조직이 관리 서비스 포함 Creative Cloud 플랜을 구매한 경우 Adobe는 고객과 가장 가까운 지리적 위치에 있는 데이터 센터에 고객을 위한 전용 인스턴스를 설정합니다.
스토리지를 포함한 모든 관리 서비스는 단일 기업 고객 전용의 고객 정의 VPN(Virtual Private Network) 내에서 분리할 수 있는 Amazon VPC(Virtual Private Cloud) 내에서 실행됩니다. Amazon VPC는 고객 조직의 회사 네트워크 내부에서 실행되도록 구성할 수도 있으며, 이 경우 Amazon VPC의 각 컴퓨터에 비공개 IP 주소가 할당됩니다. 이 구성에서 Amazon VPC는 IPsec 터널을 통해 네트워크에 연결되므로 HTTPS 요청은 인터넷이 아닌 보안 터널을 통해 네트워크에서 Amazon VPC로 전송될 수 있습니다.
자세한 내용은 Creative Cloud for enterprise 보안 개요를 참조하십시오.
하드웨어 VPN 연결 설정
Amazon VPC(Virtual Private Cloud)는 네트워크 디자인 및 요구 사항에 따라 다양한 네트워크 연결 옵션을 제공합니다. 백본 네트워크로 인터넷을 사용하거나 AWS(Amazon Web Services) Direct Connect 연결을 사용할 수 있습니다. AWS 또는 사용자 관리 네트워크 끝점에서 연결을 종료합니다. AWS를 통해 Amazon VPC와 기존 네트워크 간의 네트워크 라우팅 전송 방식을 지정할 수 있으므로 AWS 또는 사용자 관리 네트워크 장비와 경로를 활용할 수 있습니다. Adobe에서 제공하는 AWS만 사용할 수 있습니다. 이 문서에서는 하드웨어 VPN 연결 옵션에 중점을 두고 설명합니다.
인터넷을 통해 원격 네트워크와 Amazon VPC 간에 하드웨어 기반의 IPsec VPN 연결을 만들 수 있습니다.
하드웨어 기반 IPsec VPN 연결의 이점:
- AWS 관리 끝점에 다중 데이터 센터 중복과 자동 페일오버가 포함됩니다.
- 기존의 VPN 장비와 프로세스를 재활용할 수 있습니다.
- 기존의 인터넷 연결을 재활용할 수 있습니다.
- 정적 경로 또는 동적 BGP(Border Gateway Protocol) 피어링 및 라우팅 정책이 지원됩니다.
Amazon VGW(Virtual Private Gateway)는 VPN 연결 가용성을 높이기 위해 물리적으로 서로 분리된 데이터 센터에 위치한 두 개의 별도 VPN 끝점을 나타냅니다.
다음과 같은 제한 사항을 고려해야 합니다.
- 네트워크 대기 시간, 변동성 및 가용성은 인터넷 연결 상태에 따라 달라집니다.
- 필요한 경우 고객 관리 끝점에 중복성 및 페일오버를 구현해야 합니다.
- 동적 라우팅을 위해 BGP를 활용하는 경우 고객의 디바이스가 단일 홉 BGP를 지원해야 합니다.
동적 라우팅 외에도 정적 라우팅을 선택할 수 있습니다. 동적 라우팅은 BGP 피어링을 활용하여 AWS와 원격 끝점 간 라우팅 정보를 교환합니다. BGP 사용 시 IPSec 및 BGP 연결 모두 동일 사용자 게이트웨이 디바이스에서 종료되어야 합니다.
VPN 연결의 구성 요소
- 가상 프라이빗 게이트웨이: 가상 프라이빗 게이트웨이는 Amazon 측 연결에서의 VPN 집선 장치입니다.
- 고객 게이트웨이: 고객 게이트웨이는 사용자 측 연결에서의 물리적 디바이스 또는 소프트웨어 애플리케이션입니다. 고객 게이트웨이는 터널을 초기화해야 하며 가상 프라이빗 게이트웨이가 아니어야 합니다. 터널이 다운되는 것을 방지하기 위해 네트워크 모니터링 툴을 사용하여 킵얼라이브 핑을 생성할 수 있습니다.
VPN 라우팅 옵션
라우팅 유형의 선택은 VPN 디바이스의 제조업체와 모델에 의해 결정됩니다. Amazon VPC를 사용하여 테스트한 정적 및 동적 라우팅 디바이스의 목록은 Amazon VPC(Virtual Private Cloud) FAQ를 참조하십시오.
