VPC 환경에서 이용 가능합니다.
본 가이드는 Transit VPC 기반으로 IPSec VPN을 구성하여 On-premise 네트워크와 VPC 간 통신 구성하는 방법을 설명합니다.
구성 목적은 다음과 같습니다.
- Transit VPC를 통한 IPSec VPN Gateway 구성 중앙화
- 다수 Service VPC를 VPN 설정 변경 없이 확장 가능
- 라우팅 전파(Route Propagation)를 통한 Service VPC 대역 전달
이 시나리오를 구현하기 위한 전체 순서와 각 순서별 설명은 다음과 같습니다.
1. 사전 준비
2. VPC 생성
3. 서브넷 생성
4. VGW 및 VGW Group 생성
5. Transit VPC Connect 생성
6. Endpoint Route Table 생성
7. Service VPC Route Table 설정
8. IPSec VPN Gateway 생성
9. IPsec VPN Tunnel 생성
10. 고객사 네트워크 설정 및 통신 테스트
11. 운영 시 주의사항 및 점검 가이드
1. 사전 준비
본 예제를 수행하기 위해 사전에 준비해야 할 사항은 다음과 같습니다.
- VPC, Subnet, Route-table, IPSec VPN, Virtual Private Gateway 생성 및 설정 권한
- IPSec VPN 구성 정책 검토
2. VPC 생성
네이버 클라우드 플랫폼 콘솔에서 용도에 따라 Transit 유형과 Normal 유형의 VPC를 각각 생성합니다.
시나리오상의 예시로 다음과 같이 값을 설정할 수 있습니다.
| VPC 이름 | IPv4 CIDR | VPC 유형 |
|---|---|---|
| transit-vpc | 10.0.0.0/16 | TRANSIT |
| svc-vpc | 172.16.1.0/24 | NORMAL |
참조할 수 있는 사용 가이드는 다음과 같습니다.
VPC CIDR과 On-premise CIDR은 서로 중복될 수 없습니다.
3. 서브넷 생성
생성한 Transit VPC와 Service VPC 내부에 각각 서브넷을 생성합니다.
시나리오상의 예시로 다음과 같이 값을 설정할 수 있습니다.
| Subnet 이름 | IPv4 CIDR |
|---|---|
| transit-subnet | 10.0.1.0/24 |
| svc-subnet | 172.16.1.0/24 |
참조할 수 있는 사용 가이드는 다음과 같습니다.
4. VGW 및 VGW Group 생성
생성한 Transit VPC에 외부 연결을 위해 VGW(Virtual Private Gateway) 및 VGW Group을 생성합니다.
- VGW 생성
- 생성 시 대상 VPC를 위에서 생성한 Transit VPC로 설정합니다.
- VGW Group 생성
- 생성 시 대상 VGW를 위에서 생성한 Transit VPC의 VGW로 설정합니다.
- Transit VPC에는 하나의 VGW Group만 존재합니다.
VPC는 VGW Group을 통해 외부 연결(VPN, Cloud Connect)을 구성합니다.
참조할 수 있는 사용 가이드는 다음과 같습니다.
5. Transit VPC Connect 생성
Transit VPC Connect를 통해 Normal 유형의 Service VPC들을 Transit VPC에 연결합니다.
시나리오상의 예시로 다음과 같이 값을 설정할 수 있습니다.
- Service VPC와 Transit VPC 연결
| Transit VPC Connect 이름 | Normal VPC | Transit VPC |
|---|---|---|
| transit-vpc-conn | svc-vpc | transit-vpc |
참조할 수 있는 사용 가이드는 다음과 같습니다.
6. Endpoint Route Table 생성
Transit VPC로 유입되는(Ingress) 트래픽에 대한 라우팅을 제어하기 위해 Endpoint Route Table을 생성합니다.
라우팅 테이블 생성 후 전파를 활성화하면 Service VPC CIDR이 Transit VPC로 전파되고, 이후 IPSec VPN Tunnel의 Local CIDR에 Service VPC 대역을 포함할 수 있습니다.
