이 페이지에서는 지원되는 Virtual Private Cloud(VPC) 네트워크 및 라우팅 옵션을 설명합니다.
이 페이지에서 사용되는 용어의 정의는 주요 용어를 참조하세요.
지원되는 네트워크
Cloud VPN은 커스텀 모드 VPC 네트워크, 자동 모드 VPC 네트워크, 레거시 네트워크를 지원합니다. 하지만 다음 권장사항을 고려해야 합니다.
레거시 네트워크 대신 VPC 네트워크를 사용합니다. 이전 네트워크는 서브넷을 지원하지 않습니다. 전체 네트워크가 단일 범위의 IP 주소를 사용합니다. 이전 네트워크는 VPC 네트워크로 변환할 수 없습니다.
커스텀 모드 VPC 네트워크를 사용합니다. 커스텀 모드의 VPC 네트워크에서 서브넷에서 사용되는 IP 주소 범위를 완전히 제어할 수 있습니다.
Cloud VPN을 사용하여 2개의 VPC 네트워크를 연결할 경우 최소한 하나 이상의 네트워크가 커스텀 모드 VPC 네트워크여야 합니다. 자동 모드 VPC 네트워크는 해당 서브넷에 대해 동일한 범위의 내부 IP 주소를 사용합니다.
Cloud VPN을 사용하기 전에 자동 모드 VPC 네트워크 고려사항을 검토하세요. 자동 모드 VPC 네트워크는 네트워크가 추가될 때 새 리전에 새 서브넷을 자동으로 만드는 것을 비롯하여 각 Google Cloud 리전에서 서브넷을 자동으로 만듭니다. Cloud VPN 터널이 연결되는 네트워크에서는 자동 모드 VPC 네트워크에 사용되는 범위의 내부 IP 주소를 사용하지 마세요.
VPN 터널을 위한 라우팅 옵션
기본 VPN은 VPN 터널의 정적 라우팅 옵션을 지원하고 HA VPN은 동적 라우팅 옵션을 지원합니다. 기본 VPN 게이트웨이가 Compute Engine VM 내에서 실행되는 VPN 게이트웨이 소프트웨어에 연결되는 경우에만 동적 라우팅을 사용하는 기본 VPN 터널을 사용할 수 있습니다.
동적 라우팅은 경계 게이트웨이 프로토콜(BGP)을 사용합니다.
동적(BGP) 라우팅
동적 라우팅은 Cloud Router를 통해 BGP를 사용하여 경로 교환을 자동으로 관리합니다. 해당 Cloud VPN 터널과 동일한 리전에 있는 Cloud Router의 BGP 인터페이스가 이 경로 교환을 관리합니다. Cloud Router는 터널을 삭제하고 다시 만들 필요 없이 경로를 추가하고 제거합니다.
VPC 네트워크의 동적 라우팅 모드는 모든 Cloud Router의 동작을 제어합니다. 이 모드는 피어 네트워크에서 학습한 경로가 VPN 터널과 동일한 리전의 Google Cloud 리소스에 적용되는지 또는 모든 리전에 적용되는지 여부를 결정합니다. 피어 라우터 또는 게이트웨이에서 공지하는 경로를 제어합니다.
동적 라우팅 모드는 터널의 리전 또는 모든 리전의 서브넷 경로가 피어 라우터 또는 게이트웨이와 공유되는지 여부도 결정합니다. 이러한 서브넷 경로 외에 Cloud Router에서 커스텀 경로 공지를 구성할 수 있습니다.
정적 라우팅
기본 VPN 터널은 정책 기반 및 경로 기반 정적 라우팅 옵션을 지원합니다. 동적(BGP) 라우팅 또는 HA VPN을 사용할 수 없는 경우에만 정적 라우팅 옵션을 고려하세요.
정책 기반 라우팅: 로컬 IP 범위(왼쪽)와 원격 IP 범위(오른쪽)는 터널 만들기 프로세스의 일부로 정의됩니다.
