Cloud VPN 개요

이 페이지에서는 Google Cloud VPN과 관련된 개념을 설명합니다. Cloud VPN 문서에서 사용되는 용어의 정의는 주요 용어를 참조하세요.

Cloud VPN은 IPsec VPN 연결을 통해 피어 네트워크를 Virtual Private Cloud(VPC) 네트워크에 안전하게 연결합니다. 한 VPN 게이트웨이에서 두 네트워크 사이에서 이동하는 트래픽을 암호화하고 다른 VPN 게이트웨이에서 복호화합니다. 이 작업은 인터넷에서 전송되는 데이터를 보호합니다. Cloud VPN의 두 인스턴스를 서로 연결할 수도 있습니다.

하이브리드 네트워킹 솔루션 선택

Cloud VPN, Dedicated Interconnect, Partner Interconnect 또는 Cloud Router를 Google Cloud 하이브리드 네트워킹 연결로 사용할지 여부를 결정하려면 네트워크 연결 제품 선택을 참조하세요.

직접 사용해 보기

Google Cloud를 처음 사용하는 경우 계정을 만들어 실제 시나리오에서 Cloud VPN의 성능을 평가할 수 있습니다. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

Cloud VPN 무료로 사용해 보기

IPsec 암호화 및 공개 인터넷을 거치지 않는 연결을 원하는 경우 Cloud Interconnect를 통한 HA VPN을 배포할 수 있습니다.

Cloud VPN 유형

Google Cloud는 두 가지 유형의 Cloud VPN 게이트웨이인 HA VPN과 기본 VPN을 제공합니다. 하지만 특정 기본 VPN 기능은 지원 중단되었습니다. 자세한 내용은 기본 VPN 부분 지원 중단을 참조하세요.

HA VPN으로 이전하는 자세한 방법은 HA VPN으로 이전을 참조하세요.

HA VPN

HA VPN은 단일 리전에서 IPsec VPN 연결을 통해 온프레미스 네트워크를 VPC 네트워크에 안전하게 연결할 수 있게 해주는 고가용성(HA) Cloud VPN 솔루션입니다. HA VPN은 99.99% 서비스 가용성의 SLA를 제공합니다.

HA VPN 게이트웨이를 만들면 Google Cloud가 두 인터페이스의 고정된 각 번호에 각각 하나씩 외부 IPv4 주소 두 개를 자동으로 선택합니다. 각 IPv4 주소는 고가용성을 지원하기 위해 고유 주소 풀에서 자동으로 선택됩니다. 각 HA VPN 게이트웨이 인터페이스는 터널 여러 개를 지원합니다. HA VPN 게이트웨이를 여러 개 만들 수도 있습니다. HA VPN 게이트웨이를 삭제하면 Google Cloud에서 IP 주소를 재사용할 수 있도록 해제합니다. 활성 인터페이스 한 개와 공용 IP 주소 한 개만 사용하여 HA VPN 게이트웨이를 구성할 수 있습니다. 하지만 이 구성은 99.99% 서비스 가용성 SLA를 제공하지 않습니다.

HA VPN을 사용하는 옵션 중 하나는 Cloud Interconnect를 통한 HA VPN을 배포하는 것입니다. Cloud Interconnect를 통한 HA VPN은 Cloud VPN에서 얻는 IPsec 암호화를 통해 얻을 수 있는 이점과 함께 Cloud Interconnect 용량을 더 크게 배포할 수 있는 이점도 제공합니다. 또한 Cloud Interconnect를 사용하기 때문에 공개 인터넷 전송을 위해 네트워크 트래픽이 필요하지 않습니다. Cloud Interconnect 트래픽에 IPsec 암호화를 추가하는 것은 데이터 암호화 및 기타 규정 준수 요구사항을 충족하는 데 중요합니다. 특히 Partner Interconnect의 요구사항에 의해 타사 서비스 제공업체에 연결해야 하는 경우 더욱 그렇습니다.

HA VPN 게이트웨이는 API 문서와 gcloud 명령어에서 대상 VPN 게이트웨이가 아니라 VPN 게이트웨이라고 합니다. HA VPN 게이트웨이에 대한 전달 규칙을 만들 필요가 없습니다.

