Google Cloud 네트워크 사이에 HA VPN 만들기

이 페이지에서는 HA VPN 게이트웨이 구성을 사용하여 2개의 Virtual Private Cloud(VPC) 네트워크를 연결하는 방법을 설명합니다. 각 네트워크의 기본 및 보조 서브넷 IP 주소 범위가 겹치지 않는 한 기존 VPC 네트워크 두 개를 함께 연결할 수 있습니다.

Cloud VPN에 대한 자세한 내용은 다음 리소스를 참조하세요.

요구사항

일반 가이드라인

99.99% SLA를 얻으려면 이 구성을 만들 때 다음 요구사항을 충족해야 합니다.

  • VPC 네트워크마다 HA VPN 게이트웨이를 하나씩 배치합니다.
  • 두 HA VPN 게이트웨이 모두 동일한 Google Cloud 리전에 배치합니다.
  • 각 게이트웨이의 각 인터페이스에 터널을 구성합니다.
  • 다음 내용에 설명된 대로 게이트웨이 인터페이스를 일치시킵니다.

HA VPN 게이트웨이 간 단일 터널을 사용하거나 기본 VPN 게이트웨이를 사용하여 VPC 네트워크 두 개를 연결할 수도 있지만 이러한 유형의 구성은 가용성이 높지 않다고 간주되며 99.99% 가용성 HA SLA를 충족하지 않습니다.

Cloud Router 만들기

새 HA VPN 게이트웨이를 구성할 때는 새 Cloud Router를 만들거나 기존 Cloud VPN 터널 또는 VLAN 첨부가 있는 기존 Cloud Router를 사용할 수 있습니다. 그러나 첨부의 특정 ASN 요구사항으로 인해 사용하는 Cloud Router가 Partner Interconnect 연결과 연관된 VLAN 첨부에 대한 BGP 세션을 이미 관리하고 있지 않아야 합니다.

권한 관리

HA VPN 게이트웨이의 소유자가 항상 본인이나 Google Cloud 조직은 아니므로 HA VPN 게이트웨이를 만들거나 다른 사용자가 소유한 HA VPN 게이트웨이에 연결할 때는 다음 권한 요구사항을 고려하세요.

  • HA VPN 게이트웨이를 만드는 프로젝트의 소유자라면 HA VPN 게이트웨이에 권장 권한을 구성합니다.
  • 자신이 소유하지 않은 Google Cloud 조직 또는 프로젝트에 있는 HA VPN 게이트웨이에 연결하려면 소유자에게 compute.vpnGateways.use 권한을 요청합니다.

시작하기 전에

동적 라우팅이 Google Cloud에서 작동하는 방식에 대한 정보를 검토합니다.

피어 VPN 게이트웨이가 Border Gateway Protocol(BGP)을 지원하는지 확인합니다.

Cloud VPN을 보다 쉽게 구성할 수 있도록 Google Cloud에서 다음 항목을 설정합니다.

  1. Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
  2. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  3. Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 프로젝트에 결제가 사용 설정되어 있는지 확인하는 방법을 알아보세요.

  4. Cloud SDK 설치 및 초기화
  1. gcloud 명령줄 도구를 사용하는 경우 다음 명령어를 사용하여 프로젝트 ID를 설정합니다. 이 페이지의 gcloud 관련 안내에서는 명령어를 실행하기 전에 프로젝트 ID를 설정했다고 가정합니다.

        gcloud config set project PROJECT_ID
        
  1. 또한 다음 명령어를 실행하여 이미 설정된 프로젝트 ID를 확인할 수 있습니다.

        gcloud config list --format='text(core.project)'
        

커스텀 VPC 네트워크 및 서브넷 만들기

HA VPN 게이트웨이 및 터널 쌍을 만들기 전에 HA VPN 게이트웨이가 있는 리전에 하나의 VPC 네트워크와 하나 이상의 서브넷을 만듭니다.

이 문서의 예시에서는 다음과 같은 방식으로 작동하는 VPC 전역 동적 라우팅 모드도 사용합니다.

  • Cloud Router의 모든 인스턴스는 학습한 to on-premises 경로를 VPC 네트워크의 모든 서브넷에 적용합니다.
  • VPC 네트워크의 모든 서브넷 경로는 온프레미스 경로와 공유됩니다.

참고로 이 문서에서는 서로 다른 VPC 네트워크 두 개에 HA VPN 게이트웨이를 하나씩 만듭니다.

NETWORK_1에 다음 서브넷이 포함됩니다.

  • RANGE_1 IP 범위를 사용하는 REGION_1SUBNET_NAME_1 서브넷
  • RANGE_2 IP 범위를 사용하는 REGION_2SUBNET_NAME_2 서브넷

NETWORK_2에 다음 서브넷이 포함됩니다.

  • RANGE_3 IP 범위를 사용하는 REGION_1SUBNET_NAME_3 서브넷
  • RANGE_4 IP 범위를 사용하는 REGION_3SUBNET_NAME_4 서브넷

서로 연결되는 완전히 구성된 HA VPN 게이트웨이 두 개 만들기

이 섹션의 안내에 따라 HA VPN 게이트웨이, 피어 VPN 게이트웨이 리소스, 터널, BGP 세션을 만듭니다.

HA VPN 게이트웨이 만들기

Console

VPN 설정 마법사에는 HA VPN 게이트웨이, 피어 VPN 게이트웨이 리소스, 터널, BGP 세션을 만들 수 있는 모든 필수 구성 단계가 포함되어 있습니다.

