솔루션 구성

이 솔루션을 구성하는 것은 네트워킹 인프라를 구성한 다음 Management Gateway 및 Management Agent를 설치하는 2단계 프로세스입니다. 다음 절차에서는 이러한 단계를 안내합니다.

네트워킹 구성

다음 단계에 따라 AWS와 OCI 간에 IPSec VPN 터널링을 설정하여 RDS 및 O&M 서비스 간 통신을 사용으로 설정합니다. 이 설정은 OCI 사이트 간 VPN 버전 2에서 작동합니다.

AWS용 임시 고객 게이트웨이 생성

임시 고객 게이트웨이를 사용하여 처음에 AWS 사이트 간 VPN을 프로비저닝하고 터널에 대한 AWS VPN 엔드포인트를 노출합니다. IPSec 접속을 생성하려면 먼저 OCI에 원격 VPN 피어의 퍼블릭 IP가 필요합니다. 이 프로세스가 완료되면 실제 OCI VPN 끝점 퍼블릭 IP를 나타내는 새 고객 게이트웨이가 구성됩니다.

1. 기본 AWS 포털에서 화면 왼쪽 위에 있는 서비스 메뉴를 확장합니다. Networking & Content Delivery에서 VPC로 이동합니다.
2. 왼쪽 메뉴에서 아래로 스크롤하고 VPN(가상 사설망)에서 고객 게이트웨이를 누릅니다.
3. 고객 게이트웨이 생성을 눌러 고객 게이트웨이를 생성합니다.
   Create Customer Gateway 페이지가 나타납니다.
4. 다음 세부정보를 입력합니다.
   • 이름: 이 고객 게이트웨이에 임시 이름을 지정합니다. 이 예에서는 TempGateway라는 이름이 사용됩니다.
   • 경로 지정: [동적]을 선택합니다.
   • BGP ASN: OCI BGP ASN을 입력합니다. 상업용 클라우드에 대한 Oracle의 BGP ASN은 31898입니다. 단, 세르비아 중부(Jovanovac) 지역은 14544입니다.
   • IP 주소: 임시 게이트웨이에 적합한 IPv4 주소를 사용합니다. 이 예에서는 1.1.1.1를 사용합니다.
5. 임시 고객 게이트웨이 구성이 완료되면 고객 게이트웨이 생성을 눌러 프로비전 프로세스를 완료합니다.

AWS용 가상 전용 게이트웨이 생성 및 연결

VPG(가상 사설 게이트웨이)를 사용하면 네트워크 외부에 있는 리소스가 네트워크 내부에 있는 리소스와 통신할 수 있습니다. AWS용 VPG를 만들고 연결하려면 이 절차를 사용합니다.

1. AWS 왼쪽 메뉴에서 아래로 스크롤하고 VPN(가상 전용 네트워크)에서 가상 전용 게이트웨이를 누릅니다.
2. 가상 프라이빗 게이트웨이 생성을 눌러 새 가상 프라이빗 게이트웨이를 생성합니다.
   가상 전용 게이트웨이 생성 페이지가 나타납니다.
3. 다음 세부정보를 입력합니다.
   • 이름: VPG(가상 전용 게이트웨이)에 이름을 지정합니다.
   • ASN: Amazon 기본 ASN을 선택합니다.
4. 가상 프라이빗 게이트웨이 구성이 완료되면 가상 프라이빗 게이트웨이 생성을 클릭하여 프로비저닝을 완료합니다.
5. VPG가 생성된 후 선택한 VPC에 연결합니다.
   1. Virtual Private Gateway 페이지에서 VPG가 선택되었는지 확인하고 Actions 메뉴(Actions 메뉴)를 연 다음 Attach to VPC를 선택합니다. 선택한 가상 전용 게이트웨이에 대한 VPC에 연결 페이지가 나타납니다.
   2. 목록에서 VPC를 선택하고 VPG를 VPC에 연결하려면 예, 연결을 누릅니다.

