51. AWS와 IDC간 VPN연결하기 (이론)
<1> 기존 IDC와 AWS와 VPN을 연결해 연동을 해보자.
<2> 사전 조건
<3> VPC > VPN 에서 설정해보자.
<4> 상세 작업
<5> IDC와 Site to Site VPN 연결이 자주 끊길때는 Anti DDOS 장비에서 차단 되는지 확인하라.
<6> 다중 VPN 연결 작업
<1> 기존 IDC와 AWS와 VPN을 연결해 연동을 해보자.
기존 IDC와 AWS를 같이 사용해야 하는 경우가 생긴다.
IDC VPN장비와 AWS 와 연결하면 된다.
<2> 사전 조건
1 . Customer gateway(IDC의 VPN장비)는 공인IP이여야 한다.
해당 IP는 IDC 데이터센터에서 할당 받아야 한다.
2. AWS에서 연동 지원되는 VPN장비이여야 한다.
https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/your-cgw.html
<3> VPC > VPN 에서 설정해보자.
VPC로 가서 메뉴데로 위에서 부터 순서대로 작업을 하면 된다.
1. Customer Gateway 를 생성한다.
Customer gateway는 공인IP로 원격지에 있는 VPN장비 IP 이다.
3곳 공장과 연결하면 3개를 만든다.
2. Virtual Private Gateway를 생성한다.
VPGW 는 AWS쪽에서 나가는 게이트웨이이다.
1개 생성한다.
상대 여러개 VPN과 연동하더라도 1개 생성한다.
VPC와 매칭한다.
VPC와 매칭 되므로 추가로 만들어도 매칭할 VPC 가 없어 1개만 만든다.
3. Site to Site VPN 생성 한다.
3곳 공장과 연결하면 3개를 만든다.
4. 설정파일을 다운로드 받아 IDC VPN장비에서 세팅한다.
5. 트래픽 넘기기
BGP인 경우는 라우팅 테이블가서 > Route propagation 을 Enable로 변경해주면 된다.
Static의 경우는 2가지 방법으로 트래픽을 넘길수 있다.
1) VPC > 라우팅 테이블에서 공장쪽 IP 블럭에 대해 VPGW 로 라우팅 넘기는법
디폴트로 Site to Site VPN의 Static Routes에서 공장쪽 IP블럭을 추가해줘야 한다. (이부분은 사전에 작업하더라도 서비스 영향은 없다.)
공장 1,2,3을 하나씩 연동하기 위해서는 라우팅 테이블에서 공장쪽 IP 블럭에 대해 VPGW 로 라우팅 넘기는법을 사용한다.
2) VPC > 라우팅 테이블 > Route Propagation 을 Enable해서 VPGW로 라우팅 넘기는법
디폴트로 Site to Site VPN의 Static Routes에서 공장쪽 IP블럭을 추가해줘야 한다. (이부분은 사전에 작업하더라도 서비스 영향은 없다.)
AWS에서는 Route Propagation 을 Enable을 권장한다.
다른 경로로 트래픽이 갈수 있기 때문이다.
1개 사이트일 경우 Route Propagation이 좋을거 같다.
VPN연동이 3곳이면 3개 공장과 동시에 연결 되기 때문에, 3개 사이트가 동시에 연동 되는지 확인해야 한다.
6. 보안 고려 사항
상대에서 AWS쪽으로 연결시 보안 그룹을 고려 해야 한다.
LB를 사용해 접속하면 LB쪽 보안 그룹을 허용해야 한다.
7. 순서 참고
https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-cgw
8
동영상 참고
실습 환경 - vpc 2개로 테스트
https://www.youtube.com/watch?v=5YvcyBecQts
<5> 단일 VPN 상세 작업
1.AWS에서 Customer Gateway(IDC VPN장비 IP 연결 한다) 를 생성한다.
2.Virtual Private Gateway를 생성한다.
AWS의 VPC와 연결한다.
3.라우팅 테이블을 설정한다.
인터넷 게이트웨이와 VPN 게이트웨이 와 통신하는 라우팅 테이블1을 만든다.
이름은 IGW-VGW.
내용은
1) 디폴트 0.0.0.0/0 로 IGW(인터넷 게이트웨이)로 잡은 라우팅
2)IDC쪽 네트워크 블럭은 VPN으로 연결하는 VPN게이트웨이)로 라우팅이 있도록 설정한다.
인터넷도 되고, VPN을 이용해 IDC와 통신하고자 하는 라우팅 테이블1이다.
VPN 게이트웨이 와 통신하는 라우팅2를 만든다.
VGW 를 만든다.
DB서버는 인터넷이 안되는 블럭이 있어야 하고, 디폴트로 VPN으로 연결하는 VPN게이트웨이)로 라우팅이 있도록 설정한다.
서브넷의 라우팅 테이블을 확인해서 해당 서브넷의 용도에 맞는 라우팅이 잡혀 있는지 확인해야 한다.
웹서버는 0.0.0.0/0은 인터넷 게이트웨이인 IGW로 설정되어 있어야 한다.
DB서버는 0.0.0.0/0은 인터넷 게이트웨이 설정은 필요없다.
VPN을 연결하여 통신 하려면 VPN게이트웨이(VGW)로 라우팅을 잡아준다.
4.보안그룹을 업데이트한다.
테스트를 위해 ICMP를 허용한다.
5.VPN을 연결한다.
상대 VPN장비 Vendor/플랫폼/소프트웨어 버전을 확인하여 설정을 다운로드 한다.
6. IDC에 있는 VPN장비에서도 연결 설정을 한다.
IDC에 VPN장비가 생기면 해당 내용으로 다시 테스트해보고 업데이트하도록 하겠다.
참고 사이트 : https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_Scenario3.html
7. 테스트후 삭제 필수
VPC > VPN , 커스터머 게이트웨이 , VPN게이트웨에 3개 반드시 Delete !!!
놔두면 비용이 몇 십만원 나온다. ㅠㅠ
<6> IDC와 Site to Site VPN 연결이 자주 끊길때는 Anti DDOS 장비에서 차단 되는지 확인하라.
보안 담당자에게 연결 세션 IP 정보를 주고 확인 요청
<7> 다중 VPN 연결 작업
https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/Examples.html
참고
https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-cgw
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes
