Amazon Web Services(AWS)에 대한 HA VPN 외부 VPN 게이트웨이를 구성할 때 전송 게이트웨이나 Virtual Private Gateway를 사용할 수 있습니다. 전송 게이트웨이만 등가 멀티 경로(ECMP) 라우팅을 지원합니다.
이 기능이 사용 설정되면 ECMP가 활성 터널에 트래픽을 균등하게 분산합니다. 지원되는 토폴로지에는 외부 IP 주소가 각각 2개 있는 AWS Site-to-Site VPN 연결 2개(A
및 B
)가 필요합니다. 이 토폴로지에서는 AWS에서 외부 IP 주소 4개(A1
, A2
, B1
, B2
)를 생성합니다.
알려진 문제: AWS에 대한 VPN 터널을 구성할 때 AWS 측에서 IKEv2 암호화 프로토콜을 사용하고 변환 세트를 더 적게 선택합니다. 그렇지 않으면 Cloud VPN 터널에서 키를 갱신할 수 없습니다. 예를 들어 단일 1단계 및 2단계 암호화 알고리즘, 무결성 알고리즘, DH 그룹 번호의 조합을 선택합니다. 이 키 갱신 문제는 기본 AWS 변환 세트에 비해 SA 페이로드 크기가 커서 발생합니다. 페이로드 크기가 크면 AWS 측에서 Cloud VPN이 지원하지 않는 IKE 패킷의 IP 단편화가 발생합니다.
HA VPN - AWS 동종 앱 게이트웨이 만들기
Amazon Web Services(AWS)에 대한 HA VPN 외부 VPN 게이트웨이를 구성할 때 전송 게이트웨이 또는 Virtual Private Gateway를 사용할 수 있습니다. 전송 게이트웨이만 등가 멀티 경로(ECMP) 라우팅을 지원합니다. 이 기능이 사용 설정되면 ECMP가 활성 터널에 트래픽을 균등하게 분산합니다. 지원되는 토폴로지에는 각각 2개의 외부 IP 주소가 있는 2개의 AWS 사이트 간 VPN 연결(A
및 B
)이 필요합니다. 이 토폴로지는 AWS에서 4개의 외부 IP 주소(A1
, A2
, B1
, B2
)를 생성합니다.
- 4개의 AWS IP 주소를
FOUR_IPS_REDUNDANCY
가 있는 단일 외부 HA VPN 게이트웨이로 구성합니다. 각 항목의 의미는 다음과 같습니다. - AWS IP
0
=A1
- AWS IP
1
=A2
- AWS IP
2
=B1
- AWS IP
3
=B2
- 다음 구성을 사용하여 HA VPN 게이트웨이에 4개의 터널을 만들어 99.99% SLA를 충족합니다.
- HA VPN
interface 0
- AWSinterface 0
- HA VPN
interface 0
- AWSinterface 1
- HA VPN
interface 1
- AWSinterface 2
- HA VPN
interface 1
- AWSinterface 3
AWS에서 HA VPN을 설정합니다.
- Google Cloud에서 원하는 리전에 HA VPN 게이트웨이와 Cloud Router를 만듭니다. 이렇게 하면 각 게이트웨이 인터페이스에 하나씩 두 개의 외부 IP 주소가 만들어집니다. 다음 단계에서 사용할 외부 IP 주소를 기록합니다.
- AWS에서 다음을 사용하여 고객 게이트웨이를 2개 만듭니다.
- 동적 라우팅 옵션
- Cloud Router의 Google ASN
- Google Cloud HA VPN 게이트웨이
interfaces 0
및1
의 외부 IP 주소
- 사용 중인 AWS VPN 옵션에 해당하는 단계를 완료합니다.
- 전송 게이트웨이
- 첫 번째 고객 게이트웨이(
interface 0
)에 대해 전송 게이트웨이 VPN 첨부를 만들고 동적 라우팅 옵션을 사용합니다. - 두 번째 고객 게이트웨이(
interface 1
)에 대해 이전 단계를 반복합니다. - Virtual Private Gateway
- 다음을 사용하여 첫 번째 고객 게이트웨이(
interface 0
)에 대해 사이트 간 VPN 연결을 만듭니다.- Virtual Private Gateway의 대상 게이트웨이 유형
- 동적 라우팅 옵션
- 두 번째 고객 게이트웨이(
interface 1
)에 대해 이전 단계를 반복합니다.