HA VPN 게이트웨이를 만들려면 다음 단계를 따르세요.

  1. Google Cloud Console에서 VPN 페이지로 이동합니다.

    VPN으로 이동

  2. 게이트웨이를 처음 만드는 경우 VPN 연결 만들기를 클릭합니다.

  3. VPN 설정 마법사를 선택합니다.

  4. 기존 HA VPN 게이트웨이가 있는 경우 해당 게이트웨이의 옵션 버튼을 선택합니다.

  5. 계속을 클릭합니다.

  6. VPN 게이트웨이 이름을 지정합니다.

  7. VPC 네트워크에서 기존 네트워크 또는 기본 네트워크를 선택합니다.

  8. 리전을 선택합니다.

  9. 만들고 계속하기를 클릭합니다.

  10. Console 페이지가 새로 고쳐지고 게이트웨이 정보가 표시됩니다. 게이트웨이 인터페이스마다 외부 IP 주소 두 개가 자동으로 할당됩니다. 이후 구성 단계에서 게이트웨이 구성의 세부정보를 기록해 둡니다.

gcloud

2개의 HA VPN 게이트웨이를 만들려면 다음 명령어 시퀀스를 완료합니다.

  • REGION_1의 네트워크마다 HA VPN 게이트웨이를 만듭니다.

    각 게이트웨이가 생성되면 게이트웨이 인터페이스마다 외부 IP 주소 두 개가 자동으로 할당됩니다. 나중에 구성 단계에서 사용할 수 있도록 이 IP 주소를 기록해 둡니다.

    다음 명령어에서 다음을 바꿉니다.

    • GW_NAME_1GW_NAME_2: 각 게이트웨이의 이름
    • NETWORK: Google Cloud 네트워크의 이름
    • REGION: 게이트웨이 및 터널을 만들어야 하는 Google Cloud 리전

    첫 번째 게이트웨이 만들기

    gcloud compute vpn-gateways create GW_NAME_1 \
       --network=NETWORK_1 \
       --region=REGION_1
    

    만드는 게이트웨이는 다음 예시 출력과 유사하게 표시되어야 합니다. 외부 IP 주소는 각 게이트웨이 인터페이스에 자동으로 할당됩니다.

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1
    

    두 번째 게이트웨이 만들기

    gcloud compute vpn-gateways create GW_NAME_2 \
       --network=NETWORK_2 \
       --region=REGION_1
    

    만드는 게이트웨이는 다음 예시 출력과 유사하게 표시되어야 합니다.

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-b].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-b   203.0.114.18   203.0.114.25   network-b   us-central1
    

API

HA VPN 게이트웨이의 전체 구성을 만들려면 다음 섹션에서 API 명령어를 사용하세요. 이 섹션에 사용된 모든 필드 값은 예시 값입니다.

HA VPN 게이트웨이를 만들려면 vpnGateways.insert 메서드를 사용하여 POST 요청을 보냅니다. 다른 HA VPN 게이트웨이를 만들려면 이 명령어를 반복합니다. 다른 게이트웨이의 경우 name, network, region을 사용합니다.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

피어 VPN 게이트웨이 리소스 만들기

Console

피어 VPN 게이트웨이 리소스는 Google Cloud에서 Google Cloud가 아닌 게이트웨이를 나타냅니다.

피어 VPN 게이트웨이 리소스를 만들려면 다음 단계를 따르세요.

  1. VPN 만들기 페이지의 피어 VPN 게이트웨이에서 Google Cloud를 선택합니다.
  2. 프로젝트에서 새 게이트웨이가 포함될 Google Cloud 프로젝트를 선택합니다.
  3. VPN 게이트웨이 이름에서 동시에 구성 중인 다른 HA VPN을 선택합니다.
  4. 계속해서 VPN 터널을 만듭니다.

gcloud

피어 VPN 게이트웨이 리소스를 만들려면 HA VPN 게이트웨이 만들기gcloud 단계를 참조하세요.

API

피어 VPN 게이트웨이 리소스를 만들려면 HA VPN 게이트웨이 만들기의 API 단계를 참조하세요.

Cloud Router 만들기

Console

Cloud Router에서 아직 Cloud Router를 만들지 않은 경우 다음 옵션을 지정하여 Cloud Router를 만듭니다. 라우터가 Partner Interconnect 연결과 연결된 VLAN 연결의 BGP 세션을 아직 관리하지 않는 경우 기존 Cloud Router를 사용할 수 있습니다.

  1. 새 Cloud Router를 만들려면 다음을 지정합니다.

    • 이름
    • 설명(선택사항)
    • 새 라우터의 Google ASN

    네트워크의 다른 곳에서 사용하지 않는 비공개 ASN(64512~65534, 4200000000~4294967294)을 사용할 수 있습니다. Google ASN은 동일한 Cloud Router의 모든 BGP 세션에 사용되며 나중에 ASN을 변경할 수 없습니다.

  2. 새 라우터를 만들려면 만들기를 클릭합니다.

gcloud

다음 안내에서는 아직 HA VPN 터널의 BGP 세션 관리에 사용할 Cloud Router를 만들지 않았다고 가정합니다. 기존 Cloud Router가 Partner Interconnect 연결과 연관된 VLAN 연결의 BGP 세션을 아직 관리하고 있지 않다면 각 VPC 네트워크에서 해당 라우터를 사용할 수 있습니다.

