Cloud Interconnect를 통한 HA VPN 개요

Cloud Interconnect를 통한 HA VPN을 사용하면 Dedicated Interconnect 또는 Partner Interconnect 연결을 통과하는 트래픽을 암호화할 수 있습니다. Cloud Interconnect를 통한 HA VPN을 사용하려면 VLAN 연결을 통해 HA VPN 터널을 배포합니다.

Cloud Interconnect를 통한 HA VPN을 사용하면 비즈니스의 전반적인 보안을 개선하고 기존 및 예정된 산업 규정을 준수할 수 있습니다. 예를 들어 애플리케이션에서 나가는 트래픽을 암호화하거나 서드 파티를 통해 전송 중인 데이터를 암호화해야 할 수 있습니다.

이러한 요구사항을 충족할 수 있는 많은 옵션이 있습니다. 암호화는 OSI 스택의 여러 레이어에서 수행할 수 있지만 일부 레이어는 보편적으로 지원되지 않을 수 있습니다. 예를 들어 전송 계층 보안(TLS)이 모든 TCP 기반 프로토콜에 지원되지는 않으며 모든 UDP 기반 프로토콜에서는 Datagram TLS(DTLS) 사용 설정이 지원되지 않을 수 있습니다. 한 가지 해결책은 IPsec 프로토콜을 사용하여 네트워크 레이어에서 암호화를 구현하는 것입니다.

해결책이 될 수 있는 Cloud Interconnect를 통한 HA VPN에는 Google Cloud 콘솔, Google Cloud CLI, Compute Engine API를 사용하여 배포 도구를 제공할 수 있는 이점이 있습니다. HA VPN 게이트웨이에 내부 IP 주소를 사용할 수도 있습니다. Cloud Interconnect를 통한 HA VPN에 만드는 VLAN 연결은 Private Service Connect 엔드포인트에 대한 연결을 지원합니다. 마지막으로 Cloud Interconnect를 통한 HA VPN에는 기본 구성요소인 Cloud VPN 및 Cloud Interconnect에서 파생된 SLA가 있습니다. 자세한 내용은 SLA를 참조하세요.

또 다른 옵션은 Virtual Private Cloud(VPC) 네트워크에 자체 관리형(Google Cloud 외) VPN 게이트웨이를 만들고 각 게이트웨이에 내부 IP 주소를 할당하는 것입니다. 예를 들어 Compute Engine 인스턴스에서 strongSwan VPN을 실행할 수 있습니다. 그런 다음 온프레미스 환경에서 Cloud Interconnect를 사용하여 이러한 VPN 게이트웨이의 IPsec 터널을 종료합니다. HA VPN 옵션에 대한 자세한 내용은 HA VPN 토폴로지를 참조하세요.

기본 VPN 게이트웨이 및 터널은 Cloud Interconnect를 통해 배포할 수 없습니다.

배포 아키텍처

Cloud Interconnect를 통해 HA VPN을 배포할 때는 다음과 같은 두 가지 운영 계층을 만듭니다.

VLAN 연결과 Cloud Interconnect용 Cloud Router가 포함된 Cloud Interconnect 등급
HA VPN 게이트웨이 및 터널, HA VPN용 Cloud Router가 포함된 HA VPN 등급

각 계층에는 자체 Cloud Router가 필요합니다.

Cloud Interconnect용 Cloud Router는 VLAN 연결 간에 VPN 게이트웨이 프리픽스를 교환하는 데만 사용됩니다. 이 Cloud Router는 Cloud Interconnect 등급의 VLAN 연결에서만 사용됩니다. HA VPN 등급에서는 사용할 수 없습니다.
HA VPN용 Cloud Router는 VPC 네트워크와 온프레미스 네트워크 간에 프리픽스를 교환합니다. 일반 HA VPN 배포와 동일한 방식으로 HA VPN용 Cloud Router와 BGP 세션을 구성합니다.

Cloud Interconnect 등급을 기반으로 HA VPN 등급을 빌드합니다. 따라서 HA VPN 등급을 사용하려면 Dedicated Interconnect 또는 Partner Interconnect를 기반으로 한 Cloud Interconnect 등급이 올바르게 구성되고 작동해야 합니다.

