피어 VPN 게이트웨이 구성

이 페이지에서는 VPN 구성을 완료하기 위한 단계를 설명합니다.

구성을 완료하려면 피어 VPN 게이트웨이에서 다음 리소스를 구성하세요.

  • Cloud VPN에 해당하는 VPN 터널
  • Cloud Router에서 동적 라우팅을 사용하는 경우 경계 경로 프로토콜(BGP) 세션
  • 방화벽 규칙
  • IKE 설정

피어 게이트웨이를 설정할 때의 권장사항은 피어 게이트웨이 문서를 참조하거나 제조업체에 문의하세요. 지원되는 타사 VPN 기기 및 서비스를 설명하는 가이드는 타사 VPN 사용을 참조하세요. 또한 Google Cloud 콘솔에서 일부 서드 파티 기기 구성 템플릿을 다운로드할 수 있습니다. 자세한 내용은 피어 VPN 구성 템플릿 다운로드를 참조하세요.

Cloud VPN에 대한 자세한 내용은 다음 리소스를 참조하세요.

  • Cloud VPN 설정 전에 고려해야 할 권장사항은 권장사항을 참조하세요.

  • Cloud VPN에 대한 상세 설명은 Cloud VPN 개요를 참조하세요.

  • 이 페이지에서 사용되는 용어의 정의는 주요 용어를 참조하세요.

HA VPN용 외부 피어 VPN 게이트웨이 리소스 구성

HA VPN의 경우 Google Cloud에서 물리적 피어 게이트웨이를 나타내는 외부 피어 VPN 게이트웨이 리소스를 구성하세요. 이 리소스를 독립형 리소스로 만들어 나중에 사용할 수도 있습니다.

외부 피어 VPN 게이트웨이 리소스를 만들려면 서드 파티 소프트웨어 기반 게이트웨이일 수도 있는 물리적 피어 게이트웨이의 다음 값이 필요합니다. 설정할 VPN에 대해 외부 피어 VPN 게이트웨이 리소스의 값이 물리적 피어 게이트웨이의 구성과 일치해야 합니다.

  • 물리적 VPN 게이트웨이의 인터페이스 수
  • 하나 이상의 피어 게이트웨이 또는 인터페이스의 외부 IP 주소
  • BGP 엔드포인트 IP 주소
  • IKE 사전 공유 키(공유 비밀번호)
  • ASN 번호

HA VPN에 BGP 세션을 구성하고 IPv6를 사용 설정하면 IPv6 다음 홉 주소를 구성할 수 있습니다. 수동으로 구성하지 않으면 Google Cloud에서 이러한 IPv6 다음 홉 주소를 자동으로 할당합니다.

HA VPN 터널에서 IPv4 및 IPv6(이중 스택) 트래픽을 허용하려면 BGP 피어에 할당된 IPv6 다음 홉 주소를 가져와야 합니다. 그런 다음 피어 VPN 기기에서 VPN 터널을 구성할 때 IPv6 다음 홉 주소를 구성해야 합니다. 각 기기의 터널 인터페이스에서 IPv6 주소를 구성하지만 IPv6 주소는 IPv6 다음 홉 구성에만 사용됩니다. IPv6 경로는 IPv4 BGP 피어링을 통해 IPv6 NLRI로 공지됩니다. IPv6 다음 홉 주소 구성의 예시는 IPv4 및 IPv6 트래픽을 위한 타사 VPN 설정을 참조하세요.

독립 실행형 외부 피어 VPN 게이트웨이 리소스를 만들려면 다음 단계를 완료하세요.

콘솔

  1. Google Cloud 콘솔에서 VPN 페이지로 이동합니다.

    VPN으로 이동

  2. 피어 VPN 게이트웨이 만들기를 클릭합니다.

  3. 피어 게이트웨이에 이름을 지정합니다.

  4. 물리적 피어 게이트웨이에 있는 인터페이스 수(one, two 또는 four)를 선택합니다.

  5. 물리적 VPN 게이트웨이의 인터페이스마다 인터페이스 IP 주소를 추가합니다.

  6. 만들기를 클릭합니다.

gcloud

다음 명령어를 실행할 때 물리적 VPN 게이트웨이의 인터페이스 ID와 IP 주소를 입력합니다. 인터페이스 수를 1, 2, 4로 입력할 수 있습니다.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

명령어 결과는 다음 예시와 같이 표시됩니다.

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

이 명령어에 게이트웨이 중복 유형 목록을 사용할 수 있습니다.

externalVpnGateways.insert 메서드를 사용하여 POST 요청을 수행합니다.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

VPN 터널 구성

생성한 각 Cloud VPN에 해당하는 터널을 만들려면 피어 VPN 게이트웨이 문서를 참조하세요.

HA VPN의 경우 피어 게이트웨이에 2개의 터널을 구성합니다. 피어 게이트웨이의 터널 중 하나는 interface 0의 Cloud VPN 터널에 해당하며 나머지 하나는 interface 1의 Cloud VPN 터널에 해당해야 합니다.

