이 페이지에서는 Cloud VPN과 관련된 개념을 설명합니다. Cloud VPN 문서에서 사용되는 용어의 정의는 주요 용어를 참조하세요.
Cloud VPN은 IPsec VPN 연결을 통해 동종 앱 네트워크를 Virtual Private Cloud(VPC) 네트워크에 안전하게 확장합니다. VPN 연결은 하나의 VPN 게이트웨이가 암호화를 처리하고 다른 VPN 게이트웨이는 복호화를 처리하는 방식으로 네트워크 간 트래픽 이동을 암호화합니다. 이 프로세스는 전송 중에 데이터를 보호합니다. 또한 2개의 Cloud VPN 인스턴스를 연결하여 2개의 VPC 네트워크를 함께 연결할 수 있습니다. Cloud VPN을 사용하여 트래픽을 공개 인터넷으로 라우팅할 수 없습니다. 비공개 네트워크 간의 보안 통신을 위해 설계되었습니다.
하이브리드 네트워킹 솔루션 선택
Cloud VPN, Dedicated Interconnect, Partner Interconnect 또는 Cloud Router를 Google Cloud 하이브리드 네트워킹 연결로 사용할지 여부를 결정하려면 네트워크 연결 제품 선택을 참조하세요.
직접 사용해 보기
Google Cloud를 처음 사용하는 경우 계정을 만들어 실제 시나리오에서 Cloud VPN의 성능을 평가할 수 있습니다. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
Cloud VPN 무료로 사용해 보기Dedicated Interconnect 또는 Partner Interconnect 연결의 보안을 강화하려면 Cloud Interconnect를 통한 HA VPN을 사용하세요. 이 솔루션은 VLAN 연결을 통해 암호화된 HA VPN 터널을 설정합니다.
Cloud VPN 유형
Google Cloud에서는 두 가지 유형의 Cloud VPN 게이트웨이를 제공합니다.
HA VPN
HA VPN은 IPsec VPN 연결을 통해 온프레미스 네트워크를 VPC 네트워크에 안전하게 연결할 수 있는 고가용성(HA) Cloud VPN 솔루션입니다. HA VPN은 토폴로지와 구성을 기반으로 99.99% 또는 99.9% 서비스 가용성의 SLA를 제공할 수 있습니다.
HA VPN 게이트웨이를 만들면 Google Cloud에서 인터페이스마다 하나씩 외부 IPv4 주소 2개를 자동으로 선택합니다. 각 IPv4 주소는 고가용성을 지원하기 위해 고유 주소 풀에서 자동으로 선택됩니다. 각 HA VPN 게이트웨이 인터페이스는 터널 여러 개를 지원합니다. HA VPN 게이트웨이를 여러 개 만들 수도 있습니다. HA VPN 게이트웨이를 삭제하면 Google Cloud에서 IP 주소를 재사용할 수 있도록 해제합니다. 활성 인터페이스 하나와 외부 IP 주소 하나를 사용하여 HA VPN 게이트웨이를 구성할 수 있습니다. 하지만 이 구성은 가용성 SLA를 제공하지 않습니다.
HA VPN을 사용하는 옵션 중 하나는 Cloud Interconnect를 통한 HA VPN을 사용하는 것입니다. Cloud Interconnect를 통한 HA VPN을 사용하면 Cloud VPN의 IPsec 암호화에 대한 보안과 함께 Cloud Interconnect의 용량을 늘릴 수 있습니다. 또한 Cloud Interconnect를 사용하므로 네트워크 트래픽이 공개 인터넷을 통과하지 않습니다. Partner Interconnect를 사용하는 경우 타사 제공업체에 연결할 때 데이터 보안 및 규정 준수 요구사항을 충족하려면 Cloud Interconnect 트래픽에 IPsec 암호화를 추가해야 합니다. HA VPN은 Google Cloud의 외부 VPN 게이트웨이 리소스를 사용하여 동종 앱 VPN 게이트웨이 또는 게이트웨이에 대한 정보를 Google Cloud에 제공합니다.
HA VPN 게이트웨이는 API 참고 리소스와 gcloud 명령어에서 대상 VPN 게이트웨이가 아니라 VPN 게이트웨이라고 합니다.
HA VPN 게이트웨이에 대한 전달 규칙을 만들 필요가 없습니다.
HA VPN은 토폴로지 또는 구성 시나리오에 따라 99.99% 또는 99.9%의 가용성 SLA를 제공할 수 있습니다. HA VPN 토폴로지와 지원되는 SLA에 대한 자세한 내용은 HA VPN 토폴로지를 참조하세요.
HA VPN을 설정하는 동안 다음 가이드라인을 고려하세요.
