"1. 이론/설계"편에서 찾아본 AWS 하이브리드 네트워킹의 3가지 표준 모델을 내 로컬 PC(온프레미스)와 AWS VPC 간에 Tailscale을 활용하여 직접 구현하고 기술적 타당성을 검증해보자.

 

먼저 Site-to-Site VPN 부터!

[공통]

 

1.기술 스택 (Tech Stack)

  • Language: Java 17
  • Framework: Spring Boot 3.5.9
  • Database: MariaDB 11.4.9 (Local On-premises)
  • ORM: MyBatis (with mybatis-spring-boot-starter 3.0.5)
  • Connectivity: Tailscale (Mesh VPN 기반 가상 사설망)
  • Build Tool: Maven

2. 사전 환경설정

1) 가상 사설망(VPN) 구축: Tailscale 설정
- 실무의 AWS Site-to-Site VPN 역할을 대신할 가상 사설망 구축.
- 로컬 PC: Tailscale 설치 및 로그인 후 가상 사설 IP 확인.
- AWS EC2: 에이전트 설치 및 노드 등록 실행.
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
- 연결 확인: EC2 터미널에서 로컬 PC IP로 통신(ping) 여부 확인.

2) 온프레미스 DB 보안 및 네트워크 개방
- 사설망 경로는 확보되었으나 DB 및 OS 차원의 접근 허용 설정 필요.
- MariaDB 설정: bind-address를 0.0.0.0으로 수정하여 외부 접속 허용.
# my.ini 설정
bind-address = 0.0.0.0
- OS 방화벽: Windows/Mac 인바운드 규칙에서 3306/TCP 포트 개방.
- DB 사용자 권한: Tailscale 사설 대역(100.x.x.x)에 대한 접속 권한 명시.
CREATE USER 'USERNAME'@'TailscaleIP' IDENTIFIED BY 'PASSWORD';
GRANT ALL PRIVILEGES ON awslab.* TO 'USERNAME'@'TailscaleIP';
FLUSH PRIVILEGES;

3) 백엔드 어플리케이션 환경 변수 설정
- EC2에 배포된 앱이 사설망 경로를 통해 DB를 인식하도록 엔드포인트 수정.
# application.yml
spring:
  datasource:
    url: jdbc:mariadb://[로컬_Tailscale_IP]:3306/awslab
    username: [USERNAME]
    password: [PASSWORD]
    hikari:
      connection-timeout: 5000 # 하이브리드망 지연 고려 최적화

4) AWS EC2 인스턴스에 Tailscale 설치
# tailscale 설치 
curl -fsSL https://tailscale.com/install.sh | sh

# 서비스 구동
# 로그인 승인: 터미널에 출력된 https://login.tailscale.com/a/xxxx 링크를 복사하여 브라우저에서 [Connect] 버튼 클릭.
sudo tailscale up

# 사설 IP 할당 여부 및 통신 확인
tailscale ip -4

# 상호 통신 검증: EC2에서 로컬 PC의 Tailscale IP로 핑을 날려 네트워크 터널링 완성 여부 체크.
ping [로컬_PC_Tailscale_IP]

5) AWS EC2 인스턴스에서 Backend API 서비스 기동


- 이후 3가지 하이브리드 시나리오(VPN, DX, TGW) 검증 진행

 

Scenario 1. Site-to-Site VPN 검증 (보안 터널 및 차단 검증)

 

# Scenario 1을 수행하기 전 check

* 검증 한계: AWS 콘솔 내 리소스 등록 및 구성 파일 추출까지는 가능하나, 실제 Tunnel: UP(통신 가능) 상태 구현은 불가함.

* 불가 사유: 실제 하이브리드 연결에는 고정 공인 IP와 IPSec 하드웨어 장비가 필수이나, 일반 로컬 환경(유동 IP/NAT)은 이를 충족하지 못함.

