Cloud VPN 개요

이 페이지에서는 Google Cloud VPN과 관련된 개념을 설명합니다.

Cloud VPN은 IPsec VPN 연결을 통해 피어 네트워크를 Virtual Private Cloud(VPC) 네트워크에 안전하게 연결합니다. 한 VPN 게이트웨이에서 두 네트워크 사이에서 이동하는 트래픽을 암호화하고 다른 VPN 게이트웨이에서 복호화합니다. 이 방식으로 인터넷에서 전송되는 데이터가 보호됩니다. Cloud VPN의 두 인스턴스를 서로 연결할 수도 있습니다.

Cloud VPN 문서에서 사용되는 용어의 정의는 주요 용어를 참조하세요.

하이브리드 네트워킹 솔루션 선택

Cloud VPN, Dedicated Interconnect, Partner Interconnect 또는 Cloud Router를 Google Cloud 하이브리드 네트워킹 연결로 사용할지 여부를 결정하려면 네트워크 연결 제품 선택을 참조하세요.

Cloud VPN 유형

Google Cloud는 두 가지 유형의 Cloud VPN 게이트웨이인 HA VPN과 기본 VPN을 제공합니다.

HA VPN으로 이동하는 방법에 대한 자세한 내용은 기본 VPN에서 HA VPN으로 이동을 참조하세요.

HA VPN

HA VPN은 단일 리전의 IPsec VPN 연결을 통해 온프레미스 네트워크를 Virtual Private Cloud(VPC) 네트워크에 안전하게 연결할 수 있는 고가용성(HA) Cloud VPN 솔루션입니다. HA VPN은 99.99% 서비스 가용성의 SLA를 제공합니다.

HA VPN 게이트웨이를 만들면 Google Cloud가 두 인터페이스의 고정된 각 번호에 각각 하나씩 외부 IP 주소 두 개를 자동으로 선택합니다. 각 IP 주소는 고가용성을 지원하기 위해 고유 주소 풀에서 자동으로 선택됩니다. 각 HA VPN 게이트웨이 인터페이스는 터널 여러 개를 지원합니다. HA VPN 게이트웨이를 여러 개 만들 수도 있습니다. HA VPN 게이트웨이를 삭제하면 Google Cloud에서 IP 주소를 재사용할 수 있도록 해제합니다. 활성 인터페이스 한 개와 공용 IP 주소 한 개를 사용하여 HA VPN 게이트웨이를 구성할 수 있습니다. 하지만 이 구성은 99.99% 서비스 가용성 SLA를 제공하지 않습니다.

HA VPN 게이트웨이는 API 문서와 gcloud 명령어에서 대상 VPN 게이트웨이가 아니라 VPN 게이트웨이라고 합니다. HA VPN 게이트웨이에 대한 전달 규칙을 만들 필요가 없습니다.

HA VPN은 Google Cloud의 외부 VPN 게이트웨이 리소스를 사용하여 Google Cloud에 피어 VPN 게이트웨이 또는 게이트웨이에 대한 정보를 제공합니다.

HA VPN 요구사항

HA VPN에서 99.99% 서비스 수준 가용성을 달성하려면 Cloud VPN 구성이 다음 요구사항을 충족해야 합니다.

  • HA VPN 게이트웨이를 피어 게이트웨이에 연결하면 99.99% 가용성은 연결의 Google Cloud 측에서만 보장됩니다. 엔드 투 엔드 가용성을 달성하려면 피어 VPN 게이트웨이를 올바르게 구성해야 합니다.

  • 양측 모두 Google Cloud 게이트웨이고 제대로 구성된 경우 엔드 투 엔드 99.99% 가용성이 보장됩니다.

  • 두 VPN 게이트웨이가 VPC 네트워크에 있을 때 고가용성을 얻으려면 HA VPN 게이트웨이 두 개를 사용해야 하며 둘 다 같은 리전에 있어야 합니다.

