AWS 동종 앱 게이트웨이에 HA VPN 연결

Amazon Web Services(AWS)에 대한 HA VPN 외부 VPN 게이트웨이를 구성할 때 전송 게이트웨이나 Virtual Private Gateway를 사용할 수 있습니다. 전송 게이트웨이만 등가 멀티 경로(ECMP) 라우팅을 지원합니다. 이 기능이 사용 설정되면 ECMP가 활성 터널에 트래픽을 균등하게 분산합니다. 지원되는 토폴로지에는 외부 IP 주소가 각각 2개 있는 AWS Site-to-Site VPN 연결 2개(AB)가 필요합니다. 이 토폴로지에서는 AWS에서 외부 IP 주소 4개(A1, A2, B1, B2)를 생성합니다.

알려진 문제: AWS에 대한 VPN 터널을 구성할 때 AWS 측에서 IKEv2 암호화 프로토콜을 사용하고 변환 세트를 더 적게 선택합니다. 그렇지 않으면 Cloud VPN 터널에서 키를 갱신할 수 없습니다. 예를 들어 단일 1단계 및 2단계 암호화 알고리즘, 무결성 알고리즘, DH 그룹 번호의 조합을 선택합니다. 이 키 갱신 문제는 기본 AWS 변환 세트에 비해 SA 페이로드 크기가 커서 발생합니다. 페이로드 크기가 크면 AWS 측에서 Cloud VPN이 지원하지 않는 IKE 패킷의 IP 단편화가 발생합니다.

HA VPN - AWS 동종 앱 게이트웨이 만들기

Amazon Web Services(AWS)에 대한 HA VPN 외부 VPN 게이트웨이를 구성할 때 전송 게이트웨이 또는 Virtual Private Gateway를 사용할 수 있습니다. 전송 게이트웨이만 등가 멀티 경로(ECMP) 라우팅을 지원합니다. 이 기능이 사용 설정되면 ECMP가 활성 터널에 트래픽을 균등하게 분산합니다. 지원되는 토폴로지에는 각각 2개의 외부 IP 주소가 있는 2개의 AWS 사이트 간 VPN 연결(AB)이 필요합니다. 이 토폴로지는 AWS에서 4개의 외부 IP 주소(A1, A2, B1, B2)를 생성합니다.

  1. 4개의 AWS IP 주소를 FOUR_IPS_REDUNDANCY가 있는 단일 외부 HA VPN 게이트웨이로 구성합니다. 각 항목의 의미는 다음과 같습니다.
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. 다음 구성을 사용하여 HA VPN 게이트웨이에 4개의 터널을 만들어 99.99% SLA를 충족합니다.
    • HA VPN interface 0 - AWS interface 0
    • HA VPN interface 0 - AWS interface 1
    • HA VPN interface 1 - AWS interface 2
    • HA VPN interface 1 - AWS interface 3

AWS에서 HA VPN을 설정합니다.

  1. Google Cloud에서 원하는 리전에 HA VPN 게이트웨이와 Cloud Router를 만듭니다. 이렇게 하면 각 게이트웨이 인터페이스에 하나씩 두 개의 외부 IP 주소가 만들어집니다. 다음 단계에서 사용할 외부 IP 주소를 기록합니다.
  2. AWS에서 다음을 사용하여 고객 게이트웨이를 2개 만듭니다.
    • 동적 라우팅 옵션
    • Cloud Router의 Google ASN
    • Google Cloud HA VPN 게이트웨이 interfaces 01의 외부 IP 주소
  3. 사용 중인 AWS VPN 옵션에 해당하는 단계를 완료합니다.
    • 전송 게이트웨이
      1. 첫 번째 고객 게이트웨이(interface 0)에 대해 전송 게이트웨이 VPN 첨부를 만들고 동적 라우팅 옵션을 사용합니다.
      2. 두 번째 고객 게이트웨이(interface 1)에 대해 이전 단계를 반복합니다.
    • Virtual Private Gateway
      1. 다음을 사용하여 첫 번째 고객 게이트웨이(interface 0)에 대해 사이트 간 VPN 연결을 만듭니다.
        • Virtual Private Gateway대상 게이트웨이 유형
        • 동적 라우팅 옵션
      2. 두 번째 고객 게이트웨이(interface 1)에 대해 이전 단계를 반복합니다.
  4. 생성한 두 연결의 AWS 구성 파일을 다운로드합니다. 파일에는 사전 공유 인증 키, 외부 터널 IP 주소, 외부 터널 IP 주소 등 이 절차의 다음 단계에서 필요한 정보가 포함되어 있습니다.
  5. Google Cloud에서 다음을 수행합니다.
    1. 이전 단계에서 다운로드한 파일에서 AWS 외부 IP 주소를 사용하여 4개의 인터페이스가 있는 새 동종 앱 VPN 게이트웨이를 만듭니다.
    2. 1단계에서 만든 HA VPN 게이트웨이에 4개의 VPN 터널을 만듭니다. 다운로드한 AWS 구성 파일의 정보를 사용하여 각 터널에 대해 적절한 동종 앱 VPN 게이트웨이 인터페이스와 사전 공유 키로 HA VPN 게이트웨이 인터페이스를 구성합니다.
    3. 다운로드한 AWS 구성 파일의 BGP IP 주소를 사용하여 Cloud Router에서 BGP 세션을 구성합니다.

