방화벽 규칙 구성

이 페이지에서는 Google Cloud 방화벽 규칙 및 피어 네트워크 방화벽 규칙 구성을 위한 안내를 제공합니다.

피어 네트워크에 연결하도록 Cloud VPN 터널을 구성할 때 Google Cloud 및 피어 네트워크의 방화벽 규칙을 검토하고 요구사항에 맞게 수정합니다. 피어 네트워크가 다른 Virtual Private Cloud (VPC) 네트워크인 경우 Google Cloud 네트워크 연결의 양측에 대해 방화벽 규칙을 구성합니다.

Cloud VPN에 대한 자세한 내용은 다음 리소스를 참조하세요.

• Cloud VPN 설정 전에 고려해야 할 권장사항은 권장사항을 참조하세요.

• Cloud VPN에 대한 상세 설명은 Cloud VPN 개요를 참조하세요.

• 이 페이지에서 사용되는 용어의 정의는 주요 용어를 참조하세요.

Google Cloud 방화벽 규칙

Google Cloud 방화벽 규칙은 VPC 네트워크 내에서 Cloud VPN 터널을 통해 가상 머신(VM) 인스턴스 간에 전송된 패킷에 적용됩니다.

묵시적인 이그레스 허용 규칙은 Google Cloud 네트워크에 있는 VM 인스턴스 및 기타 리소스가 송신 요청을 수행하고 설정된 응답을 수신할 수 있게 합니다. 하지만 묵시적인 인그레스 거부 규칙은 Google Cloud 리소스에 대해 모든 수신 트래픽을 차단합니다.

최소한 피어 네트워크에서 Google Cloud로의 인그레스 트래픽을 허용하도록 방화벽 규칙을 만드세요. 특정 유형의 트래픽을 거부하도록 이그레스 규칙을 만든 경우 다른 이그레스 규칙도 만들어야 할 수 있습니다.

UDP 500, UDP 4500, ESP(IPsec, IP 프로토콜 50) 프로토콜을 포함하는 트래픽은 Cloud VPN 게이트웨이에서 하나 이상의 외부 IP 주소 간에 항상 허용됩니다. 하지만 Cloud VPN 게이트웨이에서 피어 VPN 게이트웨이로 전송되는 캡슐화 후 IPsec 패킷에는 Google Cloud 방화벽 규칙이 적용되지 않습니다.

방화벽 규칙에 대한 자세한 내용은 Google Cloud VPC 방화벽 규칙 개요를 참고하세요.

구성 예시

인그레스 또는 이그레스 트래픽을 제한하는 여러 예시는 VPC 문서의 구성 예시를 참조하세요.

다음 예시에서는 인그레스 허용 방화벽 규칙을 만듭니다. 이 규칙은 피어 네트워크의 CIDR에서 VPC 네트워크의 VM으로 들어오는 모든 TCP, UDP, ICMP 트래픽을 허용합니다.

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

피어 방화벽 규칙

피어 방화벽 규칙을 구성할 때 다음 사항을 고려하세요.

• VPC 네트워크의 서브넷에서 사용하는 IP 범위를 오가는 이그레스 및 인그레스 트래픽을 허용하는 규칙을 구성합니다.
• 모든 프로토콜 및 포트를 허용하도록 선택하거나, 요구 사항을 충족하는 프로토콜 및 포트의 필수 집합으로만 트래픽을 제한할 수 있습니다.
• Google Cloud에서 피어 시스템 및 인스턴스 또는 리소스 간 통신을 위해 ping을 사용해야 하는 경우 ICMP 트래픽을 허용합니다.
• ping을 사용하여 피어 네트워크에서 IPv6 주소에 액세스해야 하는 경우 피어 방화벽에서 ICMPv6(IP 프로토콜 58)를 허용합니다.
• 네트워크 기기(보안 어플라이언스, 방화벽 기기, 스위치, 라우터, 게이트웨이)와 시스템에서 실행되는 소프트웨어(예: 운영체제에 포함된 방화벽 소프트웨어) 모두 온프레미스 방화벽 규칙을 구현할 수 있습니다. 트래픽을 허용하려면 VPC 네트워크 경로에서 모든 방화벽 규칙을 적절하게 구성합니다.
• VPN 터널에 동적(BGP) 라우팅이 사용되는 경우, 링크-로컬 IP 주소에 대해 BGP 트래픽이 허용되는지 확인합니다. 자세한 내용은 다음 섹션을 참조하세요.

피어 게이트웨이에 대한 BGP 고려사항

동적(BGP) 라우팅은 TCP 포트 179를 사용하여 경로 정보를 교환합니다. Cloud VPN 게이트웨이를 비롯한 일부 VPN 게이트웨이는 개발자가 동적 라우팅을 선택할 때 이 트래픽을 자동으로 허용합니다. 피어 VPN 게이트웨이가 허용하지 않는 경우 TCP 포트 179에서 들어오는 트래픽과 나가는 트래픽을 허용하도록 구성합니다. 모든 BGP IP 주소는 링크-로컬 169.254.0.0/16 CIDR 블록을 사용합니다.

피어 VPN 게이트웨이가 인터넷에 직접 연결되어 있지 않으면, 이 게이트웨이와 피어 라우터, 방화벽 규칙, 보안 어플라이언스가 최소한 BGP 트래픽(TCP 포트 179) 및 ICMP 트래픽을 VPN 게이트웨이로 전달하도록 구성되어 있는지 확인합니다. ICMP는 필수가 아니지만, Cloud Router와 VPN 게이트웨이 사이의 연결을 테스트하는 데 유용합니다. 피어 방화벽 규칙을 적용할 IP 주소 범위에는 Cloud Router 및 게이트웨이의 BGP IP 주소가 포함되어야 합니다.

다음 단계

• 구성요소가 Cloud VPN과 올바르게 통신하는지 확인하려면 VPN 상태 확인을 참조하세요.
• 고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
• Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결 참조하기