VPN for VPC를 통해 IBM Cloud 서비스에 개인 연결

6110 단어 ibmcloud

하고 싶은 일

IBM Cloud에는 Cloud Service Endpoin이라는 PaaS 서비스(Watson 및 IBM Cloud Databases)에 Private Network를 통해 호출할 수 있는 메커니즘이 있습니다.
이 CSE를 관리형 Site-To-Site VPN 서비스인 VPN for VPC를 통해 사용하여 사내 환경에서 IBM Cloud 서비스를 Private Network에서 호출할 수 있습니다.

VPC 측 VPN 게이트웨이 설정

이 페이지 에서 VPN Gateway를 생성합니다.

VPN Gateway를 만들 VPC와 서브넷을 지정하고 연결 정보를 입력합니다.

VPN 게이트웨이는 VPN 서비스가 생성된 Zone과 동일한 Zone에 있는 VSI와만 통신할 수 있습니다. 위의 경우 jp-tok-3에서 VPN 서비스를 만들었으므로 jp-tok-1 또는 jp-tok-2의 VSI에 액세스 할 수 없습니다. Zone 장애에 대비하려면 Zone마다 VPN Gateway를 만들어야 합니다.

Peer gateway address

온프레 측 VPN 게이트웨이의 IP 주소

Local subnets

VPN이 통신하려는 로컬 사이트의 주소 범위

VPC에 정의 된 서브넷과 CSE의 끝점 인 166.8.0.0/14를 지정합니다.

Peer subnets

VPN 통신을위한 사내 구축 형 주소 범위

VPN 게이트웨이를 만들면 플로팅 IP가 할당됩니다.

온프레 측 VPN 게이트웨이 설정

이번에는 의사 온프레 환경으로 IBM Cloud의 Classic Infra 가상 서버를 이용하고 VPN Gateway로 StrongSwan을 사용하여 실시합니다.
다른 VPN 게이트웨이를 사용하는 경우 여기을 참조하십시오.

StrongSwan의 자세한 도입 절차는 생략하지만 이 사이트을 참고로 도입했습니다.
/etc/ipsec.conf 파일은 다음과 같이 작성하십시오.
left가 온프레측, right가 VPC측입니다. right , rightid 에는 VPN 게이트웨이를 만들 때 할당된 플로팅 IP를 작성하십시오.

ipsec.conf

conn all
       type=tunnel
       auto=route
       #aggressive=no
       esp=aes256-sha256!
       ike=aes128-sha1-modp1024!
       left=165.xx.xx.xx
       leftsubnet=10.193.37.176/28
       rightsubnet=10.244.128.0/24,166.8.0.0/14
       right=165.yy.yy.yy
       leftauth=psk
       rightauth=psk
       leftid="165.xx.xx.xx"
       keyexchange=ikev2
       rightid="165.yy.yy.yy"
       lifetime=10800s
       ikelifetime=36000s
       dpddelay=30s
       dpdaction=restart
       dpdtimeout=120s

/etc/ipsec.secrets 에 Preshared key를 설정하는 것을 잊지 마세요.

ipsec.secrets

# This file holds shared secrets or RSA private keys for authentication.

# RSA private key for this host, authenticating it to any other host
# which knows the public part.

: RSA "server-key.pem"
user : EAP "password"
165.xx.xx.xx 165.yy.yy.yy : PSK "**********"

설정이 끝나면 StrongSwan을 다시 시작하면 VPN 연결이 시작됩니다.

# ipsec restart

# ipsec status
Routed Connections:
         all{1}:  ROUTED, TUNNEL, reqid 1
         all{1}:   10.193.37.176/28 === 10.244.128.0/24 166.8.0.0/14
Security Associations (1 up, 0 connecting):
         all[13]: ESTABLISHED 5 hours ago, 165.192.80.42[165.192.80.42]...165.192.128.32[165.192.128.32]
         all{52}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c1049b0e_i c19d8aff_o
         all{52}:   10.193.37.176/28 === 10.244.128.0/24 166.8.0.0/14

CSE를 사용하여 IBM Cloud 서비스 호출

이제 온프레 측에서 IBM Cloud의 PaaS 서비스를 CSE를 사용하여 호출할 수 있습니다.

# ping xxxxxxxxxxxxxxxxxxxxx.private.databases.appdomain.cloud
PING icd-prod-jp-tok-db-x.jp-tok.serviceendpoint.cloud.ibm.com (166.9.42.15) 56(84) bytes of data.
64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=1 ttl=57 time=2.52 ms
64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=2 ttl=57 time=2.26 ms
64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=3 ttl=57 time=2.39 ms
64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=4 ttl=57 time=2.55 ms
^C
--- icd-prod-jp-tok-db-x.jp-tok.serviceendpoint.cloud.ibm.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 2.265/2.435/2.559/0.121 ms

보충

이번에는 의사 온프레 환경으로 IBM Cloud의 Classic Infra 환경을 사용했습니다. 그렇지 않으면 CSE에 액세스 할 수 있습니다. 따라서 해당 static route는 삭제하고 상기를 검증하고 있습니다.

## CSEへのstatic routeの削除

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         21.50.c0a5.ip4. 0.0.0.0         UG    0      0        0 eth1
10.0.0.0        10.193.37.129   255.0.0.0       UG    0      0        0 eth0
10.193.37.128   0.0.0.0         255.255.255.192 U     0      0        0 eth0
161.26.0.0      10.193.37.129   255.255.0.0     UG    0      0        0 eth0
165.192.80.32   0.0.0.0         255.255.255.224 U     0      0        0 eth1
166.8.0.0       10.193.37.129   255.252.0.0     UG    0      0        0 eth0

# route delete -net 166.8.0.0 gw 10.193.37.129 netmask 255.252.0.0 eth0

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         21.50.c0a5.ip4. 0.0.0.0         UG    0      0        0 eth1
10.0.0.0        10.193.37.129   255.0.0.0       UG    0      0        0 eth0
10.193.37.128   0.0.0.0         255.255.255.192 U     0      0        0 eth0
161.26.0.0      10.193.37.129   255.255.0.0     UG    0      0        0 eth0
165.192.80.32   0.0.0.0         255.255.255.224 U     0      0        0 eth1

Reference

이 문제에 관하여(VPN for VPC를 통해 IBM Cloud 서비스에 개인 연결), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/kissyy/items/583bd0ba686c7537a97e

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

DDEV WP 빠른 시작 🚀

자신의 Git 리포지토리에서 Readme.io 문서 사이트의 콘텐츠를 관리합니다.

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다