Alibaba Cloud | 서로 다른 리전 VPN Gateway(IPsec-VPN)로 연결 가이드

Written by

d_dive

in

,

구성

Korea(Seoul) 리전

VPC: 192.168.0.0/16

Subnet-01(Zone A): 192.168.0.0/24

Subnet-02(Zone B): 192.168.1.0/24

ECS(Zone A): 1개

VPN Gateway: 1개

Singapore 리전

VPC: 172.31.0.0/16

Subnet-01(Zone A): 172.31.1.0/24

Subnet-02(Zone B): 172.31.2.0/24

ECS(Zone B): 1개

VPN Gateway: 1개

목표

  1. 한국 리전 ↔ 싱가포르 리전
  2. 각 리전의 VPN Gateway를 이용하여 IPSec Site-to-Site VPN 연결
  3. Dual Tunnel(Primary/Secondary) 구성

각 리전에서 VPN GW 생성

VPN GW 생성 시 필요사항

  1. VPN-GW Name
  2. Resource Group (선택)
  3. Gateway Type : Standard
  4. Network Type : Public
  5. Tunnels : Dual-tunnel
  6. VPC
  7. Subnet01
  8. Subnet02(서브넷 01, 02는 서로 다른 AZ로 구성해야 함.)
  9. Maximum Bandwidth
  10. Traffic
  11. IPsec-VPN : Enable
  12. SSL-VPN : Disable, Enable
  13. Duration : By Hour

이렇게 생성 후, 듀얼 터널이기 때문에 VPN-GW IPSec Address는 2개가 할당된다.

위와 마찬가지로, VPN-GW를 연결하려는 다른 리전에도 똑같이 생성해야 함

각 리전에서 Custom Gateway 생성

생성 시 필요사항

  1. Customer Gateway – Name
  2. IP Address(연결하려는 리전의 VPN GW IP) 예를 들어, 한국리전에서 Customer Gateway를 만든다면, 싱가포르 리전 VPN-GW IP
  3. ASN(Autonomous System Number) – BGP를 안쓰면 공백으로 나둬도 된다.
  4. Resource Group(선택)

ASN(Autonomous System Number)란?

“인터넷에서 하나의 큰 네트워크 그룹을 구분하기 위한 번호”

인터넷은 수많은 네트워크가 연결되어 구성되고, 이 각각의 네트워크를 AS(Autonomous System, 자율시스템)이라고 부르고, 그 AS를 구분하기 위해 부여되는 번호가 ASN

왜 ASN이 필요할까?

“BGP 라우팅을 하기 위해서”

위와 마찬가지로, Custom-GW를 연결하려는 다른 리전에도 똑같이 생성해야 함

각 리전에서 IPsec Connections 생성

각 리전에서 미리 만들었던 VPN gateway와 customer Gateway를 연결 해야 한다.

IPsec-VPN 생성 시 필요 사항

  1. IPsec Connection Name
  2. Region
  3. Resource Group
  4. Bind VPN GW (IPsec Connection 생성 하려는 리전의 VPN GW)
  5. 라우팅 모드: 목적지 라우팅 모드, 보호된 데이터 흐름
  6. BGP 활성화
  7. 터널 1
    • customer GW
    • Pre-Shared Key
      • Encryption Conf
        • Version
        • Negotiation Mode
        • Encryption Algorithm
        • Authentication Algorithm
        • DH Group (Perfect Forward Secrecy)
        • SA Life Cycle (seconds)
        • LocalId(VPNGW IP)
        • RemoteId(Customer-GW IP)
      • IPsec Configurations
        • Encryption Algorithm
        • Authentication Algorithm
        • DH Group (Perfect Forward Secrecy)
        • SA Life Cycle (seconds)
      • DPD On/Off
        • IPsec VPN에서 상대방(피어)이 죽었는지 살아있는지 확인하는 기능
      • NAT Traversal On/Off
        • “NAT 환경에서도 IPsec VPN 터널이 문제없이 동작하도록 만들어주는 기술”
  8. 터널 2
    • 터널 1과 동일

다른 리전에도 똑같이 IPsec Connections 생성

Gateway Route 설정, Subnet-RT 설정

각 리전에서 VPN GW를 타고 나갈 수 있도록 Route를 잡아줘야 함.

ECS -> Subnet-RT -> VPN GW(A Region) -> VPN GW – Route -> VPN GW(B Region)..

마지막으로, 잘 구성되었다면 통신 테스트 해보면 된다.(Ping)

BGP 활성화 세팅법

  1. Custom GW 생성할 때, ASN 값 넣고 생성
  2. IPsec Connection 생성할 때, BGP conf
    • Tunnel CIDR Block
      • X.X.X.X/30
    • local BGP IP Address
      • X.X.X.X /32

BGP conf 값 넣을 때 각 리전에서 연결할 터널

댓글

댓글 남기기

More posts