HA VPN 게이트웨이를 다른 HA VPN 게이트웨이에 연결할 때는 게이트웨이가 동일한 IP 스택 유형을 사용해야 합니다. 예를 들어
IPV4_IPV6스택 유형으로 HA VPN 게이트웨이를 만들 때는 다른 HA VPN 게이트웨이도IPV4_IPV6로 설정해야 합니다.Cloud VPN 게이트웨이의 관점에서 2개의 VPN 터널을 구성합니다.
- 동종 앱 VPN 게이트웨이 기기가 두 개 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 각 터널을 자체 동종 앱 게이트웨이에 연결해야 합니다.
- 인터페이스가 두 개 있는 단일 동종 앱 VPN 게이트웨이 기기가 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 각 터널을 동종 앱 게이트웨이의 자체 인터페이스에 연결해야 합니다.
- 인터페이스가 하나 있는 단일 동종 앱 VPN 게이트웨이 기기가 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 두 터널 모두 동종 앱 게이트웨이의 동일한 인터페이스에 연결해야 합니다.
동종 앱 VPN 기기를 적절한 중복성으로 구성해야 합니다. 기기 공급업체는 적절하게 중복된 구성 세부정보를 지정하며, 여기에는 여러 하드웨어 인스턴스가 포함될 수 있습니다. 자세한 내용은 동종 앱 VPN 기기의 공급업체 문서를 참조하세요.
동종 앱 기기 두 개가 필요하면 각 동종 앱 기기를 서로 다른 HA VPN 게이트웨이 인터페이스에 연결해야 합니다. 동종 앱 측이 AWS와 같은 다른 클라우드 제공업체이면 AWS 측에서도 VPN 연결을 적절한 중복성으로 구성해야 합니다.
동종 앱 VPN 게이트웨이 기기는 동적 경계 게이트웨이 프로토콜(BGP) 라우팅을 지원해야 합니다.
다음 다이어그램은 동종 앱 VPN 게이트웨이 두 개에 연결된 HA VPN 게이트웨이의 인터페이스 두 개가 포함된 토폴로지를 나타내는 HA VPN 개념을 보여줍니다. HA VPN 토폴로지(구성 시나리오)에 대한 자세한 내용은 HA VPN 토폴로지를 참조하세요.
동종 앱 VPN 게이트웨이 2개에 대한 HA VPN 게이트웨이(확대하려면 클릭)
기본 VPN
HA VPN을 도입하기 전에 생성된 모든 Cloud VPN 게이트웨이는 기본 VPN 게이트웨이로 간주됩니다. 기본 VPN에서 HA VPN으로 이동하는 방법은 기본 VPN에서 HA VPN으로 이동을 참조하세요.
HA VPN과는 달리 기본 VPN 게이트웨이에는 인터페이스 하나, 외부 IP 주소 하나가 있으며 정적 라우팅(정책 기반 또는 경로 기반)을 사용하는 터널이 지원됩니다. 기본 VPN의 동적 라우팅(BGP)을 구성할 수도 있지만 Google Cloud VM 인스턴스에서 실행되는 서드 파티 VPN 게이트웨이 소프트웨어에 연결되는 터널에만 구성할 수 있습니다.
기본 VPN 게이트웨이는 99.9% 서비스 가용성의 SLA를 제공합니다.
기본 VPN 게이트웨이는 IPv6를 지원하지 않습니다.
지원되는 기본 VPN 토폴로지는 기본 VPN 토폴로지 페이지를 참조하세요.
기본 VPN은 API 문서와 Google Cloud CLI에서 대상 VPN 게이트웨이라고 합니다.
비교표
다음 표에서는 기본 VPN 기능과 HA VPN 기능을 비교해서 보여줍니다.
| 기능 | HA VPN | 기본 VPN |
|---|---|---|
| SLA | 대부분의 토폴로지에 99.99% SLA를 제공하지만 몇 가지 예외가 있습니다. 자세한 내용은 HA VPN 토폴로지를 참조하세요. | 99.9% SLA 제공 |
| 외부 IP 주소 및 전달 규칙 만들기 | 풀에서 생성된 외부 IP 주소. 전달 규칙은 필요하지 않습니다. | 외부 IP 주소와 전달 규칙을 만들어야 합니다. |
| 지원되는 라우팅 옵션 | 동적 라우팅(BGP)만 | 정적 라우팅(정책 기반, 경로 기반) 동적 라우팅은 Google Cloud VM 인스턴스에서 실행되는 타사 VPN 게이트웨이 소프트웨어에 연결되는 터널에만 지원됩니다. |
| Cloud VPN 게이트웨이에서 동일한 동종 앱 게이트웨이로의 2개 터널 | 지원 | 지원되지 않음 |
| Cloud VPN 게이트웨이를 외부 IP 주소로 Compute Engine VM에 연결합니다. | 지원되는 토폴로지 및 권장 토폴로지. 자세한 내용은 HA VPN 토폴로지를 참조하세요. | 지원됨 |
| API 리소스 | vpn-gateway 리소스라고 합니다. |
target-vpn-gateway 리소스라고 합니다. |
| IPv6 트래픽 | 지원됨(이중 스택 IPv4 및 IPv6 구성) | 지원되지 않음 |
사양
Cloud VPN의 사양은 다음과 같습니다.
