VPN 서버에 대한 계획 고려 사항
클라이언트 대 사이트 VPN 서버를 작성하기 전에 다음 고려사항을 검토하십시오.
스케일링 고려사항
집계 대역폭은 독립형 VPN의 경우 600Mbps이고 고가용성 VPN 서버의 경우 1200Mbps입니다. 최대 활성 클라이언트 수는 2000입니다. 더 많은 대역폭이 필요하거나 VPN 서버와 연결해야 하는 더 많은 클라이언트가 필요한 경우 동일한 VPC 또는 다른 지역의 서로 다른 VPC에 여러 VPN 서버를 작성할 수 있습니다.
기존 VPC 구성 고려사항
클라이언트에서 서비스 엔드포인트 및 IaaS 엔드포인트에 액세스해야 하는지 여부를 결정하십시오. 이 엔드포인트는 IBM Cloud 사설 네트워크를 통해 IBM Cloud 서비스에 안전하게 연결됩니다. 이러한 엔드포인트에 액세스해야 하는 경우 VPN 서버를 프로비저닝할 때 DNS 서버 주소 161.26.0.10 및 161.26.0.11을 지정해야 합니다. 자세한 내용은 서비스 엔드포인트 및 IaaS 엔드포인트를 참조하십시오.
또한 클라이언트에서 개인 DNS 이름을 분석해야 하는지 여부를 결정해야 합니다. IBM Cloud DNS Services에서는 VPC 사용자에게 개인용 DNS를 제공합니다. 이러한 엔드포인트에 액세스해야 하는 경우 VPN 서버를 프로비저닝할 때 DNS 서버 주소 161.26.0.7 및 161.26.0.8을 지정해야 합니다. 자세한 내용은 DNS 서비스 정보를
참조하십시오.
이 DNS 서버를 지정하는 경우 대상 161.26.0.0/16 및 translate 조치를 사용하여 VPN 서버가 프로비저닝된 후에 VPN 라우트도 작성해야 합니다.
VPN 서버 프로비저닝 고려사항
VPN 서버를 프로비저닝할 때 다음을 고려하십시오.
클라이언트 IPv4 주소 풀
VPN 서버를 작성하면 클라이언트 IPv4 주소 풀(CIDR 범위)에 대한 프롬프트가 표시됩니다. 클라이언트에는 이 주소 풀에서 세션에 대한 IP 주소가 지정됩니다. 클라이언트 IP 풀 특성이 VPC 주소 접두부와 겹치지 않아야 합니다. 클라이언트 IP풀이 기존 주소 접두부와 겹치는 경우 VPN 서비스는 클라이언트 IP 주소를 유효성 검증합니다.
다음 요구사항을 검토하십시오.
- 각 활성 VPN 클라이언트에는 구성 가능한 IP 풀에서 IP 주소가 할당됩니다. IP CIDR 범위를 신중하게 선택하여 VPC 접두부 및 개인용 디바이스 로컬 CIDR과 겹치지 않도록 해야 합니다.
- 유스 케이스에 따라, 클라이언트 IP 풀은 고객의 로컬 디바이스 IP 주소와 겹칠 수 없습니다. 또한 클라이언트 IP 풀은 대상 네트워크와 겹칠 수 없습니다. 예를 들어, VPN 서버가 IBM Cloud 클래식 네트워크에 액세스하는 데 사용되는 경우 클라이언트 IP는 IBM Cloud 클래식 네트워크와 겹칠 수 없습니다.
- 블록 크기가 최소
/22(1024개의 사용 가능한 IP 주소)인지 확인해야 합니다. 최대 동시 연결 수를 사용으로 설정하는 데 필요한 IP 주소 수의 두 배를 포함하는 CIDR 블록을 사용하는 것이 좋습니다.
서브넷: 고가용성 대 독립형 모드
VPN 서버를 작성하는 경우 고가용성 또는 독립형 모드를 지정할 수 있습니다.
- 고가용성 모드를 선택하면 다른 구역의 두 서브넷에 VPN 서버를 배치해야 합니다. 프로덕션 배치의 경우 이 모드를 사용하십시오. 클라이언트 VPN 액세스가 중요한 다중 구역 배치 및 솔루션에 가장 적합합니다.
- 독립형 모드를 선택하는 경우 단일 서브넷 및 구역에 VPN 서버를 배치합니다. 다중 구역 복원성이 필요하지 않은 파일럿인 비프로덕션 배치에 이 모드를 사용하십시오.