외부 HA VPN 게이트웨이 구성

  1. AWS IP 주소 4개를 FOUR_IPS_REDUNDANCY가 있는 단일 외부 HA VPN 게이트웨이로 구성합니다. 각 항목의 의미는 다음과 같습니다.
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. 다음 구성을 사용하여 HA VPN 게이트웨이에 터널 4개를 만들어 99.99% SLA를 충족합니다.
    • HA VPN interface 0 - AWS interface 0
    • HA VPN interface 0 - AWS interface 1
    • HA VPN interface 1 - AWS interface 2
    • HA VPN interface 1 - AWS interface 3

AWS에서 HA VPN 설정

  1. Google Cloud에서 원하는 리전에 HA VPN 게이트웨이와 Cloud Router를 만듭니다. 이 작업에서 게이트웨이 인터페이스마다 하나씩 외부 IP 주소 2개를 만듭니다. 다음 단계에서 사용할 외부 IP 주소를 기록합니다.
  2. AWS에서 다음을 사용하여 고객 게이트웨이 2개를 만듭니다.
    1. 동적 라우팅 옵션
    2. Cloud Router의 Google ASN
    3. Google Cloud HA VPN 게이트웨이 interfaces 01의 외부 IP 주소
  3. 사용 중인 AWS VPN 옵션에 해당하는 단계를 완료합니다.

    1. 전송 게이트웨이
      1. 첫 번째 고객 게이트웨이 (interface 0)의 전송 게이트웨이 VPN 연결을 만들고 동적 라우팅 옵션을 사용합니다.
      2. 두 번째 고객 게이트웨이(interface 1)에 대해 이전 단계를 반복합니다.
    2. Virtual Private Gateway
      1. 다음을 사용하여 첫 번째 고객 게이트웨이 (interface 0)의 사이트 간 VPN 연결을 만듭니다.
        • Virtual Private Gateway대상 게이트웨이 유형
        • 동적 라우팅 옵션
      2. 두 번째 고객 게이트웨이(interface 1)에 대해 이전 단계를 반복합니다.
  4. 생성한 두 연결의 AWS 구성 파일을 다운로드합니다. 파일에는 사전 공유 인증 키, 외부 터널 IP 주소, 내부 터널 IP 주소를 포함하여 이 절차의 다음 단계에서 필요한 정보가 포함되어 있습니다.

  5. Google Cloud에서 다음을 수행합니다.

    1. 이전 단계에서 다운로드한 파일에서 AWS 외부 IP 주소를 사용하여 인터페이스 4개가 있는 새 동종 앱 VPN 게이트웨이를 만듭니다.
    2. 1단계에서 만든 HA VPN 게이트웨이에 VPN 터널 4개를 만듭니다. 터널마다 다운로드한 AWS 구성 파일의 정보를 사용하여 적절한 동종 앱 VPN 게이트웨이 인터페이스와 사전 공유 키로 HA VPN 게이트웨이 인터페이스를 구성합니다.
    3. 다운로드한 AWS 구성 파일의 BGP IP 주소를 사용하여 Cloud Router에서 BGP 세션을 구성합니다.

다음 단계