기본적으로 AWS의 가상 사설 클라우드(VPC)로 시작하는 인스턴스는 온프레미스 네트워크와 통신할 수 없습니다.

AWS Site-to-Site 가상 사설망(AWS Site-to-Site VPN)을 사용하여 온프레미스 네트워크 또는 지사 사이트를 VPC에 안전하게 연결할 수 있습니다.

각 AWS Site-to-Site VPN 연결은 인터넷 프로토콜 보안(IPSec) 통신을 사용하여 두 위치 간에 암호화된 VPN 터널을 생성합니다.

VPN 터널은 고객 네트워크에서 AWS로 또는 AWS에서 데이터를 전달할 수 있는 암호화된 링크입니다.

연결의 AWS 쪽은 가상 프라이빗 게이트웨이입니다. (가상 프라이빗 게이트웨이 대신에 Site-to-Site VPN 연결을 전송 게이트웨이의 첨부 파일로 생성할 수도 있습니다. 이 모듈의 뒷부분에서 AWS Transit Gateway에 대해 자세히 알아볼 것입니다.)

연결은 고객 게이트웨이입니다. AWS Site-to-Site VPN은 고가용성을 위해 동시에 사용할 수 있는 여러 가용 영역에 걸쳐 2개의 VPN 터널을 제공합니다.

첫 번째 터널을 통해 기본 트래픽을 스트리밍하고 중복성을 위해 두 번째 터널을 사용할 수 있습니다. 하나의 터널이 다운되더라도 트래픽은 여전히 VPC로 전달됩니다.

VPC에 대한 Site-to-Site VPN 연결을 생성하는 경우 VPN 연결이 프로비저닝되고 사용 가능한 각 VPN 연결 시간에 대해 요금이 부과됩니다.

AWS VPN | 요금 | Amazon Web Services(AWS)

Site-to-Site VPN 연결을 생성할 때 사용할 라우팅 유형을 지정하고 서브넷에 대한 라우팅 테이블을 업데이트해야 합니다.

AWS Site-to-Site VPN은 두 가지 유형의 라우팅을 지원합니다.

선택하는 라우팅 유형은 VPN 장치의 제조업체와 모델에 따라 다릅니다.

• VPN 장치가 BGP(Border Gateway Protocol)를 지원하는 경우 Site-to-Site VPN 연결을 구성할 때 동적 라우팅을 지정하십시오.

동적 라우팅은 BGP를 사용하여 가상 프라이빗 게이트웨이에 대한 경로를 보급합니다. 동적 라우팅은 라우팅 테이블당 최대 100개의 전파 경로를 지원합니다.

• VPN 장치가 BGP를 지원하지 않는 경우 고정 라우팅을 지정합니다.

고정 라우팅을 사용하려면 가상 프라이빗 게이트웨이와 통신해야 하는 네트워크의 경로(즉, IP 접두사)를 지정해야 합니다. 정적 라우팅은 기본적으로 라우팅 테이블당 50개의 전파되지 않은 경로를 지원하며 최대 1,000개의 전파되지 않는 경로를 지원합니다.

AWS VPN | 기능 | Amazon Web Services(AWS)

BGP 프로토콜은 첫 번째 터널이 다운될 경우 두 번째 VPN 터널로의 장애 조치를 지원할 수 있는 강력한 활성 감지 검사를 제공하므로 BGP 지원 장치를 사용하는 것이 좋습니다. BGP를 지원하지 않는 장치는 필요할 때 두 번째 터널로의 장애 조치를 지원하기 위해 상태 확인을 수행할 수도 있습니다.