HA VPN은 Google Cloud의 외부 VPN 게이트웨이 리소스를 사용하여 Google VPN에 피어 VPN 게이트웨이 또는 게이트웨이에 대한 정보를 제공합니다.

HA VPN 요구사항

HA VPN에서 99.99% 서비스 수준 가용성을 달성하려면 Cloud VPN 구성이 다음 요구사항을 충족해야 합니다.

HA VPN 게이트웨이를 피어 게이트웨이에 연결하면 99.99% 가용성은 연결의 Google Cloud 측에서만 보장됩니다. 엔드 투 엔드 가용성을 달성하려면 피어 VPN 게이트웨이를 올바르게 구성해야 합니다.
양측 모두 Google Cloud 게이트웨이고 제대로 구성된 경우 엔드 투 엔드 99.99% 가용성이 보장됩니다.
두 VPN 게이트웨이가 VPC 네트워크에 있을 때 고가용성을 얻으려면 HA VPN 게이트웨이 두 개를 사용해야 하며 둘 다 같은 리전에 있어야 합니다.

두 게이트웨이 모두 동일한 리전에 있어야 하지만 VPC 네트워크에 전역 동적 라우팅 모드가 사용될 경우에는 게이트웨이가 서로 공유하는 서브넷 경로를 어떤 리전에도 배치할 수 있습니다. VPC 네트워크에 리전 동적 라우팅 모드가 사용될 경우 동일 리전의 서브넷 경로만 피어 네트워크에 공유됩니다. 학습된 경로는 VPN 터널과 동일한 리전에 있는 서브넷에만 적용됩니다.

자세한 내용은 동적 라우팅 모드를 참조하세요.
HA VPN 게이트웨이를 다른 HA VPN 게이트웨이에 연결할 때는 게이트웨이가 동일한 IP 스택 유형을 사용해야 합니다. 예를 들어 IPV4_IPV6 스택 유형으로 HA VPN 게이트웨이를 만들 때는 다른 HA VPN 게이트웨이도 IPV4_IPV6로 설정해야 합니다.
HA VPN은 외부 VPN 게이트웨이에 구성된 경우 Google Cloud IP 주소를 거부합니다. 예를 들어 VM 인스턴스의 외부 IP 주소를 외부 VPN 게이트웨이 리소스에 대한 외부 IP 주소로 사용하는 경우가 있습니다. Google Cloud 네트워크 간에 지원되는 유일한 HA VPN 토폴로지는 Google Cloud 네트워크 간 HA VPN 만들기에 설명된 대로 HA VPN이 양측에서 사용되는 경우입니다.
Cloud VPN 게이트웨이의 관점에서 2개의 VPN 터널을 구성합니다.
- 피어 VPN 게이트웨이 기기가 두 개 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 각 터널을 자체 피어 게이트웨이에 연결해야 합니다.
- 인터페이스가 두 개 있는 단일 피어 VPN 게이트웨이 기기가 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 각 터널을 피어 게이트웨이의 자체 인터페이스에 연결해야 합니다.
- 인터페이스가 하나 있는 단일 피어 VPN 게이트웨이 기기가 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 두 터널 모두 피어 게이트웨이의 동일한 인터페이스에 연결해야 합니다.
피어 VPN 기기를 적절한 중복성으로 구성해야 합니다. 기기 공급업체는 적절하게 중복된 구성 세부정보를 지정하며, 여기에는 여러 하드웨어 인스턴스가 포함될 수 있습니다. 자세한 내용은 피어 VPN 기기의 공급업체 문서를 참조하세요.

피어 기기 두 개가 필요하면 각 피어 기기를 서로 다른 HA VPN 게이트웨이 인터페이스에 연결해야 합니다. 피어 측이 AWS와 같은 다른 클라우드 제공업체이면 AWS 측에서도 VPN 연결을 적절한 중복성으로 구성해야 합니다.
피어 VPN 게이트웨이 기기는 동적(BGP) 라우팅을 지원해야 합니다.

다음 다이어그램은 피어 VPN 게이트웨이 두 개에 연결된 HA VPN 게이트웨이의 인터페이스 두 개가 포함된 토폴로지를 나타내는 HA VPN 개념을 보여줍니다. HA VPN 토폴로지(구성 시나리오)에 대한 자세한 내용은 Cloud VPN 토폴로지를 참조하세요.