경로 기반 VPN. Google Cloud Console을 사용하여 경로 기반 VPN을 만들 때는 원격 IP 주소 목록만 지정합니다. 이러한 범위는 VPC 네트워크에서 피어 리소스에 대한 경로를 만들기 위해서만 사용됩니다.
다음 섹션에서는 이러한 두 가지 정적 라우팅 옵션에 대해 자세히 설명합니다.
트래픽 선택기
트래픽 선택기는 VPN 터널 설정을 위해 사용되는 CIDR 블록 또는 IP 주소 범위 집합을 정의합니다. 이러한 범위는 터널을 위한 IKE 협상의 일부로 사용됩니다. 일부 문헌에서는 트래픽 선택기를 암호화 도메인이라고 부릅니다.
트래픽 선택기는 두 가지 유형이 있습니다.
로컬 트래픽 선택기는 VPN 터널을 방출하는 VPN 게이트웨이의 관점에서 로컬 IP 범위(CIDR 블록) 집합을 정의합니다. Cloud VPN 터널에 대해 로컬 트래픽 선택기는 VPC 네트워크의 서브넷에 대해 터널의 왼쪽 측면을 나타내는 기본 및 보조 서브넷 CIDR 범위 집합을 정의합니다.
원격 트래픽 선택기는 VPN 터널을 방출하는 VPN 게이트웨이의 관점에서 원격 IP 범위(CIDR 블록) 집합을 정의합니다. Cloud VPN 터널의 경우 원격 트래픽 선택기는 오른쪽 측면 또는 피어 네트워크입니다.
트래픽 선택기는 IKE 핸드셰이크를 설정하는 데 사용되는 VPN 터널의 고유 부분입니다. 로컬 또는 원격 CIDR 범위를 변경해야 할 경우 Cloud VPN 터널과 해당 피어 터널을 삭제하고 다시 만들어야 합니다.
라우팅 옵션 및 트래픽 선택기
로컬 및 원격 트래픽 선택기의 IP 범위(CIDR 블록) 값은 Cloud VPN 터널에서 사용되는 라우팅 옵션에 따라 달라집니다.
| HA VPN 터널 | |||||
|---|---|---|---|---|---|
| 터널 라우팅 옵션 |
로컬 트래픽 선택기 |
원격 트래픽 선택기 |
VPC 네트워크에 대한 경로 |
피어 네트워크에 대한 경로 |
|
| 동적(BGP) 라우팅 필요 |
항상0.0.0.0/0(IPv4의 경우)또는 0.0.0.0/0,::/0(IPv4 및 IPv6의 경우) |
항상0.0.0.0/0(IPv4의 경우)또는 0.0.0.0/0,::/0(IPv4 및 IPv6의 경우) |
커스텀 광고로 수정되지 않은 한 Cloud VPN 터널의 BGP 인터페이스를 관리하는 Cloud Router는 네트워크의 동적 라우팅 모드와 Cloud Router의 할당량 및 한도에 따라 VPC 네트워크의 서브넷에 대한 경로를 공유합니다. | Cloud VPN 터널의 BGP 인터페이스를 관리하는 Cloud Router는 커스텀 경로 제한과 Cloud Router 할당량 및 한도가 적용되며, 피어 VPN 게이트웨이로 라우터에 전송되는 경로를 학습하고, 이를 VPC 네트워크에 커스텀 동적 경로로 추가합니다. | |
| 기본 VPN 터널 | |||||
| 터널 라우팅 옵션 |
로컬 트래픽 선택기 |
원격 트래픽 선택기 |
VPC 네트워크에 대한 경로 |
피어 네트워크에 대한 경로 |
|
| 동적(BGP) 라우팅 | 항상0.0.0.0/0 |
항상0.0.0.0/0 |
커스텀 광고로 수정되지 않은 한 Cloud VPN 터널의 BGP 인터페이스를 관리하는 Cloud Router는 네트워크의 동적 라우팅 모드와 Cloud Router의 할당량 및 한도에 따라 VPC 네트워크의 서브넷에 대한 경로를 공유합니다. | Cloud VPN 터널의 BGP 인터페이스를 관리하는 Cloud Router는 커스텀 경로 제한과 Cloud Router 할당량 및 한도가 적용되며, 피어 VPN 게이트웨이로 라우터에 전송되는 경로를 학습하고, 이를 VPC 네트워크에 커스텀 동적 경로로 추가합니다. | |
| 정책 기반 라우팅 | 구성 가능. 정책 기반 터널 및 트래픽 선택기를 참조하세요. |
필수. 정책 기반 터널 및 트래픽 선택기를 참조하세요. |
피어 라우터의 VPC 네트워크에 있는 서브넷에 대한 경로를 수동으로 만들고 유지보수해야 합니다. | Google Cloud Console을 사용하여 정책 기반 VPN 터널을 만들면 커스텀 정적 경로가 자동으로 생성됩니다. gcloud CLI를 사용하여 터널을 만드는 경우에는 추가 gcloud 명령어를 사용하여 경로를 만들어야 합니다. 자세한 내용은 정적 라우팅을 사용하여 기본 VPN 만들기를 참조하세요.