- 생성한 두 연결의 AWS 구성 파일을 다운로드합니다. 파일에는 사전 공유 인증 키, 외부 터널 IP 주소, 외부 터널 IP 주소 등 이 절차의 다음 단계에서 필요한 정보가 포함되어 있습니다.
- Google Cloud에서 다음을 수행합니다.
- 이전 단계에서 다운로드한 파일에서 AWS 외부 IP 주소를 사용하여 4개의 인터페이스가 있는 새 동종 앱 VPN 게이트웨이를 만듭니다.
- 1단계에서 만든 HA VPN 게이트웨이에 4개의 VPN 터널을 만듭니다. 다운로드한 AWS 구성 파일의 정보를 사용하여 각 터널에 대해 적절한 동종 앱 VPN 게이트웨이 인터페이스와 사전 공유 키로 HA VPN 게이트웨이 인터페이스를 구성합니다.
- 다운로드한 AWS 구성 파일의 BGP IP 주소를 사용하여 Cloud Router에서 BGP 세션을 구성합니다.
외부 HA VPN 게이트웨이 구성
- AWS IP 주소 4개를
FOUR_IPS_REDUNDANCY
가 있는 단일 외부 HA VPN 게이트웨이로 구성합니다. 각 항목의 의미는 다음과 같습니다.- AWS IP
0
=A1
- AWS IP
1
=A2
- AWS IP
2
=B1
- AWS IP
3
=B2
- AWS IP
- 다음 구성을 사용하여 HA VPN 게이트웨이에 터널 4개를 만들어 99.99% SLA를 충족합니다.
- HA VPN
interface 0
- AWSinterface 0
- HA VPN
interface 0
- AWSinterface 1
- HA VPN
interface 1
- AWSinterface 2
- HA VPN
interface 1
- AWSinterface 3
- HA VPN
AWS에서 HA VPN 설정
- Google Cloud에서 원하는 리전에 HA VPN 게이트웨이와 Cloud Router를 만듭니다. 이 작업에서 게이트웨이 인터페이스마다 하나씩 외부 IP 주소 2개를 만듭니다. 다음 단계에서 사용할 외부 IP 주소를 기록합니다.
- AWS에서 다음을 사용하여 고객 게이트웨이 2개를 만듭니다.
- 동적 라우팅 옵션
- Cloud Router의 Google ASN
- Google Cloud HA VPN 게이트웨이
interfaces 0
및1
의 외부 IP 주소
사용 중인 AWS VPN 옵션에 해당하는 단계를 완료합니다.
- 전송 게이트웨이
- 첫 번째 고객 게이트웨이 (
interface 0
)의 전송 게이트웨이 VPN 연결을 만들고 동적 라우팅 옵션을 사용합니다. - 두 번째 고객 게이트웨이(
interface 1
)에 대해 이전 단계를 반복합니다.
- 첫 번째 고객 게이트웨이 (
- Virtual Private Gateway
- 다음을 사용하여 첫 번째 고객 게이트웨이 (
interface 0
)의 사이트 간 VPN 연결을 만듭니다.- Virtual Private Gateway의 대상 게이트웨이 유형
- 동적 라우팅 옵션
- 두 번째 고객 게이트웨이(
interface 1
)에 대해 이전 단계를 반복합니다.
- 다음을 사용하여 첫 번째 고객 게이트웨이 (
- 전송 게이트웨이
생성한 두 연결의 AWS 구성 파일을 다운로드합니다. 파일에는 사전 공유 인증 키, 외부 터널 IP 주소, 내부 터널 IP 주소를 포함하여 이 절차의 다음 단계에서 필요한 정보가 포함되어 있습니다.
Google Cloud에서 다음을 수행합니다.
- 이전 단계에서 다운로드한 파일에서 AWS 외부 IP 주소를 사용하여 인터페이스 4개가 있는 새 동종 앱 VPN 게이트웨이를 만듭니다.
- 1단계에서 만든 HA VPN 게이트웨이에 VPN 터널 4개를 만듭니다. 터널마다 다운로드한 AWS 구성 파일의 정보를 사용하여 적절한 동종 앱 VPN 게이트웨이 인터페이스와 사전 공유 키로 HA VPN 게이트웨이 인터페이스를 구성합니다.
- 다운로드한 AWS 구성 파일의 BGP IP 주소를 사용하여 Cloud Router에서 BGP 세션을 구성합니다.
다음 단계
- 동종 앱 VPN 게이트웨이에 허용되는 IP 주소를 제어하려면 동종 앱 VPN 게이트웨이의 IP 주소 제한을 참조하세요.