Login
      내용 x
      시나리오 3. Public과 IPsec VPN 연결 Subnet
        • 인쇄
        • PDF
        내용

        시나리오 3. Public과 IPsec VPN 연결 Subnet

          • 인쇄
          • PDF
          Article Summary

          VPC 환경에서 이용 가능합니다.

          아키텍쳐

          이 시나리오의 구성에는 Public Subnet 및 VPN-Only Subnet이 있는 Virtual Private Cloud(VPC)와,
          IPsec VPN 터널을 통해 고객사의 네트워크와 통신하기 위한 가상 IPsec VPN Gateway가 포함됩니다.

          Network-VPC_Senario_05_vpc_en

          1. VPC

          • IPv4 CIDR 블록의 크기가 /16(예: 10.0.0.0/16)으로 제공되며 65,536개의 주소 공간을 제공합니다.

          2. Public Subnet

          • Subnet 크기가 최대 /24(예: 10.0.0.0/24)으로 제공되며 256개의 주소 공간을 제공합니다.

            • Public Subnet내의 서버는 인터넷과 연결이 필요한 서버입니다.(공인 IP를 하나씩 보유)

          3. Private Subnet

          • Subnet 크기가 최대 /24(예: 10.0.0.0/24)으로 제공되며 256개의 주소 공간을 제공합니다.
            • Private Subnet 내의 서버는 인터넷 연결이 필요 없으며 고객 사업장과 연결이 필요한 서버의 집합입니다.

          4. Internet Gateway

          • VPC를 인터넷 및 다양한 네이버 클라우드 플랫폼의 서비스에 연결합니다.

          5. IPsec VPN

          • 고객사 네트워크 사이의 VPN 연결을 지원합니다.

          6. 라우팅 테이블

          • Public Subnet : 서버가 VPC 내의 다른 인스턴스와 통신할 수 있게 하는 항목(local)과 인터넷과 직접 통신할 수 있게 하는 항목(IQW-ID)이 저장됩니다.

          • VPN-Only Subnet : 서버가 VPC의 다른 인스턴스와 통신할 수 있게 하는 항목(local)과, IPsec VPN Gateway를 통해 고객의 네트워크와 통신할 수 있게 하는 항목이 저장됩니다.

          라우팅

          라우팅 정보는 아래와 같습니다.

          • Public Subnet

          vpc-11-2

          • Private Subnet

          vpc-11-3

          보안

          보안을 위해 ACG와 Network ACL을 제공합니다. ACG는 서버의 Inbound/ Outbound 트래픽을 제어하고, Network ACL은 Subnet의 Inbound/Outbound 의 트레픽을 제어합니다. 본 시나리오에서 ACG와 Network ACL은 아래와 같이 구성하는 것을 권장합니다.

