피어 VPN 게이트웨이 구성

이 페이지에서는 VPN 구성을 완료하는 단계를 설명합니다.

구성을 완료하려면 피어 VPN 게이트웨이에서 다음 리소스를 구성합니다.

  • Cloud VPN에 해당하는 VPN 터널
  • Cloud Router에서 동적 라우팅을 사용하는 경우 경계 게이트웨이 프로토콜(BGP) 세션
  • 방화벽 규칙
  • IKE 설정

피어 게이트웨이를 설정할 때 권장사항은 피어 게이트웨이 문서를 참조하거나 제조업체에 문의하세요. 지원되는 타사 VPN 기기 및 서비스를 설명하는 가이드는 Cloud VPN에서 타사 VPN 사용을 참조하세요.

Cloud VPN에 대한 자세한 내용은 다음 리소스를 참조하세요.

  • Cloud VPN 설정 전에 고려해야 할 권장사항은 Cloud VPN 권장사항을 참조하세요.

  • Cloud VPN에 대한 자세한 내용은 Cloud VPN 개요를 참조하세요.

  • 이 페이지에서 사용되는 용어의 정의는 주요 용어를 참조하세요.

HA VPN용 외부 피어 VPN 게이트웨이 리소스 구성

HA VPN의 경우 Google Cloud에서 물리적 피어 게이트웨이를 나타내는 외부 피어 VPN 게이트웨이 리소스를 구성하세요. 이 리소스를 독립형 리소스로 만들어 나중에 사용할 수도 있습니다.

외부 피어 VPN 게이트웨이 리소스를 만들려면 물리적 피어 게이트웨이의 다음 값이 필요합니다. 이는 타사 소프트웨어 기반 게이트웨이일 수도 있습니다. VPN을 설정하려면 외부 피어 VPN 게이트웨이 리소스의 값이 물리적 피어 게이트웨이의 구성과 일치해야 합니다.

  • 물리적 VPN 게이트웨이의 인터페이스 수
  • 하나 이상의 피어 게이트웨이 또는 인터페이스의 외부 IP 주소
  • BGP 엔드포인트 IP 주소
  • IKE 사전 공유 키(공유 비밀번호)
  • ASN 번호

독립 실행형 외부 피어 VPN 게이트웨이 리소스를 만들려면 다음 단계를 완료하세요.

Console

  1. Google Cloud Console에서 VPN 페이지로 이동합니다.

    VPN으로 이동

  2. 피어 VPN 게이트웨이 만들기를 클릭합니다.

  3. 피어 게이트웨이에 이름을 지정합니다.

  4. 물리적 피어 게이트웨이에 있는 인터페이스 수를 one, two 또는 four로 선택합니다.

  5. 물리적 VPN 게이트웨이의 인터페이스마다 인터페이스 IP 주소를 추가합니다.

  6. 만들기를 클릭합니다.

gcloud

다음 명령어를 실행할 때 물리적 VPN 게이트웨이의 인터페이스 ID 및 IP 주소를 입력합니다. 인터페이스 수를 1, 2, 4로 입력할 수 있습니다.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

명령어 결과는 다음 예와 같이 표시됩니다.

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

이 명령어에서 게이트웨이의 중복 유형 목록을 사용할 수 있습니다.

externalVpnGateways.insert 메서드를 사용하여 POST 요청을 실행합니다.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

VPN 터널 구성

생성한 각 Cloud VPN에 해당하는 터널을 만들려면 피어 VPN 게이트웨이 문서를 참조하세요.

HA VPN의 경우 피어 게이트웨이에 2개의 터널을 구성합니다. 피어 게이트웨이의 한 터널은 interface 0의 Cloud VPN 터널과 일치해야 합니다. 피어 게이트웨이의 다른 터널은 interface 1의 Cloud VPN 터널과 일치해야 합니다.

또한 피어 게이트웨이의 각 터널은 HA VPN 게이트웨이가 사용할 고유한 외부 IP 주소를 사용해야 합니다.

동적 라우팅을 위한 BGP 세션 구성

동적 라우팅의 경우에만 Cloud Router에 공지할 피어 서브넷의 BGP 세션을 지원하도록 피어 VPN 게이트웨이를 구성합니다.

피어 게이트웨이를 구성하려면 Cloud Router의 ASN 및 IP 주소와 Cloud VPN 게이트웨이의 정보를 사용합니다. Google ASN, 구성된 피어 네트워크 ASN, BGP IP 주소를 가져오려면 Cloud Router 요약 정보를 사용하세요.

HA VPN의 경우 피어 VPN 게이트웨이의 관점에서 피어 ASN인 Google ASN은 두 터널 모두에서 동일합니다.

방화벽 규칙 구성

피어 네트워크의 방화벽 규칙 구성에 대한 안내는 방화벽 규칙 구성을 참조하세요.

IKE 구성

동적, 경로 기반, 정책 기반 라우팅을 위해 피어 VPN 게이트웨이에 IKE를 구성할 수 있습니다.

IKE용 피어 VPN 게이트웨이와 터널을 구성하려면 다음 표의 매개변수를 사용합니다.

Cloud VPN을 일부 타사 VPN 솔루션에 연결하는 방법에 대한 자세한 내용은 Cloud VPN에서 타사 VPN 사용을 참조하세요. IPsec 암호화 및 인증 설정에 대한 자세한 내용은 지원되는 IKE 암호화를 참조하세요.

IKEv1 및 IKEv2

설정
IPsec 모드 ESP+인증 터널 모드(사이트 간)
인증 프로토콜 psk
공유 보안 비밀 IKE 사전 공유 키라고도 부릅니다. 이 가이드라인에 따라 강력한 비밀번호를 선택하세요. 사전 공유 키는 네트워크에 대한 액세스를 허용하므로 민감합니다.
시작 auto(연결이 끊어질 경우 피어 기기가 자동으로 연결을 다시 시작함)
PFS(완전 순방향 비밀성) on
DPD(죽은 피어 감지) 권장: Aggressive DPD는 VPN이 다시 시작될 때 이를 감지하고 대체 터널을 사용하여 트래픽을 라우팅합니다.
INITIAL_CONTACT
(uniqueids라고도 함)
권장: on(restart라고도 함). 용도: 인지된 다운타임을 줄이기 위해 재시작을 더 빠르게 감지합니다.
TSi(트래픽 선택기 - 개시자)

서브넷 네트워크: --local-traffic-selector 플래그로 지정된 범위. VPN이 자동 모드 VPC 네트워크에 있고, 게이트웨이 서브넷만 발표하기 때문에 --local-traffic-selector가 지정되지 않은 경우, 해당 서브넷 범위가 사용됩니다.

이전 네트워크: 네트워크의 범위.

TSr(트래픽 선택기 - 반응자)

IKEv2: --next-hop-vpn-tunnel이 이 터널로 설정된 모든 경로의 대상 범위.

IKEv1: 임의적으로 --next-hop-vpn-tunnel이 이 터널로 설정된 경로 중 하나의 대상 범위.

MTU 피어 VPN 기기의 최대 전송 단위(MTU)는 1,460바이트를 초과할 수 없습니다. 패킷이 먼저 조각화된 다음 캡슐화되도록 기기에 사전 조각화를 사용 설정합니다. 자세한 내용은 MTU 고려사항을 참조하세요.

IKEv1 전용의 추가 매개변수

설정
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS 알고리즘 그룹 2(MODP_1024)

다음 단계

  • VPN 터널 및 게이트웨이를 유지보수하기 위한 리소스를 찾으려면 VPN 유지보수 안내 가이드를 참조하세요.
  • 고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
  • Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.