2개의 Cloud Router를 만들려면 다음 명령어 시퀀스를 완료합니다.

  • REGION_1의 각 네트워크에 Cloud Router를 만듭니다.

    다음 명령어에서 다음을 바꿉니다.

    • ASN_1ASN_2: 아직 사용하고 있지 않은 모든 비공개 ASN입니다(64512~65534, 4200000000~4294967294). 다음 예시에서는 ROUTER_NAME_1의 두 인터페이스 모두에 ASN 65001을 사용하고 ROUTER_NAME_2의 두 인터페이스 모두에 ASN 65002를 사용합니다.
    • 다른 모든 옵션을 이전에 사용한 값으로 바꿉니다.

    첫 번째 라우터 만들기

    gcloud compute routers create ROUTER_NAME_1 \
       --region=REGION_1 \
       --network=NETWORK_1 \
       --asn=ASN_1
    

    만드는 라우터는 다음 예시 출력과 유사하게 표시되어야 합니다.

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    NAME       REGION        NETWORK
    router-a   us-central1   network-a
    

    두 번째 라우터 만들기

    gcloud compute routers create ROUTER_NAME_2 \
       --region=REGION_1 \
       --network=NETWORK_2 \
       --asn=ASN_2
    

    만드는 라우터는 다음 예시 출력과 유사하게 표시되어야 합니다.

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    NAME       REGION        NETWORK
    router-b   us-central1   network-b
    

API

각 HA VPN 게이트웨이가 있는 각 VPC 네트워크에서 Cloud Router를 이미 만든 경우 새로 만들지 않고 이미 만든 Cloud Router를 사용할 수 있습니다. 하지만 Cloud Router가 Partner Interconnect 연결과 연관된 VLAN 연결의 BGP 세션을 관리하는 경우에는 새 Cloud Router를 만듭니다.

Cloud Router를 만들려면 routers.insert 메서드에 POST 요청을 보냅니다.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
   {
     "name": "router-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

VPN 터널 만들기

Console

VPN 터널을 만들려면 다음 단계를 따르세요.

  1. 고가용성에서 다른 HA VPN 게이트웨이에 대한 터널 한 쌍 또는 터널 하나를 선택합니다.

    • VPN 터널 쌍 만들기(권장)를 선택할 경우 VPN 만들기 페이지 하단에 표시되는 2개의 터널 대화상자를 구성합니다.

    • 단일 VPN 터널 만들기를 선택하면 나머지 VPN 만들기 페이지에서 단일 터널을 구성합니다. 하지만 다른 HA VPN 게이트웨이에 대해 99.99% SLA를 얻으려면 두 번째 터널을 만들어야 합니다. 나중에 이 절차 끝부분의 설명대로 두 번째 터널을 추가할 수 있습니다.

  2. 동일한 페이지 또는 페이지 하단에 있는 각 터널의 대화상자에서 다음 단계를 완료합니다.

  3. 연결된 Cloud VPN 게이트웨이 인터페이스에서 터널 한 개를 구성하는 경우 이 게이트웨이의 HA VPN 인터페이스와 IP 주소 조합을 선택하여 다른 HA VPN 게이트웨이의 게이트웨이 인터페이스에 연결합니다. 터널 두 개 구성의 경우 올바른 인터페이스 조합이 자동으로 구성되어 있으므로 이 옵션과 연결된 피어 VPN 게이트웨이 인터페이스 옵션을 모두 사용할 수 없습니다.

    1. 터널의 이름을 지정합니다.
    2. 설명(선택사항)을 지정합니다.
    3. IKE 버전을 지정합니다. 피어 라우터에서 지원한다면 기본 설정인 IKE v2를 사용하는 것이 좋습니다.
    4. 사전 공유 키(공유 비밀번호)를 사용하여 IKE 사전 공유 키를 지정합니다. 사전 공유 키는 피어 게이트웨이에서 만드는 파트너 터널의 사전 공유 키와 일치해야 합니다. 피어 VPN 게이트웨이에 사전 공유 키를 구성하지 않았고 사전 공유 키를 생성하려면 생성 및 복사를 클릭합니다. 사전 공유 키는 VPN 터널을 만든 후에 검색할 수 없으므로 안전한 위치에 기록해야 합니다.
    5. 완료를 클릭합니다.
    6. VPN 만들기 페이지에서 남은 터널 대화상자에 대해 터널 만들기 단계를 반복합니다.
  4. 모든 터널을 구성하면 만들고 계속하기를 클릭합니다.

gcloud

각 HA VPN 게이트웨이에 2개의 VPN 터널을 만들기 위해 다음 명령어 시퀀스를 완료합니다.

  • GW_NAME_1interface 0에서 만드는 터널은 NETWORK_2에서 GW_NAME_2interface 0과 연결된 외부 IP 주소에 연결되어야 합니다.
  • GW_NAME_1interface 1에서 만드는 터널은 GW_NAME_2interface 1과 연결된 외부 IP 주소에 연결되어야 합니다.
  • NETWORK_1GW_NAME_1에 VPN 터널을 만들 때는 NETWORK_2GW_NAME_2의 정보를 지정합니다. Google에서는 GW_NAME_1interface 0에서 GW_NAME_2interface 0으로, GW_NAME_1interface 1에서 GW_NAME_2interface 1로 터널을 자동으로 연결합니다.

    GW_NAME_1에서 터널 2개 만들기

    • NETWORK_1에서 GW_NAME_1의 인터페이스마다 VPN 터널 두 개를 만듭니다.