시나리오상의 예시로 다음과 같이 값을 설정할 수 있습니다.
| Endpoint Route Table 이름 | 대상 VPC | Endpoint 유형 | Destination | Target | 비고 |
|---|---|---|---|---|---|
| vgw-rt | transit-vpc | Virtual Private Gateway | 172.16.1.0/24 | Transit VPC Connect | |
| transit-vpc-to-svc | transit-vpc | Transit VPC Connect | 172.16.30.0/24 | Virtual Private Gateway | 라우팅 전파 활성화 |
참조할 수 있는 사용 가이드는 다음과 같습니다.
7. Service VPC Route Table 설정
Service VPC에서 On-premise 네트워크로 향하는 트래픽이 Transit VPC를 거쳐가도록 Service VPC Route Table을 생성합니다.
시나리오상의 예시로 다음과 같이 값을 설정할 수 있습니다.
| 대상 VPC | Route Table 이름 | Destination (목적지) | Target (목적지 주소) | 연관 Subnet |
|---|---|---|---|---|
| svc-vpc | svc-rt | Transit VPC Connect | 172.16.30.0/24 | svc-subnet |
참조할 수 있는 사용 가이드는 다음과 같습니다.
8. IPSec VPN Gateway 생성
Transit VPC의 VGW Group을 기반으로 IPSec VPN 게이트웨이를 생성합니다.
생성 시 IPSec VPN Gateway의 연결 대상을 기존에 생성한 Transit VPC의 VGW Group으로 선택합니다.
참조할 수 있는 사용 가이드는 다음과 같습니다.
9. IPsec VPN Tunnel 생성
고객사의 On-premise IPsec VPN 장비와 연결될 IPsec VPN Tunnel을 생성하고 통신 대역을 지정합니다.
생성 시 시나리오상의 예시로 다음과 같이 값을 설정할 수 있습니다.
| 설정 항목 | 설정 값 | 비고 |
|---|---|---|
| 대상 Gateway | ipsec-gw | 생성한 IPSec VPN Gateway 객체 |
| Peer IP | 고객사 공인 IP | On-premise VPN 장비의 공인 IP |
| Local CIDR | 10.0.0.0/16, 172.16.1.0/24 | Service VPC 대역 |
| Remote CIDR | 172.16.30.0/24 | On-premise 네트워크 대역 |
참조할 수 있는 사용 가이드는 다음과 같습니다.
10. 고객사 네트워크 설정 및 통신 테스트
고객사의 온프레미스 장비의 설정을 완료하고 실제 통신이 이루어지는지 테스트합니다.
- On-premise 라우팅 설정
- 고객사 VPN 장비에서 Service VPC 대역에 대한 경로를 IPsec VPN 터널로 지정합니다.
- 통신 테스트
- Service VPC → On-premise : Service VPC 내 서버에서 On-premise 서버로(예: (172.16.30.x) Ping 시도
- On-premise → Service VPC : On-premise 내 서버에서 Service VPC 서버로(예: 172.16.1.x) Ping 시도
11. 유형별 점검 가이드
안정적인 서비스 운영을 위해 정기적으로 설정을 점검하고, 장애 발생 시 아래 가이드를 참고하여 조치하십시오.
- 유형별 점검 가이드
| 현상 | 점검 항목 |
|---|---|
| Tunnel DOWN, 구성 오류 | VPN 장비 간 Peer IP 도달 가능 여부 |
| IPSec 구성 정책 일치 여부 | |
| On-Prem 방화벽/NAT 정책 검토 | |
| Endpoint Route Table 라우팅 전파 활성화 | |
| Tunnel UP, 통신 불가 | CIDR 중복 여부 |
| Service VPC Route table 적용 | |
| Endpoint Route Table 적용 | |
| On-Prem 라우팅 설정 | |
| ACG / NACL 정책 |