AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

동적 라우팅을 사용하여 AWS와 Microsoft Azure 간에 Site-to-Site VPN 연결을 구성하려면 어떻게 해야 하나요?

5분 분량
0

Border Gateway Protocol(BGP)을 사용하여 AWS와 Microsoft Azure 간에 AWS Site-to-Site VPN 연결을 구성하고 싶어요.

해결 방법

참고: 성능 최적화에 대한 자세한 내용은 AWS Site-to-Site VPN, choosing the right options to optimize performance(성능 최적화를 위한 올바른 옵션 선택으로 AWS Site-to-Site VPN)를 참조하세요.

사전 요구 사항

연결을 구성하기 전에, 다음 사항을 확인하세요.

  • 가상 사설 게이트웨이에 연결되어 있거나 트랜짓 게이트웨이에 연결된 Amazon Virtual Private Cloud(VPC) CIDR가 있는지 확인하세요.

  • Amazon VPC CIDR는 Microsoft Azure 네트워크 CIDR와 겹치지 말아야 합니다.

AWS 구성

1.    고객 게이트웨이를 생성하세요.

  1. Autonomous System Number(ASN)를 확인하세요. 사용자의 것을 직접 추가하거나 기본 옵션(65000)을 사용할 수 있습니다. 기본값을 선택하면, AWS는 사용자의 고객 게이트웨이에 대한 ASN을 제공합니다.

  2. **Customer Gateway IP address(고객 게이트웨이 IP 주소)**란에 Microsoft Azure 공개 IP 주소를 입력하세요. 이 주소는 사용자가 Microsoft Azure 포털에서 가상 네트워크 게이트웨이를 구성할 때 제공됩니다. 자세한 내용은 이 문서의 Microsoft Azure Configuration 섹션의 2단계를 참조하세요.

4.    AWS Site-to-Site VPN을 생성하세요.

  1. 사용자의 Site-to-Site VPN을 위해 Microsoft Azure 예비 APIPA 주소 범위에서 주소 한 개를 선택하세요. 이 주소는 사용자가 Microsoft Azure용 BGP Site-to-Site VPN을 설정하고 있고 AWS Site-to-Site VPN 장치가 BGP에 APIPA 주소를 사용하기 때문에 필요합니다. 이 범위는 IPv4 CIDR 주소 내부에 있는 터널의 경우169.254.21.0에서 169.254.22.255까지입니다. 다음 예시를 참조하세요.

주소 예시: 169.254.21.0/30   

BGP IP 주소(AWS): 169.254.21.1

BGP Peer IP 주소(Microsoft Azure): 169.254.21.2

  1. **Gateway(게이트웨이)**에서 가상 사설 게이트웨이나 트랜짓 게이트웨이를 선택한 다음, **Routing options(라우팅 옵션)**에서 **Dynamic(동적)**을 선택하세요.

  2. 사용자의 VPN ID를 선택한 다음, **Vendor(공급업체)**에서 **Generic(일반)**을 선택하세요.

  3. AWS 구성 파일을 다운로드하세요.

트랜짓 게이트웨이에 대한 Site-to-Site VPN 연결을 구축하는 경우, 올바른 트랜짓 게이트웨이 연결이 있는지 확인하세요. Amazon VPC와 사용자의 Site-to-Site VPN 모두에 대해 이 작업을 수행하세요. 또한 경로 전파를 켜세요. 처음에는 Amazon VPC 경로만 전파됩니다. Microsoft Azure 가상 네트워크 CIDR은 BGP가 설정될 때까지 트랜짓 게이트웨이 경로 테이블에 전파되지 않습니다.

Microsoft Azure 구성

  1. Microsoft 웹 사이트의 지침에 따라 Microsoft Azure에서 가상 네트워크를 생성하세요.

  2. Microsoft 웹 사이트의 지침에 따라 공개 IP 주소가 할당된 가상 네트워크 게이트웨이를 생성하세요. 다음 세부 정보를 사용하세요.

Region: 가상 네트워크 게이트웨이를 배포할 지역을 선택하세요.

**게이트웨이 유형:**VPN

VPN 유형: 경로 기반

SKU: 작업량, 처리량, 기능 및 SLA에 대한 사용자의 요구 사항을 충족하는 SKU를 선택하세요.

Virtual Network(가상 네트워크): 가상 네트워크는 사용자의 가상 네트워크 게이트웨이와 연결되어 있습니다(AWS 환경의 VPC와 유사함).

활성-활성 모드 사용: **Disabled(사용 안 함)**를 선택하세요. 이렇게 하면 AWS Management Console에서 고객 게이트웨이 IP 주소로 사용되는 새 공개 IP 주소가 생성됩니다.

BGP 구성: **Enabled(사용함)**를 선택하세요.

사용자 지정 Azure APIPA BGP IP 주소: (169.254.21.2).

참고: 사용자가 가상 네트워크 게이트웨이에 지정하는 ASN은 AWS Management Console의 고객 게이트웨이 ASN(65000)과 같아야 합니다.

  1. Microsoft 웹 사이트의 지침에 따라 로컬 네트워크 게이트웨이를 생성하세요. 다음 세부 정보를 사용하세요.

IP 주소: 사용자가 AWS Site-to-Site VPN을 생성했을 때 받은 Tunnel 1의 공개 IP 주소를 입력하세요. 이 주소는 AWS Management Console에서 다운로드한 구성 파일에서 확인할 수 있습니다.

주소 공간: Amazon VPC CIDR 블록을 입력하세요.

