2.3. AWS VPN 구성
이 샘플 프로세스는 고객의 현장 하드웨어 VPN 장치를 사용하도록 AWS 클러스터에서 AWS(Amazon Web Services) Red Hat OpenShift Service를 구성합니다.
AWS VPN은 현재 VPN 트래픽에 NAT를 적용하는 관리형 옵션을 제공하지 않습니다. 자세한 내용은 AWS Knowledge Center 에서 참조하십시오.
개인 연결을 통해 모든 트래픽(예: 0.0.0.0/0
)을 라우팅하는 것은 지원되지 않습니다. 이를 위해서는 SRE 관리 트래픽을 비활성화하는 인터넷 게이트웨이를 삭제해야 합니다.
하드웨어 VPN 장치를 사용하여 AWS VPC를 원격 네트워크에 연결하는 방법에 대한 자세한 내용은 Amazon VPC VPN 연결 설명서를 참조하십시오.
2.3.1. VPN 연결 생성
다음 절차에 따라 고객의 현장 하드웨어 VPN 장치를 사용하도록 AWS 클러스터에서 AWS(Amazon Web Services) Red Hat OpenShift Service를 구성할 수 있습니다.
사전 요구 사항
- 하드웨어 VPN 게이트웨이 장치 모델 및 소프트웨어 버전 (예: Cisco ASA 버전 8.3을 실행함) AWS에서 게이트웨이 장치를 지원하는지 확인하려면 Amazon VPC 네트워크 관리자 가이드를 참조하십시오.
- VPN 게이트웨이 장치의 공용 고정 IP 주소입니다.
- BGP 또는 정적 라우팅: BGP인 경우 ASN이 필요합니다. 정적 라우팅인 경우 하나 이상의 정적 경로를 구성해야 합니다.
- 선택 사항: VPN 연결을 테스트하기 위한 연결 서비스의 IP 및 포트/프로토어입니다.
2.3.1.1. VPN 연결 구성
절차
- AWS 계정 대시보드에서 Red Hat OpenShift Service에 로그인하고 VPC 대시보드로 이동합니다.
- VPC를 클릭하고 AWS 클러스터의 Red Hat OpenShift Service가 포함된 VPC의 이름과 VPC ID를 식별합니다.
- VPC 대시보드에서 Customer Gateway 를 클릭합니다.
- Create Customer Gateway 를 클릭하고 의미 있는 이름을 지정합니다.
- 라우팅 방법( Dynamic 또는 Static )을 선택합니다.
- Dynamic인 경우 표시되는 필드에 BGP ASN을 입력합니다.
- VPN 게이트웨이 끝점 IP 주소에 붙여넣습니다.
- 생성을 클릭합니다.
의도한 VPC에 가상 프라이빗 게이트웨이가 아직 연결되어 있지 않은 경우:
- VPC 대시보드에서 Virtual Private Gateway 를 클릭합니다.
- 가상 프라이빗 게이트웨이 만들기 를 클릭하고 의미 있는 이름을 지정한 다음 생성을 클릭합니다.
- 기본 Amazon 기본값 ASN을 그대로 둡니다.
- 새로 생성된 게이트웨이를 선택하고 VPC에 연결한 다음 이전에 확인한 클러스터 VPC에 연결합니다.
2.3.1.2. VPN 연결 설정
절차
- VPC 대시보드에서 사이트 간 VPN 연결을 클릭합니다.
VPN 연결 생성을 클릭합니다.
- 의미 있는 이름 태그를 지정합니다.
- 이전에 만든 가상 개인 게이트웨이를 선택합니다.
- Customer Gateway에 대해 Existing 을 선택합니다.
- 이름으로 고객 게이트웨이 장치를 선택합니다.
- VPN에서 BGP를 사용하는 경우 Dynamic 을 선택하고, 그렇지 않으면 Static 을 선택합니다. 고정 IP CIDR을 입력합니다. CIDR이 여러 개인 경우 각 CIDR을 Another Rule 으로 추가합니다.
- 생성을 클릭합니다.
- VPN 상태가 사용 가능 으로 변경될 때까지 약 5분에서 10분 정도 기다립니다.
방금 만든 VPN을 선택하고 구성 다운로드를 클릭합니다.
- 드롭다운 목록에서 고객 게이트웨이 장치의 공급 업체, 플랫폼 및 버전을 선택한 다음 다운로드를 클릭합니다.
- 일반 공급 업체 구성은 일반 텍스트 형식으로 정보를 검색하는 데도 사용할 수 있습니다.
VPN 연결이 설정된 후 Route Propagation을 설정하거나 VPN이 예상대로 작동하지 않을 수 있습니다.
구성에 추가해야 하는 VPC 서브넷 정보를 원격 네트워크로 기록해 둡니다.
2.3.1.3. VPN 경로 전파 활성화
VPN 연결을 설정한 후에는 필요한 경로가 VPC의 경로 테이블에 추가되도록 경로 전파가 활성화되어 있는지 확인해야 합니다.
절차
- VPC 대시보드에서 경로 테이블을 클릭합니다.
