AWS와 Azure 간에 동적 라우팅을 사용하여 Site-to-Site VPN 연결을 구성하려면 어떻게 해야 합니까?

간략한 설명

AWS와 Azure 간에 동적 라우팅을 설정하려면 AWS와 Azure 측 모두에서 고객 게이트웨이, VPN 게이트웨이, 로컬 네트워크 게이트웨이 및 터널 구성을 만들고 구성합니다. 그런 다음, 액티브-액티브 BGP 장애 조치를 설정하고 VPN 연결 상태를 확인합니다.

해결 방법

참고: 성능을 최적화하는 방법에 대한 자세한 내용은 AWS Site-to-Site VPN 및 성능 최적화에 적합한 옵션 선택을 참조하십시오.

전제 조건:

• Amazon Virtual Private Cloud(Amazon VPC) CIDR(Classless Inter-Domain Routing)이 가상 프라이빗 게이트웨이 또는 전송 게이트웨이와 연결되어 있는지 확인합니다.
• Amazon VPC CIDR과 Azure 네트워크 CIDR이 겹치지 않는지 확인합니다.

Azure 측에서 가상 네트워크 및 VPN 게이트웨이 생성

다음 단계를 완료하십시오.

1. Azure 포털을 사용하여 가상 네트워크를 생성합니다. 자세한 내용은 Microsoft 웹 사이트에서 Azure Virtual Network 만들기를 참조하십시오.
2. 퍼블릭 IP 주소를 사용하여 VPN 게이트웨이를 생성합니다. 자세한 내용은 Microsoft 웹 사이트에서 VPN 게이트웨이 만들기를 참조하십시오. 다음 작업을 수행하십시오.
   리전에서 VPN 게이트웨이를 배포할 리전을 선택합니다.
   게이트웨이 유형에서 VPN을 선택합니다.
   VPN 유형에서 경로 기반을 선택합니다.
   SKU에서 작업량, 처리량, 기능 및 SLA에 대한 사용자의 요구 사항을 충족하는 SKU를 선택합니다.
   가상 네트워크에서 VPN 게이트웨이와 연결된 가상 네트워크를 선택합니다(AWS 환경의 VPC와 유사함).
   액티브-액티브 모드 활성화에서 비활성화를 선택하여 AWS Management Console에서 고객 게이트웨이 IP 주소로 사용되는 새 퍼블릭 IP 주소를 생성합니다.
   BGP 구성에서 활성화를 선택합니다.
   사용자 지정 Azure APIPA BGP IP 주소에서 169.254.21.2를 선택합니다.
   참고: 사용자가 VPN 게이트웨이에 사용하는 ASN은 AWS Management Console의 고객 게이트웨이 ASN(65000)과 같아야 합니다.

AWS 측에서 고객 게이트웨이 및 AWS Site-to-Site VPN 연결 생성

다음 단계를 완료하십시오.

1. 고객 게이트웨이를 생성합니다.
   BGP ASN에서 직접 추가하거나 기본 옵션(65000)을 사용할 수 있습니다. 기본값을 선택하면 AWS에서 고객 게이트웨이에 Autonomous System Number(ASN)를 제공합니다.
   IP 주소에 Azure 포털에서 VPN 게이트웨이를 구성할 때 사용한 Azure 퍼블릭 IP 주소를 입력합니다. 자세한 내용은 이 문서에서 Azure 구성 섹션의 2단계를 참조하십시오.
2. AWS Site-to-Site VPN 연결을 생성합니다.
   Site-to-Site VPN에 대한 터널 1의 내부 IPv4 CIDR 범위의 경우 Azure에서 예약한 Automatic Private IP Addressing(APIPA) 주소 범위에서 주소를 선택합니다. APIPA 주소 범위는 IPv4 CIDR 주소 내부에 있는 터널의 경우 169.254.21.0에서 169.254.22.255까지입니다.
   주소 예: 169.254.21.0/30
   BGP IP 주소(AWS) 예: 169.254.21.1
   피어 IP 주소(Azure) 예: 169.254.21.2
   대상 게이트웨이 유형에서 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 선택합니다.
   라우팅 옵션에서 동적을 선택합니다.
3. AWS 구성 파일을 다운로드합니다.

Azure 측에서 로컬 네트워크 게이트웨이 생성

다음 단계를 완료하십시오.

