주:

Microsoft Azure용 Oracle Interconnect를 사용하여 IPSec 대역폭 최대화

소개

암호화가 중요하며 이 자습서에서는 전 세계 Microsoft Azure에서 사용하는 상호 연결된 지역에서 암호화를 활성화하는 방법을 보여줍니다.

이 중복 상호 연결은 프라이빗 가상 회로를 기반으로 하며, 이는 Microsoft Azure의 ExpressRoute 및 OCI(Oracle Cloud Infrastructure)측의 FastConnect를 통해 프라이빗 연결에서 예측 가능한 네트워크 대기 시간이 짧습니다. 이러한 개인 가상 회로는 기본적으로 암호화되지 않습니다.

이 자습서에서는 Oracle Interconnect for Microsoft Azure(Oracle Interconnect for Azure)를 사용하고, IPSec 터널의 암호화를 추가하고, 일부 사용 사례의 제한 요소일 수 있으므로 IPSec 터널의 대역폭을 최대화하는 방법을 보여줍니다.

참고: OCI FastConnect 상단의 IPSec는 이 Oracle Interconnect for Azure로 제한되지 않으며, 모든 OCI FastConnect에서 사용할 수 있습니다. 우리는 단지이 튜토리얼을 위해 그것을 사용했습니다.

목표

Microsoft Azure/OCI 상호 연결을 통해 암호화된 터널을 생성하여 결합된 IPSec 터널에서 가능한 네트워크 대역폭을 검증합니다. 가능한 위치를 찾으려면 Interconnect for Azure를 참조하십시오.

이러한 연결은 Microsoft Azure ExpressRoute 및 OCI FastConnect를 기반으로 합니다. 이러한 상호 연결을 만들 때는 대부분의 고객에게 허용되는 개인 가상 회로를 사용하지만 일부 고객은 네트워크 링크에 암호화를 사용해야 하며 이 자습서는 이러한 경우에 해당합니다.

IPSec 터널이 기본 가상 회로와 터널당 동일한 대역폭에 도달하지 못할 수 있으므로 암호화된 연결에서 전체 대역폭을 활용하기 위해 하나의 가상 회로에 8개의 IPSec 터널을 만듭니다.

전용 프라이빗 가상 회로를 통한 암호화된 트래픽이 있는 이 옵션은 Google Cloud와의 상호 연결 및 온프레미스와 OCI 간의 FastConnect 연결에도 적용될 수 있지만 설정은 다를 수 있습니다.

논리적 네트워크 설계

연결에서 IPSec 암호화 트래픽만 허용하거나 동일한 가상 회로에서 암호화되지 않은 트래픽과 암호화된 트래픽을 모두 허용하는 옵션이 있습니다. 이 자습서에서는 상호 연결에서 둘 다 허용하지만 암호화된 트래픽만 Microsoft Azure의 소스에서 OCI의 VCN2에 도달하도록 VCN1 및 암호화되지 않은 트래픽에 도달할 수 있습니다.

실제 구현에서는 가상 회로에서 IPSec 트래픽만 허용하는 옵션이 암호화된 트래픽만 허용하는 엄격한 요구 사항이 있는 고객에게 가장 적합할 수 있습니다.

논리적 네트워크 설계

대역폭(IPSec 포함)

IPSec 터널은 가능한 한 빨리 트래픽을 암호화 및 해독하지만 터널을 구성하는 두 끝점에서 지원하는 암호화 알고리즘 프로토콜에 바인딩되며, 암호화/해독하려면 CPU 주기가 필요하므로 초당 터널을 통과할 수 있는 트래픽 양이 제한됩니다. 터널당 이 제한을 극복하기 위해 여러 터널을 만들고 ECMP(Equal Cost Multi-Pathing)를 사용할 수 있으며, 양쪽 끝이 ECMP를 지원하는 경우 여러 터널을 통해 패킷을 경로 지정할 수 있습니다.

주: 단일 네트워크 스트림은 하나의 터널만 사용합니다. ECMP를 사용하려면 다른 엔드포인트/포트로 부하를 분산해야 합니다. 이러한 경우는 일반적으로 실제 환경에서 발생합니다. 한쪽의 여러 끝점은 다른 쪽의 여러 끝점에 연결됩니다.

