📌 세미프로젝트 2

1. Hybrid cloud(Public와 Private cloud 연결) - AWS storage 활용하는 방법 (main)
   AWS(EFS) <- VPN -> Openstack(on-prem)
   AWS(S3) <- Storage Gateway -> ESXi(On-Prem)

2. route53 (GSLB : Cross Region , VRRP:이중화 , Failover: Active, Passive(Inactive,standby)

세미프로젝트 망도 - 지난 그림들처럼 route53을 통과해서가는 것이 아님. 인터넷 트래픽을 도와주는 역할.

https://aws.amazon.com/ko/blogs/korea/amazon-route-53-application-recovery-controller/

---

웹페이지 이미지 클라우드 프론트로 배포 가능. 무거운 jpg, 동영상..에 cloudfront로 할 수 있다.

<img src= *.jpg(클라우드 프론트 주소) >

---

직원들의 password, 주소 보안접속. openstack
vpn.

https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/how_it_works.html

https://www.alibabacloud.com/ko/knowledge/what-is-vpn

📌 AWS-GSLB

📙 상태검사 생성 (seoul,tokyo 2개 생성)

✔️route53 - 상태검사 - 상태검사 생성
✔️이름 : active / passive - 모니터링 대상 : 엔드포인트 - 지정기준 : 도메인 이름 - 프로토콜 :HTTPS - 도메인 이름 : seoul.lovemj.shop / tokyo.lovemj.shop - 고급구성

✔️ 고급구성 : 빠름 - 실패 임계값 : 1 - 다음 - 경보생성 : 아니오 - 상태 검사 생성

📙 레코드 생성으로 GSLB

✔️ route53-호스팅영역(lovemj.shop) - 레코드 생성 - 이름 : gslb - 트래픽 라우팅 대상 정보 - 별칭; ALB - 리전 ; 서울 - 생성되어있는 ALB 선택 - 라우팅 정책 : 장애조치 - 장애조치 레코드 유형 : 기본;primary ( active) - 상태확인 ID : active - 레코드 ID : seoul - 다른 레코드 추가

✔️ 이름 : gslb - 트래픽 라우팅 대상 정보 - 별칭; ALB - 리전 ; 도쿄 - 생성되어있는 ALB 선택 - 라우팅 정책 : 장애조치 - 장애조치 레코드 유형 : 보조;secondary ( passive) - 상태확인 ID : passive - 레코드 ID : tokyo - 레코드 생성

📙 GSLB 확인

seoul haproxy 서버 진입해서 아래 명령어 입력 (haproxy중단)

[ec2-user@ip-10-14-47-144 ~]$ sudo systemctl stop haproxy
[ec2-user@ip-10-14-47-144 ~]$

[ec2-user@ip-172-31-4-224 ~]$ sudo systemctl stop haproxy
[ec2-user@ip-172-31-4-224 ~]$

[ec2-user@ip-10-14-47-144 ~]$ sudo systemctl enable --now haproxy

📌 openstack - AWS VPN 연결

📙 동일 네트워크(강의실) 내 다른 서버와 내부 IP로 통신하기

✔️ 인스턴스에 유동 IP연결 후 mobaxterm으로 진입

✔️ 짝꿍이랑 서로 유동 IP로 ping쳐보고, 아래와 같이 라우터 정적경로 추가.

짝꿍 9.216 라우터 extnernal IP
10.124.0.0/24

✔️ 짝꿍 내부 ip로 ping나감.

[centos@centos7 ~]$ ping 10.124.0.59
PING 10.124.0.59 (10.124.0.59) 56(84) bytes of data.
64 bytes from 10.124.0.59: icmp_seq=1 ttl=62 time=2.82 ms
64 bytes from 10.124.0.59: icmp_seq=2 ttl=62 time=3.59 ms
64 bytes from 10.124.0.59: icmp_seq=3 ttl=62 time=2.46 ms

📙 AWS VPN - G/W

✔️ aws vpc - vpn - 고객 게이트웨이(생성되어있음
-> [custom G/W]

✔️ aws vpc - vpn - 가상 프라이빗 게이트웨이(MY-VGW 생성되어있으나 detached) - 선택 - 작업 - VPC에 연결 - 사용가능한 VPC: MY-VPC - VPC에 연결

-> [VP G/W]

📙 openstack libreswan

Libreswan은 "IPsec" 및 인터넷 키 교환 ( "IKE" ) 을 사용하여 가장 널리 지원되고 표준화된 VPN 프로토콜의 무료 소프트웨어 구현입니다 . 이러한 표준은 IETF ( Internet Engineering Task Force )에서 생성 및 유지 관리합니다.

openstack 서버 IP로 mobaxterm 접속

# dnf install -y libreswan
# systemctl enable --now ipsec


# vi /etc/sysctl.conf
//원래 있는 것에 추가하기
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
:wq

//네 줄 한번에 복사해서 넣기
#for vpn in /proc/sys/net/ipv4/conf/*;
do echo 0 > $vpn/accept_redirects;
echo 0 > $vpn/send_redirects;
done


