AWS Hands-on for Beginners Network 편 #3

개시하다
AWS Certfied SysOps Administrator-Associate의 시험실험실을 돌파하기 위해 늘 공부하고 있는 것을 기억하고 있는 것 같다.
기본적인 한자의 내용을 설명하지 않고 나오는 단어를 좀 더 깊이 파헤쳐라.
할 일
https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-hands-on/
네트워크 편 #3 클라이언트 VPN을 사용하여 원격 연결 환경 구축
본인 정보
IT 현장 잡무원 (SE 채택과 동시에 평생 Excel을 접한 사람)
반년 전에 AWS SAA 취득
전체 프로세스

VPN 연결을 통해 자신의 집이나 외출 목적지에서 고객 단말기에 연결하고 ACM 인증서를 사용하여 발신자 증명을 한다.이후 ENI를 통해 EC2에 연결됩니다.ENI는 발신자의 IP 주소를 바꾸기 위한 SNAT라고 할 수 있다.
프로그램
VPN 단점→VPN 연결과 로그 확인 순서에 따라 VPC, EC2 제작→로그 출력 목적지→인증서 제작을 진행한다.
이른바 AWS 클라이언트 VPN
AWS 리소스에 안전하게 액세스할 수 있는 관리 VPN 서비스입니다.오픈 소스 소프트웨어를 기반으로 OpenVPN 서버 간에 암호화된 터널을 구축합니다.관리형 서비스, 고가용성, 신축성 등 AWS 서비스의 장점이 많다.
ACM 인증서 관리
클라이언트가 클라이언트 VPN에 연결할 수 있는 권한이 있는지 확인하는 데 사용됩니다(클라이언트 인증).고객 VPN은 3가지 고객 인증을 사용할 수 있지만 이번에는 오리온을 따라 상호 인증을 할 것입니다.상호 인증은 서버, 클라이언트 기밀 키, 인증서 서명을 포함하는 공공 키를 포함하는 인증서를 각각 만들 것입니다.클라이언트 VPN 엔드포인트, 클라이언트를 등록하여 통신 소스를 확인합니다.

新しい認証局 (CA) を構築するには、このコマンドを実行し、プロンプトに従います。
./easyrsa build-ca nopass

공개된 중간인증국을 사용하지 않고 스스로 인증국 발행증서를 만들 수도 있다.자신이 만든 인증국에서 인증서를 만드는 것을'나 자신 증명서'라고 하는데, 보통 추천을 잘 받지 않는다.그러나 이번 등록이 정확한 인증서 클라이언트임을 확인할 수 있다면 이후 통신을 보장하는 역할을 충분히 발휘할 수 있다.나는 회사 내의 아주 적은 단말기를 이용할 때도 같은 말을 할 수 있다고 생각한다.(이 방면에 대해 나는 자신이 없다. 내가 아는 것이 있으면 추기한다.)
소통 확인
AWS VPN Center 확인

CloudWatch logs 확인

{
    "connection-log-type": "connection-attempt",
    "connection-attempt-status": "successful",
    "connection-attempt-failure-reason": "NA",
    "connection-id": "cvpn-connection-00cf634d0baa04624",
    "client-vpn-endpoint-id": "cvpn-endpoint-0f2a98254f14829db",
    "transport-protocol": "udp",
    "connection-start-time": "2022-03-05 15:13:21",
    "connection-last-update-time": "2022-03-05 15:13:21",
    "client-ip": "100.64.0.2",
    "common-name": "client1.domain.tld",
    "device-type": "mac",
    "port": "43818",
    "ingress-bytes": "0",
    "egress-bytes": "0",
    "ingress-packets": "0",
    "egress-packets": "0",
    "connection-end-time": "NA",
    "connection-duration-seconds": "0"
}

나는 소통이 순조롭다는 것을 확인했다.
보태다
하슨 내에서 서브넷 255의 이엔아이에 대해 깊은 설명은 없었지만, 소통 확인을 하는 단계에서 두 개의 이엔이가 제작된 것을 확인했다.이것은 고객 VPN 포트와subnet 255를 연결할 때와subnet 1에 연결된 EC2 실례를 각각 사용하는 것이다.인스턴스의 ENI와 달리 서브넷의 ENI는 자동으로 생성됩니다.

Reference

이 문제에 관하여(AWS Hands-on for Beginners Network 편 #3), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/gazami_shougun/items/d05f295f3dd89c5fbaee

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다