    두 게이트웨이가 같은 리전에 있어야 하지만 VPC 네트워크에서 전역 동적 라우팅 모드를 사용하는 경우 두 게이트웨이가 서로 공유하는 서브넷 경로는 어떠한 리전에도 위치할 수 있습니다. VPC 네트워크가 리전별 동적 라우팅 모드를 사용하는 경우 동일한 리전의 서브넷의 경로만 피어 네트워크와 공유되며 학습된 경로는 VPN 터널과 동일한 리전의 서브넷에만 적용됩니다.

    VPC 네트워크의 동적 라우팅 모드에 대한 자세한 내용은 VPC 네트워크 개요를 참조하세요.

  • HA VPN이 외부 VPN 게이트웨이 리소스에서 구성되면 Google Cloud IP 주소를 거부합니다. 이 예시에서는 외부 VPN 게이트웨이 리소스의 외부 IP 주소로 VM 인스턴스의 외부 IP 주소를 사용합니다. 지원되는 HA VPN Google Cloud - Google Cloud 토폴로지는 Google Cloud - Google Cloud VPN HA VPN 게이트웨이 만들기의 설명대로 HA VPN이 양측에서 사용되는 경우입니다.

  • Cloud VPN 게이트웨이의 관점에서 VPN 터널 두 개를 구성해야 합니다.

    • 피어 VPN 게이트웨이 기기가 두 개 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 각 터널을 자체 피어 게이트웨이에 연결해야 합니다.
    • 인터페이스가 두 개 있는 단일 피어 VPN 게이트웨이 기기가 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 각 터널을 피어 게이트웨이의 자체 인터페이스에 연결해야 합니다.
    • 인터페이스가 하나 있는 단일 피어 VPN 게이트웨이 기기가 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 두 터널 모두 피어 게이트웨이의 동일한 인터페이스에 연결해야 합니다.
  • 피어 VPN 기기를 적절한 중복성으로 구성해야 합니다. 기기 공급업체에서 적절한 중복 구성에 대한 세부정보를 지정하며 이 정보에는 여러 하드웨어 인스턴스가 포함되거나 포함되지 않을 수 있습니다. 자세한 내용은 피어 VPN 기기의 공급업체 문서를 참조하세요.

    피어 기기 두 개가 필요하면 각 피어 기기를 서로 다른 HA VPN 게이트웨이 인터페이스에 연결해야 합니다. 피어 측이 AWS와 같은 다른 클라우드 제공업체이면 AWS 측에서도 VPN 연결을 적절한 중복성으로 구성해야 합니다.

  • 피어 VPN 게이트웨이 기기는 동적(BGP) 라우팅을 지원해야 합니다.

다음 다이어그램은 피어 VPN 게이트웨이 두 개에 연결된 HA VPN 게이트웨이의 인터페이스 두 개가 포함된 토폴로지를 나타내는 HA VPN 개념을 보여줍니다. HA VPN 토폴로지(구성 시나리오)에 대한 자세한 내용은 Cloud VPN 토폴로지를 참조하세요.

피어 VPN 게이트웨이 두 개에 대한 HA VPN 게이트웨이(확대하려면 클릭)
피어 VPN 게이트웨이 두 개에 대한 HA VPN 게이트웨이(확대하려면 클릭)

기본 VPN

반면 기본 VPN 게이트웨이에는 인터페이스 한 개, 외부 IP 주소 한 개가 있으며 동적(BGP) 또는 정적 라우팅(경로 기반 또는 정책 기반)을 사용하는 터널을 지원합니다. 99.9% 서비스 가용성 SLA를 제공합니다.

지원되는 기본 VPN 토폴로지는 기본 VPN 토폴로지 페이지를 참조하세요.

기본 VPN은 API 문서 및 gcloud 명령어에서 대상 VPN 게이트웨이라고 합니다.

비교 표

다음 표에서는 HA VPN 기능과 기본 VPN 기능을 비교합니다.

기능 HA VPN 기본 VPN
SLA 인터페이스 두 개와 외부 IP 두 개로 구성된 경우 99.99% SLA 제공 99.9% SLA 제공
외부 IP 및 전달 규칙 만들기 풀에서 생성된 외부 IP 전달 규칙이 필요하지 않음 외부 IP 및 전달 규칙을 만들어야 함
라우팅 옵션 지원 동적 라우팅(BGP)만 BGP를 사용한 정적 라우팅(정책 기반, 경로 기반) 또는 동적 라우팅
Cloud VPN 게이트웨이에서 동일한 피어 게이트웨이로의 2개 터널 지원 지원되지 않음
API 리소스 vpn-gateway 리소스라고 함 target-vpn-gateway 리소스라고 함

사양

Cloud VPN의 사양은 다음과 같습니다.