VPN 서버 인증
프로비저닝 중에 VPN 서버 인증서를 지정해야 합니다. IBM Cloud Secrets Manager 을 사용하여 인증서를 만들거나 직접 만든 인증서를 사용할 수 있습니다.
CLI 또는 API를 사용하는 경우에는 인증서의 CRN을 지정해야 합니다. 인증서 CRN을 얻으려면 인증서 CRN 찾기를 참조하십시오.
VPN 서버가 사용자 ID 및 패스코드 인증만을 사용하는 경우 공용/개인 키 및 CA 인증서를 포함하는 VPN 서버 인증서만 지정하면 됩니다. VPN 서비스는 인증서 인스턴스에서 공용 및 개인 키를 가져와서 VPN 서버에 저장합니다. 클라이언트가 CA 인증서를 사용하여 VPN 서버를 확인할 수 있도록 이 CA 인증서도 클라이언트 프로파일에 복사됩니다.
인증서 인증이 사용으로 설정된 경우 클라이언트 CA 인증서를 지정해야 합니다. 공개 키 및 개인 키는 필요하지 않습니다. VPN 서비스는 Secrets Manager 에서 클라이언트 CA 인증서를 받습니다. 그 결과, 클라이언트는 VPN 서버에 연결할 때 공개 키를 제공하고 VPN 서버는 CA 인증서를 사용하여 공개 키를 확인합니다.
클라이언트 및 VPN 서버 인증서가 동일한 CA로 서명되는 경우 관리자는 VPN 서버를 프로비저닝할 때 동일한 인증서 인스턴스를 사용할 수 있습니다.
자세한 정보는 클라이언트 대 서버 인증 설정을 참조하십시오.
VPN 클라이언트 인증
VPN 서버 관리자는 최소한 하나의 인증 메소드를 선택하고 VPN 서버 프로비저닝 중에 이를 구성해야 합니다. 클라이언트 인증서를 선택하거나 사용자 ID 및 비밀번호로 보안을 추가하거나 두 가지 유형의 클라이언트 인증을 모두 선택할 수 있습니다.
여러 개의 VPN 클라이언트가 하나의 클라이언트 인증서를 공유할 수 있습니다.
클라이언트 인증서를 사용하려는 경우 사용자는 서버 관리자가 제공하는 클라이언트 프로파일을 편집하고 클라이언트 인증서(공개 키라고도 함) 및 개인 키를 포함해야 합니다. '사용자 ID 및 비밀번호' 클라이언트 인증만 사용하는 경우에는 클라이언트 프로필을 수정할 필요가 없습니다.
클라이언트 인증에 개인 인증서를 사용하는 경우 관리자가 클라이언트 프로파일을 수정할 필요가 없습니다. 대신 관리자는 모든 인증서에 대해 병합된 개인 인증서 및 키를 사용하여 클라이언트 프로파일을 다운로드하거나, 개인 인증서를 선택하고 선택된 인증서에 대해 병합된 개인 인증서 및 키를 사용하여 클라이언트 프로파일을 다운로드할 수 있습니다. 자세한 정보는 클라이언트 VPN 환경 설정 및 VPN 서버에 연결을 참조하십시오.
VPN 사용자는 VPN 서버에 연결하기 위해 자신의 비밀번호를 직접 사용하지 않습니다. 이들은 브라우저를 통해 IBM Access Manager(IAM)에서 패스코드를 받고, MFA가 사용 가능한 경우 항상 브라우저를 통해 MFA 적용이 수행됩니다. 사용자는 브라우저에서 MFA 적용을 수행할 수 있도록 MFA를 올바르게 구성해야 합니다. 사용자가 패스코드를 받으면 OpenVPN 클라이언트에 패스코드를 입력하고 연결을 시작합니다.
VPN 서버는 VPN 클라이언트로부터 사용자 이름 및 패스코드를 수신하고 IAM 호출을 수행하여 IAM 정책을 통해 패스코드 및 권한을 확인합니다.
- 비밀번호는 일회용 비밀번호입니다. VPN 서버에서 재연결을 시작하는 경우에도 사용자는 재연결을 위해 패스코드를 다시 생성해야 합니다.
- SoftLayer MFA 적용은 브라우저를 통해 수행되지 않으므로 SoftLayer MFA는 지원되지 않습니다.
