VPN과 함께 사용할 네트워크 ACL 구성하기
VPN 게이트웨이 서브넷 및 VPN 터널을 통해 통신하는 다른 VPC 서브넷에 NACL(네트워크 액세스 제어 목록)을 설정할 수 있습니다.
NACL은 서브넷 수준에서 수신 및 발신 트래픽을 제어하는 상태 비저장 규칙 집합입니다. 개별 가상 서버 인스턴스로 들어오고 나가는 트래픽을 필터링하는 보안 그룹과 달리, NACL은 전체 서브넷으로 들어오고 나가는 트래픽을 관리합니다.
VPN 게이트웨이와 VPC 가상 서버 인스턴스는 동일하거나 다른 NACL을 공유할 수 있으며, 동일하거나 다른 서브넷 CIDR 블록에 상주할 수 있습니다.
사용 사례 1: VPN 게이트웨이와 가상 서버 인스턴스가 NACL 공유
이 사용 사례는 IBM Cloud VPN 게이트웨이와 VPC 가상 서버 인스턴스가 공유 NACL에 의해 관리되어 일관된 트래픽 제어 정책이 가능한 시나리오를 보여줍니다. 두 시나리오 모두에서 VPN 게이트웨이와 가상 서버는 동일한 VPC의 일부입니다.
시나리오 1: VPN 게이트웨이와 가상 서버 인스턴스가 동일한 서브넷에 있습니다
이 시나리오에서 VPN 게이트웨이와 가상 서버 인스턴스는 모두 VPC의 동일한 서브넷 내에 상주하며 공유 NACL로 보호됩니다. 이 설정은 두 리소스에 일관된 규칙 집합을 적용하여 네트워크 제어를 간소화합니다.
이 단계에서는 다음 그림과 같이 공유 NACL 서브넷 쌍을 통한 패킷 흐름을 설명합니다.
- 암호화된 트래픽은 온프레미스(피어) 게이트웨이와 공유 서브넷 간에 흐르며, 암호화된 도메인의 일부인 양쪽의 IP 범위를 포괄합니다(온프레미스 프라이빗 CIDR, VPC CIDR).
- 패킷이 VPC VPN 게이트웨이에 도달하면 해독되어 동일한 서브넷에 있는 가상 서버 인스턴스로 전달됩니다.
- 온프레미스 네트워크에 대한 응답 패킷은 VPN 게이트웨이로 다시 이동합니다.
- 마지막으로 패킷이 암호화되어 공유 서브넷에서 온프레미스 게이트웨이로 반환됩니다.
VPN 게이트웨이와 가상 서버 인스턴스가 공유 서브넷에 있고 공유 NACL을 만드는 경우, 온프레미스 게이트웨이와 공유 서브넷 NACL 쌍 간의 양방향 트래픽 흐름에 대해 다음 규칙을 추가해야 합니다. 자세한 정보는 네트워크 ACL 설정을 참조하십시오.
- 표의 첫 번째 인바운드 및 아웃바운드 규칙 쌍은 관리 트래픽을 허용합니다. 이 트래픽은 온프레미스 게이트웨이와 VPN 게이트웨이 간의 VPN 연결을 설정하고 유지하기 위해 IKE 및 IPsec 프로토콜을 사용합니다.
- 두 번째 인바운드 및 아웃바운드 규칙 쌍은 설정된 VPN 터널을 통해 온프레미스 네트워크와 VPC CIDR 간에 이동하는 VPN 터널 트래픽을 허용합니다.
- 선택 사항: 마지막 인바운드 규칙은 도달 가능성 확인 및 문제 해결을 위해 VPN 게이트웨이 또는 VPC 가상 서버 인스턴스를 핑하는 등의 연결 테스트를 위한 트래픽을 허용합니다.
인바운드 및 아웃바운드 규칙 | 프로토콜 | 소스 IP | 소스 포트 | 대상 IP | 대상 포트 |
---|---|---|---|---|---|
인바운드 | 모두 | 온프레미스 게이트웨이 퍼블릭 IP | 해당사항 없음 | VPN 게이트웨이의 서브넷 | 해당사항 없음 |
아웃바운드 | 모두 | VPN 게이트웨이의 서브넷 | 해당사항 없음 | 온프레미스 게이트웨이 공용 IP | 해당사항 없음 |
인바운드 | 모두 | 온프레미스, 사설 CIDR | 해당사항 없음 | VPC CIDR | 해당사항 없음 |
아웃바운드 | 모두 | VPC CIDR | 해당사항 없음 | 온프레미스, 사설 CIDR | 해당사항 없음 |
인바운드(선택사항) | ICMP | 임의 | 해당사항 없음 | 임의 | 해당사항 없음 |
예를 들어 다음 표는 인바운드 및 아웃바운드 규칙의 소스 및 대상 IP 주소를 보여줍니다. 이 예제에서는 VPN 게이트웨이와 가상 서버 인스턴스가 모두 공유 서브넷 CIDR 192.168.1.0/24
에 있습니다.
