동적 BGP를 사용하여 AWS와 Oracle Cloud 인프라 간에 VPN 터널을 생성하려면 어떻게 해야 하나요?

해결 방법

AWS와 OCI 간에 AWS Site-to-Site VPN 터널을 구성하려면 다음 단계를 따르세요.

• OCI 측에서는 가상 클라우드 네트워크(VCN), 서브넷, 보안 목록 및 규칙을 구성합니다.
• AWS 측에서는 Amazon Virtual Private Cloud(Amazon VPC), 서브넷 및 라우팅을 구성합니다.

AWS 구성

1. Amazon VPC 콘솔을 연 다음, 고객 게이트웨이를 생성합니다. OCI VPN 게이트웨이의 IP 주소를 아직 모르기 때문에 원하는 세부 정보를 추가할 수 있습니다. 나중에 올바른 고객 게이트웨이 IP 주소와 Autonomous System Number(ASN)를 지정할 수 있습니다.
   **참고:**AWS를 사용하여 고객 게이트웨이를 생성해야 합니다. Amazon VPC 콘솔에서는 고객 게이트웨이를 구성한 후 이를 변경할 수 있지만 OCI는 그렇지 않습니다.
2. Amazon VPC 콘솔을 열고 가상 프라이빗 게이트웨이를 생성한 다음, Amazon VPC에 연결합니다.
3. VPN 연결을 생성합니다. 가상 프라이빗 게이트웨이의 경우, 생성한 가상 프라이빗 게이트웨이의 이름을 선택합니다. 고객 게이트웨이 ID에서 생성한 고객 게이트웨이의 ID를 선택합니다. 라우팅 옵션에서 **동적(BGP 필요)**을 선택합니다. (선택 사항) 터널 1의 고급 옵션에서 고급 암호화 알고리즘을 켜세요.
   중요:****사전 공유 키에 문자와 숫자만 포함되어 있는지 확인하세요. OCI는 특정 문자를 지원하지 않으며 AWS는 사전 공유 키의 공백 사용을 지원하지 않습니다. 문자와 숫자만 포함되도록 사전 공유 키를 직접 입력할 수도 있습니다.
4. 일반 Site-to-Site VPN 구성 파일을 다운로드합니다. 이 파일의 정보를 사용하여 OCI 콘솔에서 VPN 터널을 설정합니다.

OCI 구성

1. Oracle Cloud 콘솔을 엽니다.
2. Oracle 웹 사이트의 지침을 사용하여 고객 프레미스 장비를 생성하세요. 탐색 창에서 네트워킹을 선택한 다음, 고객 프레미스 장비를 선택합니다.
3. 퍼블릭 IP 주소의 경우 다운로드한 구성 파일의 터널 A 외부 IP 주소를 입력합니다.
4. 동적 라우팅 게이트웨이를 선택한 다음, 동적 라우팅 게이트웨이를 생성합니다. 동적 라우팅 게이트웨이를 VCN에 연결합니다. Oracle Cloud 콘솔에서 VCN을 생성하거나 기존 VCN에 연결할 수 있습니다. VCN을 찾으려면 탐색 창에서 네트워킹을 선택합니다. 그런 다음, 가상 클라우드 네트워크를 선택합니다.
5. Oracle Cloud 콘솔에서 Site-to-Site VPN 연결을 생성합니다. 생성한 고객 프레미스 장비 및 동적 라우팅 게이트웨이의 세부 정보를 입력합니다.
   중요:****IPSec 연결 생성을 선택하기 전에 Tunnel1 및 Tunnel2 설정을 구성해야 합니다. 고급 옵션 표시를 선택하고 다운로드한 구성 파일의 사전 공유 키와 BGP 세부 정보를 입력합니다. Tunnel2의 경우 OCI로 두 번째 터널을 구성할 수 없으므로 모든 정보를 제공하세요. 라우팅 유형을 BGP로 설정합니다.
6. OCI 측에서 Site-to-Site VPN을 생성한 후 AWS-Tunnel1의 퍼블릭 IP 주소를 볼 수 있습니다. 다음 단계에서 사용할 IP 주소를 기록해 두세요.

Amazon VPC 콘솔에서 VPN 게이트웨이를 구성합니다.

1. Amazon VPC 콘솔을 연 다음, 고객 게이트웨이를 생성합니다.IP 주소에는 AWS-Tunnel1의 IP 주소를 입력합니다. BGP ASN의 경우 31898을 입력합니다. 동적 라우팅 게이트웨이의 기본 BGP ASN입니다.
2. Site-to-Site VPN 연결로 이동합니다. 작업을 선택한 다음, VPN 연결 수정을 선택합니다. 고객 게이트웨이의 대상 유형을 업데이트한 다음, 고객 게이트웨이를 선택합니다.

**참고:**AWS에서 Site-to-Site VPN 연결을 수정하고 업데이트하는 데 몇 분 정도 걸립니다.

터널 상태가 UP인지 확인하고 연결을 테스트합니다.

1. AWS에서 Site-to-Site VPN 연결 수정을 완료한 후 터널과 BGP가 UP 상태인지 확인합니다. AWS 측과 OCI 측에서 모두 이를 확인해야 합니다. 또한 라우팅이 올바른지 확인하세요. 터널이 가동되면 두 클라우드는 모두 기본적으로 트래픽 흐름을 허용하지 않습니다.
2. Oracle Cloud 콘솔에서 보안 목록 및 네트워크 보안 그룹을 구성하여 OCI와 AWS 간에 트래픽이 흐르도록 허용합니다.
3. Amazon VPC 콘솔에서 AWS와 OCI 간에 트래픽이 흐르도록 연결과 관련된 네트워크 ACL 및 보안 그룹을 구성합니다.
4. 양방향 연결 테스트를 수행하여 OCI와 AWS 간의 터널 연결을 확인합니다. AWS에서 OCI로, OCI에서 AWS로 핑 테스트를 반드시 수행하세요.

AWS와 OCI 간의 중복 VPN 연결을 구성합니다.

하나의 온프레미스 IP 주소(고객 게이트웨이 IP 주소)만 사용하여 AWS 및 OCI Site-to-Site VPN 서비스를 모두 구성할 수 있습니다. 이전 단계를 모두 반복하여 두 번째 Site-to-Site VPN 연결을 생성해야 합니다. 터널 하나가 다운될 경우 BGP 라우팅이 자동으로 두 번째 터널을 통해 라우팅되도록 하나의 활성 터널과 하나의 중복 터널을 사용합니다.