2개의 피어 VPN 게이트웨이에 대한 HA VPN 게이트웨이. — 피어 VPN 게이트웨이 두 개에 대한 HA VPN 게이트웨이(확대하려면 클릭)

기본 VPN

HA VPN을 도입하기 전에 생성된 모든 Cloud VPN 게이트웨이는 기본 VPN 게이트웨이로 간주됩니다. 기본 VPN에서 HA VPN으로 이동하려면 자세한 안내를 참조하세요.

HA VPN과는 달리 기본 VPN 게이트웨이에는 인터페이스 한 개, 외부 IP 주소 한 개가 있으며 정적 라우팅(정책 기반 또는 경로 기반)을 사용하는 터널이 지원됩니다. 기본 VPN의 동적 라우팅(BGP)을 구성할 수도 있지만 Google Cloud VM 인스턴스에서 실행되는 타사 VPN 게이트웨이 소프트웨어에 연결되는 터널에만 구성할 수 있습니다.

기본 VPN 게이트웨이는 99.9% 서비스 가용성의 SLA를 제공합니다.

기본 VPN 게이트웨이는 IPv6를 지원하지 않습니다.

지원되는 기본 VPN 토폴로지는 기본 VPN 토폴로지 페이지를 참조하세요.

기본 VPN은 API 문서와 Google Cloud CLI에서 대상 VPN 게이트웨이라고 합니다.

비교표

다음 표에서는 기본 VPN 기능과 HA VPN 기능을 비교해서 보여줍니다.

기능	HA VPN	기본 VPN
SLA	인터페이스 두 개와 외부 IP 주소 두 개로 구성된 경우 99.99% SLA 제공	99.9% SLA 제공
외부 IP 주소 및 전달 규칙 만들기	풀에서 생성된 외부 IP 주소. 전달 규칙은 필요하지 않습니다.	외부 IP 주소와 전달 규칙을 만들어야 합니다.
지원되는 라우팅 옵션	동적 라우팅(BGP)만	정적 라우팅(정책 기반, 경로 기반) 동적 라우팅은 Google Cloud VM 인스턴스에서 실행되는 타사 VPN 게이트웨이 소프트웨어에 연결되는 터널에만 지원됩니다.
Cloud VPN 게이트웨이에서 동일한 피어 게이트웨이로의 2개 터널	지원	지원되지 않음
API 리소스	`vpn-gateway` 리소스라고 합니다.	`target-vpn-gateway` 리소스라고 합니다.
IPv6 트래픽	지원됨(이중 스택 IPv4 및 IPv6 구성)	지원되지 않음

사양

Cloud VPN의 사양은 다음과 같습니다.

Cloud VPN은 이 섹션에 나열된 요구사항에 따라 사이트 간 IPsec VPN 연결만 지원합니다. 클라이언트-게이트웨이 시나리오는 지원하지 않습니다. 즉, Cloud VPN은 클라이언트 컴퓨터가 클라이언트 VPN 소프트웨어를 사용하여 VPN에 '전화 접속'해야 하는 사용 사례를 지원하지 않습니다.

Cloud VPN은 IPsec만 지원합니다. 다른 VPN 기술(예: SSL VPN)은 지원되지 않습니다.
Cloud VPN은 VPC 네트워크와 레거시 네트워크에서 사용할 수 있습니다. VPC 네트워크의 경우 네트워크의 서브넷에 사용되는 IP 주소 범위를 완전히 제어할 수 있도록 커스텀 모드 VPC 네트워크가 권장됩니다.
- 기본 VPN 게이트웨이와 HA VPN 게이트웨이는 인터넷 라우팅이 가능한 외부 IPv4 주소를 사용합니다. 이 주소에는 ESP, UDP 500, UDP 4500 트래픽만 허용됩니다. 이는 기본 VPN에 구성된 Cloud VPN 주소 또는 HA VPN에 자동으로 할당된 IP 주소에 적용됩니다.
- 온프레미스 서브넷의 IP 주소 범위가 VPC 네트워크에 있는 서브넷에서 사용하는 IP 주소와 겹치는 경우 라우팅 충돌을 해결하는 방법은 경로 순서를 참조하세요.
다음 Cloud VPN 트래픽은 Google의 프로덕션 네트워크에 남아 있습니다.
- HA VPN 게이트웨이 2개 사이
- 기본 VPN 게이트웨이 2개 사이
- 기본 VPN 게이트웨이와 VPN 게이트웨이로 작동하는 Compute Engine VM의 외부 IP 주소 사이
Cloud VPN은 온프레미스 호스트를 위한 비공개 Google 액세스와 함께 사용될 수 있습니다. 자세한 내용은 서비스 비공개 액세스 옵션을 참조하세요.
각 Cloud VPN 게이트웨이를 다른 Cloud VPN 게이트웨이 또는 피어 VPN 게이트웨이에 연결해야 합니다.
피어 VPN 게이트웨이에는 인터넷 라우팅이 가능한 정적 외부 IPv4 주소가 포함되어야 합니다. Cloud VPN을 구성하려면 이 IP 주소가 필요합니다.

