기본 콘텐츠로 건너뛰기

AWS에서 VM을 Gateway서버로 사용하기 - 텔레워크의 기초

요즘 텔레워크가 많아지면서 가장 큰 이슈가 보안 이슈이다.

이 중에서 특정 IP에서만 작업이 가능한 환경이 많다.
이 때문에 VPN을 준비해줄 여력이 없는 작은 기업 또는 프리랜서들은 자신만의 고정 IP가 필요한 상황이다. 

이 경우 AWS에서 VM을 생성하여 VPN설정을 하는 경우가 많은데, 
가장 많이 걸리는 경우가 
일반적인 VPN프로토콜을 사용하는 경우 
1723 Port외에 GRE Port를 오픈해 주어야 한다. 
하지만 AWS에서는 GRE Port를 개방해 주지 않아서 멈춘다. 

그렇다고 VPC를 direct connect를 이용하여 무지 비싸지게 구성할 수는 없다. 

이 경우 openvpn만을 이용하여 UDP로 빠르게 구성할 수 있다. 

우선 AWS에서 ubuntu vm을 small로 작은 것을 만들자. 
그리고 openvpn인스톨

$ sudo apt install binutils
$ sudo yum -y install openvpn

그 뒤에는 조금 복잡하지만 그냥 아래 커맨드를 복붙으로..

$ wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.6/EasyRSA-unix-v3.0.6.tgz
$ tar -xvzf EasyRSA-unix-v3.0.6.tgz
$ sudo mv EasyRSA-v3.0.6 /usr/local/EasyRSA
$ cd /usr/local/EasyRSA/
$ cp -p vars.example vars
$ vi vars

set_var EASYRSA_CERT_EXPIRE     3650

$ cd /usr/local/EasyRSA/
$ ./easyrsa init-pki
$ ./easyrsa build-ca
$ ./easyrsa gen-dh
$ ./easyrsa build-server-full server nopass
$ ./easyrsa build-client-full client1 nopass

중간에 vi vars는 그 아래의 EASYRSA_CERT_EXPIRE값을 3650으로 수정하면 10년 동안 끊기지 않는다는 얘기다. 

그 아래쪽은 설정하는 부분인데 비번 설정하라고 할 때 설정을 해두면 계속 물어볼 때 같은 비번 입력하면 된다. 

이렇게 하면 준비는 되었고, 만들어진 파일을 필요한 곳으로 복사

$ sudo cp pki/ca.crt /etc/openvpn/
$ sudo cp pki/issued/server.crt /etc/openvpn/
$ sudo cp pki/private/server.key /etc/openvpn/
$ sudo cp pki/dh.pem /etc/openvpn/dh2048.pem
$ sudo gzip -d /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz
$ sudo cp -p /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/server.conf


복사가 끝났으면 서버 설정파일을 수정

$ sudo vi /etc/openvpn/server.conf

수정 없이 그대로 해도 되는데, 포트 수정등을 해두면 좋다. 
게이트웨이로 사용할 것이기 때문에, 내가 접속하고픈 서버들은 push해둔다. 

push "route 211.239.151.0 255.255.255.0"

나중에 VPN접속시 해당 서버들은 VPN을 경유해서 접속하게 된다. 

VPN서버를 시작하고 상시 기동으로 설정

$ sudo systemctl start openvpn
$ sudo systemctl enable openvpn
$ sudo systemctl status openvpn

서버 작업은 끝..


클라이언트를 내려 받는다. 


서버에서 설정했던 파일들을 클라이언트로 내려받는다. 위치는 프로그램을 기동한 뒤에 트레이에서 설정을 눌러보면 config의 디렉토리가 보인다. 그 곳으로 복사.

ta.key
ca.crt
client.crt
client.key

참고로, Winscp같은걸로 받으면 편하게 내려받을 수 있다. 

openvpn의 샘플 클라이언트 파일을 복사해서 위의 ca.crt파일이 있는 디렉토리에 넣는다. 샘플 파일인 client.ovpn파일은 아래 위치에 있다. 

C:\Program Files\OpenVPN\sample-config

client.ovpn파일에서 접속 위치를 수정한다. 

remote 211.239.151.11 1194

그리고서 접속을 시도하면 성공!
VPN접속후 VPN IP가 허용하는 다른 서버에 접속 가능한지 확인해보자.



giip :: Free mixed RPA orchestration tool! 
https://giipasp.azurewebsites.net/

댓글

이 블로그의 인기 게시물

Alter table 에서 modify 와 change 의 차이 :: SQL Server

두 개의 차이를 모르는 경우가 많아서 정리합니다.  modify는 필드의 속성값을 바꿀때 사용하구요.. change는 필드명을 바꿀떄 사용합니다.  alter table tbbs modify bNote varchar(2000) NULL; alter table tbbs change bNoteOrg bNoteNew varchar(2000) NULL; change에는 원래 필드와 바꾸고 싶은 필드명을 넣어서 필드명을 바꾸는 것이죠~ 더 많은 SQL Server 팁을 보려면  https://github.com/LowyShin/KnowledgeBase/tree/master/wiki/SQL-Server giip :: Control all Robots and Devices! Free inter-RPA orchestration tool! https://giipasp.azurewebsites.net/