Cloud VPN은 이 섹션에 나열된 요구사항에 따라 사이트 간 IPsec VPN 연결만 지원합니다. 클라이언트-게이트웨이 시나리오는 지원하지 않습니다. 즉, Cloud VPN은 클라이언트 컴퓨터가 클라이언트 VPN 소프트웨어를 사용하여 VPN에 '전화 접속'해야 하는 사용 사례를 지원하지 않습니다.
Cloud VPN은 IPsec만 지원합니다. 다른 VPN 기술(예: SSL VPN)은 지원되지 않습니다.
Cloud VPN은 VPC 네트워크와 레거시 네트워크에서 사용할 수 있습니다. VPC 네트워크의 경우 네트워크의 서브넷에 사용되는 IP 주소 범위를 완전히 제어할 수 있도록 커스텀 모드 VPC 네트워크가 권장됩니다.
기본 VPN 게이트웨이와 HA VPN 게이트웨이는 인터넷 라우팅이 가능한 외부 IPv4 주소를 사용합니다. 이 주소에는 ESP, UDP 500, UDP 4500 트래픽만 허용됩니다. 이는 기본 VPN에 구성된 Cloud VPN 주소 또는 HA VPN에 자동으로 할당된 IP 주소에 적용됩니다.
온프레미스 서브넷의 IP 주소 범위가 VPC 네트워크에 있는 서브넷에서 사용하는 IP 주소와 겹치는 경우 라우팅 충돌을 해결하는 방법은 경로 순서를 참조하세요.
다음 Cloud VPN 트래픽은 Google의 프로덕션 네트워크에 남아 있습니다.
- HA VPN 게이트웨이 2개 사이
- 기본 VPN 게이트웨이 2개 사이
- 기본 VPN 또는 HA VPN 게이트웨이와 VPN 게이트웨이로 작동하는 Compute Engine VM의 외부 IP 주소 사이
Cloud VPN은 온프레미스 호스트를 위한 비공개 Google 액세스와 함께 사용될 수 있습니다. 자세한 내용은 서비스 비공개 액세스 옵션을 참조하세요.
각 Cloud VPN 게이트웨이를 다른 Cloud VPN 게이트웨이 또는 동종 앱 VPN 게이트웨이에 연결해야 합니다.
동종 앱 VPN 게이트웨이에는 인터넷 라우팅이 가능한 정적 외부 IPv4 주소가 포함되어야 합니다. Cloud VPN을 구성하려면 이 IP 주소가 필요합니다.
- 동종 앱 VPN 게이트웨이가 방화벽 규칙 뒤에 있으면 ESP(IPsec) 프로토콜과 IKE(UDP 500 및 UDP 4500) 트래픽을 게이트웨이로 전달할 수 있도록 방화벽 규칙을 구성해야 합니다. 방화벽 규칙이 네트워크 주소 변환(NAT)을 제공하는 경우에는 UDP 캡슐화 및 NAT-T를 참조하세요.
Cloud VPN에서는 사전 파편화를 지원하도록 동종 앱 VPN 게이트웨이를 구성해야 합니다. 패킷을 캡슐화하기 전에 파편화해야 합니다.
Cloud VPN은 4096 패킷 창에 재생 탐지를 사용합니다. 이 기능을 중지할 수 없습니다.
Cloud VPN은 일반 라우팅 캡슐화(GRE) 트래픽을 지원합니다. GRE 지원을 이용하면 인터넷(외부 IP 주소) 및 Cloud VPN 또는 Cloud Interconnect(내부 IP 주소)로부터 VM에서 GRE 트래픽을 종료할 수 있습니다. 그런 다음 캡슐화 해제된 트래픽을 연결 가능한 대상으로 전달할 수 있습니다. GRE를 통해 Secure Access Service Edge(SASE) 및 SD-WAN과 같은 서비스를 사용할 수 있습니다. GRE 트래픽을 허용하려면 방화벽 규칙을 만들어야 합니다.