          • Public Subnet : Inbound
          우선순위프로토콜접근 소스포트허용 여부메모
          1TCP0.0.0.0/080허용Inbound HTTP 트래픽 허용
          2TCP0.0.0.0/0443허용Inbound HTTPS 트래픽 허용
          3TCP접속자 IP22허용접속자 IP로부터 SSH 트래픽 허용(인터넷 게이트웨이를 통해)
          4TCP접속자 IP3389허용접속자 IP로부터 RDP 트래픽 허용(인터넷 게이트웨이를 통해)
          5TCP0.0.0.0/032768-65535허용Subnet에서 발신되는 요청에 대한 Inbound 리턴 트래픽 허용(표시된 IP 및 포트는 예시이므로 구성에 맞는 설정을 진행하시기 바랍니다)
          197TCP0.0.0.0/01-65535거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          198UDP0.0.0.0/01-65535거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          199ICMP0.0.0.0/0-거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          • Public Subnet : Outbound
          우선순위프로토콜접근 소스포트허용 여부메모
          1TCP0.0.0.0/080허용인터넷 Outbound HTTP 트래픽 허용
          2TCP0.0.0.0/0443허용인터넷 Outbound HTTPS 트래픽 허용
          3TCP0.0.0.0/032768-65535허용인터넷에서 클라이언트에 대한 Outbound 응답을 허용(표시된 IP 및 포트는 예시이므로 구성에 맞는 설정을 진행하시기 바랍니다)
          4TCPPrivate 서버 Private IPPrivate 서버 포트(예: DB)허용Private 서버와 통신을 하기 위한 트래픽 허용
          197TCP0.0.0.0/01-65535거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          198UDP0.0.0.0/01-65535거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          199ICMP0.0.0.0/0-거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          • Private Subnet : Inbound
          우선순위프로토콜접근 소스포트허용 여부메모
          1TCPPublic Subnet 서버의 비공인 IPPrivate 서버 포트(예: DB포트)허용Public 서버와 통신을 하기 위한 트래픽 허용
          2TCPOn-premise 시스템의 비공인IPOn-premise 시스템 통신포트허용On-premise 시스템과 통신하기 위한 트래픽 허용
          197TCP0.0.0.0/01-65535거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          198UDP0.0.0.0/01-65535거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          199ICMP0.0.0.0/0-거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          • Private Subnet : Outbound
          우선순위프로토콜접근 소스포트허용 여부메모
          1TCPPublic Subnet 서버의 비공인 IP32768-65535허용Public서버에서 Private 서버에 대한 Outbound 응답을 허용(표시된 IP 및 포트는 예시이므로 구성에 맞는 설정을 진행 바랍니다)
          2TCPOn-premise 시스템의 비공인IPOn-premise 시스템 통신포트허용On-premise 시스템과 통신하기 위한 트래픽 허용
          197TCP0.0.0.0/01-65535거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          198UDP0.0.0.0/01-65535거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨
          199ICMP0.0.0.0/0-거부위 규칙 외의 나머지 규칙은 모두 트래픽이 거부됨

          시나리오 구현

          Step 1. VPC 생성

          VPC를 생성합니다.

          (1) 콘솔 > VPC > VPC Management로 이동해 주십시오.

          (2) 화면 상단 [VPC 생성] 버튼을 클릭한 후, VPC 이름과 IP 주소 범위를 입력해 주십시오.

          • IP 주소 범위는 추후 수정이 불가하므로 신중하게 지정해 주십시오.

          Step 2. Subnet 생성

          Subnet을 생성합니다.

          (1) 콘솔 > VPC > Subnet Management로 이동해 주십시오.

          (2) 화면 상단 [Subnet 생성] 버튼을 클릭한 후 정보를 입력해 주십시오.

          • Subnet 이름 : 목적에 맞는 Subnet명을 입력해 주십시오.

          • VPC : Subnet을 배치시킬 vpc를 선택해 주십시오.

          • IP주소 범위 : VPC의 주소 범위 내에서 Subnet 주소 범위를 일부 할당해 주십시오.

          • 가용Zone : Subnet이 배치될 물리적인 가용 Zone을 선택해 주십시오.

            • 현재는 Single Zone으로 운영중입니다. 추가 Zone도 준비중이오니 양해바랍니다.

          • Network ACL : 기본적으로 Default ACL 룰을 제공합니다. 사전에 네트워크 구성 요건에 맞춰 Network ACL을 구성하면 보안을 더욱 강화할 수 있습니다.

          • Internet Gateway 전용 여부 : 사용하고자 하는 Subnet 특성을 고려하여 Public Subnet을 사용할 경우는 Y를, Private Subnet을 사용할 경우는 N을 선택합니다.

            • Public Subnet 내에서 생성한 서버는 공인 IP를 할당할 수 있으며, 인터넷 통신이 가능합니다.

            • 이 시나리오를 구현하기 위해서는 Public, Private Subnet을 각각 생성해 주십시오.

          Step 3. Network ACL 설정

          Network ACL을 설정합니다.

          (1) 콘솔 > VPC > Network ACL로 이동해 주십시오.

          (2) [Network ACL 생성] 버튼을 누른 후 정보를 입력해 주십시오.

          • Network ACL 이름 : ACL의 목적을 고려하여 이름을 입력해 주십시오.