참고: 피어 IP 주소에 RFC 5737 주소를 사용할 수 없습니다.
- 피어 VPN 게이트웨이가 방화벽 규칙 뒤에 있으면 ESP(IPsec) 프로토콜과 IKE(UDP 500 및 UDP 4500) 트래픽을 게이트웨이로 전달할 수 있도록 방화벽 규칙을 구성해야 합니다. 방화벽 규칙이 네트워크 주소 변환(NAT)을 제공하는 경우에는 UDP 캡슐화 및 NAT-T를 참조하세요.
Cloud VPN에서는 사전 파편화를 지원하도록 피어 VPN 게이트웨이를 구성해야 합니다. 패킷을 캡슐화하기 전에 파편화해야 합니다.
Cloud VPN은 4096 패킷 창에 재생 탐지를 사용합니다. 이 기능을 중지할 수 없습니다.
Cloud VPN은 GRE 트래픽을 지원합니다. GRE 지원을 이용하면 인터넷(외부 IP 주소) 및 Cloud VPN 또는 Cloud Interconnect(내부 IP 주소)로부터 VM에서 GRE 트래픽을 종료할 수 있습니다. 그런 다음 캡슐화 해제된 트래픽을 연결 가능한 대상으로 전달할 수 있습니다. GRE를 통해 Secure Access Service Edge(SASE) 및 SD-WAN과 같은 서비스를 사용할 수 있습니다. GRE 트래픽을 허용하려면 방화벽 규칙을 만들어야 합니다.

참고: VPN에 대한 GRE 지원은 GRE 버전 0으로만 테스트되었습니다. 또한 GRE 트래픽 지원에는 오버레이 네트워크 문제 해결을 위한 Google Cloud의 지원이 포함되지 않습니다.
HA VPN 터널은 IPv6 트래픽 교환을 지원하지만 기본 VPN 터널은 이를 지원하지 않습니다.

네트워크 대역폭

각 Cloud VPN 터널은 인그레스 및 이그레스 트래픽에 대해 초당 최대 3기가비트(Gbps)를 지원할 수 있습니다.

이 한도와 관련된 측정항목은 Sent bytes 및 Received bytes이며 이는 로그 및 측정항목 보기에 설명되어 있습니다. 측정항목의 단위는 바이트이지만 3Gbps 한도는 초당 비트를 의미합니다. 바이트로 변환하는 경우 한도는 초당 375MB(MBps)입니다. 한도 대비 사용량을 측정하는 경우 변환된 한도인 375MBps와 비교하여 Sent bytes 및 Received bytes의 합계를 사용합니다.

알림 정책을 만드는 방법에 대한 자세한 내용은 VPN 터널 대역폭 알림 정의를 참조하세요.

VPN 터널 사용률 추천자 사용에 대한 자세한 내용은 VPN 터널 용량 한도 확인을 참조하세요.

대역폭에 영향을 미치는 요인

실제 대역폭은 여러 가지 요인에 따라 달라집니다.