|
|
| 경로 기반 VPN | 항상0.0.0.0/0 |
항상0.0.0.0/0 |
피어 라우터의 VPC 네트워크에 있는 서브넷에 대한 경로를 수동으로 만들고 유지보수해야 합니다. | Google Cloud Console을 사용하여 경로 기반 VPN 터널을 만들면 커스텀 정적 경로가 자동으로 생성됩니다. gcloud CLI를 사용하여 터널을 만드는 경우에는 추가 gcloud 명령어를 사용하여 경로를 만들어야 합니다. 자세한 내용은 정적 라우팅을 사용하여 기본 VPN 만들기를 참조하세요.
|
|
정책 기반 터널 및 트래픽 선택기
이 섹션에서는 정책 기반 기본 VPN 터널을 만들 경우의 트래픽 선택기에 대한 특별 고려사항을 설명합니다. 다른 유형의 기본 VPN 또는 HA VPN 터널에는 적용되지 않습니다.
정책 기반 Cloud VPN 터널을 만들 때 이에 대한 로컬 트래픽 선택기를 지정할 수 있습니다.
커스텀 로컬 트래픽 선택기. 로컬 트래픽 선택기를 VPC 네트워크의 서브넷 집합 또는 VPC 네트워크에서 원하는 IP 범위의 서브넷을 포함하는 내부 IP 주소 집합으로 정의할 수 있습니다. IKEv1은 로컬 트래픽 선택기를 단일 CIDR로 제한합니다.
커스텀 모드 VPC 네트워크. 내부 IP 주소 범위로 구성되는 커스텀 로컬 트래픽 선택기를 지정합니다.
자동 모드 VPC 네트워크. 지정되지 않으면 로컬 트래픽 선택기는 Cloud VPN 터널과 동일한 리전에서 자동으로 생성된 서브넷의 기본 IP 범위(CIDR 블록)입니다. 자동 모드 VPC 네트워크는 리전별로 하나의 서브넷과 잘 정의된 IP 범위를 포함합니다.
레거시 네트워크: 지정되지 않으면 로컬 트래픽 선택기는 기존 네트워크의 전체 RFC 1918 IP 주소 범위로 정의됩니다.
정책 기반 Cloud VPN 터널을 만들 때 이에 대한 원격 트래픽 선택기를 지정합니다. Google Cloud Console을 사용하여 Cloud VPN 터널을 만들면 원격 트래픽 선택기의 CIDR에 따라 대상이 지정되는 커스텀 정적 경로가 자동으로 생성됩니다. IKEv1은 원격 트래픽 선택기를 단일 CIDR로 제한합니다. 자세한 내용은 정적 라우팅을 사용하여 기본 VPN 만들기를 참조하세요.
트래픽 선택기의 중요 고려사항
Cloud VPN 정책 기반 터널을 만들기 전에 다음을 고려하세요.
