AWS 영역 간 연결

AWS에서 지역 간(예를 들어 도쿄와 오레곤) 통신을 하고 싶을 때
AWS에는 VPC 피어싱 기능이 있지만 같은 구역에서만 사용할 수 있기 때문에 VPN을 구축해야 한다.
이번에는 VyOS를 사용하여 인스턴스에 ENI를 부여합니다.
또한 AWS를 추가하지 않는 VPC/RouteTables를 통해 구현됩니다.

구성도

미리 준비하다

· Amazon Linux 최신 AMI 버전
→ ENI 부여
· VyOS 커뮤니티 AMI의 최신 버전(Version 1.1.0)
→source dest check 비활성화
→ EIP 부여

설정 방법

Tokyo AmazonLinux

/라우팅 설정

ip route add 10.110.0.0/16 dev eth1 via 10.102.0.200 table 100
ip rule add from 10.110.0.0/16 table 100
ip rule add to 10.110.0.0/16 table 100

Tokyo VyOS

Config

set vpn ipsec ipsec-interfaces interface eth0 

set vpn ipsec ike-group ike lifetime 3600
set vpn ipsec ike-group ike proposal 1 encryption aes128
set vpn ipsec ike-group ike proposal 1 hash sha1

set vpn ipsec esp-group esp lifetime 1800
set vpn ipsec esp-group esp proposal 1 encryption aes128
set vpn ipsec esp-group esp proposal 1 hash sha1

set vpn ipsec site-to-site peer [EIP] authentication mode pre-shared-secret 
set vpn ipsec site-to-site peer [EIP] authentication pre-shared-secret XXXXXXXXXXXXXXXXX

set vpn ipsec site-to-site peer [EIP] authentication id @tokyo-vyos
set vpn ipsec site-to-site peer [EIP] authentication remote-id @oregon-vyos

set vpn ipsec site-to-site peer [EIP] default-esp-group esp
set vpn ipsec site-to-site peer [EIP] ike-group ike
set vpn ipsec site-to-site peer [EIP] local-address [LocalIP]
set vpn ipsec site-to-site peer [EIP] tunnel 1 local prefix 10.102.0.0/16
set vpn ipsec site-to-site peer [EIP] tunnel 1 remote prefix 10.110.0.0/16

Oregon AmazonLinux

* 라우팅 설정

ip route add 10.102.0.0/16 dev eth1 via 10.110.0.100 table 100
ip rule add from 10.102.0.0/16 table 100
ip rule add to 10.102.0.0/16 table 100

Oregon VyOS

Config

set vpn ipsec ipsec-interfaces interface eth0 

set vpn ipsec ike-group ike lifetime 3600
set vpn ipsec ike-group ike proposal 1 encryption aes128
set vpn ipsec ike-group ike proposal 1 hash sha1

set vpn ipsec esp-group esp lifetime 1800
set vpn ipsec esp-group esp proposal 1 encryption aes128
set vpn ipsec esp-group esp proposal 1 hash sha1

set vpn ipsec site-to-site peer [EIP] authentication mode pre-shared-secret 
set vpn ipsec site-to-site peer [EIP] authentication pre-shared-secret XXXXXXXXXXXXXXXXX

set vpn ipsec site-to-site peer [EIP] authentication id @oregon-vyos
set vpn ipsec site-to-site peer [EIP] authentication remote-id @tokyo-vyos

set vpn ipsec site-to-site peer [EIP] default-esp-group esp
set vpn ipsec site-to-site peer [EIP] ike-group ike
set vpn ipsec site-to-site peer [EIP] local-address [LocalIP]
set vpn ipsec site-to-site peer [EIP] tunnel 1 local prefix 10.110.0.0/16
set vpn ipsec site-to-site peer [EIP] tunnel 1 remote prefix 10.102.0.0/16

etc...

인스턴스에 대한 EN 권한 부여
나는 인터넷을 향한 통신과 분리를 실현하는 것이 비교적 좋다고 생각한다.
이중화를 고려할 때 RouteTable를 AWSCLI로 덮어쓰는 것 외에 다른 선택도 있습니다.