VPC 네트워크를 피어 네트워크에 연결하는 Cloud Router 만들기

Cloud Router에서 Virtual Private Cloud(VPC) 네트워크와 피어 네트워크 간에 경로를 동적으로 교환하도록 설정하는 방법을 알아봅니다. 피어 네트워크는 온프레미스 네트워크, AWS 또는 Azure와 같은 다른 클라우드 제공업체에서 호스팅하는 네트워크, Google Cloud의 다른 VPC 네트워크일 수 있습니다.

Cloud Router를 사용하여 VPC 네트워크를 피어 네트워크와 연결하려면 다음 상위 작업을 완료해야 합니다.

  1. Cloud Router를 만듭니다.
  2. Google Cloud에서 네트워크 연결 제품을 설정합니다.
  3. 피어 네트워크의 라우터로 경계 게이트웨이 프로토콜(BGP) 세션을 설정합니다.

Cloud Router를 만들 때 기본 공지 모드 또는 커스텀 공지 모드를 사용할 수 있습니다. 기본적으로 Cloud Router는 리전별 동적 라우팅의 경우 해당 리전의 서브넷에 공지하고, 글로벌 동적 라우팅의 경우 VPC 네트워크의 모든 서브넷에 공지합니다. 커스텀 공지 모드를 사용하면 외부 정적 IP 주소 또는 특정 CIDR 범위와 같이 Cloud Router 공지를 라우팅하는 항목을 선택할 수 있습니다.

자세한 내용은 Cloud Router 개요의 경로 공지 모드를 참조하세요.

시작하기 전에

이 가이드의 명령줄 예시를 사용하려면 다음을 수행하세요.

  1. 최신 버전의 Google Cloud CLI를 설치하거나 업데이트합니다.
  2. 기본 리전 및 영역을 설정합니다.

이 가이드의 API 예를 사용하려면 API 액세스를 설정합니다.

Cloud Router 만들기

Cloud Router를 만들려면 다음 단계를 따르세요.

Console

  1. Google Cloud Console에서 Cloud Router 만들기 페이지로 이동합니다.

    Cloud Router 만들기로 이동

  2. Cloud Router의 세부정보를 지정합니다.

    • 이름: Cloud Router의 이름입니다. 이 이름은 Google Cloud 콘솔에 표시되며 Google Cloud CLI에서 Cloud Router를 참조하는 데 사용됩니다(예: my-router).
    • 설명(선택사항): Cloud Router에 대한 설명입니다.
    • 네트워크: 연결할 인스턴스가 포함된 VPC 네트워크입니다(예: my-network).
    • 리전: Cloud Router를 찾으려는 리전입니다(예: asia-east1).
    • Google ASN: 구성하는 Cloud Router의 비공개 ASN(64512-65534, 4200000000-4294967294)입니다. ASN은 동일한 리전 및 네트워크에서 피어 ASN으로 아직 사용하고 있지 않은 모든 비공개 ASN일 수 있습니다(예: 65001). Cloud Router를 사용하려면 비공개 ASN을 사용해야 합니다. 하지만 온프레미스 ASN은 16비트 또는 32비트 값을 사용할 수 있는 공개 또는 비공개 ASN일 수 있습니다.
    • BGP 피어 연결 유지 간격: 피어 라우터로 전송되는 두 개의 연속 BGP 연결 유지 메시지 사이의 간격입니다. 이 값은 간격의 초 단위 값을 지정하는 20~60 사이의 정수여야 합니다. 기본값은 20초입니다. 자세한 내용은 BGP 타이머 관리를 참조하세요.

  3. 선택사항: 커스텀 공지 경로를 지정하려면 공지된 경로 섹션으로 이동합니다. 다음 단계에 대한 자세한 내용은 커스텀 공지 모드를 참조하세요.

