AWS Client VPN 사용자가 최종 디바이스에서 AWS 리소스로 보안 연결을 설정하기를 원합니다.
해결 방법
특정 리소스에 대한 Client VPN 액세스를 구성하기 전에 다음 정보를 검토하세요.
- Client VPN 엔드포인트가 서브넷에 연결되면 연결된 서브넷에 탄력적 네트워크 인터페이스가 생성됩니다. 이러한 네트워크 인터페이스는 서브넷의 CIDR에서 IP 주소를 수신합니다.
- Client VPN 연결이 설정되면 최종 디바이스에 VTAP(가상 터널 어댑터)가 생성됩니다. 가상 어댑터는 Client VPN 엔드포인트의 클라이언트 IPv4 CIDR에서 IP 주소를 수신합니다.
- 서브넷을 Client VPN 엔드포인트와 연결하면 Client VPN 네트워크 인터페이스가 해당 서브넷에 생성됩니다. Client VPN 엔드포인트에서 Virtual Private Cloud(VPC)로 전송되는 트래픽은 Client VPN 네트워크 인터페이스를 통해 전송됩니다. 그런 다음 SNAT(원본 네트워크 주소 변환)가 적용됩니다. 즉, 클라이언트 CIDR 범위의 소스 IP 주소가 Client VPN 네트워크 인터페이스 IP 주소로 변환됩니다.
Client VPN 최종 사용자에게 특정 AWS 리소스에 대한 액세스 권한을 부여하려면 다음을 수행합니다.
- Client VPN 엔드포인트의 연결된 서브넷과 대상 리소스의 네트워크 간의 라우팅을 구성합니다. 대상 리소스가 엔드포인트와 연결된 동일한 VPC에 있는 경우 경로를 추가할 필요가 없습니다. 이 경우 VPC의 로컬 경로를 사용하여 트래픽을 전달합니다. 대상 리소스가 엔드포인트와 연결된 동일한 VPC에 있지 않은 경우 Client VPN 엔드포인트의 연결된 서브넷 라우팅 테이블에 해당 경로를 추가합니다.
- Client VPN 엔드포인트의 연결된 서브넷을 통한 인바운드 및 아웃바운드 트래픽을 허용하도록 대상 리소스의 보안 그룹을 구성합니다. 또는 엔드포인트에 적용된 보안 그룹을 사용하려면 대상 리소스의 보안 그룹 규칙에서 엔드포인트에 연결된 보안 그룹을 참조합니다.
- Client VPN 엔드포인트의 연결된 서브넷을 통한 인바운드 및 아웃바운드 트래픽을 허용하도록 대상 리소스의 네트워크 액세스 제어 목록(네트워크 ACL)을 구성합니다.
- Client VPN 엔드포인트의 권한 부여 규칙에서 대상 리소스에 대한 최종 사용자 액세스를 허용합니다. 자세한 내용은 AWS Client VPN 권한 부여 규칙을 참조하세요.
- Client VPN 라우팅 테이블에 대상 리소스의 네트워크 범위에 대한 라우팅이 있는지 확인합니다. 자세한 내용은 AWS Client VPN 경로 및 AWS Client VPN 대상 네트워크를 참조하세요.
- Client VPN 엔드포인트의 연결된 보안 그룹에 있는 대상 리소스에 대한 아웃바운드 액세스를 허용합니다.
참고: Client VPN 엔드포인트와 연결된 서브넷이 두 개 이상 있는 경우 각 Client VPN 서브넷 CIDR에서 다음을 수행할 수 있도록 액세스를 허용해야 합니다.
- 대상 리소스의 보안 그룹
- 대상 리소스의 네트워크 ACL
사용자가 액세스하는 리소스 종류에 따라 연결을 설정하는 데 필요한 경로, 보안 그룹 규칙 및 권한 부여 규칙을 생성합니다. 액세스를 구성하는 방법에 대한 자세한 내용은 Client VPN에 대한 시나리오 및 예제를 참조하세요.
참고: 사용 사례에 따라 VPC에 대한 Client VPN 연결을 설정하고 로컬 게이트웨이를 통해 인터넷 트래픽을 계속 라우팅할 수 있습니다. 이렇게 하려면 분할 터널 Client VPN 엔드포인트를 설정합니다.
관련 정보
AWS Client VPN 작동 방식