고객 네트워크와 Samsung Cloud Platform을 암호화된 가상 전용망을 통해 연결하는 서비스.
SCP내 SSL VPN 상품을 사용하지 못하는 경우, 설치형으로 OpenVPN 기반의 SSL VPN 솔루션 ( MIT License)을 활용하여 SCP외부 네트워크에 있는 개발자나 운영자가 VPC 내부에 있는 VM 자원까지 접근합니다.
구성 절차 요약
- Public subnet 에 NAT IP가 포함된 VM을 만들고, VPN Port 및 관리 Port 를 확인하여 VPC 와 VM 앞단의 방화벽에 정책 오픈 합니다. (표1, 표2)
- OpenVPN 기반의 Open 솔루션 설치 installer scripts 를 다운로드 받아 설치 및 구성을 합니다. (하기 URL 활용해 설치 및 구성)
- 설치가 끝나면, 이용자가 접속을 할 수 있도록 user profile 을 만들어 제공합니다.
- profile을 제공받은 이용자는 PC 에 OpenVPN Connect 를 설치하고 profile 을 import 하여 접속환경을 완성합니다.
- OpenVPN Connect 를 실행하여 VPN을 연결하고, 필요한 자원(Server, LoadBalancer 등)에 접속합니다.
- 아키텍처 다이어그램
이용자단말 : web browser 에서 My IP 를 활용해 공인 IP 확인 (0.0.0.0/0)
SSL VPN VM Server IP : 192.168.10.0/24 (NAT IP : A.B.C.D)
WEB Server IP : 192.168.20.0/24
App Server IP : 192.168.100.0/24
OpenVPN 설치전 준비사항
- SSL VPN 설치용 VM 생성
OpenVPN 설치할 Virtual Server를 위해 독립된 가상네트워크 VPC를 가장 먼저 만들어야 합니다.
또한 Internet 연결이 가능하도록 Internet Gateway(이하 IGW)를 VPC에 연결하고, Virtual Server는 Public subnet에 수용하도록 서브넷을 구성합니다.
OpenVPN Public Endpoint로 사용할 NAT IP Address 1개를 Public IP Address로 미리 예약해 사용하는 것을 권고합니다
- 외부에서 접속 자원 현황 : 수량 및 공인 IP대역
- SCP 내부 접속 자원 현황 : VPC / Public Subnet / Security Group / 목표 자원 IP / Peering 등
- 연동 접속 방화벽 허용 : VPC FW, SG#1, SG#2, SG#3
- SSL VM 으로 접속 위한 Security Group 생성
Virtual Server 트래픽을 제어하는 가상 방화벽 Security Group을 만들어, OpenVPN의 트래픽 제어하는 룰을 추가합니다.
아래 룰 중에서 원격접속(SSH)을 위한 인바운드 룰과 리눅스 패키지 다운로드를 위한 아웃바운드 룰은 웹 서비스 구성이 완료되었다면 삭제하는 것이 좋습니다.
| No | Direction | Services | Target IP | Description | |
| 1 | Inbound | UDP | 1194 | 0.0.0.0/0 | OpenVPN SSL VPN |
| 2 | Inbound | TCP | 22 | A.B.C.D | Remote access to server from A.B.C.D |
| 3 | Outbound | TCP | 80,443 | 0.0.0.0/0 | Package download for Linux |
<표1>
- VPC의 IGW FW 정책
IGW를 만든 후에는 IGW Firewall이 자동으로 만들어지며, 그 방화벽에 Web Server(Public Subnet)의 Inbound/Outbound 트래픽 제어 정책을 추가합니다.
다만 웹 서비스 가속을 위해 Global CDN을 연동을 고려하는 경우, HTTP/HTTPS 서비스 트래픽은 CDN Edge Server가 접속할 수 있도록 열어두어야 합니다.
| No | Source IP | Destination IP | Services | Action | Direction | Description | |
| 1 | 0.0.0.0/0(any) | 192.168.10.0/24 | UDP | 1149 | Allow | Inbound | OpenVPN SSL VPN |
| 2 | A.B.C.D | 192.168.10.0/24 | TCP | 22 | Allow | Inbound | Remote access to server |
| 3 | 192.168.10.0/24 | 0.0.0.0/0(any) | TCP | 80,443 | Allow | Outbound | Package download |
<표2>
- OpenVPN 설치
- . SSLVPN VM에 접속하여 Installer 다운로드 및 설치
# sudo su -
# wget https://raw.githubusercontent.com/Angristan/openvpn-install/master/openvpn-install.sh
# chmod a+x openvpn-install.sh
# ./openvpn-install.sh
- 상세 설치 방법 (install 및 setting scripts 수행방법 확인)
출처 : https://github.com/angristan/openvpn-install
출처 : https://openvpn.net/client/client-connect-vpn-for-windows/
'Network-Security' 카테고리의 다른 글
| VPN 연동위한 서버 routing 설정 방법 (1) | 2024.01.07 |
|---|---|
| 방화벽 State ful 과 State less 이해 (0) | 2024.01.03 |
| Cloud LAN-Data Center (0) | 2023.12.24 |
| Networking Service (0) | 2023.12.24 |
| SECRET VAULT (0) | 2023.12.17 |