      다음 명령어에서 다음을 바꿉니다.

      • TUNNEL_NAME_GW1_IF0TUNNEL_NAME_GW1_IF1: GW_NAME_1에서 시작된 각 터널의 이름. 게이트웨이 인터페이스 이름을 포함하여 터널 이름을 지정하면 나중에 터널을 식별하는 데 도움이 됩니다.
      • GW_NAME_2: --peer-gcp-gateway의 값
      • REGION: GW_NAME_1가 있는 리전
      • 선택사항: --vpn-gateway-region은 HA VPN 게이트웨이가 작동할 리전입니다. 값은 --region과 같아야 합니다. 지정하지 않으면 이 옵션이 자동으로 설정됩니다. 이 옵션은 이 명령어 호출의 기본 compute/region 속성 값을 재정의합니다.
      • IKE_VERS: IKEv2의 경우 2. 두 터널은 모두 다른 HA VPN 게이트웨이에 연결되므로 Google에서는 IKEv2 사용을 권장합니다.
      • SHARED_SECRET: 사전 공유 키(공유 비밀번호)로, interface 0interface 1GW_NAME_2에서 생성된 해당 터널에 사용하는 사전 공유 키와 동일해야 합니다. 권장사항은 강력한 사전 공유 키 생성을 참조하세요.
      • INT_NUM_0: GW_NAME_1의 첫 번째 인터페이스의 번호 0
      • INT_NUM_1: GW_NAME_1의 두 번째 인터페이스의 번호 1
      • peer-gcp-gateway가 VPN 터널 및 로컬 VPN 게이트웨이와 다른 프로젝트에 있는 경우 프로젝트를 지정하려면 --peer-gcp-gateway 옵션을 전체 URI 또는 상대 이름으로 사용합니다. 다음 샘플 옵션은 상대 이름입니다.
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • VPN 터널이 연결된 피어 측 HA VPN 게이트웨이의 리전인 --peer-gcp-gateway-region은 VPN 터널과 동일한 리전에 있어야 합니다. 지정하지 않으면 리전이 자동으로 설정됩니다.

      GW_NAME_1 INT_NUM_0에서 첫 번째 터널 만들기

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0\
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_0
      

      GW_NAME_1 INT_NUM_1에서 두 번째 터널 만들기

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_1
      

      명령어 결과는 다음 예시와 비슷해야 합니다.

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
      NAME                 REGION        VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-a-to-b-if-0   us-central1   ha-vpn-gw-a   0          ha-vpn-gw-b
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
      NAME                 REGION        VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-a-to-b-if-1   us-central1   ha-vpn-gw-a   1          ha-vpn-gw-b
      

    GW_NAME_2에서 터널 2개 만들기

    • NETWORK_2에서 GW_NAME_2의 인터페이스마다 VPN 터널 두 개를 만듭니다.

      • GW_NAME_2interface 0에서 만드는 터널은 NETWORK_1에서 GW_NAME_1interface 0과 연결된 외부 IP 주소에 연결되어야 합니다.
      • GW_NAME_2interface 1에서 만드는 터널은 GW_NAME_1interface 1과 연결된 외부 IP 주소에 연결되어야 합니다.

      다음 명령어에서 다음을 바꿉니다.

      • REGION: GW_NAME_2가 있는 리전
      • 선택사항: --vpn-gateway-region은 VPN 게이트웨이가 작동할 리전입니다. 값은 --region과 같아야 합니다. 지정하지 않으면 이 옵션이 자동으로 설정됩니다. 이 옵션은 이 명령어 호출의 기본 compute/region 속성 값을 재정의합니다.
      • TUNNEL_NAME_GW2_IF0TUNNEL_NAME_GW2_IF1: GW_NAME_2에서 시작된 각 터널의 이름. 게이트웨이 인터페이스 이름을 포함하여 터널 이름을 지정하면 나중에 터널을 식별하는 데 도움이 됩니다.
      • GW_NAME_1: --peer-gcp-gateway의 값. --peer-gcp-gateway-region의 값은 VPN 터널과 동일한 리전에 있어야 합니다. 지정하지 않으면 값이 자동으로 설정됩니다. 이 예시에서 리전은 REGION_1입니다.
      • IKE_VERS: IKEv2의 경우 2. 이러한 터널은 이전 단계에서 만든 두 터널에 연결되므로 동일한 IKE 버전을 사용해야 합니다(Google에서는 IKEv2 사용 권장).
      • SHARED_SECRET: 사전 공유 키(공유 비밀번호)로, GW_NAME_1의 각 인터페이스에서 만든 파트너 터널의 사전 공유 키와 일치해야 합니다. 강력한 사전 공유 키 생성을 참조하세요.
      • GW_NAME_2: 게이트웨이 구성 단계에 구성한 두 번째 게이트웨이의 이름
      • INT_NUM_0: GW_NAME_2의 첫 번째 인터페이스의 번호 0
      • INT_NUM_1: GW_NAME_2의 두 번째 인터페이스의 번호 1
      • peer-gcp-gateway가 VPN 터널 및 로컬 VPN 게이트웨이와 다른 프로젝트에 있는 경우 프로젝트를 지정하려면 --peer-gcp-gateway 옵션을 전체 URI 또는 상대 이름으로 사용합니다. 다음 샘플 옵션은 상대 이름입니다.
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • VPN 터널이 연결된 피어 측 HA VPN 게이트웨이의 리전인 --peer-gcp-gateway-region은 VPN 터널과 동일한 리전에 있어야 합니다. 지정하지 않으면 리전이 자동으로 설정됩니다.

