Day 53 - Bastion host, BGP, VPN

오늘 배운 내용

- Bastion host, BGP

- VPN

---

BGP, Bastion host

인터넷을 이용하기위해 ISP (Internet Service Provider) 기업들은 ip를 사서 고객들에게 제공한다 

 

IP에는 제공하는 기업의 Autonomous Number가 존재하고 이를통해 사용자들은 어디에서 ip를 제공받는지 알 수있다 

 

아래 링크에 접속하여 내 ip를 어디서 제공하는지 알 수 있다 

KISA 후이즈검색 whois.kisa.or.kr

나는 엘지 인터넷을 쓰고있다,,!

 

우리나라 각 기업을 예시로 보면 

LG, KT, SK 와 같은 ip제공자들을 AS(Autonomous System)라고 하고 이들은 각자 안에 존재하는 라우터들의 경로를 정하는 라우팅 테이블을 가지고 있다 

lg는 lg끼리 통신할 것이 아니기때문에, 각 AS별라우팅 테이블을 공유할 수 있는 방법이 필요한데

이때 정적으로 라우팅 정보를 추가하는 방법과 , 프로토콜을 통해 자동으로 정보를 주고받는 방법이 있다 

자동으로 라우팅 정보를 주고받는 프로토콜이 BGP 이다

 

라우팅 정보를 주고받는 프로토콜의 종류 

• OSFP:  도메인 내 라우팅 프로토콜 , 링크상태 라우팅 사용
• BGP: 도메인 간 라우팅 프로토콜, 경로 벡터 라우팅 사용

👇 더 자세한 BGP 내용

BGP의 개념 (Border Gateway Protocol)

 

인터넷은 아주 많은 라우터의 모임이라고 할 수 있다 

 

우리집에서 google로 가는 데이터를 따라가보면 여러개의 라우터를 거쳐 들어가는것을 볼 수 있다

 

시나리오 

GCP VM1 (공인ip, 사설 ip 모두 가짐)

AWS s-1 (공인ip, 사설 ip 모두 가짐), s-2 (사설 ip만 가짐)

 

VM1과 s-1은 공인ip로 서로 통신할 수 있지만 VM1과 s-2가 통신하고 싶다면 어떻게 해야할까?

 

1. Bastion host를 이용한다 

s-1을 bastion host로 정해고, 포트포워딩을 통해 s-2까지의 연결이 가능하게 한다

bastion host에서 다음을 입력하여 2222 포트로 접근했을때 s-2로 연결되도록 한다

ssh -i key.pem -N -L 2222:s-2-ip:22 e2c-user@s-1-ip

VM1에서 다음 입력 - 접근 됨

ssh -i key.pem -p 2222 ec2-user@localhost

이때 s-1을 bastion host or Jumping host라고 한다

 

DB서버는 외부 접근을 막기위해 공인 ip를 가지고 있지 않는 경우가 대부분이며, 보안이 예민한 정보를 다루는 서버는 bastion host 로 접속하는 경우가 많다 

 

👇 더 자세한 내용 참고

[하루 3분 IT] 배스천 호스트 (Bastion Host)

 

 

다른 방법은 VPN을 이용하는 방법이다

 

VPN

VPN은 인터넷을 이용하여 고비용의 사설망을 대체하는 효과를 얻기 위한 기술로 인터넷망과 같은 공중망을 사용하여 둘 이상의 네트워크를 안전하게 연결하기 위하여 가상의 터널을 만들고 암호화된 데이터를 전송할 수 있도록 구성된 네트워크라고 정의할 수 있으며 공중망 상에서 구축되는 논리적인 전용망이라고 할 수 있다.

-> 출처 http://gotocloud.co.kr/?p=1280 

 

VPN은 사설망끼리의 연결을 위해 사용할 수 있다!

 

vpn 원리 쉽게 이해하기(초보자도 이해할 수 있습니다.)

 

VPN이 사설망끼리 통신이 가능한 이유

데이터는 VPN 망을 통신하며 공인 ip로 캡슐화 되어지고 상대방 ip에 도착했을때 de캡슐화 되어 최종 목적지에 찾아갈 수 있다 

 

오늘의 실습

AWS와 GCP VPC를 VPN으로 연결하고 각 벤더의 vm에서 서로 vm에 연결해본다

이때 사설망끼리의 연결도 가능한지 확인한다

 

미니과제 

- VPN이 연결된 VPC에 k8s cluster를 만든다 (gke)

- aws RDS를 만들고 이를 3tier db로 사용한다 

 

오늘과제와 실습은 메뉴얼로 정리할 예정이다 .. 실습은 따라가느라 정리를 못해서 다시 천천히 복습하며 실습 정리를 해야할 것 같다!

+ nginx, was의 경우 달라지는 내용이 없어 어제 과제한 yml파일을 수정하지 않고 사용하고자 했는데 nginx pod가 계속 생성되지 않았다 ..

nfs로 log를 따로 저장하게 설정해 놓았는데 nfs가 cluster를 만든 vpc에 있지 않아서 그런것이었다 

 

오늘의 회고

• 주말이다,,

나 같다..