IPSEC 트래픽에서 ECMP 사용

상세 네트워크 설정

다음 이미지는 Microsoft Azure와 OCI의 네트워크 설정을 보여줍니다. Microsoft Azure 측은 네트워크 게이트웨이가 허브 vNet에 있고 이러한 테스트를 수행할 때 소스 역할을 하는 Spoke vNET(여기서 azure-vNET)과 피어링되는 일반적인 허브/스포크 설정으로 구성됩니다. OCI 쪽에서 OCI FastConnect을 통해 IPSec를 설정하려면 가상 회로 및 IPSec 연결에 대해 별도의 라우트 테이블을 생성해야 합니다.

상세한 네트워크 설정

트래픽 흐름

Microsoft Azure vNET과 VCN1 간의 암호화된 트래픽만 허용하고 VCN2에 대한 암호화되지 않은 트래픽을 허용하기 위해 OCI에는 VCN1 및 VCN2에 대한 별도의 경로 테이블이 있습니다.

트래픽 플로우는 다음 이미지에 표시됩니다.

네트워크 트래픽 플로우를 포함한 세부 네트워크 설정

필요 조건

작업 1: 준비

다음은 준비 설정을 수행할 때 알아야 할 몇 가지 정보입니다.

Microsoft Azure ExpressRoute 게이트웨이

Microsoft Azure와 OCI 간의 네트워크 대기 시간을 최소화하기 위해 FastPath를 활성화하고 5Gbps 이상의 대역폭이 필요했기 때문에 초고성능 SKU를 사용했습니다. SKU의 ExpressRoute 게이트웨이 차이에 대한 자세한 내용은 https://learn.microsoft.com/en-us/azure/expressroute/expressroute-about-virtual-network-gateways.를 참조하십시오.

Microsoft Azure VPN 게이트웨이

푸시하려는 트래픽을 처리할 수 있는 VPN 게이트웨이 SKU를 선택했습니다. VpnGw4는 5Gbps 처리량을 지원하며 배포할 상호 연결 가상 회로도 5Gbps입니다. 자세한 내용은 VPN 게이트웨이 SKU 정보를 참조하십시오. VPN 게이트웨이와 관련하여 한 가지 중요한 것은 전용 IP를 활성화하는 것입니다. Microsoft Azure 포털에서 배포하는 동안 전용 IP를 사용으로 설정할 수 없었기 때문에 먼저 공용 IP를 사용하여 VPN 게이트웨이를 생성한 다음 배포 후 전용 IP로 사용으로 설정해야 했습니다.

VPN에 대해 VNG의 프라이빗 IP 사용

OCI에서는 VCN1 및 VCN2 첨부 파일이 서로 다른 라우트 테이블을 사용해야 합니다.

이 단계에서 설치는 다음과 같아야 합니다.

시작점

작업 2: 경로 테이블 생성 및 경로 분배 임포트

해당 경로 테이블을 생성하고 경로 분배를 임포트합니다. 그들을 모두 공허하게 유지하십시오.

  1. OCI 콘솔로 이동하여 네트워킹, 고객 연결, 동적 경로 지정 게이트웨이, DRG로 이동하고 DRG를 누릅니다.

  2. 다음 경로 테이블을 생성하고 경로 분배를 임포트합니다.

    • VCN1 경로 테이블입니다.
    • VCN2 경로 테이블입니다.
    • 가상 회로 경로 테이블입니다.
    • IPSec 경로 테이블입니다.
    • VCN1 임포트 경로
    • VCN2 임포트 경로
    • Virtual Circuit 임포트 경로입니다.
    • IPSec 임포트 경로

    모든 경로 테이블을 그대로 두고 경로 분배를 임포트합니다.

작업 3: 각 Route 테이블에 올바른 임포트 경로 분배 지정

각 경로 테이블 이름 편집을 누르고 임포트 경로 분포 사용을 선택한 다음 드롭다운 메뉴를 눌러 올바른 임포트 경로 분포를 선택합니다. VCN1의 경우 ECMP도 사용으로 설정합니다.

매핑

편집 후 지정은 다음과 같아야 합니다.

지정

작업 4: Azure용 Oracle Interconnect 생성

다음 설명서를 따릅니다. 연결 설정.

한 가지 예외는 설명서에서 IPSec 트래픽만 허용하거나 모든 트래픽을 허용하는 새로운 기능을 설명하지 않는다는 것입니다.