Cloud VPN 게이트웨이와 피어 게이트웨이 사이의 네트워크 연결:
- 두 게이트웨이 간의 네트워크 대역폭. Google과 다이렉트 피어링 관계를 설정한 경우 VPN 트래픽이 공개 인터넷으로 전송되는 것보다 처리량이 높습니다.
- 왕복 시간(RTT) 및 패킷 손실률. RTT 또는 패킷 손실률이 높아지면 TCP 성능이 크게 저하됩니다.
피어 VPN 게이트웨이의 기능. 자세한 내용은 해당 기기 설명서를 참조하세요.
패킷 크기. Cloud VPN은 최대 전송 단위(MTU) 1,460바이트를 사용합니다. 피어 VPN 게이트웨이가 1,460바이트 이하의 MTU를 사용하도록 구성해야 합니다. 처리는 패킷별 기준에 따라 수행되므로 더 작은 패킷 숫자가 클수록 전체 처리량이 줄어들 수 있습니다. ESP 오버헤드를 고려하기 위해 VPN 터널을 통해 트래픽을 전송하는 시스템의 MTU 값을 터널의 MTU보다 작은 값으로 설정해야 할 수 있습니다. 자세한 내용 및 권장 사항은 MTU 고려 사항을 참조하세요.
패킷 속도. 인그레스와 이그레스의 경우 각 Cloud VPN 터널의 권장 최대 패킷 속도는 250,000pps(초당 패킷)입니다. 패킷을 더 빠른 속도로 전송해야 하면 VPN 터널을 추가로 만들어야 합니다.

VPN 터널의 TCP 대역폭을 측정할 경우 TCP 스트림 두 개 이상을 동시에 측정해야 합니다. iperf 도구를 사용하는 경우 -P 매개변수를 사용하여 동시 스트림 수를 지정합니다.

터널 MTU

Cloud VPN은 항상 1460바이트의 MTU를 사용합니다. 터널의 어느 한 측면에서 VM 및 네트워크의 MTU가 더 높으면 Cloud VPN이 MSS 클램핑을 사용해서 TCP MTU 설정을 1460으로 줄입니다. 또한 VPN 게이트웨이가 ICMP 오류 메시지를 사용해서 경로 MTU 검색(PMTUD)을 사용 설정하여 UDP 패킷에 대해 낮은 MTU를 설정할 수 있습니다.

UDP 패킷이 삭제된 경우 터널을 통해 통신하는 특정 VM의 MTU를 줄일 수 있습니다. Windows VM 및 사용자 제공 이미지의 경우 MTU를 낮게 설정하는 것으로 충분합니다. Google 제공 Linux 이미지의 경우 해당 VM에 대해 DHCP MTU 업데이트를 사용 중지해야 합니다.

IPv6 지원

Cloud VPN은 HA VPN에서 IPv6를 지원하지만 기본 VPN에서는 지원하지 않습니다.

IPv6 지원 VPC 네트워크를 다른 IPv6 지원 네트워크에 연결하는 HA VPN 게이트웨이 및 터널을 만들 수 있습니다. 이러한 네트워크는 온프레미스 네트워크, 멀티 클라우드 네트워크, 기타 VPC 네트워크일 수 있습니다. HA VPN 터널에서 IPv6 트래픽을 전송하려면 IPv6 지원 VPC 네트워크에 이중 스택 서브넷이 포함되어야 합니다. 또한 서브넷에 내부 IPv6 범위가 할당되어야 합니다.

IPv6 지원 HA VPN 게이트웨이에 대해 VPN 터널을 만들 때는 BGP 세션에서 IPv6 프리픽스 교환을 사용 설정하도록 연결될 Cloud Router도 구성해야 합니다. Cloud Router는 멀티 프로토콜 BGP(MP-BGP)를 사용하고 BGP IPv4 주소를 통해 IPv6 프리픽스를 공지합니다. IPv6 프리픽스를 공지하기 위해서는 Cloud Router의 BGP 세션에 IPv6 다음 홉 주소 구성이 필요합니다. BGP 세션에 대해 IPv6 다음 홉 주소를 자동 또는 수동으로 구성할 수 있습니다.

IPv6 다음 홉 주소를 수동으로 구성할 때는 2600:2d00:0:2::/64 또는 2600:2d00:0:3::/64 범위에서 선택해야 합니다. 이러한 범위는 Google에서 사전 할당되어 있습니다. 지정하는 IPv6 다음 홉 주소는 VPC 네트워크의 모든 리전에 있는 모든 Cloud Router 간에 고유해야 합니다.