AWS에 대한 VPN 접속 생성

고유 VPN 서비스를 사용하여 OCI를 AWS에 접속하려면 이 절차를 사용하십시오.

1. 왼쪽 메뉴에서 아래로 스크롤하여 VPN(가상 전용 네트워크) 아래의 사이트 간 VPN 접속을 누릅니다.
2. VPN 접속 생성을 눌러 새 가상 전용 게이트웨이를 생성합니다. [VPN 접속 생성] 페이지가 표시됩니다.
3. 다음 세부정보를 입력합니다.
   • 이름 태그: VPN 연결에 이름을 지정합니다.
   • 대상 게이트웨이 유형: 가상 프라이빗 게이트웨이를 선택한 다음 목록에서 이전에 생성된 가상 프라이빗 게이트웨이를 선택합니다.
   • 고객 게이트웨이: [기존]을 선택한 다음 목록에서 임시 고객 게이트웨이를 선택합니다.
   • 경로 지정 옵션: 동적(BGP 필요)을 선택합니다.
   • Ip 버전 내부의 터널: IPv4을 선택합니다.
   • 로컬/원격 IPv4 네트워크 CIDR: 경로 기반 IPSec VPN을 만들고 이 두 필드를 모두 비워 둡니다.

     다음 단계로 이동합니다. 아직 VPN 접속 생성을 누르지 마십시오.

4. VPN 연결 생성 페이지에서 아래로 스크롤하여 터널 옵션을 찾습니다.
5. 링크 로컬 169.254.0.0/16 범위 내에서 /30 CIDR을 선택합니다. Inside IPv4 CIDR for Tunnel 1에 전체 CIDR을 입력합니다.
6. OCI가 내부 터널 IP에 대해 선택한 /30 주소를 지원하는지 확인합니다.
   OCI에서는 내부 터널 IP에 대해 다음 IP 범위를 사용할 수 없습니다.

   • 169.254.10.0-169.254.19.255
   • 169.254.100.0-169.254.109.255
   • 169.254.192.0-169.254.201.255

   다음 단계로 이동합니다. 아직 VPN 접속 생성을 누르지 마십시오.
7. 터널 1에 대한 고급 옵션에서 터널 1 옵션 편집을 선택합니다.
   추가 옵션 집합이 확장됩니다. 이 터널에 사용되는 암호화 알고리즘을 제한하려면 여기서 원하는 1단계 및 2단계 옵션을 구성합니다. 이 접속에는 IKEv2를 사용해야 합니다. IKEv1가 사용되지 않도록 하려면 IKEv1 확인란을 사용 안함으로 설정합니다. OCI가 지원하는 1단계 및 2단계 옵션에 대한 설명은 "지원되는 IPSec 매개변수"를 참조하십시오("자세히 탐색" 참조).
8. 필요한 모든 옵션 구성을 완료한 후 VPN 접속 생성을 눌러 VPN 접속 프로비전 프로세스를 완료합니다.

AWS 구성 다운로드

VPN 연결이 프로비저닝되는 동안 모든 터널 정보의 구성을 다운로드합니다. 이 텍스트 파일은 OCI 콘솔에서 터널 구성을 완료하는 데 필요합니다.

1. VPN 접속이 선택되었는지 확인한 다음 구성 다운로드를 누릅니다.
2. 공급업체 및 플랫폼 설정 "일반"을 선택한 다음 다운로드를 눌러 구성의 텍스트 복사본을 로컬 하드 드라이브에 저장합니다.
3. 다운로드한 구성 파일을 선택한 텍스트 편집기에서 엽니다. IPSec Tunnel #1, section #1 Internet Key Exchange Configuration 아래에서 확인합니다. 여기서 터널에 대해 자동으로 생성된 사전 공유 키를 찾을 수 있습니다. 이 값을 저장합니다.
   AWS는 마침표 또는 밑줄 문자(. 또는 _)를 사용하여 사전 공유 키를 생성할 수 있습니다. OCI는 사전 공유 키에서 해당 문자 사용을 지원하지 않습니다. 이러한 값을 포함하는 키를 변경해야 합니다. 터널에 대한 AWS의 사전 공유 키를 변경하려면 다음을 수행합니다.

