주:

두 OCI 리전 간 정적 라우팅이 포함된 Oracle Cloud Infrastructure Site-to-Site VPN 설정

소개

애플리케이션, 데이터베이스 또는 서비스가 서로 다른 Oracle Cloud Infrastructure(OCI) 리전 또는 테넌트에 분산되어 있는 경우 해당 리전 간에 네트워크 통신을 활성화하는 데 선호되는 방법은 RPC(원격 피어링 연결) 피어링입니다. RPC 피어링이 불가능한 경우 OCI Site-to-Site VPN IPSec 연결을 설정할 수도 있습니다. OCI는 DRG(Dynamic Routing Gateway)를 사용한 OCI Site-to-Site VPN IPSec 생성을 직접 지원하지 않지만, 한쪽에서 커스터마이징 VPN 엔드포인트(예: Libreswan)를 구성하고 다른 쪽에서 DRG를 사용하여 이 연결을 설정할 수 있습니다.

이미지

이미지

온프레미스와 OCI 간에 OCI 사이트 간 VPN을 설정해야 하고 DRG를 VPN(가상 프라이빗 네트워크) 엔드포인트로 사용하지 않고 고유한 사용자정의 VPN 엔드포인트로 사용하지 않으려는 경우에도 이 방법을 사용할 수 있습니다.

목표

필요 조건

작업 1: 대상 OCI 리전(VCN, 서브넷, DRG, VCN 연결 및 인스턴스) 검토

이 작업에서 우리는 시작하기 위해 우리가 가지고있는 것을 확인할 것입니다.

다음 그림은 우리가 지금까지 만든 것을 보여줍니다.

이미지

작업 2: 소스 OCI 리전(VCN, 공용(public) 서브넷, 인터넷 게이트웨이 및 인스턴스) 검토

다음 그림은 우리가 지금까지 만든 것을 보여줍니다.

이미지

작업 3: 소스 OCI 영역에서 CPE 인스턴스의 공용(public) IP 주소 수집

작업 4: 대상 OCI 리전에서 새 CPE 생성

작업 5: 대상 OCI 리전에서 OCI 사이트 간 VPN 구성

작업 6: 대상 OCI 리전에서 IPSec 터널의 공용 IP 주소를 수집하고 CPE 구성을 다운로드합니다.

작업 7: 소스 OCI 지역에서 CPE 인스턴스 구성 및 Libreswan 설치 및 구성

작업 8: 소스 OCI 리전의 CPE 인스턴스에서 방화벽을 열고 VCN 및 서브넷 보안 목록 구성

IPSec 접속에 필요한 수신 포트를 허용하도록 VCN 및 서브넷 보안 목록을 구성합니다. 터널을 올바르게 설정하려면 양측의 네트워크 보안이 필요한 포트를 허용하는지 확인해야 합니다.

CPE에서 Linux 방화벽 사용 안함

경우에 따라(테스트 목적으로) Libreswan이 실행 중인 CPE 인스턴스의 Linux 방화벽을 완전히 사용 안함으로 설정하는 것이 좋습니다. 이 작업은 다음 명령을 사용하여 수행할 수 있습니다.

[root@cpe ipsec.d]# systemctl disable --now firewalld

다음 명령을 실행하여 Libreswan에 대한 방화벽 서비스가 실행 중이 아닌지 확인합니다.

[root@cpe ipsec.d]# systemctl status firewalld

작업 9: IPSec 터널이 양쪽에 작동하는지 활성화하고 확인합니다.

작업 10: 정적 경로 지정 구성

작업 11: 소스 및 대상 인스턴스에서 최종 핑 시작

작업 12: OCI 사이트 간 VPN 상태 확인

작업 13: ECMP(Equal Cost Multi-Path) 라우팅 활성화

승인

추가 학습 자원

docs.oracle.com/learn에서 다른 랩을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer가 되십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.