      GW_NAME_2 INT_NUM_0에서 첫 번째 터널 만들기

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_0
      

      GW_NAME_2 INT_NUM_1에서 두 번째 터널 만들기

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION_1 \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_1
      

      명령어 결과는 다음 예시와 비슷해야 합니다.

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
      NAME                 REGION       VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-0   us-central1  ha-vpn-gw-b   0          ha-vpn-gw-a
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
      NAME                 REGION       VPN_GATEWAY   INTERFACE  PEER_GCP_GATEWAY
      tunnel-b-to-a-if-1   us-central1  ha-vpn-gw-b   1          ha-vpn-gw-a
      

    이 단계를 완료하면 잠시 기다린 후 각 VPN 터널의 상태를 확인합니다.

    해당 파트너 터널도 사용 가능하고 올바르게 구성된 경우에만 VPN 터널 상태가 Established로 변경됩니다. 또한 유효한 IKE와 하위 보안 연결(SA)을 협상해야 합니다.

    예를 들어 ha-vpn-gw-btunnel-b-to-a-if-0이 사용 가능하고 구성된 경우에만 ha-vpn-gw-atunnel-a-to-b-if-0을 설정할 수 있습니다

API

HA VPN 게이트웨이의 인터페이스마다 하나씩 총 두 개의 VPN 터널을 만들려면 vpnTunnels.insert 메서드에 POST 요청을 보냅니다.

  1. 첫 번째 터널을 만들려면 다음 명령어를 실행합니다.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerIp": "192.0.2.1",
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "974;va'oi3-1",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpn-gateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
    }
    
  2. 두 번째 터널을 만들려면 이전 명령어를 반복하되 다음 매개변수를 변경합니다.

    • name
    • peerIp
    • sharedSecret 또는 sharedSecretHash(필요한 경우)
    • vpnGatewayInterface: 다른 HA VPN 게이트웨이 인터페이스의 값으로 변경합니다. 이 예시에서는 이 값을 1로 변경합니다.

    첫 번째 HA VPN 게이트웨이에 연결되는 두 번째 HA VPN 게이트웨이의 터널을 만들려면 이 전체 단계를 반복하되 gcloud 명령어 사용 예시를 참조하여 매개변수를 변경합니다.

BGP 세션 만들기

Console

BGP 세션을 만들려면 다음 단계를 따르세요.

  1. 지금 BGP 세션을 구성하지 않으려면 나중에 BGP 세션 구성을 클릭합니다. 그러면 요약 및 알림 페이지가 열립니다.
  2. 지금 BGP 세션을 구성하려면 첫 번째 VPN 터널에서 구성을 클릭합니다.
  3. BGP 세션 만들기 페이지에서 다음 단계를 완료합니다.
    1. BGP 세션의 이름을 지정합니다.
    2. 피어 VPN 게이트웨이에 대해 구성된 피어 ASN을 지정합니다.
    3. 선택사항: 공지된 경로 우선순위를 지정합니다.
    4. Cloud Router BGP IP 주소와 BGP 피어 IP 주소를 지정합니다. IP 주소가 다음 요구사항을 충족하는지 확인합니다.
      • 각 BGP IP 주소는 169.254.0.0/16에 맞는 동일한 /30 CIDR에 속해야 합니다.
      • 각 BGP IP 주소는 /30 CIDR에서 첫 번째(네트워크) 또는 마지막(브로드캐스트) 주소일 수 없습니다.
      • 각 BGP 세션에 대한 각 BGP IP 주소 범위는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.
    5. 선택사항: 공지된 경로 목록을 클릭하고 커스텀 경로를 만듭니다.
    6. 저장 후 계속을 클릭합니다.
  4. 게이트웨이에 구성된 나머지 터널에 대해 이전 단계를 반복합니다. 각 터널에 대해 다른 Cloud Router BGP IP 주소 및 BGP 피어 IP 주소를 사용합니다.
  5. 모든 BGP 세션을 구성하고 나면 BGP 구성 저장을 클릭합니다.

gcloud

이 섹션에서는 Cloud Router 인터페이스 및 BGP 피어를 구성합니다. 다음 표에서는 이러한 인터페이스와 피어에 대한 개요를 제공합니다. 각 인터페이스에 지정한 IP 범위와 피어 IP 주소 간의 관계를 보여줍니다. 예를 들어 router-1의 첫 번째 인터페이스는 피어 IP 주소가 169.254.0.2입니다. router-2의 첫 번째 인터페이스(169.254.0.2/30)의 IP 주소 범위에서 가져옵니다.

라우터 BGP 인터페이스 이름 IP 범위 피어 IP 주소 피어 ASN
router-1 if-tunnel-a-to-b-if-0 169.254.0.1/30 169.254.0.2 65002
router-2 if-tunnel-b-to-a-if-0 169.254.0.2/30 169.254.0.1 65001
router-1 if-tunnel-a-to-b-if-1 169.254.1.1/30 169.254.1.2 65002
router-2 if-tunnel-b-to-a-if-1 169.254.1.2/30 169.254.1.1 65001

자세한 내용은 구성 후 샘플 출력이 포함된 이 섹션의 안내를 참조하세요.

Cloud Router 인터페이스 및 BGP 피어를 만들기 위해 다음 명령어 시퀀스를 완료합니다.