사용자 ID/패스코드 인증을 사용하는 경우 유지보수 활동은 사용자가 코드를 페치하고 다시 입력하여 다시 인증하도록 합니다. 연결은 새 코드가 입력된 후에만 복원됩니다. 이는 독립형 또는 HA 모드를 사용하여 적용할 수 있습니다.
클라이언트 인증서 폐기 목록
선택적으로 인증 기관(CA)에서 취소한 인증서의 시간소인이 있는 목록인 CRL(Certificate Revocation List)을 가져올 수 있습니다. CRL(Certificate Revocation List)의 인증서가 만료되지 않았을 수 있지만 인증서를 발행한 인증 기관은 더 이상 신뢰되지 않습니다. VPN 클라이언트는 이 목록을 사용하여 디지털 인증서를 유효성 검증합니다.
CRL을 가져온 후에는 VPN 클라이언트가 이 목록을 사용하여 디지털 인증서를 유효성 검증합니다. CRL은 시스템의 문자열(파일이 아님)로 저장됩니다. 나중에 CRL을 다운로드해야 하는 경우 <vpn_server_name>.pem.(으)로 이름이 변경됩니다.
자세한 정보는 클라이언트 대 서버 인증 설정을 참조하십시오.
전송 프로토콜
전송 계층은 한 디바이스의 프로세스에서 다른 디바이스의 프로세스로 데이터 전달을 감독합니다. 전송 계층 프로토콜은 애플리케이션 계층 프로토콜과 네트워크에서 제공되는 서비스 간의 연락 담당자의 역할을 합니다. Client VPN for VPC는 다음 프로토콜을 지원합니다.
UDP는 최적의 성능을 위해 권장되고, TCP는 신뢰성을 위해 권장됩니다.
-
UDP(User Datagram Protocol)
UDP(User Datagram Protocol)는 최소한의 오버헤드가 있는 단순한 경량 프로토콜입니다. 프로세스가 짧은 메시지를 보내고 신뢰성을 신경 쓰지 경우 UDP를 사용할 수 있습니다. UDP를 사용하여 메시지를 전송할 경우 TCP를 사용하는 경우보다 훨씬 시간이 줄어 듭니다. 이는 오류 검사를 거의 수행하지 않으며 호스트 대 호스트 통신 대신 프로세스 대 프로세스 통신을 제공하는 것을 제외하고는 IP 서비스에 도움이 되지 않습니다.
-
TCP(Transmission Control Protocol)
TCP(Transmission Control Protocol)는 신뢰할 수 있지만, 복잡한 전송 계층 프로토콜입니다. TCP는 연결 지향 기능과 안정성을 IP 서비스에 추가합니다.
TCP는 중복되거나 유실된 데이터 없이 한 호스트에서 다른 호스트로 전송되는 데이터 스트림의 전달을 보장하는 스트림 전달 서비스입니다. 패킷 전송이 신뢰될 수 없기 때문에, 재전송으로 긍정적인 수신확인으로 알려진 기술이 패킷 전송의 신뢰성을 보장하기 위해 사용됩니다. 이 기본 기술을 사용하려면 수신인이 데이터 수신 시 수신확인 메시지로 응답해야 합니다.
전송자는 전송하는 각 패킷의 레코드를 보존하고 다음 패킷을 전송할 때까지 수신확인을 기다립니다. 또한 전송자는 패킷 전송 당시의 타이머도 보존하여 타이머가 만료되면 패킷을 다시 전송합니다. 이 타이머는 패킷이 유실되거나 손상되는 경우에 필요합니다.
전체 터널 모드와 분할 터널 모드
VPN 연결이 설정되면 암호화된 터널이 인터넷을 통해 VPN 서버로 생성됩니다. VPN 연결은 기존의 LAN 인터페이스 외에도 컴퓨터에 가상 네트워크 인터페이스로 표시됩니다. 이제 VPN 터널 내부의 VPC를 대상으로 하는 사설 트래픽과 다른 인터페이스(VPN 터널 외부)를 통한 공용 트래픽(인터넷 트래픽)을 전송하여 두 인터페이스를 동시에 사용할 수 있습니다. VPN 인터페이스와 다른 인터페이스 간에 트래픽이 분할되는 경우 _분할 터널링_을 사용 중인 것으로 표시됩니다. 분할 터널링을 사용하고 있지 않은 경우 모든 트래픽이 VPN 인터페이스를 사용하므로 인터넷 트래픽이 VPN 터널로 전송됩니다(full-tunnel).