자동 구성을 선택하면 Google Cloud가 2600:2d00:0:2::/64 또는 2600:2d00:0:3::/64 범위에서 IPv6 다음 홉 주소를 자동으로 만듭니다.

BGP 세션이 IPv6 프리픽스를 교환할 수 있지만 Cloud Router BGP 및 BGP 피어에 자동 또는 수동으로 IPv4 주소를 할당해야 합니다. IPv6 전용 BGP 세션은 지원되지 않습니다. IPv6 지원에 대한 자세한 내용은 Cloud Router 정보를 참조하세요.

IPsec 및 IKE 지원

Cloud VPN은 IKE 사전 공유 키(공유 보안 비밀) 및 IKE 암호화를 사용하여 IKEv1 및 IKEv2를 지원합니다. Cloud VPN은 인증에 대해서만 사전 공유 키를 지원합니다. Cloud VPN 터널을 만들 때는 사전 공유 키를 지정합니다. 피어 게이트웨이에서 터널을 만들 때 이와 동일한 사전 공유 키를 지정합니다.

Cloud VPN은 인증과 함께 터널 모드의 ESP를 지원하지만 전송 모드의 ESP 또는 AH를 지원하지 않습니다.

HA VPN에서 IPv6 트래픽을 사용 설정하려면 IKEv2를 사용해야 합니다.

Cloud VPN은 들어오는 인증 패킷에 정책 관련 필터링을 수행하지 않습니다. 나가는 패킷은 Cloud VPN 게이트웨이에 구성된 IP 범위를 기준으로 필터링됩니다.

강력한 사전 공유 키 만들기에 대한 자세한 내용은 강력한 사전 공유 키 생성을 참조하세요. Cloud VPN에서 지원하는 암호화와 구성 매개변수는 지원되는 IKE 암호화를 참조하세요.

UDP 캡슐화 및 NAT-T

Cloud VPN으로 NAT-Traversal(NAT-T)을 지원하도록 피어 기기를 구성하는 방법은 고급 개요의 UDP 캡슐화를 참조하세요.

데이터 전송 네트워크인 Cloud VPN

Cloud VPN을 사용하기 전에 Google Cloud의 일반 서비스 약관 2항을 자세히 검토하세요.

Network Connectivity Center를 사용하면 HA VPN 터널을 사용하여 온프레미스 네트워크를 함께 연결하고 이러한 네트워크 간에 데이터 전송 네트워크로 트래픽을 전송할 수 있습니다. 각 온프레미스 위치의 Network Connectivity Center 스포크에 터널 쌍을 연결하여 네트워크에 연결합니다. 그런 다음 각 스포크를 Network Connectivity Center 허브에 연결합니다.

Network Connectivity Center에 대한 자세한 내용은 Network Connectivity Center 개요를 참조하세요.

HA VPN의 활성/활성 및 활성/수동 라우팅 옵션

Cloud VPN 터널이 중지하면 자동으로 다시 시작합니다. 전체 가상 VPN 기기가 실패하면 Cloud VPN이 동일한 구성으로 새 기기를 자동으로 인스턴스화합니다. 새 게이트웨이와 터널은 자동으로 연결됩니다.

HA VPN 게이트웨이에 연결된 VPN 터널은 동적(BGP) 라우팅을 사용해야 합니다. HA VPN 터널의 경로 우선순위를 구성하는 방법에 따라 활성/활성 또는 활성/수동 라우팅 구성을 만들 수 있습니다. 이러한 라우팅 구성의 경우 두 VPN 터널이 모두 활성 상태로 유지됩니다.

다음 표에서는 활성/활성 또는 활성/수동 라우팅 구성의 기능을 비교합니다.

