1. VPN을 사용하여 온프레미스 네트워크 연결
  2. VPN을 사용하여 온프레미스 네트워크 연결

VPN을 사용하여 온프레미스 네트워크 연결

Oracle Cloud Infrastructure VCN(가상 클라우드 네트워크) 는 전용 IP 주소, 서브넷, 라우터 및 방화벽을 제어할 수 있는 기존 네트워크의 가상 계층 3버전입니다. 단일 테넌시에는 여러 Vcn이 분리되거나 결합될 수 있습니다.

VPN(가상 사설망) 연결을 사용하여 VCN를 온프레미스 네트워크의 확장으로 만들 수 있습니다. 이 용도로 Oracle Cloud Infrastructure 는 IPSec VPN 인 VPN Connect를 제공합니다.

VPN을 사용하여 온프레미스 네트워크를 확장하면 다음과 같은 이점이 있습니다.

  • 전용 라인이 필요하지 않은 경우 공용 인터넷 라인을 사용할 수 있습니다.

  • 관련된 IP 주소 공간은 전용이며 외부 환경에 노출되지 않습니다.

  • 네트워크 간의 통신은 암호화됩니다.

  • 사이트 간 VPN을 통해 여러 사용자가 다중 접속 대신 단일 접속을 통해 클라우드 리소스에 액세스하여 관리 오버헤드를 줄일 수 있습니다.

구조

이 참조 아키텍처는 온프레미스 네트워크 및 VCN를 연결하기 위해 VPC 연결을 설정하는 방법을 보여 줍니다.

다음 다이어그램은 이 구조를 보여줍니다.

다음은 vpn-redundancy. eps에 대한 설명입니다.
Vpn-redundancy. eps에 대한 설명
이 구조에는 다음과 같은 구성 요소가 있습니다.
  • 온프레미스 네트워크

    조직에서 사용하는 로컬 네트워크입니다.

  • VCN

    Oracle 데이터 센터에서 설정한 가상 전용 네트워크입니다.

  • 서브넷

    VCN 내에서 정의하는 세분화입니다. 서브넷에 VCN의 다른 서브넷과 겹치지 않는 연속적인 IP 주소 범위가 있습니다.

  • 보안 목록

    서브넷에서 허용되는 소스, 대상 및 트래픽 유형을 지정하는 보안 규칙입니다.

  • 경로 테이블

    VCN에서 트래픽 아웃을 위한 매핑을 제공하는 경로 지정 규칙입니다.

  • 동적 경로 지정 게이트웨이(DRG)

    VCN에 추가하여 VCN와 온프레미스 네트워크(전송 경로 지정) 간의 개인 네트워크 트래픽 경로를 제공할 수 있는 가상 라우터입니다.

  • VPN 접속

    테넌시에 대한 IPSec VPN 연결을 관리하는 함수입니다.

  • CPE(Customer-premises equipment)

    온프레미스 네트워크에 있는 네트워크 자산을 나타내고 VPN 연결을 설정하는 객체입니다. 대부분의 경계 방화벽은 CPE 역할을 하지만 어플라이언스 또는 서버와 같은 별도의 장치는 CPE가 될 수 있습니다.

  • IPv4 및 IPv6

    네트워크에 사용되는 주소 체계입니다. IPv6는 US Government Cloud에서만 지원됩니다.

  • IPSec(Internet Protocol Security)

    패킷이 소스에서 대상으로 전송되기 전에 IP 트래픽을 암호화하는 프로토콜 제품군입니다.

  • 터널

    CPE와 Oracle Cloud Infrastructure 간 각 연결입니다.

  • BGP(Border Gateway Protocol) 경로 지정

    동적으로 경로를 확인할 수 있도록 허용합니다. DRG는 온프레미스 네트워크의 경로를 동적으로 인식합니다. Oracle 측에서 DRG는 VCN의 서브넷을 알립니다.