HA VPN 터널은 IPv6 트래픽 교환을 지원하지만 기본 VPN 터널은 이를 지원하지 않습니다.
네트워크 대역폭
각 Cloud VPN 터널은 인그레스 및 이그레스 트래픽에 합계에 대해 초당 최대 250,000개의 패킷을 지원합니다. 터널의 평균 패킷 크기에 따라 초당 패킷 250,000개는 대역폭 1Gbps와 3Gbps에 해당합니다.
이 한도와 관련된 측정항목은 Sent bytes 및 Received bytes이며 이는 로그 및 측정항목 보기에 설명되어 있습니다.
측정항목의 단위는 바이트이지만 3Gbps 한도는 초당 비트를 의미합니다. 바이트로 변환하는 경우 한도는 초당 375MB(MBps)입니다. 한도 대비 사용량을 측정하는 경우 변환된 한도인 375MBps와 비교하여 Sent bytes 및 Received bytes의 합계를 사용합니다.
알림 정책을 만드는 방법에 대한 자세한 내용은 VPN 터널 대역폭 알림 정의를 참조하세요.
VPN 터널 사용률 추천자 사용에 대한 자세한 내용은 VPN 터널 용량 한도 확인을 참조하세요.
대역폭에 영향을 미치는 요인
실제 대역폭은 여러 가지 요인에 따라 달라집니다.
Cloud VPN 게이트웨이와 동종 앱 게이트웨이 사이의 네트워크 연결:
두 게이트웨이 간의 네트워크 대역폭. Google과 다이렉트 피어링 관계를 설정한 경우 VPN 트래픽이 공개 인터넷으로 전송되는 것보다 처리량이 높습니다.
왕복 시간(RTT) 및 패킷 손실률. RTT 또는 패킷 손실률이 높아지면 TCP 성능이 크게 저하됩니다.
동종 앱 VPN 게이트웨이의 기능. 자세한 내용은 해당 기기 설명서를 참조하세요.
패킷 크기. Cloud VPN은 터널 모드에서 IPsec 프로토콜을 사용하여 Extensible Service Proxy(ESP)의 전체 IP 패킷을 캡슐화하고 암호화한 다음 두 번째 외부 IP 패킷에 ESP 데이터를 저장합니다. 따라서 IPsec 캡슐화 패킷에 대한 게이트웨이 MTU와 IPsec 캡슐화 전후의 패킷에 대한 페이로드 MTU가 모두 있습니다. 자세한 내용은 MTU 고려사항을 참조하세요.
패킷 속도. 인그레스와 이그레스의 경우 각 Cloud VPN 터널의 권장 최대 패킷 속도는 250,000pps(초당 패킷)입니다. 패킷을 더 빠른 속도로 전송해야 하면 VPN 터널을 추가로 만들어야 합니다.
VPN 터널의 TCP 대역폭을 측정할 경우 TCP 스트림 두 개 이상을 동시에 측정해야 합니다. iperf 도구를 사용하는 경우 -P 매개변수를 사용하여 동시 스트림 수를 지정합니다.
IPv6 지원
Cloud VPN은 HA VPN에서 IPv6를 지원하지만 기본 VPN에서는 지원하지 않습니다.
HA VPN 터널에서 IPv6 트래픽을 지원하려면 다음을 수행합니다.
IPv6 지원 VPC 네트워크를 다른 IPv6 지원 네트워크와 연결하는 HA VPN 게이트웨이 및 터널을 만들 때는
IPV6_ONLY(미리보기) 또는IPV4_IPV6스택 유형을 사용합니다. 이러한 네트워크는 온프레미스 네트워크, 멀티 클라우드 네트워크, 기타 VPC 네트워크일 수 있습니다.IPv6 지원 VPC 네트워크에 이중 스택 서브넷을 포함합니다. 또한 서브넷에 내부 IPv6 범위를 할당해야 합니다.
다음 표에는 HA VPN 게이트웨이의 각 스택 유형에 허용되는 외부 IP 주소가 요약되어 있습니다.
| 스택 유형 | 지원되는 게이트웨이 외부 IP 주소 |
|---|---|
| IPV4_ONLY | IPv4 |
| IPV4_IPV6 | IPv4, IPv6 |
| IPV6_ONLY(미리보기) | IPv6 |
IPv6에 대한 조직 정책 제약조건
다음 조직 정책을 true로 설정하여 프로젝트의 모든 IPv6 하이브리드 리소스 생성을 사용 중지할 수 있습니다.
constraints/compute.disableHybridCloudIpv6
HA VPN의 경우 프로젝트에 이중 스택 HA VPN 게이트웨이 및 IPv6 전용 HA VPN 게이트웨이(미리보기)가 생성되지 않습니다.
