Google Cloud - Google Cloud HA VPN 게이트웨이 만들기

이 페이지에서는 HA VPN 게이트웨이 구성을 사용하여 Virtual Private Cloud 네트워크 두 개를 함께 연결하는 방법을 설명합니다. 각 네트워크의 기본 및 보조 서브넷 IP 주소 범위가 겹치지 않는 한 기존 VPC 네트워크 두 개를 함께 연결할 수 있습니다.

이 토폴로지의 다이어그램은 토폴로지 페이지를 참조하세요.

VPN 유형을 선택하는 방법에 대한 자세한 내용은 네트워크 연결 제품 선택을 참조하세요.

요구사항

일반 요구사항 및 가이드라인

99.99% SLA를 준수하려면 이 구성을 만들 때 다음 요구사항을 충족해야 합니다.

  • VPC 네트워크마다 HA VPN 게이트웨이를 하나씩 배치합니다.
  • 두 HA VPN 게이트웨이 모두 동일한 Google Cloud 리전에 배치합니다.
  • 각 게이트웨이의 각 인터페이스에 터널을 구성합니다.
  • 아래 문에 설명된 대로 게이트웨이 인터페이스와 일치시킵니다.

HA VPN 게이트웨이 간 단일 터널을 사용하거나 기본 VPN 게이트웨이를 사용하여 VPC 네트워크 두 개를 연결할 수도 있지만 이러한 유형의 구성은 가용성이 높지 않다고 간주되며 99.99% 가용성 HA SLA를 충족하지 않습니다.

Cloud Router 만들기

새 HA VPN 게이트웨이를 구성할 때 새 Cloud Router를 만들거나 기존 Cloud VPN 터널 또는 Interconnect 연결(VLAN)에 이미 사용 중인 Cloud Router를 사용할 수 있습니다. 그러나 연결의 특정 ASN 요구사항으로 인해 사용하는 Cloud Router가 Partner Interconnect와 연결된 Interconnect 연결(VLAN)에 대한 BGP 세션을 관리하고 있지 않아야 합니다.

권한 관리

HA VPN 게이트웨이는 항상 사용자나 Google Cloud 조직의 소유가 아니므로 HA VPN 게이트웨이를 만들거나 다른 사용자가 소유한 HA VPN 게이트웨이에 연결할 때 다음 권한 요구사항을 고려하세요.

  • HA VPN 게이트웨이를 만드는 프로젝트의 소유자라면 HA VPN 게이트웨이에 권장 권한을 구성합니다.
  • 소유하고 있지 않은 프로젝트 또는 Google Cloud 조직에 있는 HA VPN 게이트웨이에 연결하려면 소유자의 compute.vpnGateways.use 권한을 요청해야 합니다.

시작하기 전에

  • 동적 라우팅이 Google Cloud에서 작동하는 방식에 대한 정보를 검토합니다.
  • 피어 VPN 게이트웨이가 BGP를 지원하는지 확인합니다.

Google Cloud에서 다음 항목을 설정하면 Cloud VPN을 더 쉽게 구성할 수 있습니다.

  1. Google 계정으로 로그인합니다.

    아직 계정이 없으면 새 계정을 등록하세요.

  2. Cloud Console의 프로젝트 선택기 페이지에서 Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기 페이지로 이동

  3. Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 프로젝트에 결제가 사용 설정되어 있는지 확인하는 방법을 알아보세요.

  4. Cloud SDK 설치 및 초기화
  1. gcloud 명령어를 사용 중인 경우 다음 명령어로 프로젝트 ID를 설정합니다. 이 페이지의 gcloud 관련 안내에서는 명령어를 실행하기 전에 프로젝트 ID를 설정했다고 가정합니다.
  gcloud config set project project-id

다음 명령어를 사용하면 이미 설정된 프로젝트 ID도 볼 수 있습니다.

  gcloud config list --format='text(core.project)'

커스텀 Virtual Private Cloud 네트워크 및 서브넷 만들기

HA VPN 게이트웨이와 터널 쌍을 만들기 전에 HA VPN 게이트웨이가 있는 리전에 Virtual Private Cloud 네트워크 하나와 서브넷 최소 한 개 이상을 만들어야 합니다.

이 문서의 예시에서는 다음과 같은 방식으로 작동하는 VPC 전역 동적 라우팅 모드도 사용합니다.

  • Cloud Router의 모든 인스턴스는 학습한 '온프레미스에 연결' 경로를 VPC 네트워크의 모든 서브넷에 적용합니다.
  • VPC 네트워크의 모든 서브넷 경로는 온프레미스 경로와 공유됩니다.

참고로 이 문서에서는 서로 다른 VPC 네트워크 두 개에 HA VPN 게이트웨이를 하나씩 만듭니다.

network-1에 다음 서브넷이 포함됩니다.

  • range-1 IP 범위를 사용하는 region-1subnet-name-1 서브넷
  • range-2 IP 범위를 사용하는 region-2subnet-name-2 서브넷

network-2에 다음 서브넷이 포함됩니다.

  • range-3 IP 범위를 사용하는 region-1subnet-name-3 서브넷
  • range-4 IP 범위를 사용하는 region-3subnet-name-4 서브넷

서로 연결되는 완전히 구성된 HA VPN 게이트웨이 두 개 만들기

이 섹션의 안내를 따라 HA VPN 게이트웨이, 터널, 피어 VPN 게이트웨이 리소스, BGP 세션을 만듭니다.

Console

VPN 설정 마법사에는 HA VPN 게이트웨이, 터널, 피어 VPN 게이트웨이 리소스, BGP 세션을 만들 수 있는 모든 필수 구성 단계가 포함되어 있습니다.

Cloud VPN 게이트웨이 만들기

  1. Google Cloud Console에서 VPN 페이지로 이동합니다.
    VPN 페이지로 이동
    1. 게이트웨이를 처음 만드는 경우 VPN 연결 만들기 버튼을 선택합니다.
    2. VPN 설정 마법사를 선택합니다.
  2. HA VPN 게이트웨이의 라디오 버튼을 선택합니다.
  3. 계속을 클릭합니다.
  4. VPN 게이트웨이 이름을 지정합니다.
  5. VPC 네트워크에서 기존 네트워크 또는 기본 네트워크를 선택합니다.
  6. 리전을 선택합니다.
  7. 만들고 계속하기를 클릭합니다.
  8. Console 화면이 새로 고쳐지고 게이트웨이 정보가 표시됩니다. 게이트웨이 인터페이스마다 외부 IP 주소 두 개가 자동으로 할당됩니다. 이후 구성 단계에서 게이트웨이 구성의 세부정보를 기록해 둡니다.