   1. VPN 연결을 선택하고 작업 메뉴를 열고 VPN 터널 옵션 수정을 선택합니다.
   2. 다운로드한 구성에서 터널 1 아래에 있는 동안 #3 Tunnel Interface Configuration 섹션으로 스크롤합니다.
   3. OCI에서 사이트 간 VPN 구성을 완료하려면 다음 값을 기록합니다.
      • 가상 전용 게이트웨이의 외부 IP 주소
      • 고객 게이트웨이에 대한 내부 IP
      • 가상 프라이빗 게이트웨이의 내부 IP
      • 가상 프라이빗 게이트웨이 BGP ASN입니다. 기본 ASN은 64512입니다.

OCI용 고객 구내 장비 생성

다음으로 온프레미스 네트워크와 VCN(가상 클라우드 네트워크) 사이에 트래픽이 전송될 수 있도록 사이트 간 VPN 끝에서 온프레미스 장치(고객 구내 장비 또는 CPE)를 구성해야 합니다. 다음 절차를 사용합니다.

1. 탐색 메뉴를 열고 네트워킹을 누릅니다. 고객 연결에서 고객 온프레미스 장비를 누릅니다.
2. 고객 구내 장비 생성을 누릅니다.
3. 다음 값을 입력합니다.
   • 구획에 생성: 원하는 VCN에 대한 구획을 선택합니다.
   • 이름: CPE 객체를 설명하는 이름을 입력합니다. 고유하지 않아도 되며 나중에 콘솔에서 변경할 수 없습니다(하지만 API를 사용하여 변경할 수 있음). 기밀 정보를 입력하지 마십시오. 이 예에서는 TO_AWS를 이름으로 사용합니다.
   • IP 주소: AWS에서 다운로드한 구성에 표시된 가상 전용 게이트웨이의 외부 IP 주소를 입력합니다.
   • CPE 공급업체: 기타를 선택합니다.
4. CPE 생성을 누릅니다.

OCI에 대한 IPSec 접속 생성

이제 IPSec 터널을 생성하고 정적 또는 BGP 동적 경로 지정의 경로 지정 유형을 구성해야 합니다. 다음 절차를 사용합니다.

1. 탐색 메뉴를 열고 네트워킹을 누릅니다. 고객 접속에서 사이트 간 VPN을 누릅니다.
2. IPSec 접속 생성을 누릅니다.
   새 IPSec 접속 대화상자가 나타납니다.
3. 다음 값을 입력합니다.
   • 구획에 생성: 그대로 둡니다(VCN의 구획).
   • 이름: IPSec 접속에 대해 설명하는 이름을 입력합니다(예: OCI-AWS-1). 고유하지 않아도 되며 나중에 변경할 수 있습니다. 기밀 정보를 입력하지 마십시오.
   • Customer-Premises Equipment Compartment: 그대로 둡니다(VCN의 구획).
   • 고객 구내 장비: 이전에 생성한 CPE 객체(TO_AWS)를 선택합니다.
   • 동적 라우팅 게이트웨이 컴파트먼트: VCN의 컴파트먼트인 그대로 둡니다.
   • 동적 경로 지정 게이트웨이: 이전에 생성한 DRG를 선택합니다.
   • 정적 경로 CIDR: 기본 경로 0.0.0.0/0을 입력합니다.

