Cloud VPN 토폴로지

Cloud VPN에서 온프레미스 호스트는 프로젝트의 VPC 네트워크에 있는 Compute Engine 가상 머신(VM) 인스턴스에 대해 하나 이상의 IPsec VPN 터널을 통해 통신합니다.

이 페이지에서는 HA VPN에 권장되는 토폴로지에 대해 설명합니다. 기본 VPN 토폴로지의 경우 기본 VPN 토폴로지 페이지를 참조하세요. 두 VPN 유형에 대한 자세한 내용은 Cloud VPN 개요를 참조하세요.

Cloud VPN의 기본 개념에 대해 알아보려면 Cloud VPN 개요를 참조하세요.

개요

HA VPN은 다음 권장 토폴로지 또는 구성 시나리오 중 하나에서 사이트 간 VPN을 지원합니다. 피어 VPN 게이트웨이 공급업체에 문의하여 사용하기에 적절한 구성 시나리오를 확인하세요.

  • 피어 VPN 기기에 대한 HA VPN 게이트웨이. 이러한 모든 토폴로지에는 HA VPN 게이트웨이 관점에서 2개의 VPN 터널이 필요합니다. 피어 VPN 게이트웨이 공급업체에 문의하여 가장 적절한 토폴로지를 확인하세요.
    • 각 피어 기기에 자체 외부 IP 주소가 있는 2개의 개별 피어 VPN 기기에 대한 HA VPN 게이트웨이
    • 2개의 개별 외부 IP 주소가 있는 1개의 피어 VPN 기기에 대한 HA VPN 게이트웨이
    • 1개의 외부 IP 주소가 있는 1개의 피어 VPN 기기에 대한 HA VPN 게이트웨이
  • 4개의 인터페이스가 있는 피어 게이트웨이 구성인 AWS Virtual Private Gateway에 대한 HA VPN 게이트웨이
  • 서로 연결된 2개의 HA VPN 게이트웨이

99.99% 가용성을 지원하는 구성

HA VPN 연결에 99.99% 가용성 SLA를 보장하려면 HA VPN 게이트웨이에서 피어 VPN 게이트웨이 또는 다른 HA VPN 게이트웨이까지 적절하게 2개 또는 4개의 터널을 적절하게 구성해야 합니다.

적절한 구성이란 HA VPN 게이트웨이의 모든 인터페이스와 피어 VPN 게이트웨이 또는 다른 HA VPN 게이트웨이의 모든 인터페이스에 연결하여 VPN 터널이 적절한 중복화를 제공해야 합니다.

다음 섹션에서는 99.99% 가용성을 보장하기 위해 VPN 연결 양측에서 터널을 구성하는 방법을 설명합니다.

더 많은 대역폭을 위한 HA VPN 구성

HA VPN의 대역폭을 늘리는 방법은 다음과 같이 확장하는 것입니다.

기존 HA VPN 게이트웨이의 각 인터페이스에 연결된 여러 터널을 배포하는 대신 게이트웨이를 확장합니다(보타이 구성).

Cloud VPN의 할당량 및 제한이 허용하는 만큼 많은 추가 터널을 사용하여 여러 HA VPN 게이트웨이를 동일한 피어 VPN 게이트웨이(외부 VPN 게이트웨이 리소스)에 연결할 수 있습니다.

다음은 10Gbps 처리량의 HA VPN 게이트웨이의 예시로, 다음 Google Cloud 리소스를 사용합니다.

  • Cloud Router 1개
  • 각각 2개의 터널이 있는 HA VPN 게이트웨이 4개(총 8개의 VPN 터널)
  • BGP 세션 총 8개

이 구성에서는 BGP 세션에 대한 active/passive MED 구성이 각 게이트웨이에서 각각 interface 0interface 1에 연결되어 있다고 가정합니다. 즉, 4개의 interface 0 터널은 활성 상태이고 4개의 interface 1 터널은 수동 상태입니다.

HA VPN - 피어 VPN 게이트웨이

HA VPN에는 다음과 같은 세 가지 일반적인 피어 게이트웨이 구성이 있습니다.