  • Cloud VPN은 이 섹션에 나열된 요구사항에 따라 사이트 간 IPsec VPN 연결만 지원합니다. 클라이언트-게이트웨이(로드 워리어) 시나리오는 지원하지 않습니다. 즉, Cloud VPN은 클라이언트 컴퓨터가 클라이언트 VPN 소프트웨어를 사용하여 VPN에 '전화로 참여'해야 하는 사용 사례를 지원하지 않습니다.

    Cloud VPN은 IPsec만 지원합니다. 다른 VPN 기술(예: SSL VPN)은 지원되지 않습니다.

  • Cloud VPN은 VPC 네트워크와 레거시 네트워크에서 사용할 수 있습니다. VPC의 경우 네트워크의 서브넷에서 사용하는 IP 주소 범위를 완전히 제어할 수 있도록 커스텀 모드를 사용하는 것이 좋습니다. 자세한 내용은 일반적인 VPC 네트워크, 레거시 네트워크, 커스텀 모드 네트워크의 문서를 참조하세요.

    • 기본 VPN 게이트웨이와 HA VPN 게이트웨이는 인터넷 라우팅이 가능한 외부 IPv4 주소를 사용합니다. 이 주소에는 ESP, UDP 500, UDP 4500 트래픽만 허용됩니다. 이는 기본 VPN에 구성된 Cloud VPN 주소 또는 HA VPN에 자동으로 할당된 주소에 적용됩니다.

    • 온프레미스 서브넷의 IP 주소 범위가 VPC 네트워크에 있는 서브넷에서 사용하는 IP 주소와 겹치는 경우 라우팅 충돌을 해결하는 방법은 경로 순서를 참조하세요.

  • Cloud VPN은 온프레미스 호스트에 비공개 Google 액세스와 함께 사용할 수 있습니다. 자세한 내용은 비공개 Google 액세스 옵션을 참조하세요.

  • 각 Cloud VPN 게이트웨이를 다른 Cloud VPN 게이트웨이 또는 피어 VPN 게이트웨이에 연결해야 합니다.

  • 피어 VPN 게이트웨이에는 인터넷 라우팅이 가능한 정적 외부 IPv4 주소가 포함되어야 합니다. Cloud VPN을 구성하려면 IP 주소를 알아야 합니다.

    • 피어 VPN 게이트웨이가 방화벽 뒤에 있으면 ESP(IPsec) 프로토콜과 IKE(UDP 500 및 UDP 4500) 트래픽을 게이트웨이로 전달할 수 있도록 방화벽을 구성해야 합니다. 방화벽이 네트워크 주소 변환(NAT)을 제공하는 경우에는 UDP 캡슐화 및 NAT-T를 참조하세요.
  • Cloud VPN에서는 사전 파편화를 지원하도록 피어 VPN 게이트웨이를 구성해야 합니다. 패킷을 캡슐화하기 전에 파편화해야 합니다.

  • Cloud VPN은 4096 패킷 창에 재생 탐지를 사용합니다. 이 기능을 중지할 수 없습니다.

네트워크 대역폭

각 Cloud VPN 터널은 인그레스 및 이그레스에 대해 초당 최대 3기가비트(Gbps)를 지원할 수 있습니다.

이 한도와 관련된 측정항목은 Sent bytesReceived bytes이며 이는 Cloud VPN의 측정항목 모니터링에 설명되어 있습니다. 측정항목의 단위는 바이트이지만 3Gbps 한도는 초당 비트를 의미합니다. 바이트로 변환하는 경우 한도는 초당 375MB(MBps)입니다. 한도 대비 사용량을 측정하는 경우 변환된 한도인 375MBps와 비교하여 Sent bytesReceived bytes의 합계를 사용합니다.

