참고:

Linux 및 Libreswan의 ECMP 라우팅을 통해 HA 모드에서 Oracle Cloud Infrastructure 사이트 간 VPN 서비스 사용

소개

오늘날 상호 연결된 세상에서 네트워크를 통해 전송되는 데이터의 가용성과 보안을 보장하는 것이 중요합니다. 이러한 중요한 요구를 해결하기 위해 Oracle Cloud는 고가용성 IPSec 터널을 설정하는 기능을 비롯한 강력한 네트워킹 기능을 제공합니다. 이 자습서에서는 고가용성 IPSec 터널의 개념을 살펴보고 ECM(Equal-cost multi-path) 프로토콜을 사용하여 Oracle Cloud에서 탄력적인 네트워크 아키텍처를 설정하는 프로세스를 안내합니다.

이 자습서에서는 Oracle Cloud 환경에 최적화된 강력하고 안전한 운영체제인 Oracle Linux와 잘 정립된 IPSec 클라이언트인 Libreswan을 사용하여 경로 기반 모드로 IPSec 터널을 설정하는 방법에 대해 중점적으로 다룹니다. Oracle Cloud Infrastructure(OCI)에서 제공하는 DRG(동적 라우팅 게이트웨이) 기능을 활용하여 여러 IPSec 터널 간의 원활한 페일오버 및 로드 밸런싱을 지원합니다.

목표

활성/활성 시나리오에서 트래픽 로드 밸런싱을 위해 ECMP 라우팅 프로토콜을 사용하여 OCI에서 IPSec 터널을 구현하는 포괄적인 가이드를 제공합니다.

이 자습서를 따르면 OCI의 IPSec에 대해 종합적으로 이해할 수 있습니다. 중복 연결을 통해 온프레미스 인프라와 OCI를 효과적으로 상호 연결하는 데 필요한 기술을 습득하게 됩니다.

필요 조건

참고: 네트워킹 구성 실험을 위해 OCI에서 테스트 환경을 설정하고 운용 환경에서 구현하기 전에 IPSec를 설정하는 것이 좋습니다.

IPSec VPN이란?

인터넷 프로토콜 보안(IPSec)은 암호화 보안 서비스 사용을 통해 IP(인터넷 프로토콜) 네트워크를 통한 개인 보안 통신을 보장하는 데 도움이 되는 개방형 표준 프레임워크입니다. IPSec는 네트워크 레벨 데이터 무결성, 데이터 기밀성, 데이터 원점 인증 및 재생 보호를 지원합니다. IPSec는 인터넷 계층(계층 3)에 통합되므로 TCP/IP 제품군의 거의 모든 프로토콜에 대한 보안을 제공하고 IPSec가 응용 프로그램에 투명하게 적용되므로 TCP/IP를 사용하는 각 응용 프로그램에 대해 별도의 보안을 구성할 필요가 없습니다.

IPSec는 신뢰할 수 없는 컴퓨터, 애플리케이션, 서비스 또는 네트워크의 서비스 거부를 초래할 수 있는 공격으로부터 네트워크 기반 공격에 대한 심층 방어를 제공합니다.

사이트 간 VPN

네트워크 간 VPN이라고도 하는 사이트 간 IPSec(인터넷 프로토콜 보안) VPN은 인터넷을 통해 두 개 이상의 네트워크 간에 암호화된 보안 연결을 설정합니다. 이를 통해 지리적으로 분산된 사이트 간에 데이터를 안전하게 전송할 수 있으므로 물리적 경계를 넘어 네트워크 범위를 확장하는 VPN(가상 사설망)을 만들 수 있습니다.

사이트 간 IPSec VPN에서는 일반적으로 동일한 조직의 다른 조직 또는 원격 분기에 속하는 참여 네트워크가 전용 IPSec 터널을 통해 연결됩니다. 이러한 터널은 네트워크 트래픽을 캡슐화하고 암호화하여 인터넷과 같은 신뢰할 수 없는 네트워크를 순회하면서 기밀성, 무결성 및 신뢰성을 보장합니다.

반면, 지점 간 VPN(P2S)은 개별 클라이언트 장치와 원격 네트워크 간의 보안 연결을 설정합니다. 네트워크를 연결하는 사이트 간 VPN과 달리 P2S VPN은 네트워크 리소스에 액세스하기 위해 개별 장치에 대한 보안 원격 액세스를 지원합니다. P2S VPN은 일반적으로 외부 위치에서 조직의 네트워크에 연결해야 하는 원격 직원, 계약자 또는 모바일 사용자에 대한 보안 액세스를 사용으로 설정하는 데 사용됩니다.

참고: 이 자습서 범위는 현재 OCI DRGv2에서 지원되는 유일한 사이트 간 IPSec VPN으로 제한됩니다.

VPN IPSec 터널 개념

IPSec는 Internet Protocol Security 또는 IP Security를 나타냅니다. IPSec는 패킷이 소스 노드에서 대상으로 전송되기 전에 전체 IP 트래픽을 암호화하는 프로토콜 제품군입니다. IPSec는 다음 두 가지 모드로 구성할 수 있습니다.

IPSec VPN 사이트 간 터널은 다음과 같은 이점을 제공합니다.

참고: OCI Site-to-Site VPN은 터널 모드만 지원하므로 OCI에서 사용할 수 있는 유일한 모드가 됩니다.

구조

구조

ECMP가 포함된 OCI IPSec는 다음과 같은 목록으로 구성됩니다.

작업 1: OCI 설정 구성

이 자습서에서는 하나의 Oracle Linux 7 VM 인스턴스를 만들고 Libreswan 3.25를 설치했습니다. Libreswan을 Linux에 설치하려면 다음 Oracle 설명서를 참조하십시오. Access to Other Clouds with Libreswan 선택한 환경에 Libreswan을 설치할 수 있습니다. 이 자습서에서는 OCI의 다른 원격 영역을 Libreswan 클라이언트 및 터널 개시자로 선택했습니다.

Libreswan을 설치했으면(아직 구성하지 않음) Linux 7 VM의 공용 IP와 Libreswan을 설치한 전용 IPv4 CIDR 범위를 확인합니다.

이제 OCI 설정을 구성해 보겠습니다.

작업 2: Linux 및 Libreswan 설정 구성

이 튜토리얼에서는 Linux OS 및 Libreswan 구성 단계를 중점적으로 다룹니다. 이전에 설치한 Libreswan은 사이트 간 터널 개시자 및 OCI DRG를 터널 응답자로 사용합니다.

작업 3: IP 경로 지정 및 터널 트래픽 구성

이 자습서 부분은 IP 경로 지정 및 터널 트래픽에 중점을 둡니다.

작업 4: ECMP 로드 균형 조정 및 중복성 구성

이 튜토리얼에서는 ECMP 로드 밸런싱 및 중복성에 중점을 둡니다.

승인

Authors - Luis Catalán Hernández(OCI Cloud Network Specialist and Multi Cloud), Antonio Gamir(OCI Cloud Network Specialist)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 살펴보거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하십시오. 또한 Oracle Learning Explorer가 되려면 education.oracle.com/learning-explorer를 방문하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.