  • 각각 자체 IP 주소가 있는 2개의 개별 피어 VPN 기기에 대한 HA VPN 게이트웨이
  • 2개의 개별 IP 주소를 사용하는 1개의 피어 VPN 기기에 대한 HA VPN 게이트웨이
  • 1개의 IP 주소를 사용하는 1개의 피어 VPN 기기에 대한 HA VPN 게이트웨이

이러한 구성을 설정하려면 HA VPN - 피어 VPN 게이트웨이 만들기를 참조하세요.

2개의 피어 VPN 기기

피어 측 게이트웨이가 하드웨어 기반인 경우 두 번째 피어 측 게이트웨이가 연결 측에 중복성 및 장애 조치를 제공합니다. 두 번째 물리적 게이트웨이를 사용하면 소프트웨어 업그레이드 또는 기타 예약된 유지보수를 위해 게이트웨이 중 하나를 오프라인으로 전환할 수 있습니다. 또한 기기 중 하나에서 장애가 발생하더라도 사용자를 보호합니다.

이 토폴로지에서는 1개의 HA VPN 게이트웨이가 2개의 피어 기기에 연결됩니다. 각 피어 기기에는 1개의 인터페이스와 1개의 외부 IP 주소가 있습니다. HA VPN 게이트웨이는 각 피어 기기에 하나씩 2개의 터널을 사용합니다.

Google Cloud에서 이 구성의 REDUNDANCY_TYPETWO_IPS_REDUNDANCY 값을 사용합니다.

2개의 피어(온프레미스) 기기에 대한 HA VPN(확대하려면 클릭)
2개의 피어(온프레미스) 기기에 대한 HA VPN(확대하려면 클릭)

2개의 IP 주소가 있는 1개의 피어 VPN 기기

이 토폴로지에서는 2개의 별도 외부 IP 주소가 있는 1개의 피어 기기에 연결되는 1개의 HA VPN 게이트웨이에 대해 설명합니다. HA VPN 게이트웨이는 피어 기기의 각 외부 IP 주소에 하나씩 2개의 터널을 사용합니다.

Google Cloud에서 이 구성의 REDUNDANCY_TYPE 또한 TWO_IPS_REDUNDANCY 값을 사용합니다.

2개의 IP 주소가 있는 1개의 피어(온프레미스) 기기에 대한 HA VPN(확대하려면 클릭)
2개의 IP 주소가 있는 1개의 피어(온프레미스) 기기에 대한 HA VPN(확대하려면 클릭)

1개의 IP 주소가 있는 1개의 피어 VPN 기기

이 토폴로지에서는 1개의 외부 IP 주소가 있는 1개의 피어 기기에 연결되는 1개의 HA VPN 게이트웨이에 대해 설명합니다. HA VPN 게이트웨이는 피어 기기의 단일 외부 IP 주소에 2개의 터널을 모두 사용합니다.

Google Cloud에서 이 구성의 REDUNDANCY_TYPESINGLE_IP_INTERNALLY_REDUNDANT 값을 사용합니다.

1개의 IP 주소가 있는 1개의 피어(온프레미스) 기기에 대한 HA VPN(확대하려면 클릭)
1개의 IP 주소가 있는 1개의 피어(온프레미스) 기기에 대한 HA VPN(확대하려면 클릭)

AWS 피어 게이트웨이

Amazon Web Services(AWS)에 대한 HA VPN 외부 VPN 게이트웨이를 구성할 때 지원되는 토폴로지에는 각각 2개의 외부 IP 주소가 있는 2개의 AWS Virtual Private Gateway(AB)가 필요합니다. 이 토폴로지는 AWS에서 총 4개의 외부 IP 주소(A1, A2, B1, B2)를 생성합니다.

  1. 4개의 AWS IP 주소를 FOUR_IPS_REDUNDANCY가 있는 단일 외부 HA VPN 게이트웨이로 구성합니다. 각 항목의 의미는 다음과 같습니다.
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. HA VPN 게이트웨이에 4개의 터널을 만들어 99.99% SLA를 충족합니다. 다음 구성을 사용합니다.
    • HA VPN 인터페이스 0 - AWS 인터페이스 0
    • HA VPN 인터페이스 0 - AWS 인터페이스 1
    • HA VPN 인터페이스 1 - AWS 인터페이스 2
    • HA VPN 인터페이스 1 - AWS 인터페이스 3

Amazon Web Services(AWS)에서 HA VPN을 설정하기 위한 대략적인 구성 단계는 다음과 같습니다.