피어 VPN 게이트웨이 리소스 만들기

피어 VPN 게이트웨이 리소스는 Google Cloud에서 Google Cloud가 아닌 게이트웨이를 나타냅니다.

  1. VPN 만들기 화면의 피어 VPN 게이트웨이에서 Google Cloud를 선택합니다.
  2. 프로젝트에서 새 게이트웨이가 포함될 Google Cloud 프로젝트를 선택합니다.
  3. VPN 게이트웨이 이름에서 동시에 구성 중인 다른 HA VPN을 선택합니다.
  4. 계속해서 VPN 터널을 만듭니다.

VPN 터널 만들기

  • 단일 VPN 터널 만들기를 선택하면 나머지 VPN 만들기 화면에서 단일 터널을 구성합니다. 하지만 다른 HA VPN 게이트웨이에 99.99% SLA를 보장하려면 나중에 두 번째 터널을 만들어야 합니다.
  • VPN 터널 쌍 만들기(권장)를 선택하면 VPN 만들기 화면 하단에 나타나는 터널 대화상자 두 개를 구성해야 합니다.
  1. 고가용성에서 다른 HA VPN 게이트웨이에 대한 터널 한 쌍 또는 터널 하나를 선택할 수 있습니다. 나중에 이 절차 끝부분의 설명대로 두 번째 터널을 추가할 수 있습니다.
  2. 아직 Cloud Router가 없으면 Cloud Router에서 아래 설명대로 옵션을 지정하여 Cloud Router를 만듭니다. 라우터가 Partner Interconnect와 연결된 Interconnect 연결의 BGP 세션을 관리하지 않는 한 기존 Cloud Router를 사용할 수 있습니다.
    1. Cloud Router를 만들려면 새 라우터의 이름, 설명(선택사항), Google ASN을 지정합니다. 네트워크의 모든 위치에서 사용하고 있지 않은 모든 비공개 ASN(64512~65534, 4200000000~4294967294)을 사용할 수 있습니다. Google ASN은 동일한 Cloud Router에 있는 모든 BGP 세션에 사용되며 나중에 변경될 수 없습니다.
    2. 만들기를 클릭하여 라우터를 만듭니다.
  3. 같은 화면 또는 화면 하단의 각 터널 대화상자에서 다음 단계를 완료합니다.
  4. 연결된 Cloud VPN 게이트웨이 인터페이스에서 터널 한 개를 구성하는 경우 이 게이트웨이의 HA VPN 인터페이스/IP 주소 조합을 선택하여 다른 HA VPN 게이트웨이의 게이트웨이 인터페이스에 연결합니다. 터널 두 개 구성의 경우 올바른 인터페이스 조합이 자동으로 구성되어 있으므로 이 옵션과 연결된 피어 VPN 게이트웨이 인터페이스 옵션을 모두 사용할 수 없습니다.
    1. 터널의 이름을 지정합니다.
    2. 설명(선택사항)을 지정합니다.
    3. IKE 버전을 지정합니다. 피어 라우터에서 기본 설정인 IKE v2를 지원하는 경우 이 설정을 사용하는 것이 좋습니다.
    4. 피어 게이트웨이에서 만드는 파트너 터널의 공유 비밀번호와 일치해야 하는 공유 비밀번호를 사용하여 IKE 사전 공유 키를 지정합니다. 피어 VPN 게이트웨이에 공유 비밀번호를 구성하지 않았고 공유 비밀번호를 생성하려면 생성 및 복사 버튼을 클릭합니다. VPN 터널을 만든 후에는 사전 공유 키를 검색할 수 없으므로 안전한 위치에 기록해야 합니다.
    5. 완료를 클릭합니다.
    6. VPN 만들기 화면의 나머지 터널 대화상자에서 터널 만들기 단계를 반복합니다.
  5. 모든 터널을 구성하면 만들고 계속하기를 클릭합니다.

BGP 세션 만들기

공지된 경로 우선순위 설정(선택사항)

다음 예시에서는 수정되지 않은 기본 우선순위를 사용하여 라우터의 각 피어 네트워크 경로를 공지하는 Cloud Router 인스턴스에 BGP 세션을 만듭니다.

양측에서 두 터널의 우선순위가 일치해야 하는 활성/활성 구성에 이 구성을 사용합니다. 공지된 기본 우선순위를 생략하면 두 BGP 피어 모두에 동일한 우선순위가 공지됩니다.
활성/수동 구성의 경우 Cloud Router가 공지된 경로 우선순위를 설정하여 피어 VPN 게이트웨이와 공유하는 'Google Cloud에 연결' 경로의 공지된 기본 우선순위를 제어할 수 있습니다.
활성/수동 구성을 만들려면 BGP 세션 한 개와 해당 VPN 터널에 다른 BGP 세션과 VPN 터널보다 더 높은 공지된 경로 우선순위를 설정합니다.

공지된 기본 우선순위에 대한 자세한 내용은 경로 측정항목을 참조하세요.

또한 --advertisement-mode=CUSTOM 플래그를 추가하고 --set-advertisement-ranges로 IP 주소 범위를 지정하여 커스텀 공지를 통해 공지된 경로를 세분화할 수 있습니다.

BGP 세션을 만들려면 다음 안내를 따르세요.