  • 정적 경로 지정

    VPN 접속을 생성할 때 각 측의 기존 네트워크에 대해 알립니다. 변경사항은 동적으로 확인되지 않습니다.

권장 사항

요구 사항이 여기에 설명된 아키텍처와 다를 수 있습니다. 다음 권장 사항을 시작점으로 사용합니다.

  • VCN

    VCN를 만들 때 각 서브넷에서 필요한 클라우드 리소스의 IP 주소 수를 결정합니다. CIDR(Classless Inter-Domain Routing) 표기법을 사용하여 서브넷 마스크 및 네트워크 주소 범위를 필요한 IP 주소에 충분히 크게 지정합니다. 표준 전용 IP 주소 블록에 속하는 주소 공간을 사용합니다.

    나중에 VCN와 온프레미스 네트워크 간의 연결을 설정해야 하는 경우 온프레미스 네트워크와 겹치지 않는 주소 범위를 선택하십시오.

    VCN를 생성한 후에는 주소 범위를 변경할 수 없습니다.

    서브넷을 설계할 때 기능 및 보안 요구사항을 고려합니다. 동일한 계층 또는 롤 내의 모든 컴퓨트 인스턴스는 보안 경계가 될 수 있는 동일한 서브넷에 속해야 합니다.

  • 보안 목록

    보안 목록을 사용하여 전체 서브넷에 적용되는 수신 및 송신 규칙을 정의할 수 있습니다.

    CPE에서 올바른 액세스 권한 집합을 정의합니다. 액세스 목록과 같은 CPE에서 권한 이름이 다를 수 있습니다.

  • CPE

    일부 Cpe에는 CheckPoint 및 Cisco ASA 방화벽의 정책 기반 라우팅과 같이 작동할 수 있는 일부 기능에 대한 특정 요구사항이 있습니다. CPE의 소프트웨어 버전이 해당 요구사항을 충족하는지 확인하십시오.

고려 사항

  • 비용

    Vcn, 서브넷, DRGs, 보안 목록 및 경로 테이블에 추가 비용이 없습니다. 배치에서 VM(테스트 가상 시스템) 은 사용 가능한 계층 구성을 사용하도록 설정됩니다. 사용 가능한 계층 인스턴스를 사용하는 경우 테스트 VM을 일반 구성 인스턴스로 설정합니다.

  • 보안

    기본 보안 목록에는 SSH 포트가 0.0.0.0/0으로 열려 있습니다. 기반 구조에 대한 SSH 액세스 권한이 있어야 하는 호스트와 네트워크만 일치하도록 보안 목록을 조정합니다.

    이 배치는 모든 구성요소를 동일한 구획에 배치합니다.

    배포된 서브넷은 VPN이 작동할 때까지 인터넷에서 테스트 인스턴스에 액세스할 수 있도록 공개됩니다. Vm이 공용 서비스를 제공하지 않는 경우 리소스 제거나 전체 공용 서브넷을 고려해 보십시오.

  • 확장성

    각 테넌시에는 5개 Drg의 제한이 있습니다.

    각 영역에는 네 개의 VPN 접속이 있을 수 있습니다.

  • 성능

    각 연결은 250개의 Mbps에 도달할 수 있습니다.

    DRG 최대 처리량은 10Gbps입니다.

    VPN 접속은 공용 인터넷 라인을 사용하므로 외부 작업자는 해당 선의 성능에 영향을 줄 수 있습니다.

  • 가용성 및 중복

    Drg는 중복되며 자동으로 페일오버됩니다.

    각 접속에는 여러 터널이 있을 수 있습니다.

    운용 환경에서 다른 제공자와의 여러 인터넷 링크를 사용하는 것이 좋습니다.

  • 사용성

    이 배치는 다이어그램에 표시된 모든 구성요소를 제공합니다. CPE의 공용 IP 주소를 알려야 합니다.

    포함된 VM은 기본 연결을 보여주고 테스트합니다.

추가 정보

VPN 접속 개요