HA VPN 토폴로지

Cloud VPN을 사용하면 온프레미스 호스트가 하나 이상의 IPsec VPN 터널을 통해 프로젝트의 Virtual Private Cloud(VPC) 네트워크에 있는 Compute Engine 가상 머신(VM) 인스턴스와 통신합니다.

이 페이지에서는 HA VPN에 권장되는 토폴로지에 대해 설명합니다. 기본 VPN 토폴로지는 기본 VPN 토폴로지를 참조하세요. 두 VPN 유형을 포함하여 Cloud VPN에 대한 자세한 내용은 Cloud VPN 개요를 참조하세요.

이 페이지에서 사용되는 용어의 정의는 주요 용어를 참조하세요.

개요

HA VPN은 다음 권장 토폴로지 또는 구성 시나리오 중 하나에서 사이트 간 VPN을 지원합니다. 사용할 적절한 구성 시나리오를 확인하려면 피어 VPN 게이트웨이 공급업체에 문의하세요.

• 피어 VPN 기기에 대한 HA VPN 게이트웨이. 다음 토폴로지에는 HA VPN 게이트웨이 관점에서 2개의 VPN 터널이 필요합니다. 가장 적합한 토폴로지를 결정하려면 피어 VPN 게이트웨이 공급업체에 문의하세요.
  • 각 피어 기기에 자체 외부 IP 주소가 있는 2개의 개별 피어 VPN 기기에 대한 HA VPN 게이트웨이
  • 2개의 개별 외부 IP 주소가 있는 1개의 피어 VPN 기기에 대한 HA VPN 게이트웨이
  • 1개의 외부 IP 주소가 있는 1개의 피어 VPN 기기에 대한 HA VPN 게이트웨이
• 4개의 인터페이스가 있는 피어 게이트웨이 구성인 Amazon Web Services(AWS) 가상 비공개 게이트웨이에 대한 HA VPN 게이트웨이
• 서로 연결된 2개의 HA VPN 게이트웨이

• Cloud Interconnect를 통한 HA VPN 배포에서 2개의 VLAN 연결과 연결된 하나 이상의 HA VPN 게이트웨이. 각 HA VPN 게이트웨이는 하나 이상의 피어 VPN 기기에 연결됩니다.

  이 토폴로지에서는 Dedicated Interconnect 또는 Partner Interconnect의 VLAN 연결을 통해 IPsec 암호화 트래픽을 전달하는 HA VPN 터널을 만듭니다. HA VPN 게이트웨이의 리전 내부 IP 주소 범위를 예약할 수 있습니다. 피어 VPN 기기에 내부 IP 주소를 지정할 수도 있습니다. 자세한 내용 및 아키텍처 다이어그램은 Cloud Interconnect를 통한 HA VPN 개요를 참조하세요.

99.99% 가용성을 지원하는 구성

HA VPN 연결에 99.99% 가용성 SLA를 보장하려면 HA VPN 게이트웨이에서 피어 VPN 게이트웨이 또는 다른 HA VPN 게이트웨이까지 2개 또는 4개의 터널을 적절하게 구성해야 합니다.

적절한 구성이란 HA VPN 게이트웨이의 모든 인터페이스와 피어 VPN 게이트웨이 또는 다른 HA VPN 게이트웨이의 모든 인터페이스에 연결하여 VPN 터널이 적절한 중복화를 제공해야 합니다.

다음 섹션에서는 99.99% 가용성을 보장하기 위해 VPN 연결 양측에서 터널을 구성하는 방법을 설명합니다.

더 많은 대역폭을 위한 HA VPN 구성

HA VPN 게이트웨이의 대역폭을 늘리려면 HA VPN 터널을 더 추가합니다.

필요한 터널 수를 계산하려면 각 터널에 사용 가능한 인그레스 및 이그레스 대역폭 합계로 3Gbps를 사용합니다. 예를 들어 인그레스 및 이그레스에 12Gbps가 필요하면 동시에 4개 터널을 사용해야 합니다(12 ÷ 3 = 4.) VPN 대역폭 계산에 대한 자세한 내용은 네트워크 대역폭을 참조하세요.

HA VPN 대역폭을 늘릴 때는 다음 가이드라인을 고려하세요.

• VPN 터널 할당량 확인

  HA VPN 게이트웨이를 다른 HA VPN 게이트웨이에 연결하지 않는 한 각 HA VPN 게이트웨이는 각 인터페이스에서 VPN 터널을 무제한으로 지원합니다

  하지만 VPN 터널 할당량에 따라 프로젝트의 총 VPN 터널 수가 제한됩니다.