# sysctl -p

📙 AWS VPN - VPN CONNECTION

✔️ 0. aws vpc - vpn - site to stie VPN 연결 - VPN연결 생성 클릭

✔️ 1. 이름 : MY-VPN - 유형 : 가상 프라이빗 게이트웨이 ; MY-VGW [VPGW 와 VPNconnection을 잇는 라인 연결] - 고객게이트 웨이 : 기존 - 고객 게이트웨이 ID : MY-CGW [ VPNconnectionr과 customGW을 잇는 라인 연결]

✔️ 1-1. 라우팅 옵션 ; 정적 (실습이 아닌 경우에 동적) - 고정 IP접두사 : 192.168.0.0/20 학원 공유기 IP 범위 - 로컬(학원) IPv4 네트워크 CIDR : 192.168.0.0/20(적지 않으면 anywhere) - 원격(aws) IPv4 네트워크 CIDR : 10.14.0.0/16 - VPN연결 생성 클릭

✔️2. MY-VPN체크 - 구성 다운로드 클릭 - 공급 업체 : openswan - 플랫폼 : openswan - 소프트웨어 : openswan 2.6.38+ - 다운로드

=> 다운로드 된 텍스트 파일 참고하여 오픈스택과 vpn연결

📙 openstack 연결(mobaxterm)

# vi /etc/ipsec.d/aws.conf
conn Tunnel1
        authby=secret
        auto=start
        left=%defaultroute
	leftid=123.142.252.25 //학원 public IP
	right=13.209.79.101 // 내려받은txt에 있는 right 값
        type=tunnel
        ikelifetime=8h
        keylife=1h
        phase2alg=aes128-sha1;modp1024
        ike=aes128-sha1;modp1024
        keyingtries=%forever
        keyexchange=ike
	leftsubnet=192.168.0.0/20 // 학원내부
	rightsubnet=10.14.0.0/16 // aws
        dpddelay=10
        dpdtimeout=30
        dpdaction=restart_by_peer
        overlapip=yes

conn Tunnel2
        authby=secret
        auto=start
        left=%defaultroute
	leftid=123.142.252.25
	right=15.165.154.217 // 내려받은txt에 있는 tunnel2 right값 
        type=tunnel
        ikelifetime=8h
        keylife=1h
        phase2alg=aes128-sha1;modp1024
        ike=aes128-sha1;modp1024
        keyingtries=%forever
        keyexchange=ike
	leftsubnet=192.168.0.0/20
	rightsubnet=10.14.0.0/16
        dpddelay=10
        dpdtimeout=30
        dpdaction=restart_by_peer
        overlapip=yes



# vi /etc/ipsec.d/aws.secrets
123.142.252.25 13.209.79.101: PSK "kAXaCKxlWfIhKtF.5Aj7adS4SE0PfOVo"
123.142.252.25 15.165.154.217: PSK "kxt1MKcPn3m0kc3BwLddBIyPaj7LSMYy"


systemctl restart ipsec
[root@localhost ~]# systemctl status ipsec

✔️ 터널 상태 확인

📙 AWS EC2- 라우팅 테이블

✔️ MY PUBLIC SUBNET RTB - 라우팅 - 라우팅 편집 - 라우팅 추가 - 대상 : 192.168.0.0/20- 가상프라이빗게이트웨이(MY-VGW) - 변경 사항 저장

✔️ MY PRIVATE SUBNET RTB - 라우팅 - 라우팅 편집 - 라우팅 추가 -대상 : 192.168.0.0/20- 가상프라이빗게이트웨이(MY-VGW) - 변경 사항 저장

📙 openstack 대시보드

프로젝트 - 네트워크 - 라우터 - router - 정적 경로 - 정적 경로 추가 - 대상: 10.14.0.0/16 - 다음 홉 : OPENSTACK IP ( libreswan을 설치한 서버의 IP)

오픈스택 CLI에서

[root@localhost ~]# iptables -F
[root@localhost ~]# systemctl restart ipsec

📙 VPN연결 확인

✔️aws 보안그룹 SG-WEB에 ICMPipv4 인바운드 규칙 확인. ( 안되어있으면 추가하기)
✔️aws seoul(HA-seoul 아님) 퍼블릭 IP 복사하여 mobaxterm접속

✔️seoul 서버에서 openstack에서 생성한 server(centos7)인스턴스 플로팅 IP(외부IP)로 핑 쳐보고,
sever에서 seoul 내부 IP로 ping 나가는지 확인.

[ec2-user@ip-10-14-1-91 ~]$ ping 192.168.4.158
PING 192.168.4.158 (192.168.4.158) 56(84) bytes of data.
64 bytes from 192.168.4.158: icmp_seq=14 ttl=62 time=5.51 ms
64 bytes from 192.168.4.158: icmp_seq=15 ttl=62 time=5.27 ms
64 bytes from 192.168.4.158: icmp_seq=16 ttl=62 time=5.36 ms


[centos@centos7 ~]$ ping 10.14.1.91
PING 10.14.1.91 (10.14.1.91) 56(84) bytes of data.
64 bytes from 10.14.1.91: icmp_seq=1 ttl=252 time=5.55 ms
64 bytes from 10.14.1.91: icmp_seq=2 ttl=252 time=6.42 ms
64 bytes from 10.14.1.91: icmp_seq=3 ttl=252 time=5.78 ms

📙✔️✏️📢⭐️📌

📌 기타

⭐️ openswan ; libre swan

⭐️ PSK pre share key

openstack VPN접속시 필요한 key