1. Azure 포털을 사용하여 로컬 네트워크 게이트웨이를 생성합니다. 자세한 내용은 Microsoft 웹 사이트에서 로컬 네트워크 게이트웨이 만들기를 참조하십시오. 다음 작업을 수행하십시오.
   IP 주소에 사용자가 Site-to-Site VPN을 생성했을 때 받은 터널 1의 퍼블릭 IP 주소를 입력합니다. AWS Management Console에서 다운로드한 구성 파일에서 이를 확인할 수 있습니다.
   주소 공간에 Amazon VPC CIDR 블록을 입력합니다.
   **Autonomous System Number(ASN)**에 AWS ASN을 입력합니다.
   BGP 피어 IP 주소에 AWS BGP IP 주소를 입력합니다. 자세한 내용은 이 문서에서 AWS 구성 섹션의 2단계를 참조하십시오.
2. Azure 포털에서 BGP를 켠 상태로 Site-to-Site VPN 연결을 생성합니다. 자세한 내용은 Microsoft 웹 사이트에서 VPN 연결 만들기를 참조하십시오.
   참고: 암호화 알고리즘과 사전 공유 키(PSK)는 Azure와 AWS 모두에서 동일합니다.
   1단계(IKE):

   Encryption: AES56      Authentication: SHA256      DH Group: 14

   2단계(IPSEC):

   Encryption: AES256      Authentication: SHA256      DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
       Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

AWS와 Azure 간에 Site-to-Site VPN을 사용하여 액티브-액티브 BGP 장애 조치 설정

다음 단계를 완료하십시오.

1. Azure 포털에서 VPN 게이트웨이를 생성합니다.
   액티브-액티브 모드에서 활성화를 선택합니다. 그러면 두 개의 퍼블릭 IP 주소가 제공됩니다. 자세한 내용은 Microsoft 웹 사이트에서 VPN 게이트웨이 만들기를 참조하십시오.
2. Amazon VPC 콘솔을 엽니다.
3. 고객 게이트웨이를 선택합니다.
4. 1단계에서 Azure 포털에 제공된 두 개의 퍼블릭 IP 주소를 입력하여 두 개의 고객 게이트웨이를 생성합니다.
   BGP ASN에 Azure 포털에서 구성한 ASN을 입력합니다.
   라우팅 유형에서 동적을 선택합니다.
5. 가상 프라이빗 게이트웨이 또는 전송 게이트웨이에 연결하는 두 개의 Site-to-Site VPN 연결을 생성합니다. 각 VPN 연결의 터널 1에 있는 터널 내부 IP 주소 범위에 대해 다음 CIDR 범위를 사용하십시오.
   Site-to-Site VPN 1의 경우 169.254.21.0/30을 사용합니다.
   Site-to-Site VPN 2의 경우 169.254.22.0/30을 사용합니다.
   참고: 이 범위의 첫 번째 IP 주소(21.1 및 22.1)는 Site-to-Site VPN 엔드포인트에 할당됩니다. Azure에서 두 번째 IP 주소(21.2 및 22.2)를 올바르게 구성했는지 확인하십시오.
6. Azure 포털을 사용하여 두 개의 Azure 로컬 네트워크 게이트웨이를 생성합니다. IP 주소에는 사용자의 AWS Site-to-Site VPN 터널의 터널 1 퍼블릭 IP 주소를 사용하십시오. 또한 ASN이 가상 프라이빗 게이트웨 또는 전송 게이트웨이와 일치하는지 확인하십시오. 자세한 내용은 Microsoft 웹 사이트에서 VPN 게이트웨이 만들기를 참조하십시오.
7. Azure 포털을 사용하여 두 개의 Azure Site-to-Site VPN 연결을 생성합니다. 각 연결에 이전 단계에서 생성한 로컬 네트워크 게이트웨이를 가리키는 Azure VPN 게이트웨이가 있는지 확인하십시오.

참고: 액티브-액티브 설정에서 ECMP를 구현하려면 전송 게이트웨이에서 VPN ECMP 지원을 켜야 합니다.

VPN 연결 상태 확인

Site-to-Site VPN 구성을 설정한 후 VPN 터널 상태가 UP인지 확인하십시오.

Azure 포털에서 VPN 연결이 성공 상태인지 확인합니다. 그런 다음, 연결에 성공하면 상태가 연결됨으로 변경되는지 확인합니다. 자세한 내용은 VPN 연결 확인을 참조하십시오.

그 다음, 사용자의 Amazon VPC에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 생성하여 AWS와 Azure 간의 연결을 확인합니다. Azure 가상 머신(VM) 프라이빗 IP 주소에 연결한 다음, Site-to-Site VPN 연결을 설정했는지 확인합니다. 자세한 내용은 Microsoft 웹 사이트의 Azure 포털에서 Site-to-Site VPN 연결 만들기를 참조하십시오.

자세한 내용은 AWS Site-to-Site VPN 연결 테스트를 참조하십시오.

참고: 전송 게이트웨이 VPN 연결의 경우 VPC와 Site-to-Site VPN 모두에 적절한 Transit Gateway Attachment가 있는지 확인하십시오. 그런 다음, 경로 전파를 켜십시오. Azure 가상 네트워크 CIDR 경로는 BGP를 설정한 후에만 전파됩니다.