AWS Site-to-Site VPN

1. 고객 게이트웨이 (Customer Gateway, CGW)

• 정의
  고객(온프레미스 또는 다른 클라우드) 측의 네트워크 엔드포인트를 AWS에 ‘논리적으로’ 등록해 둔 리소스입니다.
  실제로는 여러분이 갖고 있는 온프레미스 라우터나 방화벽 장비(또는 가상 어플라이언스)의 퍼블릭 IP 주소와 BGP 정보를 AWS에 알려주는 개념적 리소스입니다.
• 특징
  • 리소스 자체에 대한 비용은 없다.
    단, 이 CGW를 사용해 실제 VPN을 생성하고 트래픽을 전송하면 VPN 요금과 데이터 전송 요금 등이 발생할 수 있습니다.
  • 생성 시에 Customer Gateway의 퍼블릭 IP, BGP 자율 시스템 번호(ASN) 등을 입력하여 설정하게 됩니다.
  • CGW 정보는 AWS에서 VPN 터널을 설정할 때, 어느 IP 주소/디바이스와 연결해야 하는지에 대한 정보로 사용됩니다.

---

2. 가상 프라이빗 게이트웨이 (Virtual Private Gateway, VGW)

• 정의
  AWS 측(VPC 측)에 존재하는 VPN 엔드포인트입니다.
  VPC와의 연결을 담당하며, 외부(온프레미스나 다른 네트워크)와 보안 터널(IPSec VPN)을 형성하는 AWS 리소스입니다.
• 특징
  • VPC와 연결(Attach)되어야 하며, 해당 VPC로 들어오고 나가는 트래픽을 관리합니다.
  • BGP를 사용하여 동적 라우팅을 설정할 수 있고, 정적 라우팅 설정도 가능합니다.
  • VGW는 여러 Site-to-Site VPN 연결을 동시에 핸들링할 수도 있습니다.
  • Direct Connect 게이트웨이와의 연동에서도 VGW가 사용될 수 있습니다(Direct Connect 전용 게이트웨이가 따로 있지만, 기본 원리는 유사).

---

3. Site-to-Site VPN 연결 (Site-to-Site VPN Connection)

• 정의
  AWS 측(VGW)과 고객 측(CGW)의 실제 VPN 터널을 설정하는 ‘VPN 연결 리소스’ 입니다.
  이 리소스를 생성하면, AWS 콘솔에서 두 개의 터널(Tunnel 1, Tunnel 2)에 대한 정보를 받게 됩니다(각 터널의 Outside IP, BGP 정보, 터널 내부 IP 등).
• 특징
  • Site-to-Site VPN 연결이 생성되면, VPN 터널을 구성하기 위한 설정 정보(예: IPSec 파라미터, BGP 세부 정보)를 다운로드할 수 있습니다.
  • 이 설정 파일을 온프레미스 라우터(고객 게이트웨이 장비)나 소프트웨어 VPN 어플라이언스에 반영해야 실제로 터널이 올라옵니다.
  • 요금은 사용 시간당 및 전송된 데이터 양에 따라 발생합니다.

---

이 세 리소스 간의 관계

1. **고객 게이트웨이(CGW)**를 먼저 생성하여, 온프레미스 쪽 VPN 라우터(또는 장비)에 대한 정보를 AWS에 등록합니다.
2. **가상 프라이빗 게이트웨이(VGW)**를 생성하고, 이 VGW를 VPC에 Attach 하여 “AWS 네트워크 측의 VPN 게이트웨이” 역할을 설정합니다.
3. **Site-to-Site VPN 연결(Site-to-Site VPN Connection)**을 생성합니다.
   • 이 때, 연결 대상으로 VGW를 선택하고, 고객 게이트웨이로 이전에 생성한 CGW를 선택해줍니다.
   • 생성이 완료되면 VPN 터널을 설정하기 위한 구체적인 설정 파일을 받아서, 온프레미스 라우터(또는 가상 어플라이언스)에 적용해 줍니다.

이 과정을 통해 온프레미스(또는 다른 클라우드)와 VPC 간에 안전한 IPsec 터널이 구성됩니다. 트래픽은 다음의 경로를 거쳐 양방향으로 오갈 수 있게 됩니다:

 

 

온프레미스 라우터(고객 게이트웨이) <== IPsec 터널 ==> 가상 프라이빗 게이트웨이(VGW) -> VPC 리소스