네트워크 및 터널 라우팅

이 페이지에서는 지원되는 Virtual Private Cloud 네트워크 및 라우팅 옵션을 설명합니다.

지원되는 네트워크

Cloud VPN은 VPC 커스텀 네트워크, 자동 모드 네트워크, 레거시 네트워크를 지원합니다. 하지만 다음 권장사항을 고려해야 합니다.

  • 레거시 네트워크 대신 VPC 네트워크를 사용합니다. 이전 네트워크는 서브넷을 지원하지 않습니다. 전체 네트워크가 단일 범위의 IP 주소를 사용합니다. 이전 네트워크는 VPC 네트워크로 변환할 수 없습니다.

  • 커스텀 모드 VPC 네트워크를 사용합니다. 커스텀 모드의 VPC 네트워크에서 서브넷에서 사용되는 IP 주소 범위를 완전히 제어할 수 있습니다.

    • Cloud VPN을 사용하여 VPC 네트워크 두 개를 연결할 경우 자동 모드 네트워크가 서브넷에 동일한 범위의 내부 IP 주소를 사용하므로 최소한 둘 중 하나는 커스텀 모드 네트워크여야 합니다.

    • Cloud VPN을 사용하기 전에 자동 모드 네트워크 고려사항을 검토하세요. 자동 모드 네트워크는 네트워크가 추가될 때 새 리전에 새 서브넷을 자동으로 만드는 것을 비롯하여 각 Google Cloud 리전에서 서브넷을 자동으로 만듭니다. Cloud VPN 터널이 연결되는 네트워크에서는 자동 모드 네트워크에 사용되는 범위의 비공개 IP 주소를 사용하지 마세요.

VPN 터널을 위한 라우팅 옵션

기본 VPN은 VPN 터널의 동적 및 정적 라우팅 옵션을 지원하며 HA VPN은 동적 라우팅 옵션이 필요합니다.

동적 라우팅은 경계 게이트웨이 라우팅 프로토콜(BGP)을 사용합니다.

동적(BGP) 라우팅

BGP 프로토콜을 사용하여 경로 교환을 자동으로 관리하기 위해 동적 라우팅은 Cloud Router를 사용합니다. 해당 Cloud VPN 터널과 동일한 리전에 있는 Cloud Router의 BGP 인터페이스가 이 경로 교환을 관리합니다. Cloud Router는 터널을 삭제하고 다시 만들 필요 없이 경로를 추가하고 제거합니다.

VPC 네트워크의 동적 라우팅 모드는 모든 Cloud Router의 동작을 제어합니다. 이 모드는 피어 네트워크에서 학습한 경로가 VPN 터널과 동일한 리전의 Google Cloud 리소스에만 적용되는지 또는 모든 리전에 적용되는지 여부를 결정합니다. 피어 라우터 또는 게이트웨이에서 공지하는 경로를 제어합니다.

동적 라우팅 모드는 터널의 리전 또는 모든 리전의 서브넷 경로가 피어 라우터 또는 게이트웨이와 공유되는지 여부도 결정합니다. 이러한 서브넷 경로 외에 Cloud Router에서 커스텀 경로 공지를 구성할 수 있습니다.

정적 라우팅

기본 VPN 터널은 정책 기반 및 경로 기반 정적 라우팅 옵션을 지원합니다. 동적(BGP) 라우팅 또는 HA VPN을 사용할 수 없는 경우에만 정적 라우팅 옵션을 고려하세요.

  • 정책 기반 라우팅: 로컬 IP 범위(왼쪽)와 원격 IP 범위(오른쪽)는 터널 만들기 프로세스의 일부로 정의됩니다.

  • 경로 기반 VPN: Cloud Console을 사용하여 경로 기반 VPN을 만들 경우 원격 IP 범위 목록만 지정합니다. 이러한 범위는 VPC 네트워크에서 피어 리소스에 대한 경로를 만드는 데만 사용됩니다.

이러한 두 가지 정적 라우팅 옵션에 대한 자세한 내용은 트래픽 선택기를 참조하세요.