대부분의 VPN 게이트웨이는 패킷의 소스 IP 주소가 터널의 로컬 트래픽 선택기에 포함되고, 패킷의 대상 IP 주소가 터널의 원격 트래픽 선택기에 포함될 경우에만 VPN 터널을 통해 트래픽을 전달합니다. 일부 VPN 장치는 이 요구사항에 적용되지 않습니다.
Cloud VPN은
0.0.0.0/0(모든 IP 주소)의 트래픽 선택기 CIDR을 지원합니다. 피어 VPN 게이트웨이도 지원되는지 확인하려면 해당 피어 VPN 게이트웨이에 함께 제공된 문서를 참조하세요. 두 트래픽 선택기 모두가0.0.0.0/0으로 설정된 정책 기반 VPN 터널 만들기는 경로 기반 VPN 만들기와 기능적으로 동일합니다.Cloud VPN이 IKEv1 및 IKEv2 프로토콜을 구현하는 방법을 알아보려면 트래픽 선택기당 여러 CIDR을 참조하세요.
Cloud VPN을 사용하면 VPN을 만든 후 트래픽 선택기를 수정할 수 없습니다. Cloud VPN 터널의 로컬 또는 원격 트래픽 선택기를 변경하려면 터널을 삭제한 후 다시 만들어야 합니다. Cloud VPN 게이트웨이를 삭제할 필요는 없습니다.
자동 모드 VPC 네트워크를 커스텀 모드 VPC 네트워크로 변환할 경우 Cloud VPN 터널을 삭제하고 다시 만들어야 할 수 있습니다(게이트웨이 제외). 이것은 커스텀 서브넷을 추가하거나, 자동으로 생성된 서브넷을 삭제하거나, 서브넷의 보조 IP 범위를 수정하려는 경우 문제가 될 수 있습니다. 기존 Cloud VPN 터널이 있는 VPC 네트워크 모드는 전환하지 않아야 합니다. 자세한 내용은 자동 모드 VPC 네트워크 고려사항을 참조하세요.
일관적이고 예측 가능한 VPN 동작을 위해서는 다음을 수행합니다.
로컬 및 원격 트래픽 선택기가 가능한 한 구체적이어야 합니다.
Cloud VPN 로컬 트래픽 선택기가 피어 VPN 게이트웨이에 있는 해당 터널에 구성된 원격 트래픽 선택기와 동일해야 합니다.
Cloud VPN 원격 트래픽 선택기가 온프레미스 VPN 게이트웨이에 있는 해당 터널에 구성된 로컬 트래픽 선택기와 동일해야 합니다.
트래픽 선택기당 여러 CIDR
정책 기반 기본 VPN 터널을 만들 때 IKEv2를 사용하면 트래픽 선택기당 CIDR을 여러 개 지정할 수 있습니다. Cloud VPN은 IKE 버전에 관계없이 항상 단일 하위 보안 연결(SA)을 사용합니다.
다음 표에서는 정책 기반 VPN 터널의 트래픽 선택기당 CIDR를 지원하는 Cloud VPN을 요약 설명합니다.
| IKE 버전 | 트래픽 선택기당 여러 CIDR |
|---|---|
| IKEv1 | 아니요 IKEv1 프로토콜은 RFC 2407 및 RFC 2409에 정의된 대로 하위 SA당 단일 CIDR만 지원합니다. Cloud VPN에서는 VPN 터널당 하위 SA 하나가 필요하므로 IKEv1을 사용할 때 로컬 트래픽 선택기의 CIDR 하나와 원격 트래픽 선택기의 CIDR 하나만 제공할 수 있습니다. Cloud VPN에서는 CIDR이 하나씩 있는 여러 하위 SA와 함께 IKEv1을 사용하여 VPN 터널을 만들 수 없습니다. |
| IKEv2 | 다음 조건이 충족될 경우, 예입니다.