     활성 터널은 BGP를 사용하므로 OCI는 이 경로를 무시합니다. IPSec 연결의 두번째 터널에 대한 항목이 필요합니다. 이 터널은 기본적으로 정적 경로 지정을 사용하지만 이 시나리오에서는 사용되지 않습니다. 이 연결에 정적 경로 지정을 사용하려는 경우 AWS 가상 네트워크를 나타내는 정적 경로를 입력합니다. 각 IPSec 연결에 대해 최대 10개의 정적 경로를 구성할 수 있습니다.

4. 터널 1 탭에 다음 세부정보를 입력합니다(필수).
   • 이름: 터널에 대한 설명 이름을 입력합니다(예: AWS-TUNNEL-1). 고유하지 않아도 되며 나중에 변경할 수 있습니다. 기밀 정보를 입력하지 마십시오.
   • 사용자정의 공유 암호 제공: 이 터널에 대해 IPSec에서 사용하는 사전 공유 키를 입력합니다. 이 확인란을 선택하고 AWS VPN 구성 파일에서 사전 공유 키를 입력합니다.
   • IKE 버전: IKEv2을 선택합니다.
   • 경로 지정 유형: BGP 동적 경로 지정을 선택합니다.
   • BGP ASN: AWS VPN 구성 파일에 있는 대로 AWS에서 사용하는 BGP ASN을 입력합니다. 기본 AWS BGP ASN은 64512입니다.
   • IPv4 터널 내부 인터페이스 - CPE: AWS VPN 구성 파일에서 IP 주소 내의 가상 전용 게이트웨이를 입력합니다. 이 IP 주소에 대해 전체 CIDR 표기법을 사용합니다.
   • IPv4 내부 터널 인터페이스 - Oracle: OCI에서 사용되는 내부 IP 주소를 입력합니다. AWS VPN 구성 파일에서 고객 게이트웨이의 내부 IP 주소를 입력합니다. 이 IP 주소에 대해 전체 CIDR 표기법을 사용합니다.
5. IPSec 접속 생성을 누릅니다.
   IPSec 접속이 생성되어 페이지에 표시됩니다. 접속은 짧은 기간 동안 프로비전 상태입니다.
6. IPSec 연결이 프로비저닝된 후 터널의 Oracle VPN IP 주소를 기록해 둡니다. 이 주소는 AWS 포털에서 새 고객 게이트웨이를 생성하는 데 사용됩니다.
   1. 탐색 메뉴를 열고 네트워킹을 누릅니다. 고객 접속에서 사이트 간 VPN을 누릅니다.

      보고 있는 구획의 IPSec 접속 목록이 나타납니다. 찾고 있는 접속이 보이지 않으면 올바른 구획을 보고 있는지 확인합니다(페이지 왼쪽에 있는 목록에서 선택).

   2. 관심 있는 IPSec 접속(예: OCI-AWS-1)을 누릅니다.
   3. AWS-TUNNEL-1의 Oracle VPN IP 주소를 찾습니다.

새 AWS 고객 게이트웨이 생성

이제 OCI IPSec 연결에서 캡처한 세부정보를 사용하여 기존 고객 게이트웨이 위에 새 고객 게이트웨이를 생성합니다.

1. AWS 콘솔에서 고객 게이트웨이로 이동하고 다음 세부정보를 입력하여 고객 게이트웨이를 생성합니다.
   • 이름: 이 고객 게이트웨이에 이름을 지정합니다.
   • 경로 지정: [동적]을 선택합니다.
   • BGP ASN: OCI BGP ASN을 입력합니다. 상업용 클라우드에 대한 Oracle의 BGP ASN은 31898입니다. 단, 세르비아 중부(Jovanovac) 지역은 14544입니다.
   • IP 주소: 터널 1에 대한 Oracle VPN IP 주소를 입력합니다. 이전 작업에서 저장된 IP를 사용합니다.
2. 프로비저닝을 완료하려면 고객 게이트웨이 생성을 누릅니다.