기능	active/active	active/passive
처리량	유효한 총 처리량은 두 터널 모두의 처리량 합계입니다.	활성 터널을 2개에서 1개로 줄이면 유효한 전체 처리량이 절반으로 줄어들어 연결이 느려지거나 패킷이 손실될 수 있습니다.
경로 공지	피어 게이트웨이는 각 터널의 동일한 MED 값을 가진 피어 네트워크의 경로를 공지합니다. Cloud VPN 터널을 관리하는 Cloud Router는 동일한 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다. 피어 네트워크로 전송되는 이그레스 트래픽에는 등가 멀티 경로(ECMP) 라우팅이 사용됩니다. 동일한 Cloud Router는 동일한 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다. 피어 게이트웨이는 ECMP를 사용하여 이러한 경로를 사용해서 Google Cloud로 이그레스 트래픽을 전송합니다.	피어 게이트웨이는 터널마다 MED 값이 다른 피어 네트워크의 경로를 공지합니다. Cloud VPN 터널을 관리하는 Cloud Router는 다른 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다. 피어 네트워크로 전송되는 이그레스 트래픽은 관련 터널을 사용할 수 있는 한 우선순위가 가장 높은 경로를 사용합니다. 동일한 Cloud Router가 각 터널에 서로 다른 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다. 피어 게이트웨이는 우선순위가 가장 높은 터널만 사용하여 트래픽을 Google Cloud로 전송할 수 있습니다.
장애 조치	터널 하나를 사용할 수 없게 되면 Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 커스텀 동적 경로를 철회합니다. 이 철회 프로세스에는 최대 40초가 걸릴 수 있으며 이 기간 중에 패킷이 손실될 수 있습니다.	터널 하나를 사용할 수 없게 되면 Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 커스텀 동적 경로를 철회합니다. 이 철회 프로세스에는 최대 40초가 걸릴 수 있으며 이 기간 중에 패킷이 손실될 수 있습니다. 터널을 한 번에 한 개만 사용하므로 첫 번째 터널이 실패하여 장애 조치가 필요한 경우 두 번째 터널이 모든 이그레스 대역폭을 처리할 수 있습니다.

기능

active/active

active/passive

처리량

유효한 총 처리량은 두 터널 모두의 처리량 합계입니다.

활성 터널을 2개에서 1개로 줄이면 유효한 전체 처리량이 절반으로 줄어들어 연결이 느려지거나 패킷이 손실될 수 있습니다.

경로 공지

피어 게이트웨이는 각 터널의 동일한 MED 값을 가진 피어 네트워크의 경로를 공지합니다.

Cloud VPN 터널을 관리하는 Cloud Router는 동일한 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다.

피어 네트워크로 전송되는 이그레스 트래픽에는 등가 멀티 경로(ECMP) 라우팅이 사용됩니다.

동일한 Cloud Router는 동일한 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다.

피어 게이트웨이는 ECMP를 사용하여 이러한 경로를 사용해서 Google Cloud로 이그레스 트래픽을 전송합니다.

피어 게이트웨이는 터널마다 MED 값이 다른 피어 네트워크의 경로를 공지합니다.

Cloud VPN 터널을 관리하는 Cloud Router는 다른 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다.

피어 네트워크로 전송되는 이그레스 트래픽은 관련 터널을 사용할 수 있는 한 우선순위가 가장 높은 경로를 사용합니다.

동일한 Cloud Router가 각 터널에 서로 다른 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다.

피어 게이트웨이는 우선순위가 가장 높은 터널만 사용하여 트래픽을 Google Cloud로 전송할 수 있습니다.

장애 조치

터널 하나를 사용할 수 없게 되면 Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 커스텀 동적 경로를 철회합니다. 이 철회 프로세스에는 최대 40초가 걸릴 수 있으며 이 기간 중에 패킷이 손실될 수 있습니다.

터널을 한 번에 한 개만 사용하므로 첫 번째 터널이 실패하여 장애 조치가 필요한 경우 두 번째 터널이 모든 이그레스 대역폭을 처리할 수 있습니다.

전체 메시 토폴로지의 활성/수동 라우팅

Cloud Router가 지정된 Cloud VPN 인터페이스를 통해 다른 MED 값과 동일한 프리픽스를 수신할 경우, 우선순위가 가장 높은 경로만 VPC 네트워크로 가져옵니다. 다른 비활성 경로는 Google Cloud 콘솔에 또는 Google Cloud CLI를 통해 표시되지 않습니다. 우선순위가 가장 높은 경로를 사용할 수 없게 되면 Cloud Router가 이를 철회하고 그 다음 최선의 경로를 VPC 네트워크로 자동으로 가져옵니다.