상호 연결

이 자습서에서는 가상 회로에서 암호화된 트래픽과 암호화되지 않은 트래픽을 모두 허용할 계획이므로 모든 트래픽을 선택해야 하며 나머지는 동일합니다.

작업 5: OCI FastConnect 및 VCN에 대한 경로 테이블 지정

기본적으로 각 첨부에 대해 자동 생성된 경로 테이블이 사용되므로 사용자가 생성한 경로 테이블로 변경해야 합니다.

첨부 파일 이름 DRG 라우트 테이블
FastConnect VC 첨부 파일 가상 회로 경로 테이블
VCN1 첨부 VCN1 경로 지정 테이블
VCN2 첨부 VCN2 경로 지정 테이블

이렇게 하려면 첨부 파일을 편집해야 합니다. 각 연결, 편집고급 옵션 표시를 누른 다음 각각에 대해 DRG 경로 테이블을 선택합니다.

VCN 연결에 대한 DRG 경로 테이블

VCN은 다음과 유사해야 합니다.

VCN 연결 - 경로 테이블

가상 회로는 다음과 같아야 합니다.

VCN 연결 - 경로 테이블

작업 6: IPSec VPN 터널 생성

OCI 사이트 간 VPN 연결은 원격 끝에서 하나의 IP 주소(OCI 관점에서의 CPE(Customer-Premises Equipment))를 사용하고 OCI 헤드엔드에서 터널당 하나의 IP 주소를 사용합니다. BGP(Border Gateway Protocol) 세션의 경우 설정할 4개의 VPN 연결 각각에 대해 두 터널을 모두 사용하려면 설정을 조금 조정해야 합니다.

  1. Microsoft Azure VNG(Virtual Network Gateway) VPN 전용 IP 주소를 가져옵니다.

    Microsoft Azure측에서 VPN 게이트웨이에 대한 프라이빗 IP를 보려면 자세히 보기를 눌러야 합니다. 이는 Microsoft Azure 측에서 VPN을 종료하는 데 사용됩니다.

    프라이빗 IP 1

    그러면 전용 IP 주소가 표시됩니다.

    프라이빗 IP 2

  2. Microsoft Azure VNG에서 BGP IP를 생성합니다.

    Microsoft Azure VPN 게이트웨이에서 4x 사용자정의 APIPA BGP IP를 생성합니다. 하나는 OCI 측 VPN 접속마다 하나씩 생성됩니다.

    APIPA BGP

  3. OCI에서 CPE 장치를 생성합니다. 이제 모든 VPN 터널에 사용될 Microsoft Azure 사이트의 프라이빗 CPE IP를 알고 있으며, OCI의 Microsoft Azure에서 프라이빗 IP를 사용하여 CPE 장치의 가상 표현을 생성하고 Allow IPSec over FastConnect를 사용으로 설정해야 합니다. 이를 사용으로 설정하려면 네트워킹, 고객 연결로 이동하고 고객 구내 장비를 누릅니다.

    CPE 생성

  4. OCI에서 사이트 간 VPN을 생성합니다.

    Go to Networking, Customer Connectivity, Site-to-Site VPN and click Create IPSec connection.

    CPE에서 OCI FastConnect를 통해 IPSec를 사용으로 설정했으므로 지정해야 할 새 옵션이 표시됩니다.

    • Oracle 헤드 엔드 IP(각 터널에 대해 별도의 IP, 이 설정은 다음 표 참조)
    • 연관된 가상 회로(모든 터널에 대해 동일)
    • IPSec 터널에 대한 경로 테이블입니다(이 예의 모든 터널에 대해 동일).

    FC 설정을 통한 IPSec

    IPSec 터널을 생성할 때 OCI측에서 이러한 헤드엔드 프라이빗 IP를 사용할 것입니다.

    Azure CPE IP VPN 접속 이름 OCI 터널 이름 OCI 헤드엔드 프라이빗 IP
      VPN1 Tunnel1 192.168.1.1
      VPN1 Tunnel2 192.168.1.2
      VPN2 Tunnel3 192.168.1.3
    10.30.0.6 VPN2 Tunnel4 192.168.1.4
      VPN3 Tunnel5 192.168.1.5
      VPN3 Tunnel6 192.168.1.6
      VPN4 Tunnel7 192.168.1.7
      VPN4 Tunnel8 192.168.1.8

    OCI 측에서 BGP 설정에 사용되는 구성입니다.