Autonomous System Number(ASN): AWS ASN을 입력하세요.

BGP 피어 IP 주소: AWS BGP IP를 입력하세요(AWS 구성의 5단계 참조).

  1. Microsoft 웹 사이트의 지침에 따라 BGP가 켜진 상태에서 Microsoft Azure 포털에서 Site-to-Site VPN 연결을 생성하세요.

참고: 암호 알고리즘과 PSK는 Microsoft Azure 측과 AWS 측 모두에서 같습니다.

1단계(IKE):

    Encryption: AES56  
    Authentication: SHA256  
    DH Group: 14

2단계(IPSEC):

    Encryption: AES256  
    Authentication: SHA256  
    DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
    Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

AWS와 Microsoft Azure 간에 AWS Site-to-Site VPN을 사용하여 Active/Active BGP 시스템 대체 작동 설정

  1. Microsoft 웹 사이트의 지침에 따라 가상 네트워크 게이트웨이를 생성하세요. **Enable active-active mode(활성-활성 모드 사용)**에서 **Enabled(사용함)**를 선택하세요. 그러면 두 개의 공개 IP 주소가 제공됩니다.

  2. AWS Site-to-Site VPN 콘솔을 여세요. 가상 네트워크 게이트웨이용 Microsoft Azure 포털의 공개 IP 주소 두 개를 사용하여 두 개의 고객 게이트웨이를 생성하세요. 다음 세부 정보를 사용하세요.

IP 주소: 첫 번째 고객 게이트웨이에는 Azure 공개 노드 1IP 주소를 입력하고 두 번째 고객 게이트웨이에는Azure 공개 노드 2 IP 주소를 입력하세요.

BGP ASN: 사용자가 Microsoft Azure 측에서 구성한 ASN을 입력하세요.

라우팅 유형: **Dynamic(동적)**을 선택하세요.

  1. AWS Management Console에서 가상 사설 게이트웨이 또는 트랜짓 게이트웨이에 연결하는 두 개의 Site-to-Site VPN 연결을 생성하세요. 두 Site-to-Site VPN 연결의 Tunnel 1에서 BGP 피어 IP 주소에 다음을 입력하세요

Site-to-Site VPN 1: 169.254.21.0/30

Site-to-Site VPN 2: 169.254.22.0/30

IP /30 주소 내의 첫 번째 IP 주소는 AWS Site-to-Site VPN BGP IP 주소(169.254.21.1 또는 69.254.22.1)에 할당되고, 두 번째 주소는 Microsoft Azure BGP IP(169.254.21.2 또는 69.254.22.2)에 할당됩니다.

  1. Microsoft Azure 포털을 사용하여 [ 두 개의 Microsoft Azure 로컬 네트워크 게이트웨이를 생성하세요](https://learn.microsoft.com/en-us/azure/vpn-gateway/tutorial-site-to-site-portal#VNetGateway).

IP 주소에는 사용자의 AWS Site-to-Site VPN 터널의 Tunnel 1 공개 IP 주소를 사용하세요. 또한 ASN이 가상 사설 게이트웨이나 트랜짓 게이트웨이와 일치하는지 확인하세요.

  1. Microsoft Azure 포털을 사용하여 두 개의 Microsoft Azure Site-to-Site VPN 연결을 생성하세요. 각 연결에 사용자가 이전 단계에서 생성한 로컬 네트워크 게이트웨이를 가리키는 Microsoft Azure 가상 네트워크 게이트웨이가 있는지 확인하세요.

트랜짓 게이트웨이 ECMP 지원 켜기

두 개의 Site-to-Site VPN 연결이 트랜짓 게이트웨이에서 종료되는 Active/Active 설정의 경우, 두 Site-to-Site VPN 모두에 단일 터널이 구성되어 있습니다. 따라서 가능한 4개의 터널 중 2개의 활성 Site-to-Site VPN 터널이 있습니다. 트랜짓 게이트웨이에 ECMP 지원이 켜져 있으면, 두 Site-to-Site VPN 연결 모두에서 트래픽 부하를 분산할 수 있습니다. 하나의 Site-to-Site VPN 연결이 DOWN 상태가 되면 BGP를 통해 중복 링크로의 시스템 대체 작동이 자동으로 진행됩니다.

VPN 연결 상태 확인

  1. 사용자의 Site-to-Site VPN 구성이 설정된 후, VPN 터널 상태UP 상태인지 확인하세요. 이 작업을 수행하려면, Site-to-Site VPN 콘솔에서 Tunnel Details(터널 세부 정보) 탭을 선택하세요.

  2. Microsoft Azure 포털에서 VPN 연결을 확인하세요. 상태가 **Succeeded(성공)**인지 확인한 다음에는, 연결에 성공하면 **Connected(연결됨)**로 변경됩니다.

  3. 사용자의 Amazon VPC에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 생성하여 AWS와 Microsoft Azure 간의 연결을 확인하세요. 그런 다음, Microsoft 웹 사이트의 지침에 따라 Microsoft Azure VM 비공개 IP 주소에 연결하고 Site-to-Site VPN 연결이 설정되었는지 확인하세요.

자세한 내용은 Testing the Site-to-Site VPN connection(Site-to-Site VPN 연결 테스트)How do(방법)를 참조하세요.

내 VPN 터널의 현재 상태를 어떻게 확인하나요?

주제
네트워킹 및 콘텐츠 전송
태그
AWS Virtual Private Network (VPN)
언어
한국어
AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음

관련 콘텐츠