[Tip] Amazon Site-to-Site VPN 통신에서 특정 Instance가 VPN 통신이 안되는 경우 대응 순서 알아보기

Networking

[Tip] Amazon Site-to-Site VPN 통신에서 특정 Instance가 VPN 통신이 안되는 경우 대응 순서 알아보기

SH-Tech 2022. 7. 21. 17:14

안녕하세요 서후아빠입니다. ^_^

이번 세션은 VPN 연결 후, 특정 인스턴스가 VPN 통신이 안되는 경우 대응하는 순서에 대해서 알아보도록 하겠습니다.

기본 확인 항목

VPN 터널 상태 확인 : VPC > Site-to-site VPN Connections > VPN 연결 선택 > Tunnel details (tab) > Status “Up” 확인
해당 Instance에 대한 확인

- 패킷 캡쳐 확인 : tcpdump or wireshark 이용하여 수발신 패킷 확인

- On-premise 대역에 대한 통신 허용 : Security group과 Network ACLs

- Route table 설정 확인 : Instance가 포함된 VPC의 Route table, TGW의 Route table(TGW로 연결한 경우)

VPN 구성을 정적으로 한 경우, 단일 SA로 구성해야 합니다. 아래 링크 참조하시면 됩니다.

2022.07.06 - [Networking] - AWS VPN 기본 개념

AWS VPN 기본 개념

안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS VPN에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. 이외 내용은 업무적으로 필요할때마다 찾아보시는 것이

sh-t.tistory.com

해당 Instance의 eni에서 발생하는 flow log 수집하여 분석

Log group 생성 : Cloudwatch > Log groups > Create log group > Name(instanceFlowLog-lg)
Cloudwatch 접근에 대한 Policy 적용
- IAM > Polices > Create policy > JSON (tab) > 아래 내용 입력 > Name(cloudwatchPolicy)

# cloudwatchPolicy json 내용
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

- IAM > Roles > Create role > Trusted entity type(AWS service), Use Case(EC2) > cloudwatchPolicy 선택 > Name(cloudwatchRole)
- IAM > Roles > cloudwatchRole 선택 > Trust relationships (tab) > Edit trust policy > JSON (tab) > 아래 내용 입력

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "Service": "vpc-flow-logs.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

EC2 > Network interfaces > 해당 Instance의 eni 선택 > Flow logs (tab) > Create flow log

Name	Filte	Maximum aggregation interval	Destination log group	IAM role	Log record format
instanceFlowLog	All (or Accept or Reject)	1minute (or 10min)	instanceFlowLog-lg	cloudwatchRole	AWS default format (or Custom format)

Logging 기본값은 10분이며, 1분으로 설정할 경우 비용 추가됩니다.
활성화 후, 약 5분 지나면 "Cloudwatch > Log groups > instanceFlowLog-lg"에 Flow log가 확인되며, 이를 기반으로 분석하시면 됩니다.

저작자표시 비영리 변경금지 (새창열림)