인바운드 및 아웃바운드 규칙 | 프로토콜 | 소스 IP | 소스 포트 | 대상 IP | 대상 포트 |
---|---|---|---|---|---|
인바운드 | 모두 | 온프레미스 게이트웨이 퍼블릭 IP[1] | 해당사항 없음 | 192.168.1.0/24 |
해당사항 없음 |
아웃바운드 | 모두 | 192.168.1.0/24 |
해당사항 없음 | 온프레미스 게이트웨이 공용 IP[2] | 해당사항 없음 |
인바운드 | 모두 | 온프레미스, 사설 CIDR | 해당사항 없음 | 192.168.1.0/24 |
해당사항 없음 |
아웃바운드 | 모두 | 192.168.1.0/24 |
해당사항 없음 | 온프레미스, 사설 CIDR | 해당사항 없음 |
인바운드(선택사항) | ICMP | 임의 | 해당사항 없음 | 임의 | 해당사항 없음 |
시나리오 2: VPN 게이트웨이와 가상 서버 인스턴스가 동일한 VPC의 서로 다른 서브넷에 있습니다
이 시나리오에서는 VPN 게이트웨이와 가상 서버 인스턴스가 동일한 VPC 내의 서로 다른 서브넷에 상주하며, 공유 NACL이 적용되어 이들 간의 트래픽을 관리합니다. 이 구성을 사용하려면 서브넷 간 트래픽 라우팅에 대한 추가 고려 사항이 필요합니다.
이 단계에서는 다음 그림과 같이 공유 NACL과 여러 서브넷을 통한 패킷 흐름을 설명합니다.
- 암호화된 트래픽은 온프레미스(피어) 게이트웨이와 VPN 게이트웨이 서브넷 간에 흐르며, 암호화된 도메인의 일부인 양쪽의 IP 범위를 포괄합니다(온프레미스 개인 CIDR, VPC CIDR).
- 패킷이 VPC VPN 게이트웨이에 도달하면 해독되어 VPN 서브넷에서 VPC 가상 서버 서브넷으로 전달됩니다.
- 온프레미스 네트워크에 대한 응답 패킷은 VPN 서브넷으로 다시 이동합니다.
- 마지막으로 패킷이 암호화되어 VPN 서브넷에서 온프레미스 게이트웨이로 반환됩니다.
VPN 게이트웨이와 가상 서버 인스턴스가 서로 다른 서브넷에 있고 공유 NACL을 생성하는 경우, 온프레미스 게이트웨이와 다른 서브넷 간의 양방향 트래픽 흐름에 대해 다음 규칙을 추가해야 합니다.
인바운드 및 아웃바운드 규칙 | 프로토콜 | 소스 IP | 소스 포트 | 대상 IP | 대상 포트 |
---|---|---|---|---|---|
인바운드 | 모두 | 온프레미스 게이트웨이 퍼블릭 IP | 해당사항 없음 | VPN 게이트웨이의 서브넷 | 해당사항 없음 |
아웃바운드 | 모두 | VPN 게이트웨이의 서브넷 | 해당사항 없음 | 온프레미스 게이트웨이 공용 IP | 해당사항 없음 |
인바운드 | 모두 | 온프레미스, 사설 CIDR | 해당사항 없음 | VPC CIDR | 해당사항 없음 |
아웃바운드 | 모두 | VPC CIDR | 해당사항 없음 | 온프레미스, 사설 CIDR | 해당사항 없음 |
인바운드(선택사항) | ICMP | 임의 | 해당사항 없음 | 임의 | 해당사항 없음 |
예를 들어 다음 표는 인바운드 및 아웃바운드 규칙의 소스 및 대상 IP 주소를 보여줍니다. 이 예제에서 VPN 게이트웨이는 서브넷 CIDR 192.168.1.0/24
에 있고 가상 서버 인스턴스는 서브넷 CIDR 192.168.2.0/24
에 있습니다.
