IBM Cloud(VPC) x GCP IPsecVPN 연결

목적

IBMCloud(VPCGen2)와 GoogleCloudPlatform을 인터넷을 통해 IPsecVPN으로 연결한다.
그 후, IBMCloud와 GCP간에 가상 머신끼리의 통신이 가능한 것을 확인한다.

구성

로컬 단말기: macOS Catalina 10.15.6 1대

플랫폼: IBMCloud

VPCGen2:VPN for VPC 1 서비스

가상 서버 : CentOS 7.7.1908 (Virtual Server for VPC) 1 대

플랫폼: Google Cloud Platform(GCP)

VPC Network : 외부 주소/VPNGateway 1 서비스

Compute Engine:Debian 4.19.132-1 1대

IBMCloud VPN 설정

VPN 게이트웨이 만들기

VPN 게이트웨이 이름 : 원하는 이름을 입력하십시오

가상 프라이빗 클라우드 : 자신의 VPC 선택

자원 그룹 : 자신의 자원 그룹 선택

서브넷 : VPN 연결할 서브넷 선택

VPN 연결 이름 : 모든 이름

피어 게이트웨이 주소 : GCP 측의 VPN 게이트웨이 주소

사전 공유 키 : IBMCloud와 GCP에서 함께 키 (이번에는 ibmcloudgcp)

로컬 서브넷 : IBMCloud 측 VPN 연결 대상 서브넷

피어 서브넷 : GCP 측 VPN 연결 대상 서브넷

비활성 피어 검증 : DPD 매개 변수를 선택적으로 설정

IKE 정책 만들기

VPN 게이트웨이 생성 페이지에서 새 IKE 정책 선택

이름: 모든 이름

자원 그룹 : 자신의 자원 그룹 선택

IKE 관련 : GCP에서 지원하는 매개 변수 선택 GCP: 지원되는 IKE 암호화

각 매개변수를 입력하고 IKE 정책 작성을 선택합니다.

IPsec 정책 만들기

VPN 게이트웨이 만들기 페이지에서 새 IPsec 정책 선택

이름: 모든 이름

자원 그룹 : 자신의 자원 그룹 선택

IPsec 관련 : GCP에서 지원하는 매개 변수 선택 GCP: 지원되는 IKE 암호화

각 매개 변수를 입력하고 IPsec 정책 만들기를 선택한 다음 VPN 게이트웨이 만들기를 선택합니다.

GCP VPN 설정

GUI로 할 경우

VPN 연결 만들기

이름: 모든 이름

원격 피어 IP 주소 : IBMCloud 측의 글로벌 IP 주소 (이번에는 52.117.3.xx)

IKE 버전 : IKE 버전 지정 (IBMCloud 측과 일치)

IKE 사전 공유 키 : IBMCloud 측과 일치하는 키

라우팅 옵션 : 루트베이스 선택

원격 네트워크 IP 범위 : IBMCloud 측 VPN 연결 서브넷

CloudShell로 할 경우

gcloud compute --project "khoshina" target-vpn-gateways create "vpn-1" --region "us-central1" --network "default"
gcloud compute --project "khoshina" forwarding-rules create "vpn-1-rule-esp" --region "us-central1" --address "34.66.145.xx" --ip-protocol "ESP" --target-vpn-gateway "vpn-1"
gcloud compute --project "khoshina" forwarding-rules create "vpn-1-rule-udp500" --region "us-central1" --address "34.66.145.xx" --ip-protocol "UDP" --ports "500" --target-vpn-gateway "vpn-1"
gcloud compute --project "khoshina" forwarding-rules create "vpn-1-rule-udp4500" --region "us-central1" --address "34.66.145.xx" --ip-protocol "UDP" --ports "4500" --target-vpn-gateway "vpn-1"
gcloud compute --project "khoshina" vpn-tunnels create "vpn-1-tunnel-1" --region "us-central1" --peer-address "52.117.3.xx" --shared-secret "ibmcloud" --ike-version "2" --local-traffic-selector "0.0.0.0/0" --target-vpn-gateway "vpn-1"
gcloud compute --project "khoshina" routes create "vpn-1-tunnel-1-route-1" --network "default" --next-hop-vpn-tunnel "vpn-1-tunnel-1" --next-hop-vpn-tunnel-region "us-central1" --destination-range "172.22.99.0/24"

동작 확인

GCP-VM 인스턴스

GCP에서 IBMCloud 측으로의 통신 확인

$ ping 172.22.99.9
PING 172.22.99.9 (172.22.99.9) 56(84) bytes of data.
64 bytes from 172.22.99.9: icmp_seq=1 ttl=62 time=17.1 ms
64 bytes from 172.22.99.9: icmp_seq=2 ttl=62 time=16.9 ms
64 bytes from 172.22.99.9: icmp_seq=3 ttl=62 time=17.8 ms
64 bytes from 172.22.99.9: icmp_seq=4 ttl=62 time=17.1 ms
64 bytes from 172.22.99.9: icmp_seq=5 ttl=62 time=17.10 ms

IBM-VM 인스턴스

IBMCloud에서 GCP 측으로의 통신 확인

# ping 10.128.0.4
PING 10.128.0.4 (10.128.0.4) 56(84) bytes of data.
64 bytes from 10.128.0.4: icmp_seq=1 ttl=62 time=17.7 ms
64 bytes from 10.128.0.4: icmp_seq=2 ttl=62 time=16.7 ms
64 bytes from 10.128.0.4: icmp_seq=3 ttl=62 time=17.0 ms
64 bytes from 10.128.0.4: icmp_seq=4 ttl=62 time=16.8 ms
64 bytes from 10.128.0.4: icmp_seq=5 ttl=62 time=17.1 ms