AWS Client VPN 엔드포인트 생성

콘솔을 사용하여 Client VPN 엔드포인트를 생성하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Client VPN Endpoints(Client VPN 엔드포인트)를 선택한 다음 Create Client VPN Endpoint(Client VPN 엔드포인트 생성)를 선택합니다.

3. (선택 사항) Client VPN 엔드포인트의 이름 태그와 설명을 입력합니다.

4. 클라이언트 IPv4 CIDR에서 클라이언트 IP 주소를 할당할 IP 주소 범위(CIDR 표기법)를 지정합니다. 예: 10.0.0.0/22.

   참고

   주소 범위는 Client VPN 엔드포인트와 연결될 대상 네트워크 주소 범위, VPC 주소 범위 또는 경로와 중복될 수 없습니다. 클라이언트 주소 범위는 최소 /22 이상이어야 하며 /12 CIDR 블록 크기를 넘지 않아야 합니다. Client VPN 엔드포인트를 생성한 후에는 클라이언트 주소 범위를 변경할 수 없습니다.

5. Server certificate ARN(서버 인증서 ARN)에 서버에서 사용할 TLS 인증서의 ARN을 지정합니다. 클라이언트는 서버 인증서를 사용하여 연결할 Client VPN 엔드포인트를 인증합니다.

   참고

   서버 인증서는 Client VPN 엔드포인트를 생성하는 리전의 AWS Certificate Manager (ACM)에 있어야 합니다. 인증서는 ACM을 사용하여 프로비저닝하거나 ACM으로 가져올 수 있습니다.

6. 클라이언트가 VPN 연결을 설정할 때 클라이언트를 인증하는 데 사용할 인증 방법을 지정합니다. 인증 방법을 선택해야 합니다.

   • 사용자 기반 인증을 사용하려면 사용자 기반 인증 사용을 선택하고 다음 중 하나를 선택합니다.

     • Active Directory 인증: Active Directory 인증을 사용하려면 이 옵션을 선택합니다. 디렉터리 ID에는 사용할 Active Directory의 ID를 지정합니다.

     • 연동 인증: SAML 기반 연동 인증을 사용하려면 이 옵션을 선택합니다.

       SAML 제공업체 ARN에는 IAM SAML 자격 증명 공급자의 ARN을 지정합니다.

       (선택 사항) Self-service SAML provider ARN(셀프 서비스 SAML 공급자 ARN)에서 셀프 서비스 포털을 지원하기 위해 생성한 IAM SAML 자격 증명 공급자의 ARN을 지정합니다(해당하는 경우).

   • 상호 인증서 인증을 사용하려면 상호 인증 사용을 선택한 다음 클라이언트 인증서 ARN에 AWS Certificate Manager (ACM)에 프로비저닝된 클라이언트 인증서의 ARN을 지정합니다.

     참고

     서버 및 클라이언트 인증서가 동일한 CA(인증 기관)에 의해 발급된 경우 서버 인증서 ARN을 서버 및 클라이언트 모두에 사용할 수 있습니다. 클라이언트 인증서가 다른 CA에 의해 발급된 경우 클라이언트 인증서 ARN이 지정되어야 합니다.

7. (선택 사항) 연결 로깅(Connection logging)에서 Amazon CloudWatch Logs를 사용하여 클라이언트 연결에 대한 데이터를 로그할지 여부를 지정합니다. 클라이언트 연결에 대한 로그 세부 정보 활성화(Enable log details on client connections)를 켭니다. CloudWatch Logs log group name(CloudWatch Logs 로그 그룹 이름)에 사용할 로그 그룹의 이름을 입력합니다. CloudWatch Logs log stream name(CloudWatch Logs 로그 스트림 이름)에 사용할 로그 스트림의 이름을 입력하거나 사용자 대신 자동으로 로그 스트림을 생성할 수 있도록 이 옵션을 비워 둡니다.

8. (선택 사항) 클라이언트 연결 핸들러(Client Connect Handler)에서 클라이언트 연결 핸들러 활성화(Enable client connect handler)를 켜서 Client VPN 엔드포인트에 대한 새 연결을 허용하거나 거부하는 사용자 지정 코드를 실행합니다. Client Connect Handler ARN(클라이언트 연결 처리기 ARN)에서 연결을 허용하거나 거부하는 논리가 포함된 Lambda 함수의 Amazon 리소스 이름(ARN)을 지정합니다.

9. (선택 사항) DNS 확인에 사용할 DNS 서버를 지정합니다. 사용자 지정 DNS 서버를 사용하려면 DNS Server 1 IP address(DNS 서버 1 IP 주소) 및 DNS Server 2 IP address(DNS 서버 2 IP 주소)에 사용할 DNS 서버의 IP 주소를 지정합니다. VPC DNS 서버를 사용하려면 DNS Server 1 IP address(DNS 서버 1 IP 주소) 또는 DNS Server 2 IP address(DNS 서버 2 IP 주소)에 IP 주소를 지정하고 VPC DNS 서버 IP 주소를 추가합니다.

   참고

   클라이언트가 DNS 서버에 도달할 수 있는지 확인합니다.

10. (선택 사항) 기본적으로 Client VPN 엔드포인트는 UDP 전송 프로토콜을 사용합니다. TCP 전송 프로토콜을 대신 사용하려면 Transport Protocol에서 TCP를 선택합니다.

    참고

    일반적으로 UDP가 TCP보다 뛰어난 성능을 제공합니다. Client VPN 엔드포인트를 생성한 후에는 전송 프로토콜을 변경할 수 없습니다.

11. (선택 사항) 엔드포인트를 분할 터널 Client VPN 엔드포인트로 사용하려면 분할 터널 활성화(Enable split-tunnel)를 켭니다. 기본적으로 Client VPN 엔드포인트의 분할 터널은 비활성화됩니다.

12. (선택 사항) VPC ID에서 Client VPN 엔드포인트와 연결할 VPC를 선택합니다. Security Group IDs(보안 그룹 ID)에서 Client VPN 엔드포인트에 적용할 VPC의 보안 그룹을 하나 이상 선택합니다.

13. (선택 사항) VPN 포트의 경우 VPN 포트 번호를 선택합니다. 기본값은 443입니다.

14. (선택 사항) 클라이언트에 대한 셀프 서비스 포털 URL을 생성하려면 셀프 서비스 포털 활성화(Enable self-service portal)를 켭니다.

15. (선택 사항) 세션 제한 시간(Session timeout hours)에서 사용 가능한 옵션에서 원하는 최대 VPN 세션 기간(시간)을 선택하거나 기본값 24시간으로 설정된 상태로 둡니다.

16. (선택 사항) 세션 제한 시간 연결 해제에서 최대 세션 시간에 도달하면 세션을 종료할지 여부를 선택합니다. 이 옵션을 선택하면 세션 시간이 초과되면 사용자가 엔드포인트에 수동으로 다시 연결해야 합니다. 그렇지 않으면 Client VPN이 자동으로 다시 연결을 시도합니다.

17. (선택 사항) 클라이언트 로그인 배너 텍스트를 사용 설정할지 여부를 지정합니다. 클라이언트 로그인 배너 활성화(Enable client login banner)를 켭니다. 클라이언트 로그인 배너 텍스트(Client login banner text)에 VPN 세션이 설정될 때 AWS 제공 클라이언트의 배너에 표시될 텍스트를 입력합니다. UTF-8로 인코딩된 문자만 허용됩니다. 최대 1,400자입니다.

18. 클라이언트 VPN엔드포인트 생성(Create Client VPN endpoint)을 선택합니다.