  1. TUNNEL_NAME_GW1_IF0 터널의 ROUTER_NAME_1에 BGP 인터페이스와 BGP 피어를 만듭니다.

    이 BGP 인터페이스는 2개의 BGP IP 주소를 사용하여 GW_1interface 0에 있는 TUNNEL_NAME_GW1_IF0GW_2interface 0에 연결합니다.

    다음 명령어에서 다음을 바꿉니다.

    • ROUTER_1_INTERFACE_NAME_0: Cloud Router BGP 인터페이스의 이름. TUNNEL_NAME_GW1_IF0과 관련된 이름을 사용하는 것이 좋습니다.
    • IP_ADDRESS: 아직 사용하지 않는 169.254.0.0/16 블록의 BGP IP 주소. 이 예시에서는 169.254.0.1을 사용합니다.
    • MASK_LENGTH: 30. 동일한 Cloud Router의 각 BGP 세션은 169.254.0.0/16 블록에서 고유한 /30 CIDR을 사용해야 합니다.
    • PEER_NAME: BGP 피어를 설명하는 이름. TUNNEL_NAME_GW1_IF0와 관련된 이름을 사용하는 것이 좋습니다.
    • PEER_IP_ADDRESS: 아직 사용하지 않는 169.254.0.0/16 블록의 BGP IP 주소. 이 예시에서는 169.254.0.2을 사용합니다.
    • PEER_ASN: 다른 Cloud Router ROUTER_NAME_2의 모든 인터페이스에 사용되는 ASN 번호. 이 예시에서는 ASN 번호 65002를 사용합니다.

    TUNNEL_NAME_GW1_IF0의 BGP 인터페이스 만들기

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_1_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
        --region=REGION_1
    

    TUNNEL_NAME_GW1_IF0의 BGP 피어 만들기

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS \
        --peer-asn=PEER_ASN \
        --region=REGION_1
    

    명령어 결과는 다음 예시와 비슷해야 합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. TUNNEL_NAME_GW1_IF1 터널의 ROUTER_NAME_1에 BGP 인터페이스와 BGP 피어를 만듭니다.

    이 BGP 인터페이스는 2개의 BGP IP 주소를 사용하여 GW_1interface 1에 있는 TUNNEL_NAME_GW1_IF1GW_2interface 1에 연결합니다.

    다음 명령어에서 다음을 바꿉니다.

    • ROUTER_1_INTERFACE_NAME_1: Cloud Router BGP 인터페이스 이름. TUNNEL_NAME_GW1_IF1과 관련된 이름을 사용하는 것이 좋습니다.
    • IP_ADDRESS: 아직 사용하지 않는 169.254.0.0/16 블록의 BGP IP 주소. 이 예시에서는 169.254.1.1을 사용합니다.
    • MASK_LENGTH: 30. 동일한 Cloud Router의 각 BGP 세션은 169.254.0.0/16 블록에서 고유한 /30 CIDR을 사용해야 합니다.
    • PEER_NAME: BGP 피어를 설명하는 이름. TUNNEL_NAME_GW1_IF1와 관련된 이름을 사용하는 것이 좋습니다.
    • PEER_IP_ADDRESS: 아직 사용하지 않는 169.254.0.0/16 블록의 BGP IP 주소. 이 예시에서는 169.254.1.2를 사용합니다.
    • PEER_ASN: 다른 Cloud Router ROUTER_NAME_2의 모든 인터페이스에 사용되는 ASN 번호. 이 예시에서는 ASN 번호 65002를 사용합니다.

    TUNNEL_NAME_GW1_IF1의 BGP 인터페이스 만들기

    gcloud compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_1_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
       --region=REGION_1
    

    TUNNEL_NAME_GW1_IF1의 BGP 피어 만들기

    gcloud compute routers add-bgp-peer ROUTER_NAME_1  \
       --peer-name=PEER_NAME \
       --interface=ROUTER1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS \
       --peer-asn=PEER_ASN \
       --region=REGION_1
    

    명령어 결과는 다음 예시와 비슷해야 합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. ROUTER_1의 설정을 확인합니다.

    gcloud compute routers describe ROUTER_1  \
        --region=REGION_1
    

    명령어 결과는 다음 예시와 비슷해야 합니다.

     bgp:
       advertisemode: DEFAULT
       asn: 65001
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: 169.254.0.1
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
     bgpPeers:
     — interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: 169.254.1.1
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  4. TUNNEL_NAME_GW2_IF0 터널의 ROUTER_NAME_2에 BGP 인터페이스와 BGP 피어를 만듭니다.

    이 BGP 인터페이스는 2개의 BGP IP 주소를 사용하여 GW_2interface 0에 있는 TUNNEL_NAME_GW2_IF0GW_1interface 0에 연결합니다.

    다음 명령어에서 다음을 바꿉니다.

    • ROUTER_2_INTERFACE_NAME_0: Cloud Router BGP 인터페이스 이름. TUNNEL_NAME_GW2_IF0과 관련된 이름을 사용하는 것이 좋습니다.
    • IP_ADDRESS: 이전에 이 게이트웨이 및 인터페이스에 사용된 BGP IP 주소. 이 예시에서는 169.254.0.2를 사용합니다.
    • MASK_LENGTH: 30. 동일한 Cloud Router의 각 BGP 세션은 169.254.0.0/16 블록에서 고유한 /30 CIDR을 사용해야 합니다.
    • PEER_NAME: BGP 피어를 설명하는 이름. TUNNEL_NAME_GW2_IF0과 관련된 이름을 사용하는 것이 좋습니다.
    • PEER_IP_ADDRESS: 이전에 피어 게이트웨이 및 인터페이스에 사용된 IP 주소. 이 예시에서는 169.254.0.1을 사용합니다.
    • PEER_ASN: 이전에 설정된 ROUTER_NAME_1의 모든 인터페이스에 사용된 ASN 번호. 이 예시에서는 ASN 번호 65001을 사용합니다.