대역폭에 영향을 미치는 요인

실제 대역폭은 여러 가지 요인에 따라 달라집니다.

  • Cloud VPN 게이트웨이와 피어 게이트웨이 사이의 네트워크 연결:
    • 두 게이트웨이 간의 네트워크 대역폭. Google과의 다이렉트 피어링 관계를 설정하면 VPN 트래픽이 공용 인터넷을 통해 전송되는 경우보다 처리량이 증가합니다.
    • 왕복 시간(RTT) 및 패킷 손실률. RTT 또는 패킷 손실률이 높아지면 TCP 성능이 크게 저하됩니다.
  • 피어 VPN 게이트웨이의 기능. 자세한 내용은 기기의 문서를 참조하세요.
  • 패킷 크기. Cloud VPN은 최대 전송 단위(MTU) 1,460바이트를 사용합니다. 피어 VPN 게이트웨이가 1,460바이트 이하의 MTU를 사용하도록 구성해야 합니다. 처리는 패킷별 기준에 따라 수행되므로 더 작은 패킷 숫자가 클수록 전체 처리량이 줄어들 수 있습니다. ESP 오버헤드를 고려하기 위해 VPN 터널을 통해 트래픽을 전송하는 시스템의 MTU 값을 터널의 MTU보다 작은 값으로 설정해야 할 수 있습니다. 자세한 내용과 권장 사항은 MTU 고려사항을 참조하세요.
  • 패킷 속도. 인그레스와 이그레스의 경우 각 Cloud VPN 터널의 권장 최대 패킷 속도는 250,000pps(초당 패킷)입니다. 패킷을 더 빠른 속도로 전송해야 하면 VPN 터널을 추가로 만들어야 합니다.

VPN 터널의 TCP 대역폭을 측정할 경우 TCP 스트림 두 개 이상을 동시에 측정해야 합니다. iperf 도구를 사용하는 경우 -P 매개변수를 사용하여 동시 스트림 수를 지정합니다.

IPsec 및 IKE 지원

Cloud VPN은 들어오는 인증 패킷에 정책 관련 필터링을 수행하지 않습니다. 나가는 패킷은 Cloud VPN 게이트웨이에 구성된 IP 범위를 기준으로 필터링됩니다.

  • Cloud VPN은 인증에 사전 공유 키(공유 비밀번호)만 지원합니다. Cloud VPN 터널을 만들 때 공유 비밀번호를 지정해야 합니다. 피어 게이트웨이에서 터널을 만드는 경우 동일한 보안 비밀을 지정해야 합니다. 강력한 공유 비밀번호 만들기에 대한 가이드라인을 참조하세요.

  • Cloud VPN에서 지원하는 암호화와 구성 매개변수는 지원되는 IKE 암호화를 참조하세요.

UDP 캡슐화 및 NAT-T

Cloud VPN에서 NAT-T를 지원하도록 피어 기기를 구성하는 방법에 대한 자세한 내용은 고급 개요의 UDP 및 NAT-T 섹션을 참조하세요.

전송 네트워크인 Cloud VPN

Cloud VPN을 사용하기 전에 Google Cloud 서비스별 약관을 주의 깊게 검토하세요.

전송 네트워크인 VPC 네트워크를 통해 트래픽을 전달할 목적으로만 Cloud VPN 터널을 사용하여 온프레미스 네트워크를 두 개 이상 연결하지 마세요. 이러한 허브 및 스포크 구성은 Google Cloud 서비스별 약관을 위반하게 됩니다.

HA VPN의 활성/활성 및 활성/수동 라우팅 옵션

Cloud VPN 터널이 중지하면 자동으로 다시 시작합니다. 전체 가상 VPN 기기가 실패하면 Cloud VPN이 동일한 구성으로 새 기기를 자동으로 인스턴스화합니다. 새 게이트웨이와 터널은 자동으로 연결됩니다.

HA VPN 게이트웨이에 연결된 VPN 터널은 동적(BGP) 라우팅을 사용해야 합니다. HA VPN 터널의 경로 우선순위를 구성하는 방법에 따라 활성/활성 또는 활성/수동 라우팅 구성을 만들 수 있습니다. 이러한 라우팅 구성의 경우 두 VPN 터널이 모두 활성 상태로 유지됩니다.