트래픽 선택기

트래픽 선택기는 VPN 터널 설정을 위해 사용되는 CIDR 블록 또는 IP 주소 범위 집합을 정의합니다. 이러한 범위는 터널을 위한 IKE 협상의 일부로 사용됩니다. 일부 문헌에서는 트래픽 선택기를 '암호화 도메인'이라고 합니다.

트래픽 선택기는 두 가지 유형이 있습니다.

  • 로컬 트래픽 선택기는 VPN 터널을 방출하는 VPN 게이트웨이의 관점에서 로컬 IP 범위(CIDR 블록) 집합을 정의합니다. Cloud VPN 터널의 경우 로컬 트래픽 선택기는 VPC 네트워크의 서브넷에 터널의 '왼쪽'을 나타내는 기본 및 보조 서브넷 CIDR 범위 집합을 정의합니다.

  • 원격 트래픽 선택기는 VPN 터널을 방출하는 VPN 게이트웨이의 관점에서 원격 IP 범위(CIDR 블록) 집합을 정의합니다. Cloud VPN 터널의 경우 원격 트래픽 선택기는 '오른쪽' 또는 피어 네트워크입니다.

트래픽 선택기는 IKE 핸드셰이크를 설정하는 데 사용되는 VPN 터널의 고유 부분입니다. 로컬 또는 원격 CIDR 범위를 변경해야 할 경우 Cloud VPN 터널과 해당 피어 터널을 삭제하고 다시 만들어야 합니다.

라우팅 옵션 및 트래픽 선택기

로컬 및 원격 트래픽 선택기의 IP 범위(CIDR 블록) 값은 Cloud VPN 터널에서 사용되는 라우팅 옵션에 따라 달라집니다.

HA VPN 터널
터널
라우팅 옵션
로컬
트래픽 선택기
원격
트래픽 선택기
VPC 네트워크에 대한
경로
피어 네트워크에 대한
경로
동적(BGP) 라우팅
필요
항상
0.0.0.0/0
항상
0.0.0.0/0
커스텀 광고로 수정되지 않은 한 Cloud VPN 터널의 BGP 인터페이스를 관리하는 Cloud Router는 네트워크의 동적 라우팅 모드Cloud Router의 할당량 및 한도에 따라 VPC 네트워크의 서브넷에 대한 경로를 공유합니다. Cloud VPN 터널의 BGP 인터페이스를 관리하는 Cloud Router는 커스텀 경로 제한과 Cloud Router 할당량 및 한도가 적용되며, 피어 VPN 게이트웨이로 라우터에 전송되는 경로를 학습하고, 이를 VPC 네트워크에 커스텀 동적 경로로 추가합니다.
기본 VPN 터널
터널
라우팅 옵션
로컬
트래픽 선택기
원격
트래픽 선택기
VPC 네트워크에 대한
경로
피어 네트워크에 대한
경로
동적(BGP) 라우팅 항상
0.0.0.0/0
항상
0.0.0.0/0
커스텀 광고로 수정되지 않은 한 Cloud VPN 터널의 BGP 인터페이스를 관리하는 Cloud Router는 네트워크의 동적 라우팅 모드Cloud Router의 할당량 및 한도에 따라 VPC 네트워크의 서브넷에 대한 경로를 공유합니다. Cloud VPN 터널의 BGP 인터페이스를 관리하는 Cloud Router는 커스텀 경로 제한과 Cloud Router 할당량 및 한도가 적용되며, 피어 VPN 게이트웨이로 라우터에 전송되는 경로를 학습하고, 이를 VPC 네트워크에 커스텀 동적 경로로 추가합니다.
정책 기반 라우팅 구성 가능.
정책 기반 터널 및 트래픽 선택기를 참조하세요.
필수.
정책 기반 터널 및 트래픽 선택기를 참조하세요.
피어 라우터의 VPC 네트워크에 있는 서브넷에 대한 경로를 수동으로 만들고 유지보수해야 합니다. 커스텀 정적 경로는 개발자가 Cloud Console을 사용하여 정책 기반 VPN 터널을 만들 경우에 자동으로 생성됩니다. gcloud를 사용하여 터널을 만들 경우 추가 gcloud 명령어를 사용하여 경로를 만들어야 합니다. 자세한 내용은 정적 라우팅을 사용하여 기본 VPN 만들기를 참조하세요.
경로 기반 VPN 항상
0.0.0.0/0
항상
0.0.0.0/0
피어 라우터의 VPC 네트워크에 있는 서브넷에 대한 경로를 수동으로 만들고 유지보수해야 합니다. 커스텀 정적 경로는 개발자가 Cloud Console을 사용하여 경로 기반 VPN 터널을 만들 경우에 자동으로 생성됩니다. gcloud를 사용하여 터널을 만들 경우 추가 gcloud 명령어를 사용하여 경로를 만들어야 합니다. 자세한 내용은 정적 라우팅을 사용하여 기본 VPN 만들기를 참조하세요.