AWS 클러스터에서 Red Hat OpenShift Service가 포함된 VPC와 연결된 프라이빗 경로 테이블을 선택합니다.
참고일부 클러스터에서는 특정 VPC에 대해 둘 이상의 라우팅 테이블이 있을 수 있습니다. 명시적으로 연결된 서브넷이 여러 개인 개인을 선택합니다.
- Route Propagation 탭을 클릭합니다.
표시되는 표에는 이전에 만든 가상 개인 게이트웨이가 표시되어야 합니다. Propagate 열의 값을 확인합니다.
- Propagate가 No 로 설정된 경우 경로 전파 편집 을 클릭하고 가상 개인 게이트웨이 이름 옆에 있는 Propagate 확인란을 선택한 다음 저장 을 클릭합니다.
VPN 터널을 구성하고 AWS가 이를 Up 으로 탐지하면 static 또는 BGP 경로가 경로 테이블에 자동으로 추가됩니다.
2.3.2. VPN 연결 확인
VPN 터널을 설정한 후에는 터널이 AWS 콘솔에 있고 터널이 작동하는지 확인할 수 있습니다.
사전 요구 사항
- VPN 연결을 생성했습니다.
절차
터널이 AWS에 있는지 확인합니다.
- VPC 대시보드에서 VPN 연결을 클릭합니다.
- 이전에 만든 VPN 연결을 선택하고 Details 탭을 클릭합니다.
- VPN 터널 중 하나 이상이 Up 임을 확인할 수 있습니다.
연결을 확인합니다.
엔드포인트 장치에 대한 네트워크 연결을 테스트하기 위해
nc
(또는netcat
)는 문제 해결에 유용한 도구입니다. 기본 이미지에 포함되어 있으며 연결을 설정할 수 있는 경우 빠르고 명확한 출력을 제공합니다.자체 후에 정리되는
busybox
이미지를 사용하여 임시 Pod를 생성합니다.$ oc run netcat-test \ --image=busybox -i -t \ --restart=Never --rm \ -- /bin/sh
nc
를 사용하여 연결을 확인합니다.연결 결과의 예:
/ nc -zvv 192.168.1.1 8080 10.181.3.180 (10.181.3.180:8080) open sent 0, rcvd 0
실패한 연결 결과의 예:
/ nc -zvv 192.168.1.2 8080 nc: 10.181.3.180 (10.181.3.180:8081): Connection refused sent 0, rcvd 0
컨테이너를 종료하면 Pod가 자동으로 삭제됩니다.
/ exit
2.3.3. VPN 연결 문제 해결
터널이 연결되지 않음
터널 연결이 여전히 Down 이면 다음과 같은 몇 가지 사항을 확인할 수 있습니다.
- AWS 터널은 VPN 연결을 시작하지 않습니다. 연결 시도는 고객 게이트웨이에서 시작되어야 합니다.
- 소스 트래픽이 구성된 고객 게이트웨이와 동일한 IP에서 제공되는지 확인합니다. AWS는 소스 IP 주소가 일치하지 않는 게이트웨이에 대한 모든 트래픽을 자동으로 삭제합니다.
- 구성이 AWS에서 지원하는 값과 일치하는지 확인합니다. 여기에는 IKE 버전, DH 그룹, IKE 수명 등이 포함됩니다.
- VPC의 경로 테이블을 다시 확인합니다. 전파가 활성화되어 있고 이전에 대상으로 만든 가상 개인 게이트웨이가 있는 경로 테이블에 항목이 있는지 확인합니다.
- 중단을 일으킬 수 있는 방화벽 규칙이 없는지 확인합니다.
- 정책 기반 VPN을 사용하고 있는지 확인합니다. 이로 인해 구성된 방법에 따라 복잡성이 발생할 수 있습니다.
- 추가 문제 해결 단계는 AWS Knowledge Center 에서 확인할 수 있습니다.
터널은 연결되어 있지 않습니다.
터널 연결에 지속적으로 유지되는 데 문제가 있는 경우 모든 AWS 터널 연결을 게이트웨이에서 시작해야 합니다. AWS 터널 은 터널링을 시작하지 않습니다.
Red Hat은 터널 옆에 SLA 모니터(Cisco ASA) 또는 일부 장치를 IP CIDR 범위 내에 구성된 모든 IP 주소로 "중요" 트래픽(예: ping
,nc
또는 telnet
)을 지속적으로 전송하는 것을 권장합니다. 연결이 성공하든 트래픽이 터널로 전달되는지 여부는 중요하지 않습니다.
Down 상태의 보조 터널
VPN 터널이 생성되면 AWS는 추가 페일오버 터널을 생성합니다. 게이트웨이 장치에 따라 보조 터널이 Down 상태로 표시되는 경우가 있습니다.
AWS 알림은 다음과 같습니다.
You have new non-redundant VPN connections One or more of your vpn connections are not using both tunnels. This mode of operation is not highly available and we strongly recommend you configure your second tunnel. View your non-redundant VPN connections.