동적 Border Gateway Protocol(BGP)을 사용하여 AWS와 Oracle Cloud Infrastructure(OCI) 간에 가상 프라이빗 네트워크(VPN) 터널을 구성하고 싶습니다.
해결 방법
AWS와 OCI 간에 AWS Site-to-Site VPN 터널을 구성하려면 다음 단계를 따르세요.
- OCI 측에서는 가상 클라우드 네트워크(VCN), 서브넷, 보안 목록 및 규칙을 구성합니다.
- AWS 측에서는 Amazon Virtual Private Cloud(Amazon VPC), 서브넷 및 라우팅을 구성합니다.
AWS 구성
- Amazon VPC 콘솔을 연 다음, 고객 게이트웨이를 생성합니다. OCI VPN 게이트웨이의 IP 주소를 아직 모르기 때문에 원하는 세부 정보를 추가할 수 있습니다. 나중에 올바른 고객 게이트웨이 IP 주소와 Autonomous System Number(ASN)를 지정할 수 있습니다.
**참고:**AWS를 사용하여 고객 게이트웨이를 생성해야 합니다. Amazon VPC 콘솔에서는 고객 게이트웨이를 구성한 후 이를 변경할 수 있지만 OCI는 그렇지 않습니다.
- Amazon VPC 콘솔을 열고 가상 프라이빗 게이트웨이를 생성한 다음, Amazon VPC에 연결합니다.
- VPN 연결을 생성합니다. 가상 프라이빗 게이트웨이의 경우, 생성한 가상 프라이빗 게이트웨이의 이름을 선택합니다. 고객 게이트웨이 ID에서 생성한 고객 게이트웨이의 ID를 선택합니다. 라우팅 옵션에서 **동적(BGP 필요)**을 선택합니다. (선택 사항) 터널 1의 고급 옵션에서 고급 암호화 알고리즘을 켜세요.
중요:****사전 공유 키에 문자와 숫자만 포함되어 있는지 확인하세요. OCI는 특정 문자를 지원하지 않으며 AWS는 사전 공유 키의 공백 사용을 지원하지 않습니다. 문자와 숫자만 포함되도록 사전 공유 키를 직접 입력할 수도 있습니다.
- 일반 Site-to-Site VPN 구성 파일을 다운로드합니다. 이 파일의 정보를 사용하여 OCI 콘솔에서 VPN 터널을 설정합니다.
OCI 구성
- Oracle Cloud 콘솔을 엽니다.
- Oracle 웹 사이트의 지침을 사용하여 고객 프레미스 장비를 생성하세요. 탐색 창에서 네트워킹을 선택한 다음, 고객 프레미스 장비를 선택합니다.
- 퍼블릭 IP 주소의 경우 다운로드한 구성 파일의 터널 A 외부 IP 주소를 입력합니다.
- 동적 라우팅 게이트웨이를 선택한 다음, 동적 라우팅 게이트웨이를 생성합니다. 동적 라우팅 게이트웨이를 VCN에 연결합니다. Oracle Cloud 콘솔에서 VCN을 생성하거나 기존 VCN에 연결할 수 있습니다. VCN을 찾으려면 탐색 창에서 네트워킹을 선택합니다. 그런 다음, 가상 클라우드 네트워크를 선택합니다.
- Oracle Cloud 콘솔에서 Site-to-Site VPN 연결을 생성합니다. 생성한 고객 프레미스 장비 및 동적 라우팅 게이트웨이의 세부 정보를 입력합니다.
중요:****IPSec 연결 생성을 선택하기 전에 Tunnel1 및 Tunnel2 설정을 구성해야 합니다. 고급 옵션 표시를 선택하고 다운로드한 구성 파일의 사전 공유 키와 BGP 세부 정보를 입력합니다. Tunnel2의 경우 OCI로 두 번째 터널을 구성할 수 없으므로 모든 정보를 제공하세요. 라우팅 유형을 BGP로 설정합니다.
- OCI 측에서 Site-to-Site VPN을 생성한 후 AWS-Tunnel1의 퍼블릭 IP 주소를 볼 수 있습니다. 다음 단계에서 사용할 IP 주소를 기록해 두세요.
Amazon VPC 콘솔에서 VPN 게이트웨이를 구성합니다.
- Amazon VPC 콘솔을 연 다음, 고객 게이트웨이를 생성합니다.IP 주소에는 AWS-Tunnel1의 IP 주소를 입력합니다. BGP ASN의 경우 31898을 입력합니다. 동적 라우팅 게이트웨이의 기본 BGP ASN입니다.
- Site-to-Site VPN 연결로 이동합니다. 작업을 선택한 다음, VPN 연결 수정을 선택합니다. 고객 게이트웨이의 대상 유형을 업데이트한 다음, 고객 게이트웨이를 선택합니다.
**참고:**AWS에서 Site-to-Site VPN 연결을 수정하고 업데이트하는 데 몇 분 정도 걸립니다.
터널 상태가 UP인지 확인하고 연결을 테스트합니다.
- AWS에서 Site-to-Site VPN 연결 수정을 완료한 후 터널과 BGP가 UP 상태인지 확인합니다. AWS 측과 OCI 측에서 모두 이를 확인해야 합니다. 또한 라우팅이 올바른지 확인하세요. 터널이 가동되면 두 클라우드는 모두 기본적으로 트래픽 흐름을 허용하지 않습니다.
- Oracle Cloud 콘솔에서 보안 목록 및 네트워크 보안 그룹을 구성하여 OCI와 AWS 간에 트래픽이 흐르도록 허용합니다.
- Amazon VPC 콘솔에서 AWS와 OCI 간에 트래픽이 흐르도록 연결과 관련된 네트워크 ACL 및 보안 그룹을 구성합니다.
- 양방향 연결 테스트를 수행하여 OCI와 AWS 간의 터널 연결을 확인합니다. AWS에서 OCI로, OCI에서 AWS로 핑 테스트를 반드시 수행하세요.
AWS와 OCI 간의 중복 VPN 연결을 구성합니다.
하나의 온프레미스 IP 주소(고객 게이트웨이 IP 주소)만 사용하여 AWS 및 OCI Site-to-Site VPN 서비스를 모두 구성할 수 있습니다. 이전 단계를 모두 반복하여 두 번째 Site-to-Site VPN 연결을 생성해야 합니다. 터널 하나가 다운될 경우 BGP 라우팅이 자동으로 두 번째 터널을 통해 라우팅되도록 하나의 활성 터널과 하나의 중복 터널을 사용합니다.