BGP 디바이스를 사용하면 디바이스가 해당 경로를 가상 사설망 게이트웨이에 알리므로 정적 경로를 지정하지 않아야 합니다. BGP를 지원하지 않는 디바이스의 경우 정적 라우팅을 선택하고 네트워크에 대한 경로(IP 프리픽스)를 입력하십시오. 가상 프라이빗 게이트웨이에 알려진 IP 프리픽스만 VPC로부터 트래픽을 수신합니다.
VPN 터널 구성 옵션
하나의 가상 프라이빗 게이트웨이, 하나의 고객 게이트웨이, 두 개의 VPN 터널
VPN 연결을 사용하여 네트워크를 VPC에 연결하십시오. 모든 VPN 연결에는 각각의 터널에 대해 고유한 가상 프라이빗 게이트웨이 공개 IP 주소를 갖는 두 개의 터널이 있습니다. 중복성을 위해 두 개의 터널 모두를 구성해야 합니다. 하나의 터널을 사용할 수 없는 경우 네트워크 트래픽은 해당 연결에 대해 사용할 수 있는 터널로 자동 라우팅됩니다.
하나의 가상 프라이빗 게이트웨이, 두 개의 고객 게이트웨이, 각 고객 게이트웨이로부터 두 개의 VPN 터널
모든 VPN 연결은 하나의 터널을 사용할 수 없는 상황에서 연결성을 확보하기 위해 두 개의 터널을 갖습니다. 연결이 끊기는 것을 보다 확실하게 방지하기 위해 보조 고객 게이트웨이를 사용하여 VPC에 보조 VPN을 설정할 수 있습니다. 중복 VPN 연결과 고객 게이트웨이를 사용하면 트래픽이 보조 고객 게이트웨이의 VPN 연결로 흐르는 동안 다른 하나의 고객 게이트웨이에서 유지 관리 작업을 진행하는 것이 더욱 용이합니다.
보조 VPN 연결용 고객 게이트웨이 IP 주소는 공개적으로 액세스할 수 있어야 하며 기본 VPN 연결용 주소와 동일하지 않아야 합니다.
VPN 연결 요구 사항에 대한 자세한 내용은 VPN 연결 요구 사항을 참조하십시오.
VPN 매개 변수
다음의 매개 변수는 AWS에 의해 지정되며 변경할 수 없습니다. 모든 터널은 이들 매개 변수만 사용해야 합니다.
단계 I 제안 |
AES-128-SHA1 또는 AES-256-SHA2 |
단계 I 라이프타임 (초) |
28800 |
Diffie-Hellman 그룹 |
단계 I: 2, 14-18, 22, 23, 24 단계 II: 1, 2, 5, 14-18, 22, 23, 24 |
PFS (Yes/No) |
Yes |
모드 (Main/Aggressive) |
Main |
단계 II 제안 |
AES-128-SHA1 또는 AES-256-SHA2 |
단계 II 라이프타임 (초) |
3600 |
캡슐화 |
ESP |
방화벽 규칙
VPN 터널을 지나는 수신 및 송신 트래픽 모두를 지정하기 위한 ACL 규칙의 목록을 입력하십시오. 두 방향 모두에서 다음의 규칙을 모두 지정해야 합니다.
소스 IP: 모든 고객 기업 내부 IP 주소
대상: 관리 서비스 포함 고객 Creative Cloud for enterprise 인스턴스
프로토콜: HTTPS
포트: 443
Adobe에 제공해야 하는 정보
- 원하는 서브넷 (/27 이상 권장)
- 고객 게이트웨이 (VPN 디바이스) IP 주소
- 라우팅 옵션 (동적 또는 정적)
- 동적 라우팅의 경우 BGP ASN 지정 (세부 사항은 [1] 참조)
- 정적 라우팅의 경우 특정 암호화 도메인 (고객 네트워크로 경로 반송)
- VPN 디바이스 제조업체 (VPN 제조업체 및 디바이스의 목록은 [2] 참조)
- VPN 디바이스 모델 (예: ASA5850)
- VPN 디바이스 펌웨어 버전 (예: IOS 12.x)
[1] BGP 디바이스를 사용하면 디바이스가 가상 프라이빗 게이트웨이에 해당 라우팅을 광고하므로 고정 라우터를 지정하지 않아도 됩니다. BGP를 지원하지 않는 디바이스의 경우 정적 라우팅을 선택하고 네트워크에 대한 경로(IP 프리픽스)를 입력하십시오. 가상 프라이빗 게이트웨이에 알려진 IP 프리픽스만 VPC로부터 트래픽을 수신합니다.