  1. 지금 BGP 세션을 구성하지 않으려면 요약 및 알림 화면으로 이동하는 나중에 BGP 세션 구성 버튼을 클릭합니다.
  2. BGP 세션을 지금 구성하려면 첫 번째 VPN 터널의 구성 버튼을 클릭합니다.
  3. BGP 세션 만들기 화면에서 다음 단계를 수행합니다.
    1. BGP 세션의 이름을 지정합니다.
    2. 피어 VPN 게이트웨이에 대해 구성된 피어 ASN을 지정합니다.
    3. (선택사항) 공지된 경로 우선순위를 지정합니다.
    4. Cloud Router BGP IP 주소와 BGP 피어 IP 주소를 지정합니다. 이러한 주소마다 동일한 /30 서브넷에 있는 169.254.0.0/16 CIDR 블록의 링크-로컬 주소를 사용해야 합니다. 이러한 주소가 서브넷의 브로드캐스트 주소나 네트워크가 아닌지 확인합니다.
    5. (선택사항) 공지된 경로 드롭다운 메뉴를 클릭하고 커스텀 경로를 만듭니다.
    6. 저장 후 계속을 클릭합니다.
  4. 각 터널의 다른 Cloud Router BGP IP 주소와 BGP 피어 IP 주소를 사용하여 게이트웨이에 구성된 나머지 터널에 이전 단계를 반복합니다.
  5. 모든 BGP 세션을 구성하면 BGP 구성 저장을 클릭합니다.

요약 및 알림

  1. 이 화면의 요약 섹션에는 HA VPN 게이트웨이와 피어 VPN 게이트웨이 프로필에 대한 정보가 표시됩니다.
  2. VPN 터널마다 VPN 터널 상태, BGP 세션 이름, BGP 세션 상태, MED 값(공지된 경로 우선순위)을 볼 수 있습니다.
  3. 이 화면의 알림 섹션에는 Cloud VPN과 피어 VPN 간에 완벽하게 작동하는 VPN 연결을 설정하기 위해 완료해야 하는 단계가 나와 있습니다.
  4. 이 화면의 정보를 검토한 후 확인을 클릭합니다.

단일 터널 게이트웨이에 추가 터널 만들기

이 섹션의 단계를 수행하여 HA VPN 게이트웨이의 두 번째 인터페이스에 두 번째 터널을 구성합니다. 다른 HA VPN 게이트웨이에 대한 HA VPN 게이트웨이에 터널 한 개를 구성했지만 99.99% 업타임 SLA를 보장하려면 두 번째 터널을 구성해야 합니다.

  1. Google Cloud Console에서 VPN 페이지로 이동합니다.
    VPN 페이지로 이동
    1. 터널을 추가할 HA VPN을 찾습니다.
    2. VPN 터널 추가 버튼을 클릭합니다.
    3. 피어 VPN 게이트웨이에서 Google Cloud를 선택합니다.
    4. 프로젝트에서 새 게이트웨이가 포함될 Google Cloud 프로젝트를 선택합니다.
    5. VPN 게이트웨이 이름에 새 터널이 연결되는 다른 HA VPN 게이트웨이를 선택합니다.
    6. 고가용성을 위해 기존 VPN 터널에 두 번째 VPN 터널 추가를 선택합니다.
    7. 기존 VPN 터널 선택에서 기존 터널이 선택되었는지 확인합니다. 링크를 클릭하면 같은 화면 상단에서 모든 기존 터널을 볼 수 있습니다.
    8. 터널 이름을 지정합니다.
    9. 다른 게이트웨이의 터널에서 사용 중인 동일한 IKE 버전을 지정합니다.
    10. 피어 게이트웨이에서 만드는 파트너 터널의 공유 비밀번호와 일치해야 하는 공유 비밀번호를 사용하여 IKE 사전 공유 키를 지정합니다. 피어 VPN 게이트웨이에 공유 비밀번호를 구성하지 않았고 공유 비밀번호를 생성하려면 생성 및 복사 버튼을 클릭합니다. VPN 터널을 만든 후에는 사전 공유 키를 검색할 수 없으므로 안전한 위치에 기록해야 합니다.
    11. 만들고 계속하기를 클릭합니다.
    12. 이전 단계에서처럼 BGP 세션을 구성하고 저장합니다. 그렇지 않으면 BGP를 나중에 구성할 수 있습니다.
    13. 요약 알림 화면에서 구성 정보를 확인하고 확인을 클릭합니다.

gcloud

HA VPN 게이트웨이 만들기

다음 명령어 시퀀스를 완료하여 HA VPN 게이트웨이 두 개를 만듭니다.

  1. region-1의 네트워크마다 HA VPN 게이트웨이를 만듭니다. 각 게이트웨이가 생성되면 게이트웨이 인터페이스마다 외부 IP 주소 두 개가 자동으로 할당됩니다. 나중에 구성 단계에서 사용할 수 있도록 이 IP 주소를 기록해 둡니다.

    다음 명령어에서 아래에 표시된 옵션을 바꿉니다.

    • gw-name-1gw-name-2를 각 게이트웨이 이름으로 바꿉니다.
    • 다른 모든 옵션을 이전에 사용한 값으로 바꿉니다.

    첫 번째 게이트웨이 만들기

      gcloud compute vpn-gateways create gw-name-1 \
        --network network-1 \
        --region region-1
    

    만드는 게이트웨이는 다음 예시 출력과 유사하게 표시되어야 합니다. 외부 IP 주소는 각 게이트웨이 인터페이스에 자동으로 할당됩니다.

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
      NAME        INTERFACE0    INTERFACE1     NETWORK    REGION
      ha-vpn-gw-a 203.0.113.16  203.0.113.23   network-a  us-central1
    

    두 번째 게이트웨이 만들기

      gcloud compute vpn-gateways create gw-name-2 \
        --network network-2 \
        --region region-1
    
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b].
      NAME        INTERFACE0   INTERFACE1    NETWORK    REGION
      ha-vpn-gw-b 203.0.114.18 203.0.114.25  network-b  us-central1
    

각 Cloud Router 만들기

다음 안내에서는 아직 HA VPN 터널의 BGP 세션 관리에 사용할 Cloud Router를 만들지 않았다고 가정합니다.

라우터가 Partner Interconnect와 연결된 Interconnect 연결의 BGP 세션을 관리하지 않는 한 각 VPC 네트워크에서 기존 Cloud Router를 사용할 수 있습니다.

  1. 다음 명령어를 완료하여 네트워크마다 Cloud Router를 만듭니다. 다음 명령어에서 아래에 표시된 옵션을 바꿉니다.