최대 MTU를 초과하는 IKE 제안 패킷이 생성되지 않도록 트래픽 선택기별로 30개 이하의 CIDR을 사용하는 것이 좋습니다. |
트래픽 선택기 전략
온프레미스 VPN 게이트웨이가 VPN 터널당 여러 하위 SA를 만드는 경우 또는 트래픽 선택기당 여러 CIDR로 인해 IKEv2에 대한 IKE 제안이 1,460바이트를 초과하는 경우 다음 전략을 고려하세요(자세한 내용은 라우팅 옵션 및 트래픽 선택기 참조).
VPN 터널에 동적 라우팅을 사용합니다. 피어 VPN 게이트웨이에서 BGP가 지원되는 경우 VPN 터널이 IP 주소를 허용하도록 로컬 및 원격 트래픽 선택기를 구성합니다.
0.0.0.0/0(IPv4 전용) 또는0.0.0.0/0,::/0(IPv4 및 IPv6 트래픽)을 사용합니다. 경로는 피어 VPN 게이트웨이 및 Cloud VPN 터널과 연결된 Cloud Router 사이에서 자동으로 교환됩니다. 동적 라우팅을 사용할 수 있으면 HA VPN을 고려하세요.다양한 단일 CIDR 트래픽 선택기 및 정적 터널 라우팅을 사용합니다.
경로 기반 VPN을 사용합니다. 경로 기반 VPN의 정의에 따라 두 가지 트래픽 선택기 모두
0.0.0.0/0입니다. 트래픽 선택기보다 구체적인 경로를 만들 수 있습니다.정책 기반 라우팅을 사용하고 로컬 및 원격 트래픽 선택기를 가능한 한 광범위하게 구성합니다. 정책 기반 Cloud VPN 터널의 경우 대상이 원격 트래픽 선택기에서 지정된 CIDR 블록보다 더 구체적인 VPC 네트워크에 온프레미스 네트워크의 경로를 만들 수 있습니다. 정적 라우팅을 사용하여 기본 VPN 만들기의 단계를 수행하여 gcloud CLI를 사용해 VPN 터널과 별도로 경로를 만듭니다.
각 터널에 해당 로컬 트래픽 선택기용 CIDR 블록 하나와 원격 트래픽 선택기용 CIDR 블록 하나만 포함되도록 정책 기반 라우팅을 사용하여 여러 Cloud VPN을 만듭니다. 비슷한 방식으로 온프레미스에서도 터널을 구성합니다. Cloud VPN은 게이트웨이별로 여러 터널을 지원하지만 여러 터널을 사용하는 데에는 몇 가지 한계가 있습니다.
- 피어 VPN 게이트웨이는 각 Cloud VPN 터널이 연결할 수 있는 별도의 외부 IP 주소를 제공해야 합니다. 동일한 기본 VPN 게이트웨이의 터널은 고유한 피어 게이트웨이 IP 주소에 연결해야 합니다. 피어 VPN 게이트웨이에서는 터널이 고유 IP 주소에 연결되어야 할 수도 있습니다. 경우에 따라 Cloud VPN 터널마다 별도의 Cloud VPN 게이트웨이를 만들어야 합니다.
- Google Cloud Console을 사용하여 경로 또는 정책 기반 Cloud VPN 터널을 만들 때는 터널 외에도 피어 네트워크 경로가 자동으로 생성됩니다. 각각 동일한 원격 트래픽 선택기를 사용하는 VPN 터널 여러 개의 경로가 자동으로 생성되면(경로 기반 VPN을 만드는 경우에 해당) VPC 네트워크에 대상은 모두 동일하지만 다음 홉이 다른 경로 여러 개가 포함될 수 있습니다. 그 결과 트래픽이 경로의 적용 가능 여부와 순서에 따라 VPN 터널에 제공되면 예측할 수 없거나 예기치 않은 동작이 발생할 수 있습니다. 동적(BGP) 터널 라우팅을 사용하지 않을 경우에는 VPC 네트워크 및 피어 네트워크 모두에서 정적 경로를 만들고 검토합니다.
다음 단계
- Cloud VPN의 기본 개념에 대해 알아보려면 Cloud VPN 개요를 참조하세요.
- 고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
- Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.