[AWS] Site-to-Site VPN BGP 로그 활성화 방법

AWS Site-to-Site VPN 서비스는 VPN 터널에 대해 BGP 로그를 Amazon CloudWatch Logs 로 전송할 수 있는 기능을 정식 지원하기 시작했습니다.
이 글에서는 이 기능을 실제 환경에서 어떻게 설정하고, 운영에 활용할 수 있는지 단계별로 정리합니다.

 

왜 BGP 로그가 중요한가

기존 Site-to-Site VPN에서는 IKE/IPSec 터널의 설정, 수립 여부, Dead Peer Detection(DPD) 등 터널 수준의 로그만 제공되었습니다. 그러나 실제 운영 중 발생하는 문제의 상당수는 터널이 살아 있다고 해도, BGP 세션의 불안정, 라우팅 경로 문제, ASN/라우트 정책 불일치 등 라우팅 계층에서 일어나는 경우가 많았습니다.

BGP 로그가 제공되면 다음과 같은 이점을 얻을 수 있습니다.

• BGP 세션 상태 변화, 재협상, 실패 원인 등 상세 정보 확인 가능
• 라우팅 업데이트, 프리픽스 광고/삭제, Route-Status 변화 등을 추적 가능
• 온프레미스 게이트웨이와 AWS VPN 엔드포인트 간 설정 불일치 탐지 가능
• 터널 로그(IPSec/IKE)와 BGP 로그를 함께 볼 수 있어, VPN 전체 스택에 대한 가시성 확보

결과적으로 터널 연결 자체 문제뿐 아니라, “라우팅 문제 때문에 트래픽이 오가지 않는다”는 식의 문제도 보다 정확히 진단하고 대응할 수 있습니다.

설정 방법

1. 기존 VPN에 BGP 로그 활성화

기존에 Site-to-Site VPN 구성이 있다면, 로그 설정만 추가하면 됩니다.

• AWS 콘솔 → VPC → Site-to-Site VPN connections
• 대상 VPN 연결 선택 → Actions → Modify VPN tunnel options
• Tunnel BGP 로그 항목에서 Enable 선택
• 로그를 보낼 CloudWatch Logs 그룹 지정 (예: /aws/vendedlogs/my-vpn-logs)
• Output format (json / text) 선택 후 저장

주의: 이 작업을 할 때, 한 터널씩 순차적으로 활성화하는 것이 좋습니다. 왜냐하면 로그 설정 변경이 터널 재협상으로 이어질 수 있어, 잠시 연결이 끊길 수 있기 때문입니다. 다만 Site-to-Site VPN은 기본적으로 두 개 터널을 제공하므로, 한 터널이 살아있는 동안 다른 터널을 갱신하면 서비스 중단 없이 설정할 수 있습니다.

2. 신규 VPN 생성 시 함께 설정

새 VPN 연결을 생성할 때, 터널 옵션에서 BGP 로그 활성화를 지정할 수 있습니다. 이 경우 생성과 동시에 로그가 수집되므로, 별도 변경 없이 바로 로그 확보가 가능합니다.

3. IAM 권한 및 CloudWatch Logs 그룹 정책

VPN 로그를 CloudWatch Logs에 보내려면, 로그를 구성하는 IAM 역할/사용자에 다음 권한이 포함되어야 합니다. logs:CreateLogDelivery, logs:UpdateLogDelivery, logs:PutResourcePolicy 등입니다.

또한 CloudWatch Logs 그룹 정책 크기 제한이 있으므로, 로그 그룹명을 /aws/vendedlogs/ 접두사로 시작하도록 하는 것이 권장됩니다.

로그 확인 및 운영 방법

로그 구조

BGP 로그 스트림은 VpnConnectionID와 터널의 외부 IP(TunnelOutsideIPAddress)를 이름으로 사용합니다. 로그 항목에는 다음 정보가 포함됩니다.

• event_timestamp, timestamp: 로그 생성 시간
• type: BGPStatus 또는 RouteStatus
• BGP 상태 변경, 경로 광고/삭제, 에러 코드 및 메시지 등

이 정보를 이용하면, 예를 들어 BGP 세션이 DOWN → RE-ESTABLISHED 되거나, 특정 프리픽스가 광고되지 않은 경우 등을 자동으로 감지할 수 있습니다.

모니터링 및 알림 구성

CloudWatch Logs와 함께 Amazon CloudWatch Alarms 또는 Amazon SNS 를 사용하면, 다음과 같은 알림/자동화 체계를 만들 수 있습니다.

• BGP 세션 DOWN 감지 → 알림 (메일, Slack 등)
• 특정 프리픽스가 광고되지 않거나 삭제되는 이벤트 감지 → 알림
• 터널 상태 + BGP 상태 복합 조건에서 알람 (예: 터널 UP 이지만 BGP DOWN)

기존 터널 또는 VPN 상태 모니터링만으로는 놓치기 쉬운 “라우팅 계층 장애”를 보다 빠르게 잡을 수 있습니다.

기능 고려사항

이 기능이 특히 유용한 경우는 다음과 같습니다.

• 온프레미스 ↔ AWS 간 동적 라우팅(BGP) 환경: 프리픽스 광고/삭제, 경로 변경 등 라우팅 변화를 추적해야 할 때
• 운영 중간에 간헐적 연결 장애가 발생하는 경우: 터널 자체는 살아 있어도, 라우팅 문제로 인해 네트워크가 끊기는 경우
• 멀티 사이트 또는 Transit-Gateway + VPN + Direct Connect 복합 구조: 여러 경로 간 라우팅 우선순위, 자동 Failover, 경로 정책 검증 등 복잡한 환경
• VPN 기반 백업, 데이터 동기화, 하이브리드 클라우드 구성: 라우팅 문제가 생기면 데이터 흐름이 끊기기 쉬운 워크로드

정리

이번 BGP 로그 지원은, 기존 IKE/IPSec 로그만으로는 진단하기 어려웠던 “라우팅 계층 문제”를 가시화한다는 의미에서 큰 변화입니다.
설정도 단순하고, 기존 VPN 구성에 최소한의 변경으로 적용할 수 있어 — 특히 하이브리드 클라우드, 온프레미스 연동, 멀티 사이트 환경에서는 빠르게 적용을 고려할 만합니다.

다만 다음을 권장합니다:

• 우선 스테이징 또는 테스트 환경에서 로그 활성화 + 로그 수집/분석 + 알람까지 구성해 실제 워크플로우에 무리가 없는지 점검
• 운영 환경에서는 알람 + 자동화 대응 체계를 갖추어, 단순 감시에서 벗어나 문제 발생 시 신속히 대응 가능하도록 설계
• Terraform / IaC 환경에서는 관련 리소스 업데이트 여부를 주시하고, 로그 그룹 및 IAM 정책을 코드로 관리