    • asn-1asn-2를 아직 사용하고 있지 않은 비공개 ASN(64512~65534, 4200000000~4294967294)으로 바꿉니다. 다음 예시에서는 router-name-1의 두 인터페이스 모두에 ASN 65001을 사용하고 router-name-2의 두 인터페이스 모두에 ASN 65002를 사용합니다.
    • 다른 모든 옵션을 이전에 사용한 값으로 바꿉니다.

    첫 번째 라우터 만들기

      gcloud compute routers create router-name-1 \
        --region region-1 \
        --network network-1 \
        --asn asn-1
    

    만드는 라우터는 다음 예시 출력과 유사하게 표시되어야 합니다.

      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
      NAME     REGION      NETWORK
      router-a us-central1 network-a
    

    두 번째 라우터 만들기

      gcloud compute routers create router-name-2 \
        --region region-1 \
        --network network-2 \
        --asn asn-2
    

    만드는 라우터는 다음 예시 출력과 유사하게 표시되어야 합니다.

      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b].
      NAME     REGION      NETWORK
      router-b us-central1 network-b
    

VPN 터널 만들기

  1. 다음 명령어 시퀀스를 완료하여 HA VPN 게이트웨이마다 VPN 터널 두 개를 만듭니다.

    • gw-name-1의 인터페이스 0에서 만드는 터널은 network-2gw-name-2의 인터페이스 0과 연결된 외부 IP 주소에 연결되어야 합니다.
    • gw-name-1의 인터페이스 1의 터널은 gw-name-2의 인터페이스 1과 연결된 외부 IP 주소에 연결되어야 합니다.
    • network-1gw-name-1에 VPN 터널을 만들 때는 network-2gw-name-2의 정보를 지정해야 합니다. Google에서는 터널을 자동으로 gw-name-1의 인터페이스 0에서 gw-name-2의 인터페이스 0으로, gw-name-1의 인터페이스 1에서 gw-name-2의 인터페이스 1로 연결합니다.

    gw-name-1에서 터널 2개 만들기

    1. network-1에서 gw-name-1의 인터페이스마다 VPN 터널 두 개를 만듭니다. 다음 명령어에서 아래에 표시된 옵션을 바꿉니다.

      • tunnel-name-gw1-if0tunnel-name-gw1-if1gw-name-1에서 시작되는 각 터널의 이름으로 바꿉니다. 게이트웨이 인터페이스 이름을 포함하여 터널 이름을 지정하면 나중에 터널을 쉽게 식별할 수 있습니다.
      • gw-name-2--peer-gcp-gateway의 값으로 사용합니다.
      • regiongw-name-1이 있는 리전으로 바꿉니다.
      • (선택사항) --vpn-gateway-region은 HA VPN 게이트웨이가 작동할 리전입니다. 값은 --region과 같아야 합니다. 지정하지 않으면 이 옵션이 자동으로 설정됩니다. 이 옵션은 이 명령어 호출의 기본 compute/region 속성 값을 재정의합니다.
      • ike-vers를 IKEv2의 2로 바꿉니다. 두 터널 모두 다른 HA VPN 게이트웨이에 연결되므로 IKEv2를 사용하는 것이 좋습니다.
      • shared-secret를 공유 비밀번호로 바꿉니다. 이 공유 비밀번호는 인터페이스 0과 인터페이스 1의 gw-name-2에서 생성된 해당 터널에 사용하는 공유 비밀번호와 동일한 공유 비밀번호여야 합니다. 권장사항은 강력한 사전 공유 키 생성을 참조하세요.
      • int-num-0gw-name-1의 첫 번째 인터페이스에 대한 숫자 0으로 바꿉니다.
      • int-num-1gw-name-1의 두 번째 인터페이스에 대한 숫자 1로 바꿉니다.
      • peer-gcp-gateway가 VPN 터널 및 로컬 VPN 게이트웨이와 다른 프로젝트에 있는 경우 프로젝트를 지정하려면 --peer-gcp-gateway 옵션을 전체 URI 또는 상대 이름으로 사용합니다. 다음 샘플 옵션은 상대 이름(--peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b)입니다.
      • VPN 터널이 연결된 피어 측 HA VPN 게이트웨이의 리전인 --peer-gcp-gateway-region은 VPN 터널과 동일한 리전에 있어야 합니다. 지정하지 않으면 리전이 자동으로 설정됩니다.

      gw-name-1 int-num-0에서 첫 번째 터널 만들기

        gcloud compute vpn-tunnels create tunnel-name-gw1-if0\
          --peer-gcp-gateway gw-name-2 \
          --region region-1 \
          --ike-version ike-vers \
          --shared-secret shared-secret \
          --router router-name-1 \
          --vpn-gateway gw-name-1 \
          --interface int-num-0
      

      gw-name-1 int-num-1에서 두 번째 터널 만들기

        gcloud compute vpn-tunnels create tunnel-name-gw1-if1 \
          --peer-gcp-gateway gw-name-2 \
          --region region-1 \
          --ike-version ike-vers \
          --shared-secret shared-secret \
          --router router-name-1 \
          --vpn-gateway gw-name-1 \
          --interface int-num-1
      

      명령어 결과는 다음 예시와 비슷해야 합니다.
        Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
        NAME               REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
        tunnel-a-to-b-if-0 us-central1  ha-vpn-gw-a     0          ha-vpn-gw-b
        Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
        NAME               REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
        tunnel-a-to-b-if-1 us-central1  ha-vpn-gw-a     1          ha-vpn-gw-b
      

    gw-name-2에서 터널 2개 만들기

    1. network-2에서 gw-name-2의 인터페이스마다 VPN 터널 두 개를 만듭니다.
      • gw-name-2의 인터페이스 0에서 만드는 터널은 network-1gw-name-1의 인터페이스 0과 연결된 외부 IP 주소에 연결되어야 합니다.
      • gw-name-2의 인터페이스 1의 터널은 gw-name-1의 인터페이스 1과 연결된 외부 IP 주소에 연결되어야 합니다.
      • regiongw-name-2이 있는 리전으로 바꿉니다.
      • (선택사항) --vpn-gateway-region은 VPN 게이트웨이가 작동할 리전입니다. 값은 --region과 같아야 합니다. 지정하지 않으면 이 옵션이 자동으로 설정됩니다. 이 옵션은 이 명령어 호출의 기본 compute/region 속성 값을 재정의합니다.