다음 다이어그램은 Cloud Interconnect를 통한 HA VPN 배포를 보여줍니다.

**그림 1.** Cloud Interconnect를 통한 HA VPN의 배포 아키텍처(확대하려면 클릭)

Cloud Interconnect 등급의 Cloud Router에서 학습한 IP 주소 범위는 HA VPN 게이트웨이와 VLAN 연결로 전송되는 내부 트래픽을 선택하는 데 사용됩니다.

장애 조치

다음 섹션에서는 Cloud Interconnect를 통한 HA VPN 장애 조치의 여러 유형에 대해 설명합니다.

Cloud Interconnect 장애 조치

Cloud Interconnect 등급의 BGP 세션이 중지되면 Cloud Interconnect 경로에 대한 해당 HA VPN이 철회됩니다. 이러한 철회로 인해 HA VPN 터널 중단이 발생합니다. 따라서 경로가 다른 VLAN 연결에 호스팅되는 다른 HA VPN 터널로 이동합니다.

다음 다이어그램은 Cloud Interconnect 장애 조치를 보여줍니다.

**그림 2.** Cloud Interconnect를 통한 HA VPN의 Cloud Interconnect VLAN 연결 장애 조치(확대하려면 클릭)

HA VPN 터널 장애 조치

HA VPN 계층의 BGP 세션이 중지되면 일반 BGP 장애 조치가 발생하고 HA VPN 터널 트래픽이 사용 가능한 다른 HA VPN 터널로 라우팅됩니다. Cloud Interconnect 등급의 BGP 세션은 영향을 받지 않습니다.

다음 다이어그램은 HA VPN 터널 장애 조치를 보여줍니다.

**그림 3.** Cloud Interconnect를 통한 HA VPN의 HA VPN 터널 장애 조치(확대하려면 클릭)

SLA

HA VPN은 단일 리전의 IPsec VPN 연결을 사용해 온프레미스 네트워크를 VPC 네트워크에 안전하게 연결할 수 있는 고가용성(HA) Cloud VPN 솔루션입니다. 자체적으로 배포되는 HA VPN에는 올바르게 구성할 경우 자체 SLA가 적용됩니다.

그러나 HA VPN이 Cloud Interconnect에 배포되므로 Cloud Interconnect를 통한 HA VPN의 전체 SLA는 배포하도록 선택한 Cloud Interconnect 토폴로지의 SLA와 일치합니다.

Cloud Interconnect를 통한 HA VPN의 SLA는 배포하도록 선택한 Cloud Interconnect 토폴로지에 따라 다릅니다.

프로덕션 수준 애플리케이션을 위한 멀티 리전 배포

배포에서 멀티 리전 Cloud Interconnect 토폴로지를 사용하는 경우 Cloud Interconnect를 통한 HA VPN 배포에 99.99% SLA가 적용됩니다.
- Dedicated Interconnect는 Dedicated Interconnect를 위한 99.99%의 가용성 설정을 참조하세요.
- Partner Interconnect는 Partner Interconnect를 위한 99.99%의 가용성 설정을 참조하세요.
중요하지 않은 애플리케이션의 단일 리전 배포

배포에서 단일 리전 Cloud Interconnect 토폴로지를 사용하는 경우 Cloud Interconnect를 통한 HA VPN 배포에 99.9% SLA가 적용됩니다.
- Dedicated Interconnect는 Dedicated Interconnect를 위한 99.9%의 가용성 설정을 참조하세요.
- Partner Interconnect는 Partner Interconnect를 위한 99.9%의 가용성 설정을 참조하세요.

가격 책정 요약

Cloud Interconnect를 통한 HA VPN 배포의 경우 다음 구성요소에 대해 요금이 부과됩니다.