기타 고려사항:
- 클라이언트가 VPN 터널을 사용하지 않고 인터넷에 액세스할 때 보안 문제가 있으면 전체 터널(기본값) 모드를 사용하십시오. 전체 터널은 일반적으로 규제 표준을 준수하는 데 필요합니다. 그러나 이 방법은 비용이 많이 들고 VPN 서버의 로드를 증가시킬 수 있습니다.
- 분할 터널 모드에서는 VPN 서버가 라우트를 VPN 클라이언트로 푸시합니다. 이러한 방식으로 OpenVPN 클라이언트는 VPN 터널로 어떠한 트래픽을 전송해야 하는지를 알게 됩니다. 라우트를 추가하고 라우팅 루프를 방지할 때 주의해야 합니다. 예를 들어, VPN 서버의 공용 IP 주소가
3.3.3.3인 경우 이 라우트가 VPN 터널을 통과하지 않아야 하는3.3.3.0/24으로 트래픽을 전송하므로 라우트3.3.3.3를 추가할 수 없습니다. 이상적으로는 사설 서브넷을 VPC 서브넷, CSE 서브넷, 온프레미스 사설 서브넷 등과 같은 라우트 대상으로만 구성해야 합니다. - VPN 라우트는 VPN 클라이언트로 푸시됩니다. VPN 클라이언트에 대상이 동일한 라우트가 이미 있는 경우 라우트 "푸시"에 실패하고 트래픽이 VPN 서버에 도달할 수 없습니다. 라우트 충돌을 해결한 다음 VPN 클라이언트를 다시 연결해야 합니다. 일반적인 문제는 분할 터널 모드 VPN 서버에 대상이
0.0.0.0/0인 VPN 라우트를 추가하고 이 라우트를 VPN 클라이언트로 푸시해야 하는 경우입니다. 일반적으로, VPN 클라이언트에는 대상이0.0.0.0/0인 라우트가 이미 있으므로 이 VPN 라우트는 VPN 클라이언트 라우트와 충돌합니다. 충돌을 피하려면 전체 터널 모드 VPN 서버를 사용하거나 호스트에서0.0.0.0/0라우트를 제거하십시오.
선택하는 터널 모드에 관계없이, API /vpn_servers/{id}/routes를 사용하여 VPN 서버가 VPN 클라이언트로부터 트래픽을 전달하는 방법을 정의해야 합니다. 예를 들어, 클라이언트의 인터넷 트래픽이 VPN 터널을 통과하도록 하려면 VPN 서비스 라우트 API를 사용하여 0.0.0.0/0 라우트를 구성해야 합니다.
지원되는 VPN 클라이언트 소프트웨어
사용자를 위해 VPN 클라이언트 소프트웨어를 제공해야 합니다. 다음 클라이언트 소프트웨어 버전을 사용할 수 있는지 확인합니다.
- macOS 카탈리나 이상용: OpenVPN 연결 v3, OpenVPN 연결 v2, 및 터널블릭 3.8.4
- Windows 8이상: OpenVPN Connect v3, OpenVPN Connect v2
- RHEL 7.x 이상: OpenVPN 연결 v3, OpenVPN 연결 v2, 및 OpenVPN 명령줄 클라이언트(버전 2.4.4 이상)
- Ubuntu 18.04 이후 버전: OpenVPN 연결 v3, OpenVPN 연결 v2, 및 OpenVPN 명령줄 클라이언트(버전 2.4.10 이상)
VPN 클라이언트 사용자는 OpenVPN 2.4 호환 가능 클라이언트 소프트웨어를 선택할 수 있습니다. 그러나 나열되지 않은 소프트웨어는 작동이 보장되지 않습니다.
IBM Power Virtual Servers: 작업공간의 배치 자동화
사용자가 온사이트 또는 원격 디바이스에서 Power Virtual Server 작업공간으로 안전하게 연결할 수 있도록 클라이언트 대 사이트 VPN 서버를 작성하는 Terraform 모듈을 제공하는 클라이언트 대 사이트 VPN 자동화 프로젝트를 사용할 수 있습니다. 이 자동화 프로젝트의 Github 저장소는 IBM / power-vpn-server Github 저장소. 이 프로젝트 Readme 파일 은 VPN 서버를 작성하고 이를 신규 또는 기존 Power Virtual Server 작업공간에 첨부하여 IBM Cloud Power 인프라에 대한 보안 액세스를 제공합니다.