스택 유형 및 BGP 세션
HA VPN 게이트웨이는 서로 다른 스택 유형을 지원합니다. HA VPN 게이트웨이의 스택 유형에 따라 HA VPN 터널에서 허용되는 IP 트래픽 버전이 결정됩니다.
이중 스택 HA VPN 게이트웨이에 대한 HA VPN 터널을 만들 때는 IPv6 경로 교환에 대해 두 가지 옵션이 있습니다.
IPv6 BGP 세션(미리보기)을 만들거나 멀티 프로토콜 BGP (MP- BGP)를 사용하여 IPv6 경로를 교환하는 IPv4 BGP 세션을 만드는 것입니다.
- 단일 스택(IPv4만 해당)
- 듀얼 스택(IPv4 및 IPv6)
다음 표에는 각 HA VPN 게이트웨이에 허용되는 BGP 세션 유형이 요약되어 있습니다.
| 스택 유형 | 지원되는 BGP 세션 | 게이트웨이 외부 IP 주소 |
|---|---|---|
| IPv4 전용 | IPv4 BGP, MP-BGP 없음 | IPv4 |
| IPv4 및 IPv6 | IPv4 |
BGP 세션에 대한 자세한 내용은 Cloud Router 문서의 BGP 세션 설정을 참조하세요.
단일 스택 IPv4 전용 게이트웨이
기본적으로 HA VPN 게이트웨이에는 IPv4 전용 스택 유형이 할당되며 외부 IPv4 주소 두 개가 자동으로 할당됩니다.
IPv4 전용 HA VPN 게이트웨이는 IPv4 트래픽만 지원할 수 있습니다.
다음 절차에 따라 IPv4 전용 HA VPN 게이트웨이 및 IPv4 BGP 세션을 만듭니다.
- HA VPN - 동종 앱 VPN 게이트웨이 구성은 HA VPN 게이트웨이 만들기 및 BGP 세션 만들기 - IPv4 BGP 세션을 참조하세요.
- HA VPN - HA VPN 게이트웨이 구성은 HA VPN 게이트웨이 만들기 및 BGP 세션 만들기 - IPv4 BGP 세션을 참조하세요.
이중 스택 IPv4 및 IPv6 게이트웨이
이중 스택(IPv4 및 IPv6) 스택 유형으로 구성된 HA VPN 게이트웨이는 IPv4 및 IPv6 트래픽을 모두 지원할 수 있습니다.
이중 스택 HA VPN 게이트웨이의 경우 IPv4 BGP 세션, IPv6 BGP 세션 또는 둘 다 사용하여 Cloud Router를 구성할 수 있습니다. BGP 세션을 하나만 구성하는 경우 MP-BGP를 사용 설정하여 해당 세션이 IPv4 및 IPv6 경로를 모두 교환하도록 허용할 수 있습니다. IPv4 BGP 세션 및 IPv6 BGP 세션을 만들 경우 어느 세션에서도 MP-BGP를 사용 설정할 수 없습니다.
MP-BGP를 사용하여 IPv4 BGP 세션에서 IPv6 경로를 교환하려면 해당 세션을 IPv6 다음 홉 주소로 구성해야 합니다. 마찬가지로 MP-BGP를 사용하여 IPv6 BGP 세션에서 IPv4 경로를 교환하려면 IPv4 다음 홉 주소를 사용하여 세션을 구성해야 합니다. 이러한 다음 홉 주소는 수동 또는 자동으로 구성할 수 있습니다.
다음 홉 주소를 수동으로 구성하는 경우 Google 소유의 IPv6 GUA 범위 2600:2d00:0:2::/63 또는 IPv4 링크-로컬 범위 169.254.0.0./16에서 이 주소를 선택해야 합니다.
이러한 범위는 Google에서 사전 할당되어 있습니다. 선택한 다음 홉 주소는 VPC 네트워크의 모든 리전에 있는 모든 Cloud Router에서 고유해야 합니다.
자동 구성을 선택하면 Google Cloud가 이러한 범위에서 다음 홉 주소를 자동으로 선택합니다.
다음 절차에 따라 이중 스택 HA VPN 게이트웨이 및 지원되는 모든 BGP 세션을 만듭니다.
- MP-BGP 유무에 따른 IPv4 BGP 세션
- HA VPN 게이트웨이 - 동종 앱 VPN 게이트웨이 구성은 HA VPN 게이트웨이 만들기 및 BGP 세션 만들기 - IPv4 BGP 세션을 참조하세요.
- HA VPN 게이트웨이 - HA VPN 게이트웨이 구성은 HA VPN 게이트웨이 만들기 및 BGP 세션 만들기 - IPv4 BGP 세션을 참조하세요.
