VPN for VPC를 통해 IBM Cloud 서비스에 개인 연결
6110 단어 ibmcloud
하고 싶은 일
IBM Cloud에는 Cloud Service Endpoin이라는 PaaS 서비스(Watson 및 IBM Cloud Databases)에 Private Network를 통해 호출할 수 있는 메커니즘이 있습니다.
이 CSE를 관리형 Site-To-Site VPN 서비스인 VPN for VPC를 통해 사용하여 사내 환경에서 IBM Cloud 서비스를 Private Network에서 호출할 수 있습니다.
VPC 측 VPN 게이트웨이 설정
이 페이지 에서 VPN Gateway를 생성합니다.
VPN Gateway를 만들 VPC와 서브넷을 지정하고 연결 정보를 입력합니다.
VPN 게이트웨이는 VPN 서비스가 생성된 Zone과 동일한 Zone에 있는 VSI와만 통신할 수 있습니다. 위의 경우 jp-tok-3에서 VPN 서비스를 만들었으므로 jp-tok-1 또는 jp-tok-2의 VSI에 액세스 할 수 없습니다. Zone 장애에 대비하려면 Zone마다 VPN Gateway를 만들어야 합니다.
VPN 게이트웨이를 만들면 플로팅 IP가 할당됩니다.
온프레 측 VPN 게이트웨이 설정
이번에는 의사 온프레 환경으로 IBM Cloud의 Classic Infra 가상 서버를 이용하고 VPN Gateway로 StrongSwan을 사용하여 실시합니다.
다른 VPN 게이트웨이를 사용하는 경우 여기을 참조하십시오.
StrongSwan의 자세한 도입 절차는 생략하지만 이 사이트을 참고로 도입했습니다.
/etc/ipsec.conf
파일은 다음과 같이 작성하십시오.left가 온프레측, right가 VPC측입니다.
right
, rightid
에는 VPN 게이트웨이를 만들 때 할당된 플로팅 IP를 작성하십시오.ipsec.conf
conn all
type=tunnel
auto=route
#aggressive=no
esp=aes256-sha256!
ike=aes128-sha1-modp1024!
left=165.xx.xx.xx
leftsubnet=10.193.37.176/28
rightsubnet=10.244.128.0/24,166.8.0.0/14
right=165.yy.yy.yy
leftauth=psk
rightauth=psk
leftid="165.xx.xx.xx"
keyexchange=ikev2
rightid="165.yy.yy.yy"
lifetime=10800s
ikelifetime=36000s
dpddelay=30s
dpdaction=restart
dpdtimeout=120s
/etc/ipsec.secrets
에 Preshared key를 설정하는 것을 잊지 마세요.ipsec.secrets
# This file holds shared secrets or RSA private keys for authentication.
# RSA private key for this host, authenticating it to any other host
# which knows the public part.
: RSA "server-key.pem"
user : EAP "password"
165.xx.xx.xx 165.yy.yy.yy : PSK "**********"
설정이 끝나면 StrongSwan을 다시 시작하면 VPN 연결이 시작됩니다.
# ipsec restart
# ipsec status
Routed Connections:
all{1}: ROUTED, TUNNEL, reqid 1
all{1}: 10.193.37.176/28 === 10.244.128.0/24 166.8.0.0/14
Security Associations (1 up, 0 connecting):
all[13]: ESTABLISHED 5 hours ago, 165.192.80.42[165.192.80.42]...165.192.128.32[165.192.128.32]
all{52}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c1049b0e_i c19d8aff_o
all{52}: 10.193.37.176/28 === 10.244.128.0/24 166.8.0.0/14
CSE를 사용하여 IBM Cloud 서비스 호출
이제 온프레 측에서 IBM Cloud의 PaaS 서비스를 CSE를 사용하여 호출할 수 있습니다.
# ping xxxxxxxxxxxxxxxxxxxxx.private.databases.appdomain.cloud
PING icd-prod-jp-tok-db-x.jp-tok.serviceendpoint.cloud.ibm.com (166.9.42.15) 56(84) bytes of data.
64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=1 ttl=57 time=2.52 ms
64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=2 ttl=57 time=2.26 ms
64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=3 ttl=57 time=2.39 ms
64 bytes from f.2a.09a6.ip4.static.sl-reverse.com (166.9.42.15): icmp_seq=4 ttl=57 time=2.55 ms
^C
--- icd-prod-jp-tok-db-x.jp-tok.serviceendpoint.cloud.ibm.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 2.265/2.435/2.559/0.121 ms
보충
이번에는 의사 온프레 환경으로 IBM Cloud의 Classic Infra 환경을 사용했습니다. 그렇지 않으면 CSE에 액세스 할 수 있습니다. 따라서 해당 static route는 삭제하고 상기를 검증하고 있습니다.
## CSEへのstatic routeの削除
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 21.50.c0a5.ip4. 0.0.0.0 UG 0 0 0 eth1
10.0.0.0 10.193.37.129 255.0.0.0 UG 0 0 0 eth0
10.193.37.128 0.0.0.0 255.255.255.192 U 0 0 0 eth0
161.26.0.0 10.193.37.129 255.255.0.0 UG 0 0 0 eth0
165.192.80.32 0.0.0.0 255.255.255.224 U 0 0 0 eth1
166.8.0.0 10.193.37.129 255.252.0.0 UG 0 0 0 eth0
# route delete -net 166.8.0.0 gw 10.193.37.129 netmask 255.252.0.0 eth0
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 21.50.c0a5.ip4. 0.0.0.0 UG 0 0 0 eth1
10.0.0.0 10.193.37.129 255.0.0.0 UG 0 0 0 eth0
10.193.37.128 0.0.0.0 255.255.255.192 U 0 0 0 eth0
161.26.0.0 10.193.37.129 255.255.0.0 UG 0 0 0 eth0
165.192.80.32 0.0.0.0 255.255.255.224 U 0 0 0 eth1
Reference
이 문제에 관하여(VPN for VPC를 통해 IBM Cloud 서비스에 개인 연결), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/kissyy/items/583bd0ba686c7537a97e텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)