새 AWS 고객 게이트웨이로 VPN 접속 수정

이 작업은 임시 고객 게이트웨이를 OCI VPN IP 주소를 사용하는 게이트웨이로 바꿉니다.

1. AWS 콘솔에서 사이트 간 VPN 접속을 찾아 VPN 접속을 선택합니다.
2. 작업 메뉴를 열고 VPN 접속 수정을 선택합니다.
   VPN 접속 수정 페이지가 나타납니다.
3. 다음 세부정보를 입력합니다.
   • 대상 유형: 목록에서 고객 게이트웨이를 선택합니다.
   • 대상 고객 게이트웨이 ID: 목록에서 OCI VPN IP 주소가 포함된 새 고객 게이트웨이를 선택합니다.
4. 완료되면 저장을 눌러 구성을 저장합니다. 몇 분 후 AWS는 VPN 연결 프로비저닝을 완료하고 AWS와 OCI 간의 IPSec VPN이 시작됩니다.
5. 이때 임시 고객 게이트웨이를 삭제할 수 있습니다.

접속 검증

OCI의 IPSec 연결 및 AWS의 사이트 간 VPN 연결을 찾아 터널 상태를 확인합니다.

• IPSec 접속 아래의 OCI 터널에 IPSec 상태가 작동 중으로 표시되어 작동 중인 터널을 확인합니다.
• IPv4 BGP 상태에도 위로가 표시되어 설정된 BGP 세션을 나타냅니다.
• AWS의 사이트 간 VPN 접속에 대한 터널 세부정보 탭의 터널 상태에 작동이 표시됩니다.

관리 게이트웨이 및 에이전트 설치

사이트 간 VPN 환경에 에이전트 및 게이트웨이를 설치할 구조에 대해 알아보려면 "관리 게이트웨이를 사용하여 온프레미스 관찰성 데이터 업로드 보안"을 참조하십시오("자세히 탐색" 참조).

Management Gateway 설치

다음으로 Management Gateway를 설치해야 합니다. 관리 게이트웨이는 공용 서브넷이 아닌 IPSec VPN 터널을 통해 OCI 서비스와 통신할 수 있어야 합니다. 이 작업은 본 문서의 범위를 벗어나므로 자세한 단계는 "관리 게이트웨이 설치"를 참조하십시오("자세히 탐색" 참조).

Management Agent 설치

먼저 Management Agent를 설치해야 합니다. 이 작업은 이 문서의 범위를 벗어나므로 자세한 단계는 "Management Agent 설치"를 참조하십시오("자세히 탐색" 참조).

서비스 플러그인 배치

Management Agent를 사용하면 다양한 OCI 서비스에 대한 서비스 플러그인을 배치할 수 있습니다. 서비스 플러그인을 Management Agent에 배치하여 해당 서비스에 대한 작업을 수행할 수 있습니다. 지정된 Management Agent에는 여러 서비스 플러그인이 있을 수 있습니다.

Management Agent에 다음 플러그인을 배치합니다.

• 데이터베이스 관리 및 운영 통찰력
• 로깅 분석
• Ops Insights 호스트 서비스
• 스택 모니터링

에이전트에 서비스 플러그인 배치

Install Management Agent에 설명된 대로 Management Agent가 이미 설치된 경우 이 방법을 사용합니다.

플러그인을 배치하려면 다음을 수행합니다.

1. 왼쪽 메뉴에서 에이전트를 눌러 [에이전트] 페이지를 엽니다.
2. 에이전트 목록에서 플러그인을 배치할 원하는 에이전트를 누릅니다. 에이전트 세부 정보 페이지가 표시됩니다.
3. 플러그인 배치를 누릅니다. 플러그인 배치 창이 나타납니다. 플러그인을 선택하고 갱신을 누릅니다. 선택한 플러그인이 원하는 에이전트에 배치됩니다.
4. 에이전트 홈 페이지에서 에이전트 및 플러그인의 상태를 확인합니다.