- MP-BGP 유무에 따른 IPv6 BGP 세션
- HA VPN 게이트웨이 - 동종 앱 VPN 게이트웨이 구성은 HA VPN 게이트웨이 만들기 및 BGP 세션 만들기 - IPv6 BGP 세션을 참조하세요.
- HA VPN 게이트웨이 - HA VPN 게이트웨이 구성은 HA VPN 게이트웨이 만들기 및 BGP 세션 만들기 - IPv6 BGP 세션을 참조하세요.
- IPv4 및 IPv6 BGP 세션 모두
- HA VPN 게이트웨이 - 동종 앱 VPN 게이트웨이 구성은 HA VPN 게이트웨이 만들기 및 BGP 세션 만들기 - IPv4 BGP 및 IPv6 BGP 세션 모두를 참조하세요.
- HA VPN 게이트웨이 - HA VPN 게이트웨이 구성은 HA VPN 게이트웨이 만들기 및 BGP 세션 만들기 - IPv4 및 IPv6 BGP 세션 모두를 참조하세요.
단일 스택 IPv6 전용 게이트웨이
기본적으로 HA VPN 게이트웨이에는 IPv6 전용(미리보기) 스택 유형이 할당되며 2개의 외부 IPv6 주소가 자동으로 할당됩니다.
IPv6 전용(미리보기) HA VPN 게이트웨이는 IPv6 트래픽만 지원할 수 있습니다.
다음 절차에 따라 IPv6 전용 HA VPN 게이트웨이와 IPv6 BGP 세션을 만듭니다.
- HA VPN - 동종 앱 VPN 게이트웨이 구성은 HA VPN 게이트웨이 만들기 및 BGP 세션 만들기 - IPv6 BGP 세션을 참조하세요.
- HA VPN - HA VPN 게이트웨이 구성은 HA VPN 게이트웨이 만들기 및 BGP 세션 만들기 - IPv6 BGP 세션을 참조하세요.
IPsec 및 IKE 지원
Cloud VPN은 IKE 사전 공유 키(공유 보안 비밀) 및 IKE 암호화를 사용하여 IKEv1 및 IKEv2를 지원합니다. Cloud VPN은 인증에 대해서만 사전 공유 키를 지원합니다. Cloud VPN 터널을 만들 때는 사전 공유 키를 지정합니다. 동종 앱 게이트웨이에서 터널을 만들 때 이와 동일한 사전 공유 키를 지정합니다.
Cloud VPN은 인증과 함께 터널 모드의 ESP를 지원하지만 전송 모드의 ESP 또는 AH를 지원하지 않습니다.
HA VPN에서 IPv6 트래픽을 사용 설정하려면 IKEv2를 사용해야 합니다.
Cloud VPN은 들어오는 인증 패킷에 정책 관련 필터링을 수행하지 않습니다. 나가는 패킷은 Cloud VPN 게이트웨이에 구성된 IP 범위를 기준으로 필터링됩니다.
강력한 사전 공유 키 만들기에 대한 자세한 내용은 강력한 사전 공유 키 생성을 참조하세요. Cloud VPN에서 지원하는 암호화와 구성 매개변수는 지원되는 IKE 암호화를 참조하세요.
IKE 및 죽은 동종 앱 감지
Cloud VPN은 RFC 3706의 DPD 프로토콜 섹션에 따라 죽은 동종 앱 감지(DPD)를 지원합니다.
동종 앱이 활성 상태인지 확인하기 위해 Cloud VPN은 RFC 3706에 따라 언제든지 DPD 패킷을 전송할 수 있습니다. 여러 번 시도한 후에도 DPD 요청이 반환되지 않으면 Cloud VPN은 VPN 터널이 비정상임을 인식합니다. 비정상 VPN 터널은 이 터널을 다음 홉으로 사용하는 경로(BGP 경로 또는 정적 경로)를 삭제하여 VM 트래픽을 정상 상태의 다른 VPN 터널로 장애 조치하도록 트리거합니다.
DPD 간격은 Cloud VPN에서 구성할 수 없습니다.
UDP 캡슐화 및 NAT-T
Cloud VPN으로 NAT-Traversal(NAT-T)을 지원하도록 동종 앱 기기를 구성하는 방법은 고급 개요의 UDP 캡슐화를 참조하세요.
데이터 전송 네트워크인 Cloud VPN
Cloud VPN을 사용하기 전에 Google Cloud의 일반 서비스 약관 2항을 자세히 검토하세요.