        다음 명령어에서 아래에 표시된 옵션을 바꿉니다.
      • tunnel-name-gw2-if0tunnel-name-gw2-if1gw-name-2에서 시작되는 각 터널의 이름으로 바꿉니다. 게이트웨이 인터페이스 이름을 포함하여 터널 이름을 지정하면 나중에 터널을 쉽게 식별할 수 있습니다.
      • gw-name-1--peer-gcp-gateway의 값으로 사용합니다.
      • --peer-gcp-gateway-region 값은 VPN 터널과 동일한 리전에 있어야 합니다. 지정하지 않으면 값이 자동으로 설정됩니다. 이 예시에서 리전은 region-1입니다.
      • ike-vers를 IKEv2의 2로 바꿉니다. 이러한 터널은 이전 단계에서 만든 터널 두 개에 연결되므로 같은 IKE 버전을 사용해야 합니다(IKEv2 권장).
      • shared-secret을 공유 비밀번호로 바꿉니다. 이 비밀번호는 gw-name-1의 각 인터페이스에서 만든 파트너 터널의 공유 보안 비밀번호와 일치해야 합니다. 권장사항은 강력한 사전 공유 키 생성을 참조하세요.
      • gw-name-2를 게이트웨이 구성 단계에서 구성한 두 번째 게이트웨이의 이름으로 바꿉니다.
      • int-num-0gw-name-2의 첫 번째 인터페이스에 대한 숫자 0으로 바꿉니다.
      • int-num-1gw-name-2의 두 번째 인터페이스에 대한 숫자 1로 바꿉니다.
      • peer-gcp-gateway가 VPN 터널 및 로컬 VPN 게이트웨이와 다른 프로젝트에 있는 경우 프로젝트를 지정하려면 --peer-gcp-gateway 옵션을 전체 URI 또는 상대 이름으로 사용합니다. 다음 샘플 옵션은 상대 이름(--peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b)입니다.
      • VPN 터널이 연결된 피어 측 HA VPN 게이트웨이의 리전인 --peer-gcp-gateway-region은 VPN 터널과 동일한 리전에 있어야 합니다. 지정하지 않으면 리전이 자동으로 설정됩니다.

    gw-name-2 int-num-0에서 첫 번째 터널 만들기

      gcloud compute vpn-tunnels create tunnel-name-gw2-if0 \
       --peer-gcp-gateway gw-name-1 \
       --region region-1 \
       --ike-version ike-vers \
       --shared-secret shared-secret \
       --router router-name-2 \
       --vpn-gateway gw-name-2 \
       --interface int-num-0
    

    gw-name-2 int-num-1에서 두 번째 터널 만들기

      gcloud compute vpn-tunnels create tunnel-name-gw2-if1 \
        --peer-gcp-gateway gw-name-1 \
        --region region-1 \
        --ike-version ike-vers \
        --shared-secret shared-secret \
        --router router-name-2 \
        --vpn-gateway gw-name-2 \
        --interface int-num-1
    

    명령어 결과는 다음 예시와 비슷해야 합니다.
      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
      NAME                REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-0  us-central1  ha-vpn-gw-b     0          ha-vpn-gw-a
      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
      NAME                REGION       VPN_GATEWAY     INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-1  us-central1  ha-vpn-gw-b     1          ha-vpn-gw-a
    

    이 단계를 완료하면 잠시 기다린 후 각 VPN 터널의 상태를 확인합니다.

    해당 파트너 터널도 사용 가능하고 올바르게 구성된 경우에만 VPN 터널 상태가 Established로 변경됩니다. 또한 유효한 IKE와 하위 보안 연결(SA)을 협상해야 합니다.

    예를 들어 ha-vpn-gw-btunnel-b-to-a-if-0이 사용 가능하고 구성된 경우에만 ha-vpn-gw-atunnel-a-to-b-if-0을 설정할 수 있습니다

Cloud Router 인터페이스 및 BGP 피어 만들기

다음 표에서는 이 섹션에서 구성하는 Cloud Router 인터페이스와 BGP 피어를 간략히 설명합니다. 각 인터페이스에 지정한 IP 범위와 피어 IP 간의 관계를 보여줍니다. 예를 들어 router-1의 첫 번째 인터페이스는 피어 IP가 169.254.0.2입니다. router-2의 첫 번째 인터페이스(169.254.0.2/30)의 IP 주소 범위에서 가져옵니다.

라우터 BGP 인터페이스 이름 IP 범위 피어 IP 피어 ASN
router-1 if-tunnel-a-to-b-if-0 169.254.0.1/30 169.254.0.2 65002
router-2 if-tunnel-b-to-a-if-0 169.254.0.2/30 169.254.0.1 65001
router-1 if-tunnel-a-to-b-if-1 169.254.1.1/30 169.254.1.2 65002
router-2 if-tunnel-b-to-a-if-1 169.254.1.2/30 169.254.1.1 65001

자세한 내용은 구성 후 샘플 출력이 포함된 이 섹션의 안내를 참조하세요.

공지된 경로 우선순위 설정(선택사항)

다음 예시에서는 수정되지 않은 기본 우선순위를 사용하여 해당 피어 네트워크 경로를 공지하는 Cloud Router 인스턴스에 BGP 세션을 만듭니다. 양측에서 두 터널의 우선순위가 일치해야 하는 활성/활성 구성에 이 구성을 사용합니다. 다음 예시와 같이 --advertised-base-priority를 생략하면 두 BGP 피어 모두에 동일한 우선순위가 공지됩니다.

활성/수동 구성의 경우 BGP 피어를 추가 또는 업데이트할 때 --advertised-route-priority 플래그를 사용하여 Cloud Router가 피어 VPN 게이트웨이와 공유하는 'Google Cloud에 연결' 경로의 공지된 기본 우선순위를 제어할 수 있습니다.

