct Connect 게이트웨이와 전송 게이트웨이 간의 연결을 생성합니다. *Direct Connect사용 설명서*의 [전송 게이트웨이Direct Connect와 연결 또는 연결 해제](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)를 참조하세요. | Direct Connect게이트웨이를 생성한 후 게이트웨이에 대한 전송Direct Connect게이트웨이 연결을 생성합니다. 허용된 접두사 목록에서 이전에 식별된 전송 게이트웨이에 대한 프라이빗 IP CIDR을 지정합니다. |
**Topics**
+ [프라이빗 IP VPN의 이점](#private-ip-dx-features)
+ [프라이빗 IP VPN의 작동 방식](#private-ip-dx-how)
+ [사전 조건](#private-ip-dx-prereqs)
+ [Direct Connect를 통해 프라이빗 IP VPN 생성](private-ip-dx-steps.md)
# 를 AWS Site-to-Site VPN 통해 프라이빗 IP 생성 Direct Connect
를 사용하여 프라이빗 IP VPN을 생성하려면 다음 단계를 Direct Connect 따릅니다. Direct Connect를 통해 프라이빗 IP VPN을 생성하기 전에 먼저 전송 게이트웨이와 Direct Connect 게이트웨이가 생성되었는지 확인해야 합니다. 두 게이트웨이를 생성한 후 두 게이트웨이 간에 연결을 생성해야 합니다. 이러한 사전 조건은 다음 표에 설명되어 있습니다. 두 게이트웨이를 생성하고 연결한 후에는 해당 연결을 사용하여 VPN 고객 케이터웨이와 연결을 생성합니다.
## 사전 조건
다음 표에서는 Direct Connect를 통해 프라이빗 IP VPN을 생성하기 전의 사전 조건에 대해 설명합니다.
| 항목 | 단계(Steps) | 정보 |
| --- | --- | --- |
| Site-to-Site VPN에 대한 전송 게이트웨이를 준비합니다. | Amazon Virtual Private Cloud (VPC) 콘솔을 사용하거나 명령줄 또는 API를 사용하여 전송 게이트웨이를 생성합니다. *Amazon VPC Transit Gateways 설명서*에서 [전송 게이트웨이](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)를 참조하세요. | 전송 게이트웨이는 VPC와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다. 새 전송 게이트웨이를 생성하거나 기존 전송 게이트웨이를 프라이빗 IP VPN 연결에 사용할 수 있습니다. 전송 게이트웨이를 생성하거나 기존 전송 게이트웨이를 수정할 때 연결에 대한 프라이빗 IP CIDR 블록을 지정합니다. 프라이빗 IP VPN에 연결할 전송 게이트웨이 CIDR 블록을 지정할 때 CIDR 블록이 전송 게이트웨이의 다른 네트워크 연결에 대한 IP 주소와 겹치지 않도록 합니다. IP CIDR 블록이 겹치는 경우 고객 게이트웨이 디바이스에 구성 문제가 발생할 수 있습니다. |
| Site-to-Site VPN용 Direct Connect 게이트웨이를 생성합니다. | Direct Connect 콘솔을 사용하거나 명령줄 또는 API를 사용하여 Direct Connect 게이트웨이를 생성합니다. *Direct Connect 사용 설명서*의 [AWS Direct Connect 게이트웨이 생성을](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) 참조하세요. | Direct Connect 게이트웨이를 사용하면 여러 AWS 리전에서 가상 인터페이스(VIFs 연결할 수 있습니다. 이 게이트웨이는 VIF에 연결하는 데 사용됩니다. |
| Site-to-Site VPN에 대한 전송 게이트웨이 연결을 생성합니다. | Direct Connect 콘솔을 사용하거나 명령줄 또는 API를 사용하여 Direct Connect 게이트웨이와 전송 게이트웨이 간의 연결을 생성합니다. *Direct Connect 사용 설명서*의 [전송 게이트웨이 Direct Connect 와 연결 또는 연결 해제](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)를 참조하세요. | Direct Connect 게이트웨이를 생성한 후 게이트웨이에 대한 전송 Direct Connect 게이트웨이 연결을 생성합니다. 허용된 접두사 목록에서 이전에 식별된 전송 게이트웨이에 대한 프라이빗 IP CIDR을 지정합니다. |
## 고객 게이트웨이 및 Site-to-Site VPN 연결 생성
고객 게이트웨이는 사용자가 생성하는 리소스입니다 AWS. 이는 온프레미스 네트워크의 고객 게이트웨이 디바이스를 나타냅니다. 고객 게이트웨이를 생성할 때 디바이스에 대한 정보를 제공합니다 AWS. 자세한 내용은 [고객 게이트웨이](how_it_works.md#CustomerGateway) 섹션을 참조하세요.