    VPN 접속 이름 터널 이름입니다. Azure APIPA BP IP OCI APIPA BGP IP
    VPN1 Tunnel1 169.254.21.5/31 169.254.21.4/31
    VPN1 Tunnel2 169.254.21.5/30 169.254.21.6/30
    VPN2 Tunnel3 169.254.21.9/31 169.254.21.8/31
    VPN2 Tunnel4 169.254.21.9/30 169.254.21.10/30
    VPN3 Tunnel5 169.254.21.13/31 169.254.21.12/31
    VPN3 Tunnel6 169.254.21.13/30 169.254.21.14/30
    VPN4 Tunnel7 169.254.21.17/31 169.254.21.16/31
    VPN4 Tunnel8 169.254.21.17/30 169.254.21.18/30

    Microsoft Azure에 대한 VPN 연결을 설정하려면 Create IPSec Connection에서 시작하는 표준 설명서를 사용하고 OCI FastConnect을 통한 IPSec에 대한 위의 특수 설정을 기억하십시오. 자세한 내용은 VPN Connection to Azure을 참조하십시오.

    모든 4 개의 VPN 연결 (8 개의 터널)에 대해이 작업을 수행해야합니다.

작업 7: Microsoft Azure에서 LNG(로컬 네트워크 게이트웨이) 생성

LNG는 OCI에서 VPN 엔드포인트의 가상 표현입니다. 다음 표와 같이 매개변수를 사용하여 8개의 LNG를 생성합니다.

LNG

모든 LNG에 대한 매개변수가 테이블에 표시됩니다. LNG를 생성할 때 이러한 매개변수가 사용되었습니다(BGP 설정 사용).

이름 끝점 IP 주소로 ASN 번호 BGP 피어 IP 주소로
OCI1 192.168.1.1 31898 169.254.21.4
OCI2 192.168.1.2 31898 169.254.21.6
OCI3 192.168.1.3 31898 169.254.21.8
OCI4 192.168.1.4 31898 169.254.21.10
OCI5 192.168.1.5 31898 169.254.21.12
OCI6 192.168.1.6 31898 169.254.21.14
OCI7 192.168.1.7 31898 169.254.21.16
OCI8 192.168.1.8 31898 169.254.21.18

다음 이미지는 각 VPN 연결의 시각적 표현을 보여줍니다.

VPN 접속 표현

작업 8: Microsoft Azure에서 vng-VPN와 각 LNG 간에 접속 생성

  1. 사이트 간 VPN 페이지로 이동하고 표시복사를 눌러 각 터널에 대한 OCI 콘솔에서 공유 암호(PSK)를 복사합니다.

    VPN 접속 2

  2. Microsoft Azure에서 vng-VPN로 이동하여 각 LNG에 대한 연결을 만듭니다.

    VPN 접속 3

  3. 각 연결에 대해 공유 암호를 Microsoft Azure 콘솔에 붙여넣고 드롭다운 메뉴를 눌러 올바른 BGP 주소, VNG 및 로컬 네트워크 게이트웨이를 선택합니다. 작업 6에서 사용한 BGP IP입니다.

    VPN 접속 4

    이 후 모든 터널은 몇 분 안에 올라가야합니다. Microsoft Azure에서 확인:

    VPN 접속 5

    OCI에서 확인:

    VPN 접속 6

작업 9: 연결 테스트

이제 이것이 어떻게 작동하는지 볼 때입니다. 한 Microsoft Azure VM에서 OCI의 VM으로의 대역폭을 테스트합니다. 4x VM은 VCN 내에 배치되어 Microsoft Azure ExpressRoute/OCI FastConnect를 통해 암호화되지 않은 트래픽을 허용하는 다른 VCN의 IPSec 트래픽과 한 VM만 허용합니다.

양측의 VM에는 이 네트워크 대역폭을 처리할 수 있는 충분한 코어가 있습니다. 대부분의 응용 프로그램이 해당 프로토콜을 사용하기 때문에 TCP 프로토콜을 테스트 시나리오로 사용합니다.

We understand that network latency will impact bandwidth but since we wanted to capture the difference between with and without IPSec, it will not be noticeable. 여기서 목표는 최대 대역폭을 표시하는 것이 아니라 암호화 없이 상호 연결을 사용하는 것과 비교하여 상호 연결에서 IPSec 암호화를 사용하는 것이 미치는 영향을 이해하는 것입니다.

