AWS VPN vs Direct Connect: 온프레미스 연결 어떻게 선택할까?
AWS Site-to-Site VPN과 Direct Connect의 차이점, 비용, 성능을 비교하고 시나리오별 최적의 선택 기준을 알아봅니다.
관련 시험 도메인
- Domain 1: Design Secure Architectures
핵심 요약 (BLUF)
빠른 구성과 저비용이 필요하면 Site-to-Site VPN, 안정적인 대역폭과 일관된 성능이 필요하면 Direct Connect를 선택합니다. Direct Connect의 백업으로 VPN을 함께 구성하는 것이 모범 사례입니다.
시험 팁
시험 핵심: "빠르고 저렴 = VPN", "안정적 대역폭 + 일관된 성능 = Direct Connect", "DX 백업 = VPN"
온프레미스-AWS 연결 옵션
| 옵션 | 경로 | 암호화 | 설정 시간 |
|---|---|---|---|
| Site-to-Site VPN | 인터넷 | ✅ IPsec | 분 단위 |
| Direct Connect | 전용선 | ❌ (기본) | 수 주~수 개월 |
| Direct Connect + VPN | 전용선 | ✅ IPsec | 수 주~수 개월 |
| Client VPN | 인터넷 | ✅ TLS | 분 단위 |
Site-to-Site VPN
구성 요소
[온프레미스] [AWS]
┌──────────────┐ ┌──────────────────┐
│ │ IPsec 터널 1 │ │
│ Customer │ ═════════════════│ Virtual Private │
│ Gateway │ IPsec 터널 2 │ Gateway (VGW) │
│ (CGW) │ ═════════════════│ 또는 │
│ │ 인터넷 │ Transit Gateway │
└──────────────┘ └──────────────────┘
| 구성 요소 | 설명 |
|---|---|
| Customer Gateway (CGW) | 온프레미스 측 VPN 디바이스 (또는 소프트웨어) |
| Virtual Private Gateway (VGW) | AWS 측 VPN 엔드포인트 (VPC에 연결) |
| Transit Gateway (TGW) | 여러 VPC에 연결할 때 사용 |
VPN 특징
| 항목 | 내용 |
|---|---|
| 대역폭 | 터널당 최대 1.25 Gbps |
| 터널 수 | 연결당 2개 (고가용성) |
| 암호화 | IPsec (자동) |
| 비용 | $0.05/연결-시간 + 데이터 전송 |
| 설정 시간 | 몇 분 |
Accelerated VPN
AWS Global Accelerator 네트워크를 통해 VPN 성능을 향상시킵니다.
일반 VPN: [온프레미스] → 인터넷 → [AWS VGW]
Accelerated: [온프레미스] → 인터넷 → [가장 가까운 엣지] → AWS 백본 → [VGW]
Direct Connect (DX)
연결 유형
| 유형 | 대역폭 | 연결 방식 |
|---|---|---|
| Dedicated Connection | 1, 10, 100 Gbps | AWS Direct Connect 로케이션에서 전용 포트 |
| Hosted Connection | 50Mbps ~ 10Gbps | 파트너를 통한 연결 |
구성 요소
[온프레미스] [DX 로케이션] [AWS]
┌──────────┐ ┌──────────────┐ ┌──────────┐
│ 데이터 │ │ │ │ │
│ 센터 │──────│ 교차 연결 │──────│ VGW │
│ │ 전용선│ (Cross- │ AWS │ 또는 │
│ │ │ Connect) │ 네트워크│ DX GW │
└──────────┘ └──────────────┘ └──────────┘
Virtual Interface (VIF)
| VIF 유형 | 용도 | 연결 대상 |
|---|---|---|
| Private VIF | VPC 리소스 접근 | VGW 또는 Direct Connect Gateway |
| Public VIF | AWS 퍼블릭 서비스 접근 | S3, DynamoDB 등 (퍼블릭 엔드포인트) |
| Transit VIF | Transit Gateway 연결 | TGW (여러 VPC 연결) |
시험 팁
Private VIF vs Public VIF: VPC 내부 리소스(EC2, RDS) 접근은 Private VIF, S3 같은 퍼블릭 서비스에 전용선으로 접근하려면 Public VIF
Direct Connect Gateway
여러 리전의 VPC에 하나의 DX 연결로 접근할 수 있게 합니다.