정책 기반 터널 및 트래픽 선택기

이 섹션에서는 정책 기반 기본 VPN 터널을 만들 경우의 트래픽 선택기에 대한 특별 고려사항을 설명합니다. 다른 유형의 기본 VPN 또는 HA VPN 터널에는 적용되지 않습니다.

정책 기반 Cloud VPN 터널을 만들 때 이에 대한 로컬 트래픽 선택기를 지정할 수 있습니다.

  • 커스텀 로컬 트래픽 선택기: 로컬 트래픽 선택기를 VPC 네트워크의 서브넷 집합 또는 VPC 네트워크에서 원하는 IP 범위의 서브넷을 포함하는 내부 IP 주소 집합으로 정의할 수 있습니다. IKEv1은 로컬 트래픽 선택기를 단일 CIDR로 제한합니다.

  • 커스텀 모드 VPC 네트워크: 내부 IP 주소 범위로 구성되는 커스텀 로컬 트래픽 선택기를 지정해야 합니다.

  • 자동 모드 VPC 네트워크: 지정되지 않으면 로컬 트래픽 선택기는 Cloud VPN 터널과 동일한 리전에서 자동으로 생성된 서브넷의 기본 IP 범위(CIDR 블록)입니다. 자동 모드 네트워크는 리전별로 하나의 서브넷과 잘 정의된 IP 범위를 포함합니다.

  • 레거시 네트워크: 지정되지 않으면 로컬 트래픽 선택기는 기존 네트워크의 전체 RFC 1918 IP 주소 범위로 정의됩니다.

정책 기반 Cloud VPN 터널을 만들 때 이에 대한 원격 트래픽 선택기를 지정해야 합니다. Cloud Console을 사용하여 Cloud VPN 터널을 만들면 원격 트래픽 선택기의 CIDR에 해당하는 대상의 커스텀 정적 경로가 자동으로 생성됩니다. IKEv1은 원격 트래픽 선택기를 단일 CIDR로 제한합니다. 자세한 내용은 정적 라우팅을 사용하여 기본 VPN 만들기를 참조하세요.

트래픽 선택기의 중요 고려사항

Cloud VPN 정책 기반 터널을 만들기 전에 다음을 고려하세요.

  • 대부분의 VPN 게이트웨이는 패킷의 소스 IP가 터널의 로컬 트래픽 선택기에 포함되고, 패킷의 대상 IP가 터널의 원격 트래픽 선택기에 포함될 경우에만 VPN 터널을 통해 트래픽을 전달합니다. 일부 VPN 장치는 이 요구사항에 적용되지 않습니다.

  • Cloud VPN은 0.0.0.0/0(모든 IP 주소)의 트래픽 선택기 CIDR을 지원합니다. 이 경우에 해당하는지 확인하려면 피어 VPN 게이트웨이와 함께 제공되는 문서를 참조하세요. 두 트래픽 선택기 모두가 0.0.0.0/0으로 설정된 정책 기반 VPN 터널 만들기는 경로 기반 VPN 만들기와 기능적으로 동일합니다.