Terraform을 사용하여 VPN 서버 설정
Terraform을 사용하여 VPN 서버를 설정하려면 다음 단계를 따르세요:
-
IBM Cloud Secrets Manager 의 체험판을 만들어 보세요.
-
로컬에서 서버 인증서/키 및 클라이언트 인증서/키를 생성하여 Secrets Manager 인스턴스로 가져오거나 Secrets Manager 서비스에서 비공개 인증서 기능을 사용하여 인증서/키를 생성합니다.
resource "ibm_resource_instance" "sec_mgr" { name = "vpc-secmgr" service = "secrets-manager" plan = var.service_plan location = var.region_name resource_group_id = data.ibm_resource_group.group.id timeouts { create = "30m" update = "30m" delete = "30m" } } resource "ibm_sm_secret_group" "sm_secret_group" { instance_id = ibm_resource_instance.sec_mgr[0].guid region = var.region_name name = "vpc-sec-group" description = "default secret group" } output "import_cert_server_crn" { value = ibm_sm_imported_certificate.sm_imported_certificate_server.crn } output "import_cert_client_crn" { value = ibm_sm_imported_certificate.sm_imported_certificate_client.crn } -
하나의 서브넷으로 하나의 VPC를 작성하십시오.
resource "ibm_is_vpc" "vpc" { name = "vpc-vpnserver" } resource "ibm_is_subnet" "subnet" { name = "mysubnet-tf" vpc = ibm_is_vpc.vpc.id zone = var.zone_name total_ipv4_address_count = 256 } -
인바운드 및 아웃바운드 규칙으로 보안 그룹을 작성하여 모든 트래픽을 허용하십시오.
resource "ibm_is_security_group" "sg_all" { name = "vpc-sg-all" vpc = ibm_is_vpc.vpc.id } resource "ibm_is_security_group_rule" "sg_rule1" { group = ibm_is_security_group.sg_all.id direction = "inbound" remote = "0.0.0.0/0" } resource "ibm_is_security_group_rule" "sg_rule2" { group = ibm_is_security_group.sg_all.id direction = "outbound" remote = "0.0.0.0/0" } -
Secrets Manager 인스턴스에서 서브넷, 보안 그룹 및 서버/클라이언트 인증서 내에 VPN 서버를 생성합니다.
resource "ibm_is_vpn_server" "example" { certificate_crn = ibm_sm_imported_certificate.sm_imported_certificate_server.crn client_authentication { method = "certificate" client_ca_crn = ibm_sm_imported_certificate.sm_imported_certificate_client.crn } client_ip_pool = "198.168.0.0/16" enable_split_tunneling = true name = "terry-vpn-server" port = 443 protocol = "tcp" subnets = [ibm_is_subnet.subnet.id] security_groups = [ibm_is_security_group.sg_all.id] } resource "ibm_is_vpn_server_route" "cse1" { vpn_server = ibm_is_vpn_server.example.id destination = "166.8.0.0/14" name = "vpn-server-route-cse1" } resource "ibm_is_vpn_server_route" "cse2" { vpn_server = ibm_is_vpn_server.example.id destination = "161.26.0.0/16" name = "vpn-server-route-cse2" } -
VPN 클라이언트 프로필을 다운로드하고 클라이언트 프로필에서 클라이언트 인증서와 키를 구성합니다.
data "ibm_is_vpn_server_client_configuration" "my_vpn_client_conf" { vpn_server = ibm_is_vpn_server.example.id } resource "local_file" "my_vpn_client_conf" { content = "${data.ibm_is_vpn_server_client_configuration.my_vpn_client_conf.vpn_server_client_configuration}\ncert ${path.cwd}/import_certs/client_cert.pem\nkey ${path.cwd}/import_certs/client_key.pem" filename = "my_vpn_server.ovpn" }그런 다음 사용자는 OpenVPN 클라이언트와 함께 VPN 클라이언트 프로파일을 사용하여 클라이언트 시스템을 작성된 VPN 서버에 연결할 수 있습니다.
자세한 내용은 IBM 테라폼 레지스트리를 참조하세요.