IBM Cloud Docs
클라이언트 대 사이트 간 VPN 서버 정보

클라이언트 대 사이트 간 VPN 서버 정보

클라이언트 VPN for VPC 은 원격 디바이스가 OpenVPN 소프트웨어 클라이언트를 사용하여 VPC 네트워크에 안전하게 연결할 수 있도록 하는 클라이언트 대 사이트 연결을 제공합니다. 이 솔루션은 보안 연결을 유지하면서 재택근무자 등 원격 위치에서 IBM Cloud 에 연결하려는 재택근무자에게 유용합니다.

주요 특징은 다음과 같습니다.

  • TLS 1.2/1.3 기반 보안/암호화 인터넷 연결
  • 독립형(파일럿) 및 고가용성(프로덕션) 배치를 모두 지원
  • 클래식 IaaS와 IBM Public Cloud의 VPC의 비공개 연결
  • 모든 MZR 전 세계 가용성
  • 구역 전체에 걸친 고가용성으로 향상된 성능 및 복원성 제공
  • 통합된 인증 메소드로 추가된 보안 계층 제공

아키텍처

그림 1에서는 VPC 내부 및 외부에서 리소스를 연결하기 위한 VPN 서버 설정 예를 보여줍니다. VPN 서버는 사용자의 VPC 내 두 개의 서브넷에서 프로비저닝됩니다. 또한 활성/활성 고가용성(HA) 모드에서 작동하는 두 개의 VPN 서버 멤버가 있습니다. 모든 VPN 서버 멤버는 대상 리소스와 통신할 수 있습니다. 각 멤버에 하나의 공용 IP 주소가 지정되고, VPN 서버에 대한 DNS 호스트 이름 레코드가 작성됩니다. 호스트 이름은 VPN 멤버의 공용 IP 주소로 분석됩니다. VPN 클라이언트는 DNS 분석을 통해 두 개의 공용 IP 주소를 얻고 두 개의 IP 주소를 무작위로 시도하여 VPN 멤버 중 하나와 연결합니다. VPN 클라이언트는 하나의 멤버가 작동 중지된 경우 다시 연결하고 활성 VPN 서버 멤버로 전환하려고 합니다.

DNS 서비스는 VPN 서비스의 일부로 배치됩니다. 제공된 DNS 이름은 appdomain.cloud로 끝납니다.

클라이언트-사이트 VPN 서버
VPN 서버

시작하기

클라이언트 사용을 시작하려면 VPN for VPC, 다음 단계를 따르세요:

  1. VPN 서버에 대한 계획 고려사항을 검토하십시오.
  2. 시작하기 전에의 모든 전제조건을 완료하십시오.
  3. 하나의 서브넷에 독립형 VPN 서버를 프로비저닝하거나 두 개의 서브넷에 고가용성 VPN 서버를 프로비저닝하십시오. 지시사항은 VPN 서버 작성을 참조하십시오.
  4. VPN 라우트를 작성하십시오.
  5. VPN 클라이언트 환경을 설정하고 VPN 서버에 연결하십시오.

VPN 서버 유스 케이스

다음은 IBM Cloud Client VPN for VPC 서비스를 구현할 수 있는 몇 가지 방법입니다.

유스 케이스 1: 배치된 MZR 내 VPC에 액세스

VPN 서버는 선택된 다중 구역 지역(MZR) 및 VPC에 배치됩니다. 모든 가상 서버 인스턴스는 단일 VPC의 VPN 클라이언트에서 액세스할 수 있습니다.

네트워크 토폴로지: VPN 클라이언트는 VPN
토폴로지: VPN 클라이언트는 VPN 서버를 통해 배포된 MZR 내의 가상 서버 인스턴스에 액세스할 수

유스 케이스 2: VPN 클라이언트는 VPN 서버를 통해 인터넷에 액세스할 수 있음

관리자가 전체 터널 모드에서 VPN 서버를 강제 실행하면 고객 디바이스의 모든 트래픽이 인터넷 트래픽을 포함한 VPN 서버로 전송됩니다. VPN 서버는 IBM Cloud 인프라를 통해 인터넷으로 트래픽을 전달합니다.

네트워크 토폴로지: VPN 클라이언트는 VPN
토폴로지를 통해 인터넷에 액세스할 수 있습니다: VPN 클라이언트는 VPN
통해 인터넷에 액세스할 수 있습니다

유스 케이스 3: 전송 게이트웨이와 통합

일반적으로, 중복성을 위해 여러 지역에 VPC 리소스를 프로비저닝하는 것이 좋습니다. 개인용 디바이스에서 모든 지역의 리소스에 액세스하기 위한 한 가지 방법은 지역별로 VPC당, 지역당 하나의 클라이언트 대 사이트 VPN 서버를 작성하고 모든 VPN 서버에 대한 VPN 연결을 설정하는 것입니다. 또한 이 방법을 사용하여 여러 개의 VPN 서버를 유지보수해야 합니다. 그러면 불편할 수 있지만 더욱 안전한 방법입니다. 다른 접근법은 이러한 모든 VPC를 연결하기 위해 전송 게이트웨이를 사용하는 것입니다. 따라서 VPC에 액세스하기 위해 단 하나의 VPN 서버만 있으면 됩니다.

네트워크 토폴로지: 트랜짓 게이트웨이와
토폴로지: 트랜짓 게이트웨이와

클라이언트-사이트 VPN 서버를 전송 게이트웨이와 통합하는 경우, 다른 VPC 또는 클래식 네트워크에서 서브넷의 CIDR로 대상을 설정한 VPN 경로를 하나 이상 추가하고 경로 작업을 Deliver 또는 Translate 으로 설정해야 합니다. 자세한 정보는 VPN 라우트 관리 를 참조하십시오.

유스 케이스 4: 사이트 대 사이트 VPN 게이트웨이와 통합

IBM VPC에 연결하는 동시에 온프레미스 네트워크에 연결하려는 경우 사이트 대 사이트 VPN 게이트웨이와 통합하십시오. 이 유스 케이스는 여러 개의 VPN 서버를 동시에 유지보수하기 위한 요구사항을 제거합니다. 클라이언트 대 사이트 VPN 서버에서 직접 온프레미스 사설 네트워크에 액세스할 수 있습니다.

네트워크 토폴로지: 사이트 간 VPN{: caption="통합네트워크 토폴로지: 사이트 간 VPN " caption-side="bottom"} 통합