책에서는 안 알려주는 대규모 트래픽을 위한 설계

음성 버전 :  https://www.youtube.com/watch?v=ZZlW6diG_XM 대규모 트래픽을 커버하는 첫 페이지 만드는 법..  보통 DB를 연결할 때 대규모 설계는 어떻게 하시나요?  잘 만들었다는 전제 하에 동접 3000명 이하는  어떤 DBMS를 사용해도 문제 없이 돌아갑니다.  여기서 이미 터졌다면 이 콘텐츠를 보기 전에 DB의 기초부터 보셔야 합니다.  아.. 개발 코드가 터졌다구요? 그럼 개발자를 때리셔야지요..  만약 3000명을 넘겼다면? 이제 Write/Read를 분리해서  1 CRUD + n개의 READ Replica를 만들겠죠?  보통 Read Replica는 5개가 최대라고 보시면 됩니다.  누가 연구한 자료가 있었는데...  6번째 레플리카를 만든느 순간 마스터가 되는 서버의 효율 저하 때문에  5번째에서 6번쨰로 올릴때의 성능이 급격히 줄어든다는 연구 결과가 있습니다.  때문에 Azure에서도 replica설정할 때 5대까지 밖에 설정 못하게 되어 있지요.  유저의 행동 패턴에 따라 다르긴 하지만,  1 CRUD + 5 Read Replica의 경우 동접 15000명 정도는 커버 합니다.  즉, 동접 15000명 에서 다시 터져서 저를 부르는 경우가 많지요..  이 때부터는  회원 DB, 게시판DB, 서비스DB, 과금 DB 등등 으로 성격, 서로의 연관도에 따라 나누기 시작합니다.  물리적으로 DB가 나눠지면 Join을 못하거나 Linked Table또는 LinkDB등의 연결자를 이용해서 JOIN이 되기도 합니다.  그에 따라 성능 차이가 생기지만 가장 중요한 포인트는  서로 다른 물리적 테이블의 JOIN은 인덱스를 타지 않는다!  라는 것입니다. 즉, JOIN할 테이블들을 최소한으로 만든 뒤에 JOIN을 걸지 않으면 NoSQ...

BI의 궁극판! Apache Drill을 써보자!

사실 Apache Drill 은 BI(Business Intelligence)라고 부르는 것 보다는 단순 데이터 연결 엔진이다. https://drill.apache.org/ 하지만 내가 왜 극찬을 하느냐면.. DBA로서 항상 문제가 되어왔던게, 이기종 데이터의 변환이나 처리였다. 포맷을 맞추는데 엄청난 시간이 걸리고, 데이터 임포트 실패가 무수하게 나고.. 한 번 잘못 데이터를 추출하면 다시 조정, 변환, 추출하는데 시간이 많이 걸린다. 그런데! Apache Drill은 그냥 RDB를 CSV랑 연결해서 조인해서 통계를 낼 수 있다. 그것도 표준 SQL을 사용하여! 예를 들어, CSV의 세 번째 컬럼이 price 이고, 물건의 판매이력을 PG사에서 CSV로 출력 받았다. 우리 DB와의 검증을 위해서는 수동으로 Import를 한 뒤에 포맷이 안맞아 잘리는 데이터가 있다면 다시 맞춰주고, 재 임포트를 수십 번, 그리고 나서 겨우 들어간 데이터를 조인하여 빠진 데이터를 분간한다. 숫자가 적다면 개발자가 개발로 처리할 수도 있지만, 건수가 하루에 300만건 짜리라면.. 한 달 온 파일은 9천만 건이다. 프로그램으로 고작 처리하는 것이 초당 500건. 거의 20만초, 에러 없이 약 56시간.. 에러가 생기면 다시 56시간.. ㅠㅡㅠ 이런게 현실이기 때문에 쿼리 말고는 방법이 없다. apache drill 의 진면목을 보자! 이번에는 좀 범용 적인 MySQL DB와 붙여 보자. . 난 이번에는 Mac에서 작업을 했기 때문에 그냥 다운 받아서 풀었음.. https://drill.apache.org/download/ 여기서 자기 OS에 맞는 버전을 받아서 설치하시길.. 압축을 풀고 나면 MySQL 커넥터를 붙여야 한다. https://dev.mysql.com/downloads/connector/j/5.1.html 여기서 다운로드 이런 커넥터 들을 붙일 때마다 콘피그를 수정해 줘야 하지만, 몇 번만...