다음 표에서는 활성/활성 또는 활성/수동 라우팅 구성의 기능을 비교합니다.

기능 active/active active/passive
처리량 유효한 총 처리량은 두 터널 모두의 처리량 합계입니다. 활성 터널을 2개에서 1개로 줄이면 유효한 전체 처리량이 절반으로 줄어들어 연결이 느려지거나 패킷이 손실될 수 있습니다.
경로 공지 피어 게이트웨이는 각 터널의 동일한 MED 값을 가진 피어 네트워크의 경로를 공지합니다. Cloud VPN 터널을 관리하는 Cloud Router는 동일한 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다.

피어 네트워크로 전송되는 이그레스 트래픽은 등가 멀티 경로(ECMP) 라우팅을 사용합니다. 같은 Cloud Router는 동일한 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다. 피어 게이트웨이는 이러한 경로를 사용하여 ECMP를 통해 이그레스 트래픽을 Google Cloud로 보낼 수도 있습니다.
피어 게이트웨이는 터널마다 MED 값이 다른 피어 네트워크의 경로를 공지합니다. Cloud VPN 터널을 관리하는 Cloud Router는 동일한 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다.

피어 네트워크로 전송되는 이그레스 트래픽은 관련 터널을 사용할 수 있는 한 우선순위가 가장 높은 경로를 사용합니다. 같은 Cloud Router는 터널마다 다른 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다. 피어 게이트웨이는 우선순위가 가장 높은 터널을 사용하여 트래픽을 Google Cloud로만 전송할 수 있습니다.
장애 조치 터널 하나를 사용할 수 없게 되면 Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 커스텀 동적 경로를 철회합니다. 이 철회 프로세스에는 최대 40초가 걸릴 수 있으며 이 기간 중에 패킷이 손실될 수 있습니다. 터널을 한 번에 한 개만 사용하므로 첫 번째 터널이 실패하여 장애 조치가 필요한 경우 두 번째 터널이 모든 이그레스 대역폭을 처리할 수 있습니다.

터널 하나를 사용할 수 없게 되면 Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 커스텀 동적 경로를 철회합니다. 이 철회 프로세스에는 최대 40초가 걸릴 수 있으며 이 기간 중에 패킷이 손실될 수 있습니다.

여러 터널 또는 게이트웨이 사용

피어 게이트웨이 구성에 따라 일부 트래픽이 터널 하나를 통과하고 다른 트래픽이 경로 우선순위(MED 값)에 의해 다른 터널을 통과하도록 경로를 구성할 수 있습니다. 마찬가지로 Cloud Router가 VPC 네트워크 경로를 공유하는 데 사용하는 기본 우선순위를 조정할 수 있습니다. 이러한 상황은 전적으로 활성/활성이 아니고 전적으로 활성/수동도 아닌 가능한 라우팅 구성을 보여줍니다.

단일 HA VPN 게이트웨이를 사용하는 경우 활성/수동 라우팅 구성을 사용하는 것이 좋습니다. 이 구성을 사용하면 정상 터널 작동 시 관측된 대역폭 용량은 장애 조치 중에 관측된 대역폭 용량과 일치합니다. 앞에서 설명한 다중 게이트웨이 시나리오를 제외하고 관측된 대역폭 한도가 일정하게 유지되므로 이러한 유형의 구성을 더욱 쉽게 관리할 수 있습니다.

HA VPN 게이트웨이를 여러 개 사용하는 경우에는 활성/활성 구성을 사용하는 것이 좋습니다. 이 구성을 사용하면 정상 작동 시 관측된 대역폭 용량은 보장된 대역폭 용량의 2배입니다. 하지만 이 구성은 터널을 효과적으로 프로비저닝하지 못하므로 장애 조치 시 트래픽이 손실될 수 있습니다.

Cloud VPN 터널을 통해 피어 IP 주소 제한

조직 정책 관리자는 조직 정책 제약조건을 만들어 특정 프로젝트, 폴더 또는 조직에 새 Cloud VPN 터널을 만들 때 사용자가 지정할 수 있는 피어 IP 주소 집합을 정의할 수 있습니다.

