기존의 사내 VPN 서비스는 용량에 따라 고정되어 있으며 신속하고 주문형 방식으로 확장 또는 축소하기가 어렵습니다. 하드웨어 제약, 라이센싱 및 대역폭은 모두 급증하는 모바일 직원의 요구를 충족하기 위해 기존 클라이언트 VPN 서비스를 확장하지 못하게 하는 요인이 될 수 있습니다. 다행히도 AWS Client VPN의 클라우드의 탄력성 및 종량제 가격이 도움이 될 수 있습니다. AWS Client VPN은 AWS 및 사내 리소스에 연결하는 데 사용할 수 있는 확장 가능하고 고가용성 OpenVPN 기반 서비스입니다.
이 블로그에서는 이전 게시물을 확장하고 AWS Client VPN 연결 및 클라우드 및 사내 리소스에 대한 원격 작업자 연결을 위한 아키텍처에 대해 설명합니다.
클라이언트 연결
AWS Client VPN 서비스는 사용자가 연결할 수 있는 확장 가능한 엔드포인트을 제공합니다. 신축성이 뛰어나며 늘어난 연결에 맞춰 확장할 수 있습니다. 기본적으로 엔드포인트는 최대 2,000개의 동시 연결을 확장할 수 있습니다. 지원 콘솔의 제한 증가 요청을 통해 이 제한을 훨씬 더 높일 수 있습니다. 최종 사용자는 인증서 기반 상호 인증 또는 Active Directory 인증을 사용하여 클라이언트 VPN에 인증할 수 있습니다. 추가 보안 계층에 대해 Active Directory 인증에서 MFA(다중 요소 인증)를 사용하도록 설정할 수 있습니다.
클라이언트 VPN 엔드포인트는 AZ당 하나 이상의 서브넷에 연결됩니다. 고가용성을 위해 서브넷을 두 개 이상 사용하는 것이 좋습니다. 첨부 파일은 서브넷에 ENI(탄성 네트워크 인터페이스)를 생성합니다. 클라이언트 서브넷에서 전송되는 모든 네트워크 트래픽은 ENI IP 주소로 NAT(네트워크 주소 변환)됩니다. 이렇게 하면 연결된 클라이언트가 서브넷 경로 테이블을 사용하여 VPC 내부 및 외부의 리소스에 연결할 수 있습니다.
네트워크 액세스는 인증을 통해 정교하게 제어될 수 있으며 기본적으로 잠겨 있습니다. 모든 네트워크 트래픽이 클라이언트 VPN 또는 분할 터널을 통과하는 전체 터널 액세스를 위해 클라이언트를 추가로 구성할 수 있습니다. 한 가지 고려해야 할 점은 VPN 클라이언트에 대해 VPC CIDR과 중복되지 않는 충분히 큰 서브넷을 선택하는 것입니다. 클라이언트 VPN CIDR 크기를 조정할 때는 동시 연결의 두 배를 용이하게 할 수 있어야 합니다. 원격 작업자 연결은 클라이언트 서브넷으로 10.254.0/16을 사용하는 아래 다이어그램에 나와 있습니다.
아키텍처
원격 작업자가 AWS Client VPN 엔드포인트에 연결하면 클라이언트 VPN 서브넷이 경로로 있는 모든 대상에 액세스할 수 있습니다(액세스 허용 권한에 따라). 이를 통해 VPC 내의 리소스뿐만 아니라 추가 VPC 및 사내에 있는 리소스에 액세스할 수 있습니다.
Client VPN to many VPCs
연결된 클라이언트는 이미 VPC 내의 리소스에 대한 경로를 가지고 있습니다. 클라이언트 VPN이 소스 NAT을 수행하므로 클라이언트 트래픽에 엔드포인트 ENI의 소스 IP가 있습니다. 인터페이스 VPC 엔드포인트 및 EC2 인스턴스와 같은 리소스를 원활하게 연결할 수 있습니다. VPC 피어링 및 AWS Transit Gateway를 사용하여 VPC 외부의 리소스에 연결할 수 있습니다. 이 작업은 클라이언트 VPN 서브넷 경로 테이블에 경로를 추가하여 수행됩니다. 이 아키텍처는 다음 다이어그램에 나와 있습니다.
Client VPN to on-premises
클라이언트 VPN을 사용하면 원격 작업자가 AWS DX(Direct Connect) 및 AWS 사이트 간 VPN을 사용하여 사내 리소스에 연결할 수 있습니다. 이러한 방식으로 원격 작업자 VPN 용량은 사내 인프라 및 대역폭에 관계없이 확장할 수 있습니다. 단일 VPC는 VPC에 대한 DX 연결 또는 VPN 연결을 사용할 수 있습니다. 보다 확장 가능한 대안을 위해 AWS Transit Gateway를 사용하여 많은 VPC를 함께 연결할 수 있을 뿐만 아니라 Direct Connect Gateway(트랜스퍼 가상 인터페이스 포함) 또는 VPN을 통한 사내 연결에도 사용할 수 있습니다. 이 아키텍처는 아래에 나와 있습니다.
Client VPN to Internet
클라이언트 VPN 연결에 전체 VPN 터널을 사용하는 경우 인터넷 트래픽이 서브넷 경로 테이블을 사용하여 기본 경로 0.0.0.0/0을 라우팅할 수 있습니다. 인터넷 바인딩 트래픽은 NAT 게이트웨이 또는 타사 어플라이언스를 사용할 수 있습니다. 고가용성(HA) 및 확장성을 위해 여러 NAT 게이트웨이 또는 어플라이언스를 사용할 수 있습니다. 이것은 아래 아키텍처에 나와 있습니다.
대신 클라이언트 VPN ENI를 사용하여 인터넷 송신 트래픽을 전송할 수도 있습니다. 이 작업을 수행하려면 클라이언트 VPN 첨부 파일의 공용 서브넷만 사용해야 합니다. 각 ENI는 공용 IP 주소를 수신하고 NAT 게이트웨이 및 관련 비용 없이 인터넷에 액세스할 수 있습니다. 이 아키텍처는 아래에 나와 있습니다.
결론
이 게시물에서는 원격 작업자를 VPC 리소스, 인터넷 및 사내 리소스에 연결하는 몇 가지 아키텍처를 구축했습니다. 이러한 아키텍처는 가정 요구 사항을 충족하도록 결합 및 수정할 수 있습니다. AWS Client VPN을 사용하면 가정 사용자 요구 사항을 충족하는 확장 가능한 원격 액세스 솔루션을 쉽게 만들 수 있습니다.
빌드업웍스에서 AWS 무료 컨설팅을 진행합니다.
AWS에 대하여 궁금하신 내용이 있으시거나, 도입을 검토 중이시라면 편하게 신청해주세요.
본 문서는 Using AWS Client VPN to scale your work from home capacity 내용에 기반하여 작성 되었습니다.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