          • VPC : 생성하고자 하는 Network ACL이 적용될 VPC를 선택해 주십시오.

          (3) Rule 설정을 통해 Network ACL의 Inbound와 Outbound 규칙을 수정할 수 있습니다. 본 시나리오의 보안에서 권장하는 룰을 입력해 주십시오.

          Step 4. Route Table 설정

          Route Table을 설정합니다.

          (1) 콘솔 > VPC > Route Table로 이동해 주십시오.

          (2) [Route Table 생성] 버튼을 누른 후 정보를 입력해 주십시오.

          • Route Table 이름 : 사용하길 원하는 Route Table의 이름을 입력해 주십시오.

          • VPC : Route Table은 Subnet 단위로 적용됩니다. 적용하실 Subnet이 있는 VPC를 입력해 주십시오.

          • Subnet 지원 유형 : Internet Gateway가 연결되는 Subnet에 적용되는 Route Table 이라면 공인을 선택하며 그렇지 않은 경우 사설을 선택해 주십시오.

          (3) 연관 Subnet 설정 을 통해 해당 Route Table이 적용될 Subnet을 선택할 수 있습니다.

          (4) Route 설정을 통해 라우팅 테이블을 설정할 수 있습니다. 본 시나리오에서 위 설정이 자동으로 반영 됩니다.

          Step 5. Virtual Private Gateway 생성

          Virtual Private Gateway를 생성합니다.

          (1) 콘솔 > Networking > Virtual Private Gateway로 이동해 주십시오.

          (2) [Virtual Private Gateway 생성] 버튼을 누른 후 해당하는 정보를 입력해 주십시오.

          • Virtual Private Gateway 이름 : 목적에 맞는 Virtual Private Gateway 이름을 입력해 주십시오.

          • VPC : 생성하고자 하는 Virtual Private Gateway가 적용될 VPC를 선택해 주십시오.

            • 생성한 Virtual Private Gateway는 IPsec VPN을 연결할 접점이 됩니다.

          Step 6. Managed IPsec VPN 설정

          Managed IPsec VPN을 설정합니다.

          (1) 콘솔 > Networking > Managed IPsec VPN으로 이동해 주십시오.

          (2) [Managed IPsec VPN 생성] 버튼을 누른 후 해당하는 정보를 입력해 주십시오.

          • Managed IPsec VPN 이름 : 목적에 맞는 Managed IPsec VPN 이름을 입력해 주십시오.

          • VPC : 생성한 Managed IPsec VPN이 연결될 VPC를 선택해 주십시오.

          • Virtual Private Gateway : 앞서 생성한 Virtual Private Gateway를 선택해 주십시오. 선택한 VPC내에 위치한 Virtual Private Gateway에 한하여 원하는 항목을 선택할 수 있습니다.

          Step 7. Route Table 설정

          Route Table을 설정합니다.

          (1) 콘솔 > VPC > Route Table로 이동해 주십시오.

          (2) 앞서 생성한 사설 Subnet과 연관된 Route Table을 선택하고 [Route 설정] 버튼을 누른 후 해당하는 정보를 입력해 주십시오.

          • Destination : 통신할 대상 네트워크의 주소형태를 CIDR 형태로 입력해 주십시오.

            • 인터넷 전체에 대한 통신이 필요할 경우 “0.0.0.0/0” 이 됩니다.

          • Target Type : 트래픽이 전달될 대상을 선택해 주십시오.

            • 이 시나리오에서는 “VGW”가 됩니다.

          • Target Name : 생성한 VGW를 선택해 주십시오.

          (3) 연관 Subnet 설정을 통해 해당 Route Table이 적용될 Subnet을 추가할 수 있습니다.

          이 문서가 도움이 되었습니까?
          What's Next
          Change password!
          Changing your password will log you out immediately. Use the new password to log back in.
          Change profile
          Success!
          First name must have atleast 2 characters. Numbers and special characters are not allowed.
          Last name must have atleast 1 characters. Numbers and special characters are not allowed.
          Enter a valid email
          Enter a valid password
          Your profile has been successfully updated.
          Logout