  • Cloud VPN에서 IKEv1 프로토콜과 IKEv2 프로토콜을 구현하는 방법을 알아보려면 트래픽 선택기당 여러 CIDR을 참조하세요.

  • Cloud VPN을 사용하면 VPN을 만든 후 트래픽 선택기를 수정할 수 없습니다. Cloud VPN 터널의 로컬 또는 원격 트래픽 선택기를 변경하려면 터널을 삭제한 후 다시 만들어야 합니다. 하지만 Cloud VPN 게이트웨이를 삭제할 필요는 없습니다.

  • 자동 모드 VPC 네트워크를 커스텀 모드 VPC 네트워크로 변환할 경우, 특히 커스텀 서브넷을 추가하거나 자동으로 생성된 서브넷을 삭제하거나 서브넷에 대한 보조 IP 범위를 수정하면 게이트웨이가 아닌 Cloud VPN 터널을 삭제하고 다시 만들어야 할 수도 있습니다. 기존 Cloud VPN 터널이 포함된 VPC 네트워크 모드는 전환하지 않아야 합니다. 자세한 내용은 자동 모드 네트워크 고려 사항을 참조하세요.

또한 일관적이고 예측 가능한 VPN 동작을 위해서는 다음을 확인해야 합니다.

  • 로컬 및 원격 트래픽 선택기 모두 가능한 한 구체적이어야 합니다.

  • Cloud VPN 로컬 트래픽 선택기가 피어 VPN 게이트웨이에 있는 해당 터널에 구성된 원격 트래픽 선택기와 동일해야 합니다.

  • Cloud VPN 원격 트래픽 선택기가 온프레미스 VPN 게이트웨이에 있는 해당 터널에 구성된 로컬 트래픽 선택기와 동일해야 합니다.

트래픽 선택기당 여러 CIDR

정책 기반 기본 VPN 터널을 만들 경우 IKEv2를 사용하면 트래픽 선택기당 CIDR을 여러 개 지정할 수 있습니다. Cloud VPN은 IKE 버전에 관계없이 항상 단일 하위 SA를 사용합니다.

다음 표에서는 정책 기반 VPN 터널의 트래픽 선택기당 CIDR를 지원하는 Cloud VPN을 요약 설명합니다.

IKE 버전 트래픽 선택기당 여러 CIDR
IKEv1 아니요
IKEv1 프로토콜은 RFC 2407 및 RFC 2409에서 정의된 대로 하위 보안 연결(SA)당 CIDR 하나만 지원합니다. Cloud VPN에서는 VPN 터널당 하위 SA 하나가 필요하므로 IKEv1을 사용할 경우 로컬 트래픽 선택기의 CIDR 하나와 원격 트래픽 선택기의 CIDR 하나만 제공할 수 있습니다.

Cloud VPN에서는 CIDR이 하나씩 있는 여러 하위 SA와 함께 IKEv1을 사용하여 VPN 터널을 만들 수 없습니다.
IKEv2 다음 조건이 모두 충족되는 경우허용
  • 피어 VPN 게이트웨이가 단일 하위 보안 연결(SA)을 사용합니다. 로컬 트래픽 선택기의 모든 CIDR과 원격 트래픽 선택기의 모든 CIDR이 단일 하위 SA에 있어야 합니다.
  • 구성하는 CIDR 수로 인해 IKE 제안 패킷이 Cloud VPN의 최대 MTU인 1,460바이트를 초과하는 경우가 발생하지 않습니다. Cloud VPN 터널은 IKE가 이 MTU를 초과하는 경우 설정되지 않습니다.
  • 온프레미스 게이트웨이에서 지원하는 CIDR 수에 대한 제한을 초과하지 않습니다. 자세한 내용은 게이트웨이 공급업체의 문서를 참조하세요.

최대 MTU를 초과하는 IKE 제안 패킷이 생성되지 않도록 트래픽 선택기별로 CIDR을 30개 이하로 사용하는 것이 좋습니다.