    TUNNEL_NAME_GW2_IF0의 BGP 인터페이스 만들기

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION_1
    

    TUNNEL_NAME_GW2_IF0의 BGP 피어 만들기

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS \
        --peer-asn=PEER_ASN \
        --region=REGION_1
    

    명령어 결과는 다음 예시와 비슷해야 합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  5. TUNNEL_NAME_GW2_IF1 터널의 ROUTER_NAME_2에 BGP 인터페이스와 BGP 피어를 만듭니다.

    이 BGP 인터페이스는 2개의 BGP IP 주소를 사용하여 GW_2interface 1에 있는 TUNNEL_NAME_GW2_IF1GW_1interface 1에 연결합니다.

    다음 명령어에서 다음을 바꿉니다.

    • ROUTER_2_INTERFACE_NAME_1: Cloud Router BGP 인터페이스 이름. TUNNEL_NAME_GW2_IF1과 관련된 이름을 사용하는 것이 좋습니다.
    • IP_ADDRESS: 이전에 이 게이트웨이 및 인터페이스에 사용된 BGP IP 주소. 이 예시에서는 169.254.1.2를 사용합니다.
    • MASK_LENGTH: 30. 동일한 Cloud Router의 각 BGP 세션은 169.254.0.0/16 블록에서 고유한 /30 CIDR을 사용해야 합니다.
    • PEER_NAME: BGP 피어를 설명하는 이름. TUNNEL_NAME_GW2_IF1과 관련된 이름을 사용하는 것이 좋습니다.
    • PEER_IP_ADDRESS: 아직 사용하지 않는 169.254.0.0/16 블록의 BGP IP 주소. 이 예시에서는 169.254.1.1을 사용합니다.
    • PEER_ASN: 이전에 설정된 ROUTER_NAME_1의 모든 인터페이스에 사용된 ASN 번호. 이 예시에서는 ASN 번호 65001을 사용합니다.

    TUNNEL_NAME_GW2_IF1의 BGP 인터페이스 만들기

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION_1
    

    명령어 결과는 다음 예시와 비슷해야 합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    

    TUNNEL_NAME_GW2_IF1의 BGP 피어 만들기

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS \
       --peer-asn=PEER_ASN \
       --region=REGION_1
    

    명령어 결과는 다음 예시와 비슷해야 합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  6. ROUTER_2의 설정을 확인합니다.

    gcloud compute routers describe ROUTER_2  \
       --region=REGION_1
    

    명령어 결과는 다음 예시와 비슷해야 합니다.

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: 169.254.0.2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: 169.254.0.1
     bgpPeers:
     — interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: 169.254.1.2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
     creationTimestamp: '2015-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Cloud Router BGP 인터페이스를 만들려면 routers.patch 메서드 또는 routers.update 메서드에 PATCH 또는 UPDATE 요청을 보냅니다. PATCH는 포함한 매개변수만 업데이트합니다. UPDATE는 Cloud Router의 모든 매개변수를 업데이트합니다. HA VPN 게이트웨이에서 각 VPN 터널마다 BGP 인터페이스를 만듭니다.

    지정한 BGP IP 주소 범위는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/{resourceId}
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
       }
     ]
    }
    
  2. 각 VPN 터널의 Cloud Router에 BGP 피어를 추가하려면 routers.insert 메서드에 POST 요청을 보냅니다. 다른 VPN 터널에 대해 이 명령어를 반복하여 namepeerAsn을 제외한 모든 옵션을 변경합니다.

    HA VPN 게이트웨이의 전체 구성을 만들려면 다음 API 명령어를 사용합니다.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
    {
     "name": "router-a",
     "network": "network-a",
     "bgpPeers": [
       {
         "interfaceName": "if-tunnel-a-to-on-prem-if-0",
         "ipAddress": "169.254.0.1",
         "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
         "peerAsn": "65002",
         "peerIpAddress": "169.254.0.2",
         "advertiseMode": "DEFAULT"
       }
     ]
    }
    

구성 확인

Console

구성을 확인하려면 요약 및 알림 페이지로 이동합니다.

  1. 이 페이지의 요약 섹션에는 HA VPN 게이트웨이와 피어 VPN 게이트웨이 프로필에 대한 정보가 표시됩니다. VPN 터널마다 VPN 터널 상태, BGP 세션 이름, BGP 세션 상태, MED 값(공지된 경로 우선순위)을 볼 수 있습니다.
  2. 이 페이지의 알림 섹션에는 Cloud VPN과 피어 VPN 간에 완벽하게 작동하는 VPN 연결을 설정하기 위해 완료해야 하는 단계가 나와 있습니다. 이 페이지의 정보를 검토한 후 확인을 클릭합니다.

gcloud

Cloud Router 구성을 확인하려면 BGP 세션 만들기gcloud 탭에서 확인 단계를 참조하세요.