• HA VPN 게이트웨이를 추가하여 HA VPN 두 개 사이에 터널 추가

  HA VPN 게이트웨이를 다른 HA VPN 게이트웨이에 연결할 때는 인터페이스(0 또는 1)당 하나의 채널만 다른 HA VPN 게이트웨이의 해당 인터페이스(0 또는 1)에 연결할 수 있습니다. 즉, HA VPN 게이트웨이 쌍 사이의 HA VPN 터널 수는 최대 2개입니다.

  따라서 HA VPN 게이트웨이 간의 VPN 터널 수를 늘리려면 HA VPN 게이트웨이의 추가 쌍을 만들어야 합니다.

• VPN 터널 쌍 추가

  HA VPN과 온프레미스 피어 VPN 게이트웨이 사이의 대역폭을 늘리려면 VPN 터널 쌍을 추가합니다.

  예를 들어 2개 터널(하나는 활성, 하나는 수동)을 사용하여 온프레미스 피어 VPN 게이트웨이에 연결되는 HA VPN 게이트웨이의 대역폭을 두 배로 늘리려면 VPN 터널을 2개 더 추가합니다. '활성' 터널과 '수동' 터널을 하나씩 더 추가합니다.

  4개 터널 모두 BGP 세션에 동일한 프리픽스가 사용됩니다. 2개의 활성 터널에 우선순위가 동일하게 높은 프리픽스가 사용되고 2개의 수동 터널에 우선순위가 동일하게 낮은 프리픽스가 사용됩니다.

• 피어 VPN 게이트웨이에서 인터페이스 일치

  계속 99.99% 업타임 SLA를 받으려면 피어 VPN 게이트웨이에서 인터페이스를 일치시켜야 합니다.

  온프레미스 VPN 게이트웨이에 연결되는 HA VPN 게이트웨이의 대역폭을 두 배로 늘릴 때는 터널을 피어 VPN 게이트웨이의 인터페이스와 일치시킵니다. 인터페이스 0에 2개의 활성 터널을 배치하고 인터페이스 1에 2개의 수동 터널을 배치합니다. 또는 인터페이스 1에 2개의 활성 터널을 배치하고 인터페이스 0에 2개의 수동 터널을 배치합니다.

증가된 대역폭 예시

다음은 12Gbps 처리량을 지원하는 온프레미스 피어 VPN 게이트웨이에 대한 HA VPN 연결에 사용된 Google Cloud 리소스 목록입니다.

• Cloud Router 1개
• 다음을 포함하여 총 8개 VPN 터널이 있는 하나의 HA VPN 게이트웨이:
  • 인터페이스 0에 연결된 4개의 활성 터널
  • 인터페이스 1에 연결된 4개의 수동 터널
• 각각의 BGP 세션이 HA VPN 터널에 해당하는 총 8개의 BGP 세션

HA VPN - 피어 VPN 게이트웨이

HA VPN에는 다음과 같은 세 가지 일반적인 피어 게이트웨이 구성이 있습니다.

• 각각 자체 IP 주소가 있는 2개의 개별 피어 VPN 기기에 대한 HA VPN 게이트웨이
• 2개의 개별 IP 주소를 사용하는 1개의 피어 VPN 기기에 대한 HA VPN 게이트웨이
• 1개의 IP 주소를 사용하는 1개의 피어 VPN 기기에 대한 HA VPN 게이트웨이

이러한 구성을 설정하려면 HA VPN - 피어 VPN 게이트웨이 만들기를 참조하세요.

IPv4 및 IPv6 이중 스택 유형으로 HA VPN 게이트웨이를 배포할 경우 VPN 터널이 IPv6 트래픽 교환을 지원할 수 있습니다. VPN 터널에 대해 만드는 BGP 세션에서 IPv6도 사용 설정해야 합니다. 이 시나리오에서는 다음 토폴로지에서 온프레미스 서브넷 및 VPC 서브넷에 IPv6 주소를 할당할 수 있습니다.

2개의 피어 VPN 기기

피어 측 게이트웨이가 하드웨어 기반인 경우 두 번째 피어 측 게이트웨이가 연결 측에 중복성 및 장애 조치를 제공합니다. 두 번째 물리적 게이트웨이를 사용하면 소프트웨어 업그레이드 또는 기타 예약된 유지보수를 위해 게이트웨이 중 하나를 오프라인으로 전환할 수 있습니다. 또한 기기 중 하나에 오류가 발생할 때 사용자를 보호합니다.

이 토폴로지에서는 1개의 HA VPN 게이트웨이가 2개의 피어 기기에 연결됩니다. 각 피어 기기에는 1개의 인터페이스와 1개의 외부 IP 주소가 있습니다. HA VPN 게이트웨이는 각 피어 기기에 하나씩 2개의 터널을 사용합니다.