활성/수동 구성을 만들려면 VPN 터널 하나에 해당하는 BGP 세션 한 개에 다른 VPN 터널의 BGP 세션 우선순위보다 더 높은 공지된 경로 우선순위를 설정합니다.

공지된 기본 우선순위에 대한 자세한 내용은 경로 측정항목을 참조하세요.

또한 --advertisement-mode=CUSTOM 플래그를 추가하고 --set-advertisement-ranges로 IP 주소 범위를 지정하여 커스텀 공지를 통해 공지된 경로를 세분화할 수 있습니다.

Cloud Router 인터페이스와 BGP 피어를 만들려면 다음 안내를 따르세요.

  1. tunnel-name-gw1-if0 터널의 router-name-1에 BGP 인터페이스와 BGP 피어를 만듭니다. 이 BGP 인터페이스는 BGP IP 주소 두 개를 사용하여 gw-1의 인터페이스 0에서 gw-2의 인터페이스 0까지 tunnel-name-gw1-if0을 연결합니다. 다음 명령어에서 아래에 표시된 옵션을 바꿉니다.

    • router-1-interface-name-0을 Cloud Router BGP 인터페이스 이름으로 바꿉니다. tunnel-name-gw1-if0과 관련된 이름을 사용하면 도움이 됩니다.
    • ip-address를 아직 사용하지 않는 169.254.0.0/16 블록의 BGP IP 주소로 바꿉니다. 다음 예시에서는 169.254.0.1을 사용합니다.
    • mask-length30을 사용합니다.
    • peer-name을 BGP 피어를 설명하는 이름으로 바꿉니다. tunnel-name-gw1-if0과 관련된 이름을 사용하면 도움이 됩니다.
    • peer-ip-address를 아직 사용하지 않는 169.254.0.0/16 블록의 BGP IP 주소로 바꿉니다. 다음 예시에서는 169.254.0.2를 사용합니다.
    • peer-asn을 다른 Cloud Router router-name-2의 모든 인터페이스에 사용되는 ASN 번호로 바꿉니다. 다음 예시에서는 ASN 번호 65002를 사용합니다.

      1. tunnel-name-gw1-if0에 사용되는 BGP 인터페이스를 만들려면 다음 명령어를 입력합니다.

        gcloud compute routers add-interface router-name-1 \
           --interface-name router-1-interface-name-0 \
           --ip-address ip-address \
           --mask-length mask-length \
           --vpn-tunnel tunnel-name-gw1-if0 \
           --region region-1
        
      2. tunnel-name-gw1-if0에 사용되는 BGP 피어를 만들려면 다음 명령어를 입력합니다.

        gcloud compute routers add-bgp-peer router-name-1 \
           --peer-name peer-name \
           --interface router-1-interface-name-0 \
           --peer-ip-address peer-ip-address \
           --peer-asn peer-asn \
           --region region-1
        

        명령어 결과는 다음 예시와 비슷해야 합니다.

         Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
        
  2. tunnel-name-gw1-if1 터널의 router-name-1에 BGP 인터페이스와 BGP 피어를 만듭니다. 이 BGP 인터페이스는 BGP IP 주소 두 개를 사용하여 gw-1의 인터페이스 1에서 gw-2의 인터페이스 1까지 tunnel-name-gw1-if1을 연결합니다. 다음 명령어에서 아래에 표시된 옵션을 바꿉니다.

    • router-1-interface-name-1을 Cloud Router BGP 인터페이스 이름으로 바꿉니다. tunnel-name-gw1-if1과 관련된 이름을 사용하면 도움이 됩니다.
    • ip-address를 아직 사용하지 않는 169.254.0.0/16 블록의 BGP IP 주소로 바꿉니다. 다음 예시에서는 169.254.1.1을 사용합니다.
    • mask-length30을 사용합니다.
    • peer-name을 BGP 피어를 설명하는 이름으로 바꿉니다. tunnel-name-gw1-if1과 관련된 이름을 사용하면 도움이 됩니다.
    • peer-ip-address를 아직 사용하지 않는 169.254.0.0/16 블록의 BGP IP 주소로 바꿉니다. 다음 예시에서는 169.254.1.2를 사용합니다.
    • peer-asn을 다른 Cloud Router router-name-2의 모든 인터페이스에 사용되는 ASN 번호로 바꿉니다. 다음 예시에서는 ASN 번호 65002를 사용합니다.

      1. tunnel-name-gw1-if1에 사용되는 BGP 인터페이스를 만들려면 다음 명령어를 입력합니다.

        gcloud compute routers add-interface router-name-1 \
           --interface-name router-1-interface-name-1 \
           --ip-address ip-address \
           --mask-length mask-length \
           --vpn-tunnel tunnel-name-gw1-if1 \
           --region region-1
        
      2. tunnel-name-gw1-if1에 사용되는 BGP 피어를 만들려면 다음 명령어를 입력합니다.

        gcloud compute routers add-bgp-peer router-name-1  \
           --peer-name peer-name \
           --interface router1-interface-name-1 \
           --peer-ip-address peer-ip-address \
           --peer-asn peer-asn \
           --region region-1
        

        명령어 결과는 다음 예시와 비슷해야 합니다.

         Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a ].
        
  3. 다음 명령어를 입력하여 router-1 설정을 확인합니다.

    gcloud compute routers describe router-1  \
        --region region-1
    

    명령어 결과는 다음 예시와 비슷해야 합니다.

     bgp:
       advertisemode: DEFAULT
       asn: 65001
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: 169.254.0.1
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: 169.254.1.1
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a
    
  4. tunnel-name-gw2-if0 터널의 router-name-2에 BGP 인터페이스와 BGP 피어를 만듭니다. 이 BGP 인터페이스는 BGP IP 주소 두 개를 사용하여 gw-2의 인터페이스 0에서 gw-1의 인터페이스 0까지 tunnel-name-gw2-if0을 연결합니다. 다음 명령어에서 아래에 표시된 옵션을 바꿉니다.