인바운드 및 아웃바운드 규칙 | 프로토콜 | 소스 IP | 소스 포트 | 대상 IP | 대상 포트 |
---|---|---|---|---|---|
인바운드 | 모두 | 온프레미스 게이트웨이 퍼블릭 IP[3] | 해당사항 없음 | 192.168.1.0/24 |
해당사항 없음 |
아웃바운드 | 모두 | 192.168.1.0/24 |
해당사항 없음 | 온프레미스 게이트웨이 공용 IP[4] | 해당사항 없음 |
인바운드 | 모두 | 온프레미스, 사설 CIDR | 해당사항 없음 | 192.168.2.0/24 |
해당사항 없음 |
아웃바운드 | 모두 | 192.168.2.0/24 |
해당사항 없음 | 온프레미스, 사설 CIDR | 해당사항 없음 |
인바운드(선택사항) | ICMP | 임의 | 해당사항 없음 | 임의 | 해당사항 없음 |
사용 사례 2: VPN 게이트웨이와 가상 서버 인스턴스가 서로 다른 NACL 사용
이 사용 사례는 IBM Cloud VPN 게이트웨이와 VPC 가상 서버 인스턴스가 서로 다른 NACL에 의해 관리되어 일관된 트래픽 제어 정책이 가능한 시나리오를 보여줍니다. 첫 번째 시나리오에서는 VPN 게이트웨이와 가상 서버가 동일한 VPC의 일부이지만, 두 번째 시나리오에서는 트랜짓 게이트웨이로 연결된 서로 다른 VPC에 있습니다.
시나리오 2: 트랜짓 게이트웨이를 통해 연결된 서로 다른 VPC의 VPN 게이트웨이 및 가상 서버 인스턴스
이 시나리오에서 VPN 게이트웨이와 가상 서버 인스턴스는 전송 게이트웨이로 연결된 서로 다른 VPC 내의 서로 다른 서브넷에 상주합니다. 이 구성은 앞의 시나리오와 동일한 절차를 사용하여 서로 다른 VPC의 서브넷을 통해 패킷을 전달합니다.
- 온프레미스 게이트웨이와 VPN 게이트웨이 서브넷 간에 암호화된 트래픽이 흐릅니다.
- 패킷이 VPC VPN 게이트웨이에 도달하면 해독되어 VPC 가상 서버 서브넷으로 전달됩니다.
- 그런 다음 응답 패킷은 VPN 서브넷을 통해 다시 전송되어 다시 암호화되어 온프레미스 게이트웨이로 반환됩니다.
VPN 게이트웨이와 가상 서버 인스턴스가 서로 다른 서브넷과 서로 다른 NACL을 사용하는 서로 다른 VPC에 있는 경우, 온프레미스 게이트웨이와 서로 다른 VPC의 서브넷 간의 트래픽 흐름에 대해 다음 규칙을 추가해야 합니다.
VPN 게이트웨이 서브넷에 대한 NACL 구성
이 NACL은 VPN 게이트웨이 서브넷에 연결됩니다. VPN 게이트웨이 서브넷의 트래픽 규칙은 VPN 터널을 설정하는 데 사용되는 관리 트래픽과 온프레미스 네트워크와 VPC 간의 암호화된 VPN 터널 트래픽을 포함해야 합니다.
인바운드 및 아웃바운드 규칙 | 프로토콜 | 소스 IP | 소스 포트 | 대상 IP | 대상 포트 |
---|---|---|---|---|---|
인바운드 | 모두 | 온프레미스 게이트웨이 퍼블릭 IP | 해당사항 없음 | VPN 게이트웨이의 서브넷 | 해당사항 없음 |
아웃바운드 | 모두 | VPN 게이트웨이의 서브넷 | 해당사항 없음 | 온프레미스 게이트웨이 공용 IP | 해당사항 없음 |
인바운드 | 모두 | 온프레미스 프라이빗 CIDR | 해당사항 없음 | VPC CIDR | 해당사항 없음 |
아웃바운드 | 모두 | VPC CIDR | 해당사항 없음 | 온프레미스, 사설 CIDR | 해당사항 없음 |
인바운드(선택사항) | ICMP | 임의 | 해당사항 없음 | 임의 | 해당사항 없음 |
가상 서버 인스턴스 서브넷에 대한 NACL 구성
이 NACL은 가상 서버 서브넷에 연결됩니다. 가상 서버 서브넷에 대한 트래픽 규칙은 온프레미스 네트워크와 가상 서버 인스턴스 간의 통신을 위한 VPN 터널 트래픽을 포함해야 합니다.
인바운드 및 아웃바운드 규칙 | 프로토콜 | 소스 IP | 소스 포트 | 대상 IP | 대상 포트 |
---|---|---|---|---|---|
인바운드 | 모두 | 온프레미스, 사설 CIDR | 해당사항 없음 | VPC CIDR | 해당사항 없음 |
아웃바운드 | 모두 | VPC CIDR | 해당사항 없음 | 온프레미스, 사설 CIDR | 해당사항 없음 |
트래픽 문제 해결
선택 사항: 이 규칙은 도달 가능성 확인 및 문제 해결을 위해 VPN 게이트웨이 또는 VPC 가상 서버 인스턴스를 핑하는 것과 같은 연결 테스트를 위한 트래픽을 허용합니다.