여러 터널 또는 게이트웨이 사용

피어 게이트웨이 구성에 따라 경로 우선순위(MED 값)로 인해 일부 트래픽이 한 터널을 통과하고 다른 트래픽이 다른 터널을 통과하도록 경로를 구성할 수 있습니다. 마찬가지로 Cloud Router가 VPC 네트워크 경로를 공유하는 데 사용하는 기본 우선순위를 조정할 수 있습니다. 이러한 상황은 전적으로 활성/활성이 아니고 전적으로 활성/수동도 아닌 가능한 라우팅 구성을 보여줍니다.

권장 라우팅 옵션

단일 HA VPN 게이트웨이를 사용하는 경우 활성/수동 라우팅 구성을 사용하는 것이 좋습니다. 이 구성을 사용하면 정상 터널 작동 시 관측된 대역폭 용량은 장애 조치 중에 관측된 대역폭 용량과 일치합니다. 앞에서 설명한 다중 게이트웨이 시나리오를 제외하고 관측된 대역폭 한도가 일정하게 유지되므로 이러한 유형의 구성을 더욱 쉽게 관리할 수 있습니다.

여러 HA VPN 게이트웨이를 사용하는 경우 활성/활성 라우팅 구성을 사용하는 것이 좋습니다. 이 구성을 사용하면 정상 터널 작동 시 관측된 대역폭 용량은 보장된 대역폭 용량의 2배입니다. 하지만 이 구성은 터널을 효과적으로 프로비저닝하지 못하므로 장애 조치 시 트래픽이 손실될 수 있습니다.

Cloud VPN 터널을 통해 피어 IP 주소 제한

조직 정책 관리자는 사용자가 피어 VPN 게이트웨이에 지정할 수 있는 IP 주소를 제한하는 정책 제약조건을 만들 수 있습니다.

이 제한은 특정 프로젝트, 폴더, 조직의 모든 Cloud VPN 터널(기본 VPN 및 HA VPN)에 적용됩니다.

IP 주소를 제한하는 방법은 피어 VPN 게이트웨이의 IP 주소 제한을 참조하세요.

Cloud VPN 연결 시각화 및 모니터링

네트워크 토폴로지는 VPC 네트워크의 토폴로지, 온프레미스 네트워크와의 하이브리드 연결, 관련 측정항목을 보여주는 시각화 도구입니다. 네트워크 토폴로지 뷰에서 Cloud VPN 게이트웨이 및 VPN 터널을 항목으로 볼 수 있습니다.

기본 항목은 특정 계층의 최하위 수준이며 네트워크를 통해 다른 리소스와 직접 통신할 수 있는 리소스를 나타냅니다. 네트워크 토폴로지는 기본 항목을 계층 항목으로 집계하여 펼치거나 접을 수 있습니다. 네트워크 토폴로지 그래프를 처음 보는 경우에는 모든 기본 항목을 최상위 계층 구조로 집계합니다.

예를 들어 네트워크 토폴로지는 VPN 터널을 VPN 게이트웨이 연결에 집계합니다. VPN 게이트웨이 아이콘을 펼치거나 접어 계층 구조를 볼 수 있습니다.

자세한 정보는 네트워크 토폴로지 개요를 참조하세요.

유지보수 및 가용성

Cloud VPN은 정기적으로 유지보수가 수행됩니다. 유지보수 중에는 Cloud VPN 터널이 오프라인으로 전환되어 네트워크 트래픽이 잠시 중단됩니다. 유지보수가 완료되면 Cloud VPN 터널이 자동으로 다시 설정됩니다.

Cloud VPN 유지보수는 사전 예고 없이 언제든지 발생할 수 있는 정상적인 운영 태스크입니다. 유지보수 기간은 Cloud VPN SLA에 영향을 주지 않도록 충분히 짧게 설계됩니다.

HA VPN은 고가용성 VPN을 구성하는 데 권장되는 방법입니다. 구성 옵션은 HA VPN 토폴로지 페이지를 참조하세요. 기본 VPN을 중복 및 높은 처리량 옵션으로 사용하는 경우 기본 VPN 토폴로지 페이지를 참조하세요.

권장사항

Cloud VPN을 효과적으로 빌드하려면 다음 권장사항을 따르세요.

다음 단계

고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.