Google Cloud에서 이 구성의 REDUNDANCY_TYPE은 TWO_IPS_REDUNDANCY 값을 사용합니다.

다음 예시는 99.99% 가용성을 제공합니다.

2개의 IP 주소가 있는 1개의 피어 VPN 기기

이 토폴로지에서는 2개의 별도 외부 IP 주소가 있는 1개의 피어 기기에 연결되는 1개의 HA VPN 게이트웨이에 대해 설명합니다. HA VPN 게이트웨이는 피어 기기의 각 외부 IP 주소에 하나씩 2개의 터널을 사용합니다.

Google Cloud에서 이 구성의 REDUNDANCY_TYPE은 TWO_IPS_REDUNDANCY 값을 사용합니다.

다음 예시는 99.99% 가용성을 제공합니다.

1개의 IP 주소가 있는 1개의 피어 VPN 기기

이 토폴로지에서는 1개의 외부 IP 주소가 있는 1개의 피어 기기에 연결되는 1개의 HA VPN 게이트웨이에 대해 설명합니다. HA VPN 게이트웨이는 피어 기기의 단일 외부 IP 주소에 2개의 터널을 모두 사용합니다.

Google Cloud에서 이 구성의 REDUNDANCY_TYPE은 SINGLE_IP_INTERNALLY_REDUNDANT 값을 사용합니다.

다음 예시는 99.99% 가용성을 제공합니다.

99.99% 가용성 보장

Google Cloud 측에서 99.99% SLA를 충족하려면 HA VPN 게이트웨이의 2개 인터페이스 각각에서 피어 게이트웨이의 해당 인터페이스까지 터널이 구성되어 있어야 합니다.

피어 게이트웨이에 2개의 인터페이스가 있는 경우 각 피어 인터페이스에서 각 HA VPN 게이트웨이 인터페이스까지 하나씩 2개의 터널을 구성하면 99.99% SLA에 대한 요구사항을 충족합니다. Google Cloud 측의 99.99% SLA에는 풀 메시 구성이 필요하지 않습니다. 이 경우 풀 메시는 각 HA VPN 인터페이스에서 피어 게이트웨이의 2개 인터페이스까지 각각 2개의 터널, 즉 Google Cloud 측에서 총 4개의 터널이 구성되어 있는 것으로 정의됩니다. VPN 공급업체에서 전체 메시 구성을 권장하는지 확인하려면 피어(온프레미스) VPN 기기의 문서를 참조하거나 VPN 공급업체에 문의하세요.

2개의 피어 인터페이스가 있는 구성에서 HA VPN 게이트웨이의 다음 각 인터페이스에 있는 터널은 피어 게이트웨이 또는 게이트웨이의 해당 인터페이스와 일치합니다.

• HA VPN interface 0 - 피어 interface 0
• HA VPN interface 1 - 피어 interface 1

예시는 2개의 피어 기기, 2개의 인터페이스 및 1개의 피어 기기, 2개의 인터페이스에 대한 다이어그램에 표시되어 있습니다.

1개의 피어 게이트웨이에 1개의 피어 인터페이스만 있는 경우 각 HA VPN 게이트웨이 인터페이스의 각 터널을 단일 피어 인터페이스에 연결해야 합니다. 피어 기기 1개, 인터페이스 1개에 대한 다이어그램을 참조하세요.

다음 예시는 99.99% 가용성을 제공하지 않습니다.

• HA VPN interface 0 - 피어 interface 0

HA VPN - AWS 피어 게이트웨이

Amazon Web Services(AWS)에 대한 HA VPN 외부 VPN 게이트웨이를 구성할 때 전송 게이트웨이 또는 Virtual Private Gateway를 사용할 수 있습니다. 전송 게이트웨이만 등가 멀티 경로(ECMP) 라우팅을 지원합니다. 이 기능이 사용 설정되면 ECMP가 활성 터널에 트래픽을 균등하게 분산합니다. 지원되는 토폴로지에는 각각 2개의 외부 IP 주소가 있는 2개의 AWS 사이트 간 VPN 연결(A 및 B)이 필요합니다. 이 토폴로지는 AWS에서 4개의 외부 IP 주소(A1, A2, B1, B2)를 생성합니다.