Dedicated Interconnect 연결(Dedicated Interconnect를 사용하는 경우)
각 VLAN 연결
각 VPN 터널
Cloud Interconnect 이그레스 트래픽만. HA VPN 터널에서 전달되는 Cloud VPN 이그레스 트래픽에는 요금이 부과되지 않습니다.
외부 IP 주소를 사용하도록 선택한 경우 HA VPN 게이트웨이에 할당된 리전 외부 IP 주소. 그러나 VPN 터널에 사용되지 않은 IP 주소에 대해서만 요금이 청구됩니다.

자세한 내용은 Cloud VPN 가격 책정 및 Cloud Interconnect 가격 책정을 참조하세요.

제한사항

Cloud Interconnect를 통한 HA VPN을 사용하려면 VLAN 연결이 Dataplane v2에서 실행되어야 합니다. Dataplane v2에 대해 검증된 리전 목록은 Dedicated Interconnect의 위치 표 또는 Partner Interconnect의 서비스 제공업체 목록을 참조하세요.
Cloud Interconnect를 통한 HA VPN은 다음과 같은 최대 전송 단위(MTU) 값으로 구분됩니다.
- Cloud Interconnect 게이트웨이 MTU를 통한 HA VPN: 1440바이트입니다.
- Cloud Interconnect 페이로드를 통한 HA VPN: 사용된 암호화에 따라 1,354~1,386바이트입니다. 자세한 내용은 암호화된 트래픽 MTU 값을 참조하세요.
각 HA VPN 터널은 인그레스 및 이그레스 트래픽에 대해 초당 최대 패킷 250,000개를 지원할 수 있습니다. 이는 HA VPN의 제한사항입니다. 자세한 내용은 Cloud VPN 문서의 한도를 참조하세요.
암호화가 사용 설정된 단일 VLAN 연결의 경우 인바운드 및 아웃바운드의 합산된 처리량이 50Gbps로 제한됩니다.
지연 시간 측면에서 Cloud Interconnect 트래픽에 IPsec 암호화를 추가하면

지연이 추가됩니다. 정상 작동 중에 추가되는 지연 시간은 5밀리초 미만입니다.
VLAN 연결을 만들 때 IPsec 암호화를 선택해야 합니다. 기존 연결에 암호화를 나중에 추가할 수 없습니다.
서로 다른 두 개의 물리적 온프레미스 기기에서 VLAN 연결 및 IPsec 터널을 종료할 수 있습니다. VPN 게이트웨이 프리픽스를 공지하고 협상하는 각 VLAN 연결을 통한 BGP 세션이 온프레미스 VLAN 연결 기기에서 종료됩니다. 평소와 같이 클라우드 프리픽스를 공지하는 각 VPN 터널을 통한 BGP 세션이 VPN 기기에서 종료됩니다.
두 Cloud Router의 ASN이 다를 수 있습니다. 온프레미스 기기와 피어링하는 Cloud Router 인터페이스에는 RFC 1918(비공개) IP 주소를 할당할 수 없습니다.
각 VLAN 연결에서 HA VPN 게이트웨이 인터페이스에 하나의 내부 IP 주소 범위만 예약할 수 있습니다.
양방향 전송 감지(BFD)를 사용 설정해도 Cloud Interconnect를 통한 HA VPN 배포에 대한 장애 감지가 더 빠르게 제공되지 않습니다.
Cloud Interconnect를 통한 HA VPN은 IPv4 및 IPv6(이중 스택) HA VPN 게이트웨이를 지원합니다. 이중 스택 HA VPN 게이트웨이를 만들려면 Google Cloud CLI 또는 Cloud Interconnect API를 사용해야 합니다. Google Cloud 콘솔에서는 Cloud Interconnect를 통한 HA VPN 배포 마법사를 사용할 수 없습니다.

다음 단계

Cloud Interconnect를 통한 HA VPN을 배포하는 데 필요한 단계를 수행하려면 Cloud Interconnect를 통한 HA VPN 배포 프로세스를 참조하세요.
Terraform을 사용해 Cloud Interconnect를 통한 HA VPN을 배포하려면

Cloud Interconnect를 통한 HA VPN의 Terraform 예시를 참조하세요.
Cloud Interconnect를 통한 HA VPN을 구성하려면 Cloud Interconnect를 통한 HA VPN 구성을 참조하세요.