  1. HA VPN 게이트웨이와 Cloud Router를 만듭니다. 이렇게 하면 GCP 측에 2개의 외부 IP 주소가 만들어집니다.
  2. 2개의 AWS Virtual Private Gateway를 만듭니다. 이렇게 하면 AWS 측에 4개의 외부 주소가 만들어집니다.
  3. AWS Virtual Private Gateway마다 하나씩 2개의 AWS 사이트 간 VPN 연결 및 고객 게이트웨이를 만듭니다. 터널마다 중첩되지 않는 링크-로컬 터널 IP 범위를 지정합니다(총 4개). 예를 들면 169.254.1.4/30입니다.
  4. 일반 기기 유형에 대한 AWS 구성 파일을 다운로드합니다.
  5. HA VPN 게이트웨이에 4개의 VPN 터널을 만듭니다.
  6. 다운로드한 AWS 구성 파일의 BGP IP 주소를 사용하여 Cloud Router에서 BGP 세션을 구성합니다.

99.99% 가용성 보장

Google Cloud 측에서 99.99% SLA를 충족하려면 HA VPN 게이트웨이의 2개 인터페이스 각각에서 피어 게이트웨이의 해당 인터페이스까지 터널이 구성되어 있어야 합니다.

피어 게이트웨이에 2개의 인터페이스가 있는 경우 각 피어 인터페이스에서 각 HA VPN 게이트웨이 인터페이스까지 하나씩 2개의 터널을 구성하면 99.99% SLA에 대한 요구사항을 충족합니다. Google Cloud 측의 99.99% SLA에는 풀 메시 구성이 필요하지 않습니다. 이 경우 풀 메시는 각 HA VPN 인터페이스에서 피어 게이트웨이의 2개 인터페이스까지 각각 2개의 터널, 즉 Google Cloud 측에서 총 4개의 터널이 구성되어 있는 것으로 정의됩니다. 피어(온프레미스) VPN 기기에 대한 문서를 참조하거나 VPN 공급업체에 문의하여 풀 메시 구성을 권장하는지 확인하세요.

다음 예시는 99.99% 가용성을 제공합니다.

이 구성에서 HA VPN 게이트웨이의 다음 인터페이스 각각에 있는 터널은 피어 게이트웨이 또는 게이트웨이의 해당 인터페이스와 일치합니다.

  • HA VPN interface 0 - 피어 interface 0
  • HA VPN interface 1 - 피어 interface 1

그림은 2개의 피어 기기, 2개의 인터페이스1개의 피어 기기, 2개의 인터페이스에 대한 예입니다.

1개의 피어 게이트웨이에 1개의 피어 인터페이스만 있는 경우 각 HA VPN 게이트웨이 인터페이스의 각 터널을 단일 피어 인터페이스에 연결해야 합니다. 다음 예시는 1개의 피어 기기, 1개의 인터페이스에 대한 그림에 나와 있습니다.

다음 예시는 99.99% 가용성을 제공하지 않습니다.

  • HA VPN interface 0 - 피어 interface 0
고가용성을 제공하지 않는 토폴로지(확대하려면 클릭)
고가용성을 제공하지 않는 토폴로지(확대하려면 클릭)

Google Cloud - Google Cloud HA VPN 게이트웨이

각 네트워크에서 HA VPN 게이트웨이를 사용하여 2개의 Google Cloud VPC 네트워크를 함께 연결할 수 있습니다.



          Google Cloud - Google Cloud HA VPN 게이트웨이(확대하려면 클릭)
Google Cloud - Google Cloud HA VPN 게이트웨이(확대하려면 클릭)

각 HA VPN 게이트웨이의 관점에서 다음 두 가지가 모두 해당되도록 2개의 터널을 만듭니다.

  • 1개 HA VPN 게이트웨이의 interface 0 - 다른 HA VPN 게이트웨이의 interface 0
  • 1개 HA VPN 게이트웨이의 interface 1 - 다른 HA VPN의 interface 1

이 구성을 설정하려면 HA VPN - HA VPN 게이트웨이 만들기를 참조하세요.

99.99% 가용성 보장

HA VPN - HA VPN게이트웨이에 99.99% 가용성을 제공하려면 두 게이트웨이 모두에서 다음 인터페이스가 일치해야 합니다.

  • HA VPN interface 0 - HA VPN interface 0
  • HA VPN interface 1 - HA VPN interface 1

다음 단계