또한 피어 게이트웨이의 각 터널은 HA VPN 게이트웨이가 사용할 고유한 외부 IP 주소를 사용해야 합니다.

동적 라우팅을 위한 BGP 세션 구성

동적 라우팅의 경우에 한해 Cloud Router에 공지할 피어 서브넷의 BGP 세션을 지원하도록 피어 VPN 게이트웨이를 구성합니다.

피어 게이트웨이를 구성하려면 Cloud Router의 ASN 및 IP 주소와 Cloud VPN 게이트웨이의 정보를 사용합니다. Google ASN, 구성된 피어 네트워크 ASN, BGP IP 주소를 가져오려면 Cloud Router 요약 정보를 사용합니다.

IPv4 및 IPv6(이중 스택) 트래픽을 허용하도록 HA VPN을 구성하는 경우 BGP 피어에 할당된 IPv6 다음 홉 주소로 피어 게이트웨이를 구성해야 합니다.

HA VPN의 경우 피어 VPN 게이트웨이의 관점에서 피어 ASN인 Google ASN은 두 터널 모두에서 동일합니다.

선택적으로 MD5 인증을 사용하도록 BGP 세션을 구성할 수 있습니다.

방화벽 규칙 구성

IPv6를 사용하는 HA VPN 연결의 경우 IPv6 트래픽을 허용하도록 방화벽을 구성해야 합니다.

피어 네트워크의 방화벽 규칙 구성에 대한 안내는 방화벽 규칙 구성을 참조하세요.

IKE 구성

동적, 경로 기반, 정책 기반 라우팅을 위해 피어 VPN 게이트웨이에 IKE를 구성할 수 있습니다.

HA VPN 터널은 IPv6 트래픽 지원을 위해 IKE v2를 사용해야 합니다.

IKE를 위한 피어 VPN 게이트웨이 및 터널을 구성하려면 다음 표의 매개변수를 사용합니다.

Cloud VPN을 일부 타사 VPN 솔루션에 연결하기 위한 자세한 내용은 Cloud VPN에서 타사 VPN 사용을 참조하세요. IPsec 암호화 및 인증 설정에 대한 자세한 내용은 지원되는 IKE 암호화를 참조하세요.

IKEv1 및 IKEv2

설정
IPsec 모드 ESP+인증 터널 모드(사이트 간)
인증 프로토콜 psk
공유 보안 비밀 IKE 사전 공유 키라고도 부릅니다. 이 가이드라인에 따라 강력한 비밀번호를 선택하세요. 사전 공유 키는 네트워크에 대한 액세스를 허용하므로 민감합니다.
시작 auto(연결이 끊어질 경우 피어 기기가 자동으로 연결을 다시 시작함)
PFS(완전 순방향 비밀성) on
DPD(죽은 피어 감지) 권장: Aggressive DPD는 VPN이 다시 시작될 때 이를 감지하고 대체 터널을 사용하여 트래픽을 라우팅합니다.
INITIAL_CONTACT
(uniqueids이라고도 함)
권장: on(restart라고도 함). 용도: 인지된 다운타임을 줄이기 위해 재시작을 더 빠르게 감지합니다.
TSi(트래픽 선택기 - 개시자)

서브넷 네트워크: --local-traffic-selector 플래그로 지정된 범위. VPN이 자동 모드 VPC 네트워크에 있고, 게이트웨이 서브넷만 발표하기 때문에 --local-traffic-selector가 지정되지 않은 경우, 해당 서브넷 범위가 사용됩니다.

이전 네트워크: 네트워크의 범위.

TSr(트래픽 선택기 - 반응자)

IKEv2: --next-hop-vpn-tunnel이 이 터널로 설정된 모든 경로의 대상 범위.

IKEv1: 임의적으로 --next-hop-vpn-tunnel이 이 터널로 설정된 경로 중 하나의 대상 범위.

MTU 피어 VPN 기기의 최대 전송 단위(MTU)는 1,460바이트를 초과할 수 없습니다. 패킷이 먼저 조각화된 다음 캡슐화되도록 기기에 사전 조각화를 사용 설정합니다. 자세한 내용은 MTU 고려사항을 참조하세요.

IKEv1 전용의 추가 매개변수

설정
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS 알고리즘 그룹 2(MODP_1024)

트래픽 선택기 구성

IPv4 및 IPv6 트래픽을 모두 지원하려면 피어 VPN 게이트웨이에서 트래픽 선택기를 0.0.0.0/0,::/0으로 설정합니다.

IPv4 트래픽만 지원하려면 피어 VPN 게이트웨이에서 트래픽 선택기를 0.0.0.0/0으로 설정합니다.

다음 단계

  • 피어 VPN 기기 구성 템플릿을 다운로드하려면 피어 VPN 구성 템플릿 다운로드를 참조하세요.
  • 피어 네트워크의 방화벽 규칙을 구성하려면 방화벽 규칙 구성을 참조하세요.
  • 고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
  • Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.