Network Connectivity Center를 사용하면 HA VPN 터널을 사용하여 온프레미스 네트워크를 함께 연결하고 이러한 네트워크 간에 데이터 전송 네트워크로 트래픽을 전송할 수 있습니다. 각 온프레미스 위치의 Network Connectivity Center 스포크에 터널 쌍을 연결하여 네트워크에 연결합니다. 그런 다음 각 스포크를 Network Connectivity Center 허브에 연결합니다.
Network Connectivity Center에 대한 자세한 내용은 Network Connectivity Center 개요를 참조하세요.
BYOIP(Bring your own IP) 지원
Cloud VPN에서 BYOIP 주소를 사용하는 방법에 대한 자세한 내용은 BYOIP 주소 지원을 참조하세요.
HA VPN의 활성-활성 및 활성-수동 라우팅 옵션
Cloud VPN 터널이 중지하면 자동으로 다시 시작합니다. 전체 가상 VPN 기기가 실패하면 Cloud VPN이 동일한 구성으로 새 기기를 자동으로 인스턴스화합니다. 새 게이트웨이와 터널은 자동으로 연결됩니다.
HA VPN 게이트웨이에 연결된 VPN 터널은 동적(BGP) 라우팅을 사용해야 합니다. HA VPN 터널의 경로 우선순위를 구성하는 방법에 따라 활성-활성 또는 활성-수동 라우팅 구성을 만들 수 있습니다. 이러한 라우팅 구성의 경우 두 VPN 터널이 모두 활성 상태로 유지됩니다.
다음 표에서는 활성-활성 또는 활성-수동 라우팅 구성의 기능을 비교합니다.
| 기능 | active-active | active-passive |
|---|---|---|
| 처리량 | 유효한 총 처리량은 두 터널 모두의 처리량 합계입니다. | 활성 터널을 2개에서 1개로 줄이면 유효한 전체 처리량이 절반으로 줄어들어 연결이 느려지거나 패킷이 손실될 수 있습니다. |
| 경로 공지 | 동종 앱 게이트웨이는 터널마다 동일한 multi-exit discriminator(MED) 값을 사용하여 동종 앱 네트워크의 경로를 공지합니다. Cloud VPN 터널을 관리하는 Cloud Router는 동일한 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다. 동종 앱 네트워크로 전송되는 이그레스 트래픽에는 등가 멀티 경로(ECMP) 라우팅이 사용됩니다. 동일한 Cloud Router는 동일한 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다. 피어 게이트웨이는 ECMP를 사용하여 이러한 경로를 사용해서 Google Cloud로 이그레스 트래픽을 전송합니다. |
피어 게이트웨이는 터널마다 MED 값이 다른 피어 네트워크의 경로를 공지합니다. Cloud VPN 터널을 관리하는 Cloud Router는 다른 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다. 동종 앱 네트워크로 전송되는 이그레스 트래픽은 관련 터널을 사용할 수 있는 한 우선순위가 가장 높은 경로를 사용합니다. 동일한 Cloud Router가 각 터널에 서로 다른 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다. 동종 앱 게이트웨이는 우선순위가 가장 높은 터널만 사용하여 트래픽을 Google Cloud로 전송할 수 있습니다. |
| 장애 조치 | 터널이 비정상 상태가 되는 경우(예: DPD가 다운되는 경우) Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 경로를 철회합니다. BGP 세션이 다운되면 터널링이 비정상 상태가 되지 않고 Cloud Router가 다음 홉이 사용할 수 없는 터널인 학습된 경로를 삭제합니다. 철회 프로세스는 40~60초가 걸릴 수 있으며 이 기간 중에 패킷이 손실될 수 있습니다. |
터널이 비정상 상태가 되는 경우(예: DPD가 다운되는 경우) Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 경로를 철회합니다. BGP 세션이 다운되면 터널링이 비정상 상태가 되지 않고 Cloud Router가 다음 홉이 사용할 수 없는 터널인 학습된 경로를 삭제합니다. 철회 프로세스는 40~60초가 걸릴 수 있으며 이 기간 중에 패킷이 손실될 수 있습니다. 터널을 한 번에 한 개만 사용하므로 첫 번째 터널이 실패하여 장애 조치가 필요한 경우 두 번째 터널이 모든 이그레스 대역폭을 처리할 수 있습니다. |
전체 메시 토폴로지의 활성-수동 라우팅
Cloud Router가 지정된 Cloud VPN 인터페이스를 통해 다른 MED 값과 동일한 프리픽스를 수신할 경우, 우선순위가 가장 높은 경로만 VPC 네트워크로 가져옵니다. 다른 비활성 경로는 Google Cloud 콘솔에 또는 Google Cloud CLI를 통해 표시되지 않습니다. 우선순위가 가장 높은 경로를 사용할 수 없게 되면 Cloud Router가 이를 철회하고 그 다음 최선의 경로를 VPC 네트워크로 자동으로 가져옵니다.