* 실무 포인트: 본 시나리오는 실제 장비 연결 전, 클라우드 측의 설정값 생성 및 구성도 설계 역량을 검증하는 데 목적이 있음.

 

- 목적 : 인터넷망을 경유하되 IPSec 암호화 터널과 동일한 보안 통로를 생성하여, 외부 접근은 차단하고 내부 통신만 허용하는지 검증함.

 

- 검증 가설 : "AWS 보안 그룹에서 외부(Anywhere) 접속을 허용하는 인바운드 규칙이 전혀 없더라도, 가상 터널(Tailscale)을 통한 사설 통신은 보안 그룹의 제어 범위를 우회하여 정상 동작할 것이다."


- 검증 항목 :

  • 인바운드 규칙 공백 상태에서 외부 공인 IP를 통한 접속 차단 여부 (Default Deny 확인).
  • 동일 상태에서 Tailscale 사설 대역(100.x.x.x)을 통한 DB 데이터 호출 성공 여부.

- 방법 :

  • AWS Console 작업
    1. Customer Gateway(CGW) 생성: [VPC] > [고객 게이트웨이]에서 내 로컬 PC의 공인 IP를 등록하여 온프레미스 접점을 정의함. (현업에선 기업의 VPN 서버 공인 IP를 등록)
    2. Virtual Private Gateway(VGW) 생성: [VPC] > [가상 프라이빗 게이트웨이] 생성 후, 현재 사용 중인 VPC에 'Attach' 하여 클라우드 측 종단점을 활성화함.
    3. VPN Connection 설정: 위 두 지점을 연결하고 '정적(Static) 라우팅'에 내 로컬 사설 대역을 입력함
    공인 IP 가 없는 한 사용은 불가함. 이번 시나리오에서는 작성만 해봄.
  • Local(Tailscale) 연동 구현
    1. 네트워크 통합: 로컬 PC와 EC2에 Tailscale을 설치하여 가상의 단일 사설망으로 묶음.
    2. 기술 매핑: 고가의 IPSec VPN 장비 대신, 테일스케일의 기반 기술인 WireGuard 프로토콜을 활용해 소프트웨어적으로 보안 터널을 생성함.

- 구축한 AWS 아키텍처 :

 

- 검증 결과:

  • 네트워크 격리: EC2 보안 그룹에 3306 포트 규칙이 부재함을 확인. 외부 스캐닝 및 공인 IP 접속 시 타임아웃(Timeout) 발생.
    인바운드 규칙 설정

    연결불가
  • 사설 경로 유효성: 가상 인터페이스(tailscale0)를 통해 유입되는 트래픽은 SG 필터링 레이어를 거치지 않고 OS 커널로 전달되어, 사설 IP 기반의 DB 연동이 성공함.

EC2 인스턴스에서 tailscale 기동 후 IP 확인 & 온프레미스 DB의 tailscale IP가 있는 설정파일
EC2 인스턴스에서 온프레미스 DB 통신 성공

 

저작자표시 비영리 변경금지 (새창열림)

'Cloud & Infra > AWS' 카테고리의 다른 글

[AWS] Hybrid Cloud - AWS EC2 ↔ 온프레미스 DB 하이브리드 연결하기 (PoC) - 4. AWS Transit Gateway  (0) 2026.03.06
[AWS] Hybrid Cloud - AWS EC2 ↔ 온프레미스 DB 하이브리드 연결하기 (PoC) - 3. Direct Connect(DX)  (0) 2026.03.06
[AWS] Hybrid Cloud - AWS EC2 ↔ 온프레미스 DB 하이브리드 연결하기 (PoC) - 1. 이론/설계  (0) 2026.03.04
[AWS] ALB - 분산 환경에서의 로그 분석과 스티키 세션  (0) 2026.03.02
[AWS] 프라이빗 서브넷에 RDS 인스턴스 추가하기  (0) 2026.03.02

+ Recent posts

티스토리툴바