트래픽 선택기 전략

온프레미스 VPN 게이트웨이가 VPN 터널당 하위 SA를 여러 개 만드는 경우 또는 트래픽 선택기당 CIDR이 여러 개 있어 IKEv2에 대한 IKE 제안이 1,460바이트를 초과하는 경우 다음 전략을 고려하세요.

  1. VPN 터널에 동적 라우팅을 사용합니다. 피어 VPN 게이트웨이는 BGP를 지원하면 VPN 터널의 로컬 및 원격 트래픽 선택기 모두 기본적으로 0.0.0.0/0입니다. 경로는 피어 VPN 게이트웨이 및 Cloud VPN 터널과 연결된 Cloud Router 사이에서 자동으로 교환됩니다. 동적 라우팅을 사용할 수 있으면 HA VPN을 고려하세요.

  2. 다양한 단일 CIDR 트래픽 선택기 및 정적 터널 라우팅을 사용합니다.

    • 경로 기반 VPN을 사용합니다. 경로 기반 VPN의 정의에 따라 두 가지 트래픽 선택기 모두 0.0.0.0/0입니다. 트래픽 선택기보다 구체적인 경로를 만들 수 있습니다.

    • 정책 기반 라우팅을 사용하고 로컬 및 원격 트래픽 선택기를 가능한 한 광범위하게 구성합니다. 정책 기반 Cloud VPN 터널의 경우 대상이 원격 트래픽 선택기에서 지정된 CIDR 블록보다 더 구체적인 VPC 네트워크에 온프레미스 네트워크의 경로를 만들 수 있습니다. 이를 수행하는 가장 간단한 방법은 정적 라우팅을 사용하여 기본 VPN 만들기 페이지의 gcloud 단계를 따라 VPN 터널과 별도로 경로를 만드는 방법입니다.

  3. 정책 기반 라우팅을 사용하여 각 터널에서 로컬 트래픽 선택기의 CIDR 블록 하나와 원격 트래픽 선택기의 CIDR 블록 하나만 포함하도록 Cloud VPN 터널 여러 개를 만듭니다. 비슷한 방식으로 온프레미스에서도 터널을 구성합니다. Cloud VPN은 게이트웨이별로 여러 터널을 지원하지만 여러 터널을 사용하는 데에는 몇 가지 한계가 있습니다.

    • 피어 VPN 게이트웨이는 각 Cloud VPN 터널이 연결할 수 있는 별도의 외부 IP 주소를 제공해야 합니다. 동일한 기본 VPN 게이트웨이의 터널은 고유한 피어 게이트웨이 IP 주소에 연결해야 합니다. 피어 VPN 게이트웨이에서는 터널이 고유 IP 주소에 연결되어야 할 수도 있습니다. 경우에 따라 Cloud VPN 터널마다 별도의 Cloud VPN 게이트웨이를 만들어야 합니다.
    • Cloud Console을 사용하여 경로 기반 또는 정책 기반 Cloud VPN 터널을 만들면 터널 외에도 피어 네트워크에 대한 경로가 자동으로 생성됩니다. 각각 동일한 원격 트래픽 선택기를 사용하는 VPN 터널 여러 개의 경로가 자동으로 생성되면(경로 기반 VPN을 만드는 경우에 해당) VPC 네트워크에 대상은 모두 동일하지만 다음 홉이 다른 경로 여러 개가 포함될 수 있습니다. 그 결과 트래픽이 경로의 적용 가능 여부와 순서에 따라 VPN 터널에 제공되면 예측할 수 없거나 예기치 않은 동작이 발생할 수 있습니다. 동적(BGP) 터널 라우팅을 사용하지 않을 경우에는 VPC 네트워크와 피어 네트워크 모두에서 정적 경로를 신중하게 만들고 검토해야 합니다.

다음 단계

추가 VPN 개념

Cloud VPN 개념에 대한 추가 정보를 보려면 페이지 아래의 탐색 화살표를 사용하여 다음 개념으로 이동하거나 다음 링크를 참조하세요.

VPN 관련