여러 터널 또는 게이트웨이 사용
동종 앱 게이트웨이 구성에 따라 경로 우선순위(MED 값)로 인해 일부 트래픽이 한 터널을 통과하고 다른 트래픽이 다른 터널을 통과하도록 경로를 구성할 수 있습니다. 마찬가지로 Cloud Router가 VPC 네트워크 경로를 공유하는 데 사용하는 기본 우선순위를 조정할 수 있습니다. 이러한 상황은 전적으로 활성-활성이 아니고 전적으로 활성-수동도 아닌 가능한 라우팅 구성을 보여줍니다.
권장 라우팅 옵션
단일 HA VPN 게이트웨이를 사용하는 경우 활성-수동 라우팅 구성을 사용하는 것이 좋습니다. 이 구성을 사용하면 정상 터널 작동 시 관측된 대역폭 용량은 장애 조치 중에 관측된 대역폭 용량과 일치합니다. 앞에서 설명한 다중 게이트웨이 시나리오를 제외하고 관측된 대역폭 한도가 일정하게 유지되므로 이러한 유형의 구성을 더욱 쉽게 관리할 수 있습니다.
여러 HA VPN 게이트웨이를 사용하는 경우 활성-활성 라우팅 구성을 사용하는 것이 좋습니다. 이 구성을 사용하면 정상 터널 작동 시 관측된 대역폭 용량은 최대 대역폭 용량의 2배입니다. 하지만 이 구성은 터널을 효과적으로 언더프로비저닝하지 못하므로 장애 조치 시 트래픽이 손실될 수 있습니다.
Cloud VPN 터널을 통해 동종 앱 IP 주소 제한
조직 정책 관리자(roles/orgpolicy.policyAdmin)는 사용자가 동종 앱 VPN 게이트웨이에 지정할 수 있는 IP 주소를 제한하는 정책 제약조건을 만들 수 있습니다.
이 제한사항은 특정 프로젝트, 폴더 또는 조직의 모든 Cloud VPN 터널(기본 VPN 및 HA VPN 모두)에 적용됩니다.
IP 주소를 제한하는 방법은 동종 앱 VPN 게이트웨이의 IP 주소 제한을 참조하세요.
Cloud VPN 연결 시각화 및 모니터링
네트워크 토폴로지는 VPC 네트워크의 토폴로지, 온프레미스 네트워크와의 하이브리드 연결, 관련 측정항목을 보여주는 시각화 도구입니다. 네트워크 토폴로지 뷰에서 Cloud VPN 게이트웨이 및 VPN 터널을 항목으로 볼 수 있습니다.
기본 항목은 특정 계층의 최하위 수준이며 네트워크를 통해 다른 리소스와 직접 통신할 수 있는 리소스를 나타냅니다. 네트워크 토폴로지는 기본 항목을 계층 항목으로 집계하여 펼치거나 접을 수 있습니다. 네트워크 토폴로지 그래프를 처음 보는 경우에는 모든 기본 항목을 최상위 계층 구조로 집계합니다.
예를 들어 네트워크 토폴로지는 VPN 터널을 VPN 게이트웨이 연결에 집계합니다. VPN 게이트웨이 아이콘을 펼치거나 접어 계층 구조를 볼 수 있습니다.
자세한 정보는 네트워크 토폴로지 개요를 참조하세요.
유지보수 및 가용성
Cloud VPN은 정기적으로 유지보수가 수행됩니다. 유지보수 중에는 Cloud VPN 터널이 오프라인으로 전환되어 네트워크 트래픽이 잠시 중단됩니다. 유지보수가 완료되면 Cloud VPN 터널이 자동으로 다시 설정됩니다.
Cloud VPN 유지보수는 사전 고지 없이 언제든지 발생할 수 있는 정상적인 운영 태스크입니다. 유지보수 기간은 Cloud VPN SLA에 영향을 주지 않도록 충분히 짧게 설계됩니다.
HA VPN은 고가용성 VPN을 구성하는 데 권장되는 방법입니다. 구성 옵션은 HA VPN 토폴로지 페이지를 참조하세요. 기본 VPN을 중복 및 높은 처리량 옵션으로 사용하는 경우 기본 VPN 토폴로지 페이지를 참조하세요.
권장사항
Cloud VPN을 효과적으로 빌드하려면 다음 권장사항을 따르세요.
다음 단계
고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.
HA VPN에 권장되는 토폴로지에 대해 자세히 알아보세요.