    • router-2-interface-name-0을 Cloud Router BGP 인터페이스 이름으로 바꿉니다. tunnel-name-gw2-if0과 관련된 이름을 사용하면 도움이 됩니다.
    • ip-address를 이전에 이 게이트웨이와 인터페이스에 사용된 BGP IP 주소로 바꿉니다. 다음 예시에서는 169.254.0.2를 사용합니다.
    • mask-length30을 사용합니다.
    • peer-name을 BGP 피어를 설명하는 이름으로 바꿉니다. tunnel-name-gw2-if0과 관련된 이름을 사용하면 도움이 됩니다.
    • peer-ip-address를 이전에 피어 게이트웨이와 인터페이스에 사용된 IP 주소로 바꿉니다. 다음 예시에서는 169.254.0.1을 사용합니다.
    • peer-asnrouter-name-1의 모든 인터페이스에 사용되었고 이전에 설정된 ASN 번호로 바꿉니다. 다음 예시에서는 ASN 번호 65001을 사용합니다.
    1. tunnel-name-gw2-if0에 사용되는 BGP 인터페이스를 만들려면 다음 명령어를 입력합니다.

      gcloud compute routers add-interface router-name-2 \
         --interface-name router-2-interface-name-0 \
         --ip-address ip-address \
         --mask-length mask-length \
         --vpn-tunnel tunnel-name-gw2-if0 \
         --region region-1
      

      명령어 결과는 다음 예시와 비슷해야 합니다.

    2. tunnel-name-gw2-if0에 사용되는 BGP 피어를 만들려면 다음 명령어를 입력합니다.

       gcloud compute routers add-bgp-peer router-name-2 \
         --peer-name peer-name \
         --interface router-2-interface-name-0 \
         --peer-ip-address peer-ip-address \
         --peer-asn peer-asn \
         --region region-1
      

      명령어 결과는 다음 예시와 비슷해야 합니다.

       Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b ].
      
  5. tunnel-name-gw2-if1 터널의 router-name-2에 BGP 인터페이스와 BGP 피어를 만듭니다. 이 BGP 인터페이스는 BGP IP 주소 두 개를 사용하여 gw-2의 인터페이스 1에서 gw-1의 인터페이스 1까지 tunnel-name-gw2-if1을 연결합니다. 다음 명령어에서 아래에 표시된 옵션을 바꿉니다.

    • router-2-interface-name-1을 Cloud Router BGP 인터페이스 이름으로 바꿉니다. tunnel-name-gw2-if1과 관련된 이름을 사용하면 도움이 됩니다.
    • ip-address를 이전에 이 게이트웨이와 인터페이스에 사용된 BGP IP 주소로 바꿉니다. 다음 예시에서는 169.254.1.2를 사용합니다.
    • mask-length30을 사용합니다.
    • peer-name을 BGP 피어를 설명하는 이름으로 바꿉니다. tunnel-name-gw2-if1과 관련된 이름을 사용하면 도움이 됩니다.
    • peer-ip-address를 아직 사용하지 않는 169.254.0.0/16 블록의 BGP IP 주소로 바꿉니다. 다음 예시에서는 169.254.1.1을 사용합니다.
    • peer-asnrouter-name-1의 모든 인터페이스에 사용되었고 이전에 설정된 ASN 번호로 바꿉니다. 다음 예시에서는 ASN 번호 65001을 사용합니다.
    1. tunnel-name-gw2-if1에 사용되는 BGP 인터페이스를 만들려면 다음 명령어를 입력합니다.

      gcloud compute routers add-interface router-name-2 \
         --interface-name router-2-interface-name-1 \
         --ip-address ip-address \
         --mask-length mask-length \
         --vpn-tunnel tunnel-name-gw2-if1 \
         --region region-1
      

      명령어 결과는 다음 예시와 비슷해야 합니다.

      Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b ].
      
    2. tunnel-name-gw2-if1에 사용되는 BGP 피어를 만들려면 다음 명령어를 입력합니다.

      gcloud compute routers add-bgp-peer router-name-2  \
         --peer-name peer-name \
         --interface router-2-interface-name-1 \
         --peer-ip-address peer-ip-address \
         --peer-asn peer-asn \
         --region region-1
      

      명령어 결과는 다음 예시와 비슷해야 합니다.

       Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b ].
      
  6. 다음 명령어를 입력하여 router-2 설정을 확인합니다.

    gcloud compute routers describe router-2  \
       --region region-1
    

    명령어 결과는 다음 예시와 비슷해야 합니다.

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: 169.254.0.2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: 169.254.0.1
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: 169.254.1.2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: 169.254.1.1/30
       linkedVpnTunnel:
     https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-b
    

계속해서 구성 완료

API

1단계: HA VPN 게이트웨이를 만들려면 vpnGateways.insert 메서드에 대한 POST 요청을 실행합니다. 다른 HA VPN 게이트웨이를 만들려면 이 명령어를 반복합니다. 다른 게이트웨이의 경우 name, network, region을 사용합니다.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnGateways
 {
   "name": "ha-vpn-gw-a",
   "network": "https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a"
 }

2단계:

HA VPN 게이트웨이가 각각 있는 VPC 네트워크마다 Cloud Router를 이미 만들었으면 Cloud Router를 새로 만들지 않고 사용할 수 있습니다. 그러나 Cloud Router가 Partner Interconnect와 연결된 Interconnect 연결의 BGP 세션을 관리하는 경우에는 새 Cloud Router를 만들어야 합니다.

Cloud Router를 만들려면 routers.insert 메서드에 대한 POST 요청을 실행합니다.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a"
 }

3단계: HA VPN 게이트웨이의 인터페이스마다 VPN 터널 두 개를 만들려면 vpnTunnels.insert 메서드에 대한 POST 요청을 실행합니다.

다음 명령어를 입력하여 첫 번째 터널을 만듭니다.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnTunnels
 {
   "name": "ha-vpn-gw-a-tunnel-0",
   "ikeVersion": 2,
   "peerIp": "192.0.2.1",
   "router": "https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers/router-a",
   "sharedSecret": "974;va'oi3-1",
   "vpnGateway": "https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpn-gateways/ha-vpn-gw-a",
   "vpnGatewayInterface": 0
 }

두 번째 터널을 만들려면 이전 명령어를 반복하되 다음 매개변수를 변경합니다.