피어 게이트웨이 IP 주소는 온프레미스 게이트웨이 또는 다른 Cloud VPN 게이트웨이의 IP 주소일 수 있습니다.

Resource Manager 제약조건 constraints/compute.restrictVpnPeerIPs를 사용하여 사용자가 새 Cloud VPN 터널을 만들 때 지정할 수 있는 피어 IP 목록을 제어합니다.

다음 예시에서는 조직 정책 관리자가 허용된 피어 VPN 게이트웨이 IP 주소를 정의하는 조직 정책 제약조건을 만듭니다. 이 제약조건에는 IP 주소 100.1.1.1로만 구성된 allowList가 있습니다.

network-a VPC 네트워크가 포함된 프로젝트의 네트워크 관리자는 피어 게이트웨이 IP 주소 100.1.1.1에 연결되는 새 Cloud VPN 터널만 만들 수 있습니다. 이 제약조건으로 인해 다른 피어 게이트웨이 IP 주소에 대한 새 Cloud VPN 터널을 만들 수 없습니다.

VPN 피어를 제한하는 조직 정책(확대하려면 클릭)
VPN 피어를 제한하는 조직 정책(확대하려면 클릭)

IP 주소를 제한하는 방법은 다음 페이지를 참조하세요.

고려사항

  • 피어 게이트웨이 IP 주소를 제한하는 조직 정책 제약조건은 새 Cloud VPN 터널에만 적용됩니다. 제약조건이 적용된 후 생성된 Cloud VPN 터널은 제약조건에 의해 금지됩니다. 자세한 내용은 Resource Manager 계층 구조 이해하기를 참조하세요.

  • BGP 또는 HA VPN 터널에서 정적 라우팅 또는 동적 라우팅을 사용하는 기본 VPN 터널에 이 제약조건을 적용할 수 있습니다.

  • 특정 정책에 allowedList 또는 deniedList 항목을 여러 개 지정할 수 있지만 두 항목을 동시에 사용할 수 없습니다.

  • 개발자나 올바른 권한을 가진 네트워크 관리자는 VPN 터널의 수명 주기와 무결성을 관리하고 유지보수해야 합니다.

유지보수 및 가용성

Cloud VPN은 정기적으로 유지관리가 수행됩니다. 유지관리 중에는 Cloud VPN 터널이 오프라인으로 전환되어 네트워크 트래픽이 잠시 중단됩니다. 유지보수가 완료되면 Cloud VPN 터널이 자동으로 다시 설정됩니다.

Cloud VPN 유지보수는 사전 예고 없이 언제든지 발생할 수 있는 정상적인 운영 태스크입니다. 유지보수 기간은 Cloud VPN SLA에 영향을 주지 않도록 충분히 짧게 설계됩니다.

HA VPN은 가용성이 높은(HA) VPN을 구성하는 데 권장되는 방법입니다. 구성 옵션은 HA VPN 토폴로지 페이지를 참조하세요. 기본 VPN을 중복 및 높은 처리량 옵션으로 사용하는 경우 기본 VPN 토폴로지 페이지를 참조하세요.

권장사항

Cloud VPN을 가장 효율적인 방법으로 빌드하려면 이 권장사항을 따르세요.

다음 단계

  • 다른 유형의 Cloud VPN 게이트웨이를 설정하려면 VPN 옵션 선택을 참조하세요.
  • 고가용성, 높은 처리량 시나리오 또는 다중 서브넷 시나리오에 대한 자세한 내용은 고급 구성을 참조하세요.
  • 커스텀 VPC 네트워크를 만들려면 커스텀 모드 네트워크 만들기를 참조하세요.
  • VPN 터널과 게이트웨이를 유지보수하려면 VPN 유지보수를 참조하세요.
  • Cloud Logging과 Cloud Monitoring 측정항목을 보려면 로그 및 측정항목 보기를 참조하세요.
  • Cloud VPN와 관련된 일반적인 문제를 모니터링하고 해결하려면 문제해결을 참조하세요.