Site-to-Site VPN은 단순한 터널이 아니다. IKE/IPsec 협상, Initiator/Responder 역할, 터널 이중화까지 고려할 게 많다. 특히 AWS는 항상 Responder로 동작한다는 점을 모르면 연결 자체가 안 된다.
AWS Site-to-Site VPN을 개발망에 구성하면서 알게 된 핵심 개념과 구성 시 체크해야 할 항목들을 정리했다.
AWS Site-to-Site VPN은 1개의 VPN Connection = 2개의 터널을 기본 제공한다.
EC2 인스턴스의 CPU 크레딧은 많이 알려져 있다. T 인스턴스가 baseline 이상으로 버스트할 때 크레딧을 소모하고, 크레딧이 바닥나면 쓰로틀링된다. 그런데 네트워크에도 크레딧 시스템이 있다는 건 덜 알려져 있다.
더 중요한 건, CPU 크레딧은 Unlimited 모드로 쓰로틀링을 피할 수 있지만, 네트워크 크레딧에는 Unlimited가 없다.
| 항목 | CPU 크레딧 | 네트워크 크레딧 |
|---|---|---|
| 적용 대상 | T 인스턴스만 (T2, T3, T4g) | “up to X Gbps” 표기된 대부분의 인스턴스 |
| Unlimited 모드 | 있음 (추가 비용으로 쓰로틀링 방지) | 없음 |
| 크레딧 바닥나면 | baseline으로 제한 | baseline으로 제한 |
| 해결책 | Unlimited 켜기 | 인스턴스 업그레이드 |
EC2 콘솔에서 인스턴스 타입을 보면 네트워크 성능이 이렇게 표시된다:
