송주환 2018-09

Site to site VPN

민사장 2018-09

사실 두대의 ESXi 서버인데, 내부에 가상 스위치를 생성해서 각각 서브넷을 구성한 것입니다.
가상화한 서버끼리 VPN 을 어떻게 구성해야 하는지 궁금합니다.

박경원 2018-09

OpenVSwitch를 쓰면 됩니다!

Films 2018-09

추가 내용을 코멘트를 남기자면 각 서버안에 있는 vm들을 하나의 네트워크로 묶을려면 openvswitch를 쓸경우 vlan이나 아니면 vxlan터널링으로
묶어야 서로 통신이 가능합니다.
단순하고 쉽게 구성을 할려면 openvpn같은 vpn으로 A서버의 VM, B서버의 VM을 openvpn 클라이언트로 네트워크를 묶어서 해야하고
A서버의 전체 VM, B서버 전체의 VM을 같이 네트워크로 묶어야 할 경우에는 위에 언급된 openvswitch같은 걸로 네트워크를 묶어야 합니다.

민사장 2018-09

답변자 님들 감사합니다.
(1) 외부를 거쳐서 가면 IPSec
(2) Openvswitch 를 쓴다면 vlan 또는 vxlan 터널링으로 묶어 통신. A서버의 전체 VM, B서버의 전체 VM을 같이 네트워크로 묶어줌.
(3) 단순하고 쉽게 구성하려면 openvpn 클라이언트로 네트워크를 묶어서 함.

실마리를 주셨으니 구글로 IPSec, Openswitch, openvpn 을 공부해 보고 모르는 것 다시 질문 드리겠습니다.
혹시 팁을 더 주실게 있으면 감사히 받겠습니다. ^^

혹시 별도의 랜카드를 각각 추가로 꽂아야 하는 것인지, 기존의 랜선으로 할수 있는건지 궁금하네요.
하나의 스위치 밑에서 공인 IP 뒤자리만 다르고 나란히 있거든요.

Films 2018-09

추가로 답을 드리자면 openvswtich에서 vlan은 각 서버에서 물려있는 스위치에서 기능이 제공이 되어야 합니다
vxlan으로 구성한다면 하기 이미지처럼 되겠네요
http://lol.pman.biz/wp-content/uploads/2013/08/KVM-VXLAN.png

방법은 여러가지 입니다.각 하이퍼바이져에 pfsense를 설치를 하여 pfsense간에 vpn으로 묶어서 site to site vpn으로 해서 하는 방법도 있고
단순히 vpn서버 하나 두어서 연결이 필요한 VM들만 클라이언트로 연결해서 하나의 네트워크로 묶는 방법도 있고
아예 네트워크 단에서 openvswtich같은걸로 묶어서 하는 방법도 있고
방법은 다양하게 많습니다.

작업의 난이도는 vpn서버 하나두는게 가장 쉽습니다.

박경원 2018-09

공인 IP 이야기를 하셨으니 서버 A와 B가 외부로 노출되어있고 서로 WAN 너머로 닿는다고 가정하겟습니다
우선 떨어진 서버A 안의 레이어 2 네트워크랑 서버 B 안의 레이어 2 네트워크를 연결하는거니
VxLAN을 쓰시면 됩니다. 레이어 2 네트워크를 레이어 4 너머로 Stretch 해 줍니다.
OpenVSwitch를 설치하시고 각각 서버 A와 서버 B를 VxLAN VTEP으로 설정하시면 됩니다.
지금 서버가 가지고 있는 포트를 OVS 브릿지에 물리시고 호스트도 거기다 물리면 되니 새로 장비를 살 필요는 없습니다
스위치도 VxLAN은 L2를 L4로 Encapsulation하니 특별한 장비가 필요없습니다
이 VxLAN이 외부망으로 가니 A와 B사이 연결은 IPSec으로 암호화 하시면 될 것 같습니다

박경원 2018-09

서버 A와 B가 내부가 아니라 외부를 거쳐서 가면 IPSec도 쓰시면 될 것 같습미다

민사장 2018-09

감사합니다.