    1. 커스텀 경로를 지정하려면 커스텀 경로 만들기를 선택합니다.
    2. Cloud Router에서 보이는 서브넷을 공지할지 선택합니다. 이 옵션을 사용 설정하면 Cloud Router의 기본 동작을 모방합니다.
    3. 공지된 경로를 추가하려면 커스텀 경로 추가를 선택한 후 구성합니다.

  4. 설정을 저장하고 Cloud Router를 만들려면 만들기를 클릭합니다. 새 Cloud Router가 Cloud Router 등록 페이지에 나타납니다. 세부정보를 보고 BGP 세션을 구성하려면 해당 세션을 선택합니다.

gcloud

  • 연결하려는 인스턴스가 포함된 리전에서 Cloud Router를 만들려면 create 명령어를 실행합니다.

    gcloud compute routers create ROUTER_NAME \
    --project=PROJECT_ID \
    --network=NETWORK \
    --asn=ASN_NUMBER \
    --region=REGION

    다음을 바꿉니다.

    • ROUTER_NAME: Cloud Router의 이름
    • PROJECT_ID: Cloud Router가 포함된 프로젝트의 프로젝트 ID
    • NETWORK: 연결하려는 인스턴스가 포함된 VPC 네트워크
    • ASN_NUMBER: 온프레미스 네트워크에서 아직 사용하지 않는 비공개 ASN(64512-65534, 4200000000-4294967294)입니다. Cloud Router를 사용하려면 비공개 ASN을 사용해야 하지만 온프레미스 ASN은 공개 또는 비공개일 수 있습니다.
    • REGION: Cloud Router를 찾을 리전입니다. Cloud Router는 현재 위치한 리전의 모든 서브넷을 공지합니다.

  • 커스텀 공지 모드에서 Cloud Router를 만들려면 --advertisement-modecustom으로 설정하고 --set-advertisement-ranges 플래그와 --set-advertisement-groups 플래그를 사용하여 커스텀 공지 경로를 지정합니다.

    --set-advertisement-ranges 플래그는 CIDR 범위 목록을 허용합니다. --set-advertisement-groups 플래그는 Cloud Router가 동적으로 공지하는 Google 정의 그룹을 허용합니다. 현재 유일하게 유효한 값은 all_subnets로, VPC 네트워크의 동적 라우팅 모드에 따라 서브넷을 공지합니다(기본 공지와 비슷함).

    다음 예시에서는 서브넷과 커스텀 IP 범위 1.2.3.46.7.0.0/16을 공지합니다.

    gcloud compute routers create ROUTER_NAME \
    --project=PROJECT_ID \
    --network=NETWORK \
    --asn=ASN_NUMBER \
    --region=REGION \
    --advertisement-mode custom \
    --set-advertisement-groups all_subnets \
    --set-advertisement-ranges 1.2.3.4,6.7.0.0/16

  • BGP 피어에 대한 연결 유지 타이머를 설정하려면 피어 라우터로 전송되는 BGP 연결 유지 메시지 사이의 간격을 설정하는 --keepalive-interval 옵션을 사용합니다. 이 값은 간격의 초 단위 값을 지정하는 20~60 사이의 정수여야 합니다. 기본값은 20초입니다. 자세한 내용은 연결 유지 타이머를 참조하세요.

  • Cloud Router에 BGP 식별자 범위를 할당하려면 --bgp-identifier-range 옵션을 사용하고 크기가 /30 이상인 169.254.0.0/16의 링크-로컬 IPv4 범위를 지정합니다. 예를 들면 169.254.16.16/30입니다. BGP 식별자는 Cloud Router를 고유하게 식별하는 데 사용됩니다. Cloud Router에서 IPv6 BGP 세션(미리보기)을 호스팅하려면 명시적인 32비트 BGP 식별자가 필요합니다.

    하지만 IPv6 BGP 세션의 인터페이스를 처음 구성할 때 Google Cloud에서 사용되지 않은 식별자 범위를 Cloud Router에 자동으로 할당하므로 BGP 식별자 범위 플래그는 필요하지 않습니다.