  • name
  • peerIp
  • sharedSecret 또는 sharedSecretHash(필요한 경우)

두 번째 터널의 경우 vpnGatewayInterface 매개변수를 다른 HA VPN 게이트웨이 인터페이스의 값으로 변경합니다. 이 예시에서는 이 값을 1로 변경합니다.

첫 번째 HA VPN 게이트웨이에 연결되는 두 번째 HA VPN 게이트웨이의 터널을 만들려면 이 전체 단계를 반복하되 gcloud 명령어 사용 예시를 참조하여 매개변수를 변경합니다.

BGP의 공지된 경로 우선순위 설정(선택사항)

다음 예시에서는 수정되지 않은 기본 우선순위를 사용하여 해당 피어 네트워크 경로를 공지하는 Cloud Router 인스턴스에 BGP 세션을 만듭니다. 양측에서 두 터널의 우선순위가 일치해야 하는 활성/활성 구성에 이 구성을 사용합니다. 다음 예시와 같이 advertised-route-priority 매개변수를 생략하면 두 BGP 피어 모두에 동일한 우선순위가 공지됩니다.

활성/수동 구성의 경우 Cloud Router가 피어 VPN 게이트웨이와 공유하는 'Google Cloud에 연결' 경로의 공지된 기본 우선순위를 제어할 수 있습니다. 이 우선순위를 구성하려면 BGP 피어를 추가하거나 업데이트할 때 advertised-route-priority 매개변수를 사용합니다.

활성/수동 구성을 만들려면 VPN 터널 하나에 해당하는 BGP 세션 한 개에 다른 VPN 터널의 BGP 세션 우선순위보다 더 높은 공지된 경로 우선순위를 설정합니다.

공지된 기본 우선순위에 대한 자세한 내용은 경로 측정항목을 참조하세요.

또한 advertiseMode 매개변수를 추가하고 해당 값을 custom로 설정하고 advertisedIpRanges 매개변수로 IP 주소 범위를 지정하여 커스텀 공지로 공지된 경로를 세분화할 수 있습니다.

4단계: Cloud Router BGP 인터페이스를 만들려면 routers.patch 메서드 또는 routers.update 메서드에 대한 PATCH 또는 UPDATE 요청을 실행합니다. PATCH는 개발자가 포함한 매개변수만 업데이트합니다. UPDATE는 Cloud Router의 모든 매개변수를 업데이트합니다. HA VPN 게이트웨이에서 각 VPN 터널에 BGP 인터페이스를 만듭니다.

 PATCH https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers/{resourceId}
 {
   "interfaces": [
     {
       "name": "if-tunnel-a-to-on-prem-if-0",
       "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
       "ipRange": "169.254.0.1/30"
     }
   ]
 }

5단계: 각 VPN 터널의 Cloud Router에 BGP 피어를 추가하려면 routers.insert 메서드에 대한 POST 요청을 실행합니다. 다른 VPN 터널에 이 명령어를 반복하여 name 및 `peerAsn'을 제외한 모든 옵션을 변경합니다.

HA VPN 게이트웨이의 전체 구성을 만들려면 다음 API 명령어를 사용합니다.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
 {
   "name": "router-a",
   "network": "network-a",
   "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": "65002",
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT"
     }
   ]
  }
 

6단계: 빈 요청 본문을 사용하여 routers.getRouterStatus 메서드로 Cloud Router 구성을 확인합니다.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers

구성 완료

새 Cloud VPN 게이트웨이와 연결된 VPN 터널을 사용하려면 다음 단계를 완료해야 합니다.

  1. 피어 VPN 게이트웨이를 설정하고 여기에 해당 터널을 구성합니다. 다음 페이지를 참조하세요.
  2. Google Cloud와 피어 네트워크에서 필요에 따라 방화벽 규칙을 구성합니다. 제안사항은 방화벽 규칙 페이지를 참조하세요.
  3. VPN 터널의 상태를 확인하고 고가용성을 위해 HA VPN 게이트웨이의 구성을 확인합니다.
VPN 조직 정책 적용

피어 VPN 게이트웨이의 IP 주소를 제한하는 조직 정책 제약조건 적용

기본 VPN 또는 HA VPN 터널을 통해 피어 VPN 게이트웨이에 허용되거나 거부되는 IP 주소 집합을 정의하는 Google Cloud 조직 정책 제약조건을 만들 수 있습니다. 이 제약조건은 이러한 피어 IP 주소의 허용 목록 또는 거부 목록을 포함하며 이 제약조건을 적용한 후에 생성된 Cloud VPN 터널에 적용됩니다. 자세한 내용은 Cloud VPN 개요를 참조하세요.

필수 권한

조직 또는 프로젝트 수준에서 피어 IP 제약조건을 설정하려면 먼저 조직의 조직 정책 관리자(orgpolicy.policyAdmin) 역할을 부여받아야 합니다.

제약조건 설정 방법

조직 정책을 만들고 조직, 폴더 또는 프로젝트와 연결하려면 다음 섹션에 나와 있는 예시를 사용하고 제약조건 사용의 단계를 수행합니다.

Cloud VPN 터널을 통해 특정 피어 IP 주소에서 연결 제한

특정 피어 IP 주소만 허용하려면 다음 단계를 수행합니다.

  1. 다음 명령어를 입력하여 조직 ID를 찾습니다.
    gcloud organizations list

    명령어 결과는 다음 예시와 같이 표시됩니다.

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. 정책을 정의하는 JSON 파일을 만듭니다. 다음 예시와 같이 정책을 JSON 파일로 제공해야 합니다.

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. gcloud Resource Manager set-policy 명령어를 사용하여 조직 정책을 설정합니다. 이때 JSON 파일을 전달하고 이전 단계에서 찾은 organization-id를 사용합니다.

Cloud VPN 터널을 통해 모든 피어 IP에서 연결 제한

새 Cloud VPN 터널 생성을 금지하려면 이 예시 제약조건의 단계를 수행합니다.

  1. 정책을 설정하려는 리소스 계층 구조에서 노드 ID 또는 조직 ID를 찾습니다.
  2. 다음 예시와 같은 JSON 파일을 만듭니다.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. 특정 피어 IP 주소를 제한하는 데 사용할 동일한 명령어를 입력하여 JSON 파일을 전달합니다.