API

Cloud Router 구성을 확인하려면 routers.getRouterStatus 메서드를 사용하여 GET 요청을 보내고 빈 요청 본문을 사용합니다.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

단일 터널 게이트웨이에 추가 터널 만들기

Console

99.99% 업타임 SLA를 얻으려면 HA VPN - HA VPN 게이트웨이 구성의 각 측면에서 각 HA VPN 인터페이스에 터널을 구성합니다.

다른 HA VPN 게이트웨이에 대한 HA VPN 게이트웨이에 터널 한 개를 구성했지만 99.99% 업타임 SLA를 보장하려면 두 번째 터널을 구성해야 합니다.

두 번째 터널을 구성하려면 HA VPN 게이트웨이에서 다른 HA VPN 게이트웨이에 터널 추가의 단계를 따릅니다.

기본 공지 경로 우선순위 설정(선택사항)

만든 BGP 세션을 통해 각 Cloud Router가 피어 네트워크에 경로를 공지할 수 있습니다. 공지는 수정되지 않은 기본 우선순위를 사용합니다.

양쪽에 있는 두 터널의 공지된 경로 우선순위가 일치하는 활성/활성 라우팅 구성을 위해 서로 연결되는 완전히 구성된 HA VPN 게이트웨이 두 개 만들기에 설명된 구성을 사용합니다. 공지된 경로 우선순위(--advertised-route-priority)를 생략하면 두 BGP 피어에 공지된 경로 우선순위가 동일하게 적용됩니다.

활성/수동 라우팅 구성의 경우 BGP 피어를 추가 또는 업데이트할 때 공지된 경로 우선순위(--advertised-route-priority)를 설정하여 Cloud Router가 피어 VPN 게이트웨이와 공유하는 to Google Cloud 경로의 공지된 경로 우선순위를 제어할 수 있습니다. 활성/수동 구성을 만들려면 BGP 세션 한 개와 해당 VPN 터널에 다른 BGP 세션과 VPN 터널보다 더 높은 공지된 경로 우선순위를 설정합니다.

기본 공지 경로 우선순위에 대한 자세한 내용은 공지된 프리픽스 및 우선순위를 참조하세요.

또한 커스텀 공지를 사용하여 공지된 경로를 세분화할 수 있습니다.

  • --advertisement-mode=CUSTOM 플래그(gcloud) 또는 advertiseMode: custom 플래그(API)를 추가합니다.
  • --set-advertisement-ranges 플래그(gcloud) 또는 advertisedIpRanges 플래그(API)를 사용하여 IP 주소 범위를 지정합니다.

구성 완료

새 Cloud VPN 게이트웨이 및 관련 VPN 터널을 사용하려면 먼저 다음 단계를 완료하세요.

  1. 피어 VPN 게이트웨이를 설정하고 여기에 해당 터널을 구성합니다. 자세한 내용은 다음을 참조하세요.
  2. Google Cloud 및 피어 네트워크에서 필요에 따라 방화벽 규칙을 구성합니다.
  3. VPN 터널의 상태를 확인합니다. 이 단계에는 HA VPN 게이트웨이의 고가용성 구성을 확인하는 작업이 포함됩니다.

피어 VPN 게이트웨이 IP 주소를 제한하는 조직 정책 제약조건 적용

기본 VPN 또는 HA VPN 터널을 통해 피어 VPN 게이트웨이에 허용되거나 거부되는 IP 주소 집합을 정의하는 Google Cloud 조직 정책 제약조건을 만들 수 있습니다. 이 제약조건에는 이러한 피어 IP 주소의 허용 목록 또는 거부 목록이 포함되며, 이는 제약조건 적용 후 생성되는 Cloud VPN 터널에 적용됩니다. 자세한 내용은 Cloud VPN 터널을 통해 피어 IP 주소 제한을 참조하세요.

조직 정책을 만들고 조직, 폴더 또는 프로젝트와 연결하려면 다음 섹션에 나와 있는 예시를 사용하고 제약조건 사용의 단계를 수행합니다.

필수 권한

조직 또는 프로젝트 수준에서 피어 IP 제약조건을 설정하려면 먼저 조직의 조직 정책 관리자 역할(roles/orgpolicy.policyAdmin)을 부여받아야 합니다.

특정 피어 IP 주소의 연결 제한

Cloud VPN 터널을 통해 특정 피어 IP 주소만 허용하려면 다음 단계를 수행하세요.

  1. 다음 명령어를 실행하여 조직 ID를 찾습니다.
    gcloud organizations list

    명령어 결과는 다음 예시와 같이 표시됩니다.

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. 다음 예시와 같이 정책을 정의하는 JSON 파일을 만듭니다.

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Resource Manager gcloud 명령어 set-policy를 사용하고, JSON 파일을 전달하고, 이전 단계에서 찾은 ORGANIZATION_ID를 사용하여 조직 정책을 설정합니다.

모든 피어 IP 주소의 연결 제한

새 Cloud VPN 터널 생성을 금지하려면 이 예시 제약조건의 단계를 수행합니다.

  1. 정책을 설정하려는 리소스 계층 구조에서 노드 ID 또는 조직 ID를 찾습니다.
  2. 다음 예시와 같은 JSON 파일을 만듭니다.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. 특정 피어 IP 주소를 제한하는 데 사용할 동일한 명령어를 실행하여 JSON 파일을 전달합니다.

다음 단계

  • VPN 터널 및 게이트웨이를 유지보수하기 위한 리소스를 찾으려면 VPN 유지보수 안내 가이드를 참조하세요.
  • 고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
  • Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.