VPN for VPC를 통해 IBM Cloud 서비스에 개인 연결

6110 단어 ibmcloud

하고 싶은 일



IBM Cloud에는 Cloud Service Endpoin이라는 PaaS 서비스(Watson 및 IBM Cloud Databases)에 Private Network를 통해 호출할 수 있는 메커니즘이 있습니다.
이 CSE를 관리형 Site-To-Site VPN 서비스인 VPN for VPC를 통해 사용하여 사내 환경에서 IBM Cloud 서비스를 Private Network에서 호출할 수 있습니다.



VPC 측 VPN 게이트웨이 설정



이 페이지 에서 VPN Gateway를 생성합니다.

VPN Gateway를 만들 VPC와 서브넷을 지정하고 연결 정보를 입력합니다.



VPN 게이트웨이는 VPN 서비스가 생성된 Zone과 동일한 Zone에 있는 VSI와만 통신할 수 있습니다. 위의 경우 jp-tok-3에서 VPN 서비스를 만들었으므로 jp-tok-1 또는 jp-tok-2의 VSI에 액세스 할 수 없습니다. Zone 장애에 대비하려면 Zone마다 VPN Gateway를 만들어야 합니다.


  • Peer gateway address
  • 온프레 측 VPN 게이트웨이의 IP 주소

  • Local subnets
  • VPN이 통신하려는 로컬 사이트의 주소 범위
  • VPC에 정의 된 서브넷과 CSE의 끝점 인 166.8.0.0/14를 지정합니다.

  • Peer subnets
  • VPN 통신을위한 사내 구축 형 주소 범위


  • VPN 게이트웨이를 만들면 플로팅 IP가 할당됩니다.



    온프레 측 VPN 게이트웨이 설정



    이번에는 의사 온프레 환경으로 IBM Cloud의 Classic Infra 가상 서버를 이용하고 VPN Gateway로 StrongSwan을 사용하여 실시합니다.
    다른 VPN 게이트웨이를 사용하는 경우 여기을 참조하십시오.

    StrongSwan의 자세한 도입 절차는 생략하지만 이 사이트을 참고로 도입했습니다.
    /etc/ipsec.conf 파일은 다음과 같이 작성하십시오.
    left가 온프레측, right가 VPC측입니다. right , rightid 에는 VPN 게이트웨이를 만들 때 할당된 플로팅 IP를 작성하십시오.

    ipsec.conf
    conn all
           type=tunnel
           auto=route
           #aggressive=no
           esp=aes256-sha256!
           ike=aes128-sha1-modp1024!
           left=165.xx.xx.xx
           leftsubnet=10.193.37.176/28
           rightsubnet=10.244.128.0/24,166.8.0.0/14
           right=165.yy.yy.yy
           leftauth=psk
           rightauth=psk
           leftid="165.xx.xx.xx"
           keyexchange=ikev2
           rightid="165.yy.yy.yy"
           lifetime=10800s
           ikelifetime=36000s
           dpddelay=30s
           dpdaction=restart
           dpdtimeout=120s
    
    /etc/ipsec.secrets 에 Preshared key를 설정하는 것을 잊지 마세요.

    ipsec.secrets
    # This file holds shared secrets or RSA private keys for authentication.
    
    # RSA private key for this host, authenticating it to any other host
    # which knows the public part.
    
    : RSA "server-key.pem"
    user : EAP "password"
    165.xx.xx.xx 165.yy.yy.yy : PSK "**********"
    

    설정이 끝나면 StrongSwan을 다시 시작하면 VPN 연결이 시작됩니다.
    # ipsec restart
    
    # ipsec status
    Routed Connections:
             all{1}:  ROUTED, TUNNEL, reqid 1
             all{1}:   10.193.37.176/28 === 10.244.128.0/24 166.8.0.0/14
    Security Associations (1 up, 0 connecting):
             all[13]: ESTABLISHED 5 hours ago, 165.192.80.42[165.192.80.42]...165.192.128.32[165.192.128.32]
             all{52}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c1049b0e_i c19d8aff_o
             all{52}:   10.193.37.176/28 === 10.244.128.0/24 166.8.0.0/14
    

    CSE를 사용하여 IBM Cloud 서비스 호출



    이제 온프레 측에서 IBM Cloud의 PaaS 서비스를 CSE를 사용하여 호출할 수 있습니다.
    # ping xxxxxxxxxxxxxxxxxxxxx.private.databases.appdomain.cloud
    PING icd-prod-jp-tok-db-x.jp-tok.serviceendpoint.cloud.ibm.com (166.9.42.15) 56(84) bytes of data.
    64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=1 ttl=57 time=2.52 ms
    64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=2 ttl=57 time=2.26 ms
    64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=3 ttl=57 time=2.39 ms
    64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=4 ttl=57 time=2.55 ms
    ^C
    --- icd-prod-jp-tok-db-x.jp-tok.serviceendpoint.cloud.ibm.com ping statistics ---
    4 packets transmitted, 4 received, 0% packet loss, time 3005ms
    rtt min/avg/max/mdev = 2.265/2.435/2.559/0.121 ms
    

    보충

    이번에는 의사 온프레 환경으로 IBM Cloud의 Classic Infra 환경을 사용했습니다. 그렇지 않으면 CSE에 액세스 할 수 있습니다. 따라서 해당 static route는 삭제하고 상기를 검증하고 있습니다.
    ## CSEへのstatic routeの削除
    
    # route
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    default         21.50.c0a5.ip4. 0.0.0.0         UG    0      0        0 eth1
    10.0.0.0        10.193.37.129   255.0.0.0       UG    0      0        0 eth0
    10.193.37.128   0.0.0.0         255.255.255.192 U     0      0        0 eth0
    161.26.0.0      10.193.37.129   255.255.0.0     UG    0      0        0 eth0
    165.192.80.32   0.0.0.0         255.255.255.224 U     0      0        0 eth1
    166.8.0.0       10.193.37.129   255.252.0.0     UG    0      0        0 eth0
    
    # route delete -net 166.8.0.0 gw 10.193.37.129 netmask 255.252.0.0 eth0
    
    # route
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    default         21.50.c0a5.ip4. 0.0.0.0         UG    0      0        0 eth1
    10.0.0.0        10.193.37.129   255.0.0.0       UG    0      0        0 eth0
    10.193.37.128   0.0.0.0         255.255.255.192 U     0      0        0 eth0
    161.26.0.0      10.193.37.129   255.255.0.0     UG    0      0        0 eth0
    165.192.80.32   0.0.0.0         255.255.255.224 U     0      0        0 eth1
    

    좋은 웹페이지 즐겨찾기