┌─── VGW (ap-northeast-2) → VPC A
[DX 연결] → [DX Gateway] ─── VGW (us-east-1) → VPC B
└─── VGW (eu-west-1) → VPC C
VPN vs Direct Connect 상세 비교
| 비교 항목 | Site-to-Site VPN | Direct Connect |
|---|---|---|
| 경로 | 인터넷 | 전용 네트워크 |
| 대역폭 | 최대 1.25 Gbps/터널 | 최대 100 Gbps |
| 지연 시간 | 가변적 (인터넷 경유) | 일관적 (전용선) |
| 암호화 | ✅ IPsec 자동 | ❌ 기본 미암호화 |
| 설정 시간 | 몇 분 | 수 주~수 개월 |
| 비용 | 낮음 | 높음 |
| 가용성 | 2개 터널 | SLA 99.99% (이중화 시) |
| 대용량 데이터 | 부적합 | 적합 |
선택 가이드
온프레미스-AWS 연결 선택:
│
▼
대용량 데이터 전송 또는 일관된 성능 필요?
│
Yes → [Direct Connect]
│ └── 암호화 필요? → DX + VPN 조합
No
│
▼
빠른 구성 또는 비용 절감?
│
Yes → [Site-to-Site VPN]
│
No
│
▼
개별 사용자 원격 접속?
│
Yes → [Client VPN]
고가용성 구성
VPN 이중화
[온프레미스] [AWS]
CGW 1 ════ 터널 2개 ════ VGW (AZ-a)
CGW 2 ════ 터널 2개 ════ VGW (AZ-b)
→ 총 4개 터널, 완전 이중화
Direct Connect 이중화
최대 복원력 (AWS 권장):
[온프레미스] ─── DX 연결 1 ─── [DX 로케이션 A] ─── [AWS]
[온프레미스] ─── DX 연결 2 ─── [DX 로케이션 B] ─── [AWS]
→ 2개 로케이션, 각 2개 연결 = SLA 99.99%
DX + VPN 백업
Primary: [온프레미스] ═══ Direct Connect ═══ [AWS VPC]
Backup: [온프레미스] ─── Site-to-Site VPN ── [AWS VPC]
DX 장애 시 → VPN으로 자동 페일오버
시험 팁
모범 사례: Direct Connect의 백업으로 Site-to-Site VPN을 구성하는 것이 비용 효율적인 이중화 방법입니다.
Client VPN
개별 사용자가 랩탑/PC에서 AWS VPC에 원격 접속하는 서비스입니다.
| 항목 | Site-to-Site VPN | Client VPN |
|---|---|---|
| 연결 주체 | 네트워크 대 네트워크 | 사용자 대 네트워크 |
| 사용 사례 | 데이터센터 ↔ VPC | 재택근무자 → VPC |
| 프로토콜 | IPsec | TLS (OpenVPN) |
| 인증 | PSK 또는 인증서 | AD, SAML, 인증서 |
SAA-C03 시험 출제 포인트
- ✅ VPN 선택: "빠른 구성, 저비용, 암호화 = VPN"
- ✅ DX 선택: "안정적 대역폭, 일관된 지연 시간, 대용량 = Direct Connect"
- ✅ DX 암호화: "DX는 기본 미암호화, 암호화 필요 시 DX + VPN"
- ✅ 이중화: "DX 백업으로 VPN 구성"
- ✅ DX Gateway: "여러 리전 VPC에 하나의 DX로 연결"
시험 팁
시험 문제 예시: "온프레미스 데이터센터에서 AWS로 매일 수 TB의 데이터를 일관된 성능으로 전송해야 합니다. 적합한 솔루션은?" → 정답: AWS Direct Connect (대용량 + 일관된 성능)
자주 묻는 질문 (FAQ)
Q: Direct Connect는 암호화되나요?
기본적으로 암호화되지 않습니다. 전송 중 암호화가 필요하면 Direct Connect 위에 Site-to-Site VPN을 구성하거나, MACsec(MAC Security)를 사용하세요.
Q: Direct Connect 설정에 왜 오래 걸리나요?
물리적인 전용선을 설치해야 하기 때문입니다. DX 로케이션에서의 교차 연결(Cross-Connect) 설정, ISP와의 계약 등이 필요하며, 일반적으로 수 주에서 수 개월이 소요됩니다.
Q: VPN 대역폭이 부족하면 어떻게 하나요?
ECMP(Equal-Cost Multi-Path)를 지원하는 Transit Gateway를 사용하면 여러 VPN 터널의 대역폭을 합산할 수 있습니다. 장기적으로 대역폭이 필요하면 Direct Connect를 고려하세요.
Q: Direct Connect와 VPN을 동시에 사용하면 비용이 이중으로 발생하나요?
네. 하지만 VPN은 DX 장애 시에만 트래픽이 흐르므로, 평상 시에는 VPN 연결 비용($0.05/시간)만 발생합니다. 데이터 전송 비용은 실제 사용량에 따라 부과됩니다.
Q: Client VPN과 Site-to-Site VPN의 차이는?
Site-to-Site VPN은 네트워크 대 네트워크 연결(데이터센터 ↔ VPC)이고, Client VPN은 개별 사용자의 원격 접속(노트북 → VPC)입니다. 용도가 다릅니다.