    BGP 식별자에 특정 IP 범위를 사용하려는 경우 이 옵션만 구성하면 됩니다. 나중에 Cloud Router의 BGP 식별자 범위를 수정할 수도 있습니다. 자세한 내용은 BGP 식별자 범위 구성을 참조하세요.

  • Cloud Interconnect를 통한 HA VPN 배포를 위한 라우터를 만들려면 --encrypted-interconnect-router 옵션을 지정합니다.

    암호화된 Cloud Interconnect에 사용하는 Cloud Router는 특수한 유형의 Cloud Router입니다. 이러한 라우터는 Cloud Interconnect를 통한 HA VPN으로 배포하는 VLAN 연결에서만 사용할 수 있습니다.

Terraform

Cloud Router용 Google Cloud Terraform 모듈을 사용합니다.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 6.0"

  name   = "my-router"
  region = "us-central1"

  bgp = {
    # The ASN (16550, 64512 - 65534, 4200000000 - 4294967294) can be any private ASN
    # not already used as a peer ASN in the same region and network or 16550 for Partner Interconnect.
    asn = "65001"
  }

  project = var.project_id
  network = module.vpc.network_name
}

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요.

API

  • routers.insert 메서드를 사용합니다.

       POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
   {
     "bgp": {
       "asn": "ASN_NUMBER",
       "keepaliveInterval": KEEPALIVE_INTERVAL,
       "identifierRange": BGP_IDENTIFIER_RANGE
     },
     "name": "ROUTER_NAME",
     "network": "NETWORK"
   }

    다음을 바꿉니다.

    • PROJECT_ID: VPC 네트워크가 포함된 프로젝트의 ID입니다.
    • REGION: Cloud Router를 배치할 리전입니다.
    • ASN_NUMBER: 구성 중인 Cloud Router의 비공개 ASN(64512-65534, 4200000000-4294967294)입니다. 이는 동일한 리전과 네트워크에서 피어 ASN으로 아직 사용하고 있지 않은 비공개 ASN일 수 있습니다(예: 65001). Cloud Router를 사용하려면 비공개 ASN를 사용해야 하지만 온프레미스 ASN은 공개 또는 비공개일 수 있습니다.
    • KEEPALIVE_INTERVAL: 2개의 연속 BGP 연결 유지 메시지가 피어 라우터에 전송되는 시간 간격입니다. 이 자리표시자는 선택사항입니다. 이 값은 간격의 초 단위 값을 지정하는 20~60 사이의 정수여야 합니다. 기본값은 20초입니다. 자세한 내용은 Cloud Router의 연결 유지 타이머를 참조하세요.
    • BGP_IDENTIFIER_RANGE: 크기가 /30 이상인 169.254.0.0/16의 링크-로컬 IPv4 범위입니다. 이 자리표시자는 선택사항입니다. 값이 제공되지 않은 경우 Cloud Router에 BGP 식별자가 자동으로 할당됩니다. 자세한 내용은 Cloud Router의 BGP 식별자 범위 구성을 참조하세요.
    • ROUTER_NAME: Cloud Router의 이름입니다. 이 이름은 Google Cloud 콘솔에 표시되며 Google Cloud CLI에서 Cloud Router를 참조하는 데 사용됩니다.
    • NETWORK: 연결하려는 인스턴스가 포함된 네트워크

  • 커스텀 공지 경로를 사용하여 Cloud Router를 만들려면 bgp.advertiseMode 필드를 CUSTOM으로 설정하고 bgp.advertisedGroups[]bgp.advertisedIpRanges[] 필드를 사용하여 공지된 경로를 지정합니다.

    bgp.advertisedIpRanges[] 필드는 CIDR 범위 배열을 허용합니다. bgp.advertisedGroups[] 필드는 Cloud Router가 동적으로 공지하는 Google 정의 그룹을 허용합니다. 현재 유일하게 유효한 값은 ALL_SUBNETS로, VPC 네트워크의 동적 라우팅 모드에 따라 서브넷을 공지합니다(기본 공지 모드와 비슷함).