IPSec 트래픽에 대해 OCI측에 4개의 VM이 있는 이유는 하나의 VPN 터널이 상호 연결에 대해 보유한 5Gbps 가상 회로를 포화시킬 수 없기 때문에 ECMP를 사용하여 서로 다른 VPN 터널을 통해 트래픽을 분산하는 것은 엔드포인트이며, 각 터널에는 서로 다른 IP와 포트가 응답합니다. 이것은 일반적으로 실제 상황에서도 마찬가지이며 많은 소스 끝점이 많은 대상 끝점과 통신합니다.

설정 테스트 1

대역폭 테스트의 경우 iperf3를 사용합니다. https://iperf.fr/

OCI측 서버(수신측):

OCI VM1_a = $ iperf3 -s -p 5201
OCI VM1_b = $ iperf3 -s -p 5202
OCI VM1_c = $ iperf3 -s -p 5203
OCI VM1_d = $ iperf3 -s -p 5204
OCI VM2   = $ iperf3 -s -p 5201

작업 9.1: 가상 회로에서 대역폭 테스트

다음 명령을 실행하여 Microsoft Azure VM에서 OCI VM2까지 가상 회로에서 최대 대역폭을 테스트합니다.

$ iperf3 -c <OCIVM2 IP> -p 5201
Summary output:
[ ID]   Interval         Transfer     Bitrate         Retr
[  6]   0.00-10.00  sec  6.13 GBytes  5.27 Gbits/sec  336296  sender
[  6]   0.00-10.04  sec  6.12 GBytes  5.24 Gbits/sec          receiver

가상 회로에 대해 5Gbps 대역폭을 활용하여 5.24Gbps를 달성한 것을 확인할 수 있습니다.

테스트 9.2: ECMP를 사용하여 결합된 IPSec 대역폭 테스트

다음 명령을 실행하여 Microsoft Azure VM에서 OCI의 4x VM까지 IPSec 터널의 최대 대역폭을 동시에 테스트합니다.

$ iperf3 -c <OCIVM1_a IP> -p 5201 & iperf3 -c <OCIVM1_b IP> -p 5202 &
iperf3 -c <OCIVM1_c IP> -p 5203 & iperf3 -c <OCIVM1_d IP> -p 5204 &

이것은 우리가 한 테스트 실행 중 하나입니다.

[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.81 GBytes  1.56 Gbits/sec  4018   sender
[  5]   0.00-10.04  sec  1.81 GBytes  1.55 Gbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.24 GBytes  1.07 Gbits/sec  32114  sender
[  5]   0.00-10.04  sec  1.24 GBytes  1.06 Gbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.08 GBytes   931 Mbits/sec  1016   sender
[  5]   0.00-10.04  sec  1.08 GBytes   921 Mbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.78 GBytes  1.53 Gbits/sec  63713  sender
[  5]   0.00-10.04  sec  1.78 GBytes  1.52 Gbits/sec         receiver

이 테스트 실행에 대한 요약은 5.05Gbps(1.55 + 1.06 + 0.92 + 1.52)입니다. 테스트 실행에 대해 평균이 걸리면 4.51Gbps가 제공됩니다.

대역폭 결과 1

따라서 OCI FastConnect 가상 회로를 통해 IPsec 암호화를 통해 거의 모든 네트워크 대역폭을 활용할 수 있습니다.

작업 9.3: 하나의 IPSec 터널을 사용하여 대역폭 테스트

ECMP를 사용할 수 없는 경우(다른 쪽에서는 지원되지 않음)가 있으므로 하나의 IPSec 터널에서 얻을 수 있는 대역폭을 측정했습니다. Microsoft Azure의 VM 1개에서 OCI의 VM 1개로

다음은 IPSec 암호화 터널 하나에 대해 네트워크 대역폭이 상당히 양호한 요약 표입니다.

대역폭 결과 1 터널

이제 IPSec 암호화를 사용하여 OCI FastConnect 링크에서 네트워크 트래픽을 암호화하려는 고객이 여러 VPN 터널을 활용하고 하나의 VPN 터널을 넘어 IPSec 트래픽에 대한 총 대역폭을 늘려 기본 가상 회로와 거의 동일한 총 대역폭을 얻을 수 있음을 보여주었습니다.

승인

추가 학습 자원

docs.oracle.com/learn에서 다른 랩을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer가 되십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.