인바운드 규칙 | 프로토콜 | 소스 IP | 소스 포트 | 대상 IP | 대상 포트 |
---|---|---|---|---|---|
인바운드(선택사항) | ICMP | 임의 | 해당사항 없음 | 임의 | 해당사항 없음 |
예시: 예: 서로 다른 VPC에서 VPN 게이트웨이 및 가상 서버 서브넷 구성하기
다음 예는 서로 다른 VPC의 VPN 게이트웨이 및 가상 서버 인스턴스 서브넷 모두에 적용되는 특정 NACL 규칙을 보여줍니다. 이 예제는 특정 서브넷 CIDR 및 트래픽 요구 사항에 따라 NACL을 올바르게 설정하는 데 도움이 됩니다.
다음 표에는 인바운드 및 아웃바운드 규칙의 소스 및 대상 IP 주소가 나와 있습니다. 이 예제에서 VPC A의 VPN 게이트웨이는 서브넷 CIDR 192.168.1.0/24
에 있고, VPC B의 가상 서버는 서브넷 CIDR 192.168.2.0/24
에 있습니다.
인바운드 및 아웃바운드 규칙 | 프로토콜 | 소스 IP | 소스 포트 | 대상 IP | 대상 포트 |
---|---|---|---|---|---|
인바운드 | 모두 | 온프레미스 게이트웨이 퍼블릭 IP[7] | 해당사항 없음 | 192.168.1.0/24 |
해당사항 없음 |
아웃바운드 | 모두 | 192.168.1.0/24 |
해당사항 없음 | 온프레미스 게이트웨이 공용 IP[8] | 해당사항 없음 |
인바운드 | 모두 | 온프레미스, 사설 CIDR | 해당사항 없음 | 192.168.2.0/24 |
해당사항 없음 |
아웃바운드 | 모두 | 192.168.2.0/24 |
해당사항 없음 | 온프레미스, 사설 CIDR | 해당사항 없음 |
인바운드(선택사항) | ICMP | 임의 | 해당사항 없음 | 임의 | 해당사항 없음 |
이 표는 VPC A의 VPN 게이트웨이 서브넷에 대해 설명한 것과 동일한 유형의 인바운드 및 아웃바운드 트래픽 흐름을 보여주는 VPC B의 가상 서버 서브넷에 대한 NACL 규칙을 보여 줍니다.
인바운드 및 아웃바운드 규칙 | 프로토콜 | 소스 IP | 소스 포트 | 대상 IP | 대상 포트 |
---|---|---|---|---|---|
인바운드 | 모두 | 온프레미스, 사설 CIDR | 해당사항 없음 | 192.168.2.0/24 |
해당사항 없음 |
아웃바운드 | 모두 | 192.168.2.0/24 |
해당사항 없음 | 온프레미스, 사설 CIDR | 해당사항 없음 |
-
인바운드 규칙의 소스 IP를 온프레미스 게이트웨이 공인 IP로 설정합니다. 이 설정은 온프레미스 서브넷에서 VPC로의 트래픽을 허용합니다. ↩︎
-
아웃바운드 규칙의 대상 IP를 온프레미스 게이트웨이 공인 IP 주소로 설정합니다. 이 설정은 VPC에서 온프레미스 서브넷으로의 트래픽을 허용합니다. ↩︎
-
인바운드 규칙의 소스 IP를 온프레미스 게이트웨이 공인 IP로 설정합니다. 이 설정은 온프레미스 서브넷에서 VPC로의 트래픽을 허용합니다. ↩︎
-
아웃바운드 규칙의 대상 IP를 온프레미스 게이트웨이 공인 IP 주소로 설정합니다. 이 설정은 VPC에서 온프레미스 서브넷으로의 트래픽을 허용합니다. ↩︎
-
인바운드 규칙의 소스 IP를 온프레미스 게이트웨이 공인 IP로 설정합니다. 이 설정은 온프레미스 서브넷에서 VPC로의 트래픽을 허용합니다. ↩︎
-
아웃바운드 규칙의 대상 IP를 온프레미스 게이트웨이 공인 IP 주소로 설정합니다. 이 설정은 VPC에서 온프레미스 서브넷으로의 트래픽을 허용합니다. ↩︎
-
인바운드 규칙의 소스 IP를 온프레미스 게이트웨이 공인 IP로 설정합니다. 이 설정은 온프레미스 서브넷에서 VPC로의 트래픽을 허용합니다. ↩︎
-
아웃바운드 규칙의 대상 IP를 온프레미스 게이트웨이 공인 IP 주소로 설정합니다. 이 설정은 VPC에서 온프레미스 서브넷으로의 트래픽을 허용합니다. ↩︎