    다음 예시에서는 서브넷과 커스텀 IP 주소 범위 1.2.3.46.7.0.0/16을 공지합니다.

       POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
   {
     "bgp": {
       "asn": "ASN_NUMBER",
       "advertiseMode": "CUSTOM",
       "advertisedGroups": [
         "ALL_SUBNETS"
       ],
       "advertisedIpRanges": [
         {
           "range": "1.2.3.4",
           "description": "First example range"
         },
         {
           "range": "6.7.0.0/16",
           "description": "Second example range"
         }
       ]
     },
     "name": "ROUTER_NAME",
     "network": "NETWORK"
   }

네트워크 연결 제품 설정

VPC 네트워크와 피어 네트워크 간에 경로를 교환하려면 Cloud Router 외에도 다음 Google Cloud 네트워크 연결 제품 중 최소 하나 이상을 설정해야 합니다.

Cloud Interconnect

Cloud Interconnect 및 Cloud Router를 사용하여 온프레미스 네트워크에 VPC 네트워크를 연결하려면 먼저 Cloud Interconnect 연결을 프로비저닝해야 합니다.

Cloud Interconnect에 연결할 수 있도록 VLAN 연결을 만들 때 Cloud Router와 해당 BGP 세션을 구성합니다. Dedicated Interconnect의 VLAN 연결 만들기Partner Interconnect의 VLAN 연결 만들기를 참조하세요.

Cloud Interconnect를 통한 HA VPN을 배포하는 경우 2개의 Cloud Router를 배포해야 합니다.

  • VLAN 연결에 대해 구성하는 특수한 Cloud Interconnect용 Cloud Router. 이 Cloud Router는 HA VPN 게이트웨이에서 암호화된 트래픽만 VLAN 연결로 보낼 수 있도록 합니다.
  • HA VPN 터널에 구성하는 일반 Cloud Router.

Cloud VPN

HA VPN 및 Cloud Router를 사용하여 VPC 네트워크를 온프레미스 또는 멀티 클라우드 네트워크에 연결하려면 피어 VPN 게이트웨이에 HA VPN 게이트웨이 만들기를 참조하세요.

HA VPN 및 Cloud Router를 사용하여 VPC 네트워크를 다른 VPC 네트워크에 연결하려면 Google Cloud 네트워크 사이에 HA VPN 만들기를 참조하세요.

피어 네트워크에 대한 HA VPN 터널을 만들 때 Cloud Router와 해당 BGP 세션을 구성합니다.

Network Connectivity Center

라우터 어플라이언스를 사용하여 VPC 네트워크를 피어 네트워크에 연결하려면 라우터 어플라이언스 인스턴스 만들기를 참조하세요.

BGP 세션 설정

Cloud Router로 네트워크 연결 제품을 설정할 때 Cloud Router와 피어 네트워크의 라우터 간에 경계 게이트웨이 프로토콜(BGP) 세션을 설정합니다.

같은 Cloud Router를 다른 네트워크 연결 제품과 함께 재사용할 수 있습니다. 하지만 각 BGP 세션은 Cloud Router와 함께 사용하도록 구성한 네트워크 연결 제품(VLAN 연결, Cloud VPN 터널 또는 라우터 어플라이언스 인스턴스)에 대해 고유합니다. 다른 네트워크 연결 제품은 같은 BGP 세션을 사용할 수 없습니다. 경우에 따라 충분한 중복성을 얻기 위해 네트워크 연결 제품의 BGP 세션을 여러 개 설정해야 할 수 있습니다. 예를 들어 HA VPN에서 Cloud Router를 사용할 때 BGP 세션을 여러 개 설정합니다.

Cloud Router와 피어 네트워크의 라우터 간에 BGP 세션을 설정하려면 BGP 세션 설정을 참조하세요.

다음 단계