**콘솔을 사용하여 고객 게이트웨이를 생성하는 방법**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **고객 게이트웨이**를 선택합니다.
1. **고객 게이트웨이 생성**을 선택합니다.
1. (선택 사항) **이름 태그**에 고객 게이트웨이 이름을 입력합니다. 이렇게 하면 `Name` 키와 지정한 값으로 태그가 생성됩니다.
1. **BGP ASN**에 고객 게이트웨이의 경계 경로 프로토콜(BGP) 자율 시스템 번호(ASN)를 입력합니다.
1. **IP 주소(IP address)**에 고객 게이트웨이 디바이스의 프라이빗 IP 주소를 입력합니다.
**중요**
AWS 프라이빗 IP AWS Site-to-Site VPN를 구성할 때는 RFC 1918 주소를 사용하여 자체 터널 엔드포인트 IP 주소를 지정해야 합니다. 고객 게이트웨이 라우터와 Direct Connect 엔드포인트 간의 eBGP 피어링에 point-to-point IP 주소를 사용하지 마세요.는 point-to-point 연결 대신 고객 게이트웨이 라우터의 루프백 또는 LAN 인터페이스를 소스 또는 대상 주소로 사용하는 것이 AWS 좋습니다.
RFC 1918에 대한 자세한 내용은 [프라이빗 인터넷의 주소 할당](https://datatracker.ietf.org/doc/html/rfc1918)을 참조하세요.
1. (선택 사항) **디바이스(Device)**에 이 고객 게이트웨이를 호스트하는 디바이스의 이름을 입력합니다.
1. **고객 게이트웨이 생성**을 선택합니다.
1. 탐색 창에서 **Site-to-Site VPN 연결**을 선택합니다.
1. **VPN 연결 생성(Create VPN connection)**을 선택합니다.
1. (선택 사항) **이름 태그**에 Site-to-Site VPN 연결의 이름을 입력합니다. `Name` 키와 지정한 값으로 태그가 생성됩니다.
1. **대상 게이트웨이 유형(Target gateway type)**에서 **전송 게이트웨이(Transit gateway)**를 선택합니다. 그런 다음 이전에 식별한 전송 게이트웨이를 선택합니다.
1. **고객 게이트웨이(Customer gateway)**에서 **기존(Existing)**을 선택합니다. 그런 다음 이전에 생성한 고객 게이트웨이를 선택합니다.
1. 고객 게이트웨이 디바이스에서 BGP(Border Gateway Protocol)를 지원하는지 여부에 따라 라우팅 옵션 중 하나를 선택합니다.
+ 고객 게이트웨이 디바이스가 BGP를 지원하는 경우 **동적(BGP 필요)**을 선택합니다.
+ 고객 게이트웨이 디바이스가 BGP를 지원하지 않는 경우 **정적**을 선택합니다.
1. **터널 내부 IP 버전**에서 VPN 터널이 IPv4 트랙을 지원하는지 아니면 IPv6 트래픽을 지원하는지 지정합니다.
1. (선택 사항) **IP 버전 내에서 터널**용 **IPv4**를 지정한 경우 선택적으로 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이 및 AWS 측의 IPv4 CIDR 범위를 지정할 수 있습니다. 기본값은 `0.0.0.0/0`입니다.
**IP 버전 내에서 터널**용 **IPv6**를 지정한 경우 선택적으로 VPN 터널을 통해 통신할 수 있는 고객 게이트웨이 및 AWS 측의 IPv6 CIDR 범위를 지정할 수 있습니다. 두 범위의 기본값은 `::/0`입니다.
1. **외부 IP 주소 유형**에서 **PrivateIpv4**를 선택합니다.
1. **전송 연결 ID**에서 적절한 게이트웨이에 대한 전송 Direct Connect 게이트웨이 연결을 선택합니다.
1. **VPN 연결 생성**을 선택합니다.
**참고**
**가속화 활성화(Enable acceleration)** 옵션은 Direct Connect를 통한 VPN 연결에는 적용되지 않습니다.
**명령줄 또는 API를 사용하여 고객 게이트웨이를 생성하는 방법**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(Amazon EC2 쿼리 API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html)(AWS CLI)