1. 4개의 AWS IP 주소를 FOUR_IPS_REDUNDANCY가 있는 단일 외부 HA VPN 게이트웨이로 구성합니다. 각 항목의 의미는 다음과 같습니다.
• AWS IP 0=A1
• AWS IP 1=A2
• AWS IP 2=B1
• AWS IP 3=B2
2. 다음 구성을 사용하여 HA VPN 게이트웨이에 4개의 터널을 만들어 99.99% SLA를 충족합니다.
• HA VPN interface 0 - AWS interface 0
• HA VPN interface 0 - AWS interface 1
• HA VPN interface 1 - AWS interface 2
• HA VPN interface 1 - AWS interface 3

AWS에서 HA VPN을 설정합니다.

1. Google Cloud에서 원하는 리전에 HA VPN 게이트웨이와 Cloud Router를 만듭니다. 이렇게 하면 각 게이트웨이 인터페이스에 하나씩 두 개의 외부 IP 주소가 만들어집니다. 다음 단계에서 사용할 외부 IP 주소를 기록합니다.
2. AWS에서 다음을 사용하여 고객 게이트웨이를 2개 만듭니다.
   • 동적 라우팅 옵션
   • Cloud Router의 Google ASN
   • Google Cloud HA VPN 게이트웨이 interfaces 0 및 1의 외부 IP 주소
3. 사용 중인 AWS VPN 옵션에 해당하는 단계를 완료합니다.
   • 전송 게이트웨이
   1. 첫 번째 고객 게이트웨이(interface 0)에 대해 전송 게이트웨이 VPN 첨부를 만들고 동적 라우팅 옵션을 사용합니다.
   2. 두 번째 고객 게이트웨이(interface 1)에 대해 이전 단계를 반복합니다.
   • Virtual Private Gateway
   1. 다음을 사용하여 첫 번째 고객 게이트웨이(interface 0)에 대해 사이트 간 VPN 연결을 만듭니다.
      • Virtual Private Gateway의 대상 게이트웨이 유형
      • 동적 라우팅 옵션
   2. 두 번째 고객 게이트웨이(interface 1)에 대해 이전 단계를 반복합니다.
4. 생성한 두 연결의 AWS 구성 파일을 다운로드합니다. 파일에는 사전 공유 인증 키, 외부 터널 IP 주소, 외부 터널 IP 주소 등 이 절차의 다음 단계에서 필요한 정보가 포함되어 있습니다.
5. Google Cloud에서 다음을 수행합니다.
   1. 이전 단계에서 다운로드한 파일에서 AWS 외부 IP 주소를 사용하여 4개의 인터페이스가 있는 새 피어 VPN 게이트웨이를 만듭니다.
   2. 1단계에서 만든 HA VPN 게이트웨이에 4개의 VPN 터널을 만듭니다. 다운로드한 AWS 구성 파일의 정보를 사용하여 각 터널에 대해 적절한 피어 VPN 게이트웨이 인터페이스와 사전 공유 키로 HA VPN 게이트웨이 인터페이스를 구성합니다.
   3. 다운로드한 AWS 구성 파일의 BGP IP 주소를 사용하여 Cloud Router에서 BGP 세션을 구성합니다.

Google Cloud 네트워크 간 HA VPN

각 네트워크에서 HA VPN 게이트웨이를 사용하여 2개의 Google Cloud VPC 네트워크를 함께 연결할 수 있습니다. 두 HA VPN 게이트웨이 모두 동일한 리전에 있어야 합니다.

IPv4 및 IPv6 이중 스택 유형의 HA VPN 게이트웨이를 2개 배포하는 경우 VPN 터널이 IPv6 트래픽 교환을 지원할 수 있습니다. VPN 터널에 대해 만드는 BGP 세션에서 IPv6도 사용 설정해야 합니다. 이 시나리오에서는 다음 토폴로지에서 VPC 서브넷에 IPv6 주소를 할당할 수 있습니다.

다음 예시는 99.99% 가용성을 제공합니다.

각 HA VPN 게이트웨이의 관점에서 다음 두 가지가 모두 해당되도록 2개의 터널을 만듭니다.

• 1개 HA VPN 게이트웨이의 interface 0 - 다른 HA VPN 게이트웨이의 interface 0
• 1개 HA VPN 게이트웨이의 interface 1 - 다른 HA VPN 게이트웨이의 interface 1

이 구성을 설정하려면 서로 연결되는 완전히 구성된 HA VPN 게이트웨이 두 개 만들기를 참조하세요.

99.99% 가용성 보장

HA VPN - HA VPN게이트웨이에 99.99% 가용성을 제공하려면 두 게이트웨이 모두에서 다음 인터페이스가 일치해야 합니다.

• HA VPN interface 0 - HA VPN interface 0 및
• HA VPN interface 1 - HA VPN interface 1

다음 단계

• 고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
• Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.