피어 VPN 게이트웨이에 대한 HA VPN 게이트웨이 만들기

이 페이지에서는 피어 VPN 게이트웨이에 연결하는 가용성이 높은 VPN 게이트웨이를 만드는 방법을 설명합니다.

HA VPN 게이트웨이는 HA VPN API를 사용하며 99.99% SLA를 제공합니다. 이 구성은 HA VPN 게이트웨이 인터페이스마다 터널이 하나 있는 터널 쌍을 사용합니다.

HA VPN에는 다음 두 가지 게이트웨이 구성요소가 있습니다.

  • Google Cloud의 HA VPN 게이트웨이.
  • 피어 VPN 게이트웨이 또는 게이트웨이 - HA VPN 게이트웨이가 연결되는 피어 네트워크의 하나 이상의 실제 VPN 게이트웨이 기기 또는 소프트웨어 애플리케이션. 피어 게이트웨이는 온프레미스 VPN 게이트웨이나 다른 클라우드 제공업체가 호스팅하는 게이트웨이일 수 있습니다. 피어 게이트웨이 기기 또는 서비스마다 Google Cloud에 외부 VPN 게이트웨이 리소스를 만들어야 합니다.

이 토폴로지의 다이어그램은 토폴로지 페이지를 참조하세요.

VPN 유형을 선택하는 방법에 대한 자세한 내용은 네트워크 연결 제품 선택을 참조하세요.

Cloud VPN 설정 전에 고려해야 할 권장사항은 Cloud VPN 권장사항을 참조하세요.

요구사항

일반 요구사항 및 가이드라인

  • 동적 라우팅이 Google Cloud에서 작동하는 방식에 대한 정보를 검토합니다.
  • 피어 VPN 게이트웨이가 BGP를 지원하는지 확인합니다.

중복화 유형

HA VPN API에는 외부 VPN 게이트웨이 리소스에 대해 구성하는 인터페이스의 개수를 나타내는 REDUNDANCY_TYPE 옵션이 있습니다.

gcloud 명령어는 외부 VPN 게이트웨이 리소스를 구성할 때 인터페이스 ID에 제공하는 인터페이스 개수에서 REDUNDANCY_TYPE 값을 자동으로 추론합니다.

  • 외부 VPN 인터페이스 1개는 SINGLE_IP_INTERNALLY_REDUNDANT입니다.
  • 외부 VPN 인터페이스 2개는 TWO_IPS_REDUNDANCY입니다.
  • 외부 VPN 인터페이스 4개는 FOUR_IPS_REDUNDANCY입니다.

외부 VPN 게이트웨이를 구성할 때 명시된 개수의 외부 VPN 인터페이스에 다음 인터페이스 식별 번호를 사용해야 합니다.

  • 1개의 외부 VPN 인터페이스에는 0 값을 사용합니다.
  • 2개의 외부 VPN 인터페이스에는 01 값을 사용합니다.
  • 4개의 외부 VPN 인터페이스에는 0, 1, 2, 3 값을 사용합니다.

Amazon Web Services(AWS)에 대한 HA VPN 외부 VPN 게이트웨이를 구성할 때 지원되는 토폴로지에는 각각 2개의 외부 IP 주소가 있는 2개의 AWS Virtual Private Gateway(AB)가 필요합니다. 이 토폴로지는 AWS에서 총 4개의 외부 IP 주소(A1, A2, B1, B2)를 생성합니다.

  1. 4개의 AWS IP 주소를 FOUR_IPS_REDUNDANCY가 있는 단일 외부 HA VPN 게이트웨이로 구성합니다. 각 항목의 의미는 다음과 같습니다.
    • AWS IP 0=A1
    • AWS IP 1=A2
    • AWS IP 2=B1
    • AWS IP 3=B2
  2. HA VPN 게이트웨이에 4개의 터널을 만들어 99.99% SLA를 충족합니다. 다음 구성을 사용합니다.
    • HA VPN 인터페이스 0 - AWS 인터페이스 0
    • HA VPN 인터페이스 0 - AWS 인터페이스 1
    • HA VPN 인터페이스 1 - AWS 인터페이스 2
    • HA VPN 인터페이스 1 - AWS 인터페이스 3

Amazon Web Services(AWS)에서 HA VPN을 설정하기 위한 대략적인 구성 단계는 다음과 같습니다.

  1. HA VPN 게이트웨이와 Cloud Router를 만듭니다. 이렇게 하면 GCP 측에 2개의 외부 IP 주소가 만들어집니다.
  2. 2개의 AWS Virtual Private Gateway를 만듭니다. 이렇게 하면 AWS 측에 4개의 외부 주소가 만들어집니다.
  3. AWS Virtual Private Gateway마다 하나씩 2개의 AWS 사이트 간 VPN 연결 및 고객 게이트웨이를 만듭니다. 터널마다 중첩되지 않는 링크-로컬 터널 IP 범위를 지정합니다(총 4개). 예를 들면 169.254.1.4/30입니다.
  4. 일반 기기 유형에 대한 AWS 구성 파일을 다운로드합니다.
  5. HA VPN 게이트웨이에 4개의 VPN 터널을 만듭니다.
  6. 다운로드한 AWS 구성 파일의 BGP IP 주소를 사용하여 Cloud Router에서 BGP 세션을 구성합니다.

Cloud Router 만들기

새 HA VPN 게이트웨이를 구성할 때 새 Cloud Router를 만들거나 기존 Cloud VPN 터널 또는 Interconnect 연결(VLAN)에 이미 사용 중인 Cloud Router를 사용할 수 있습니다. 그러나 연결의 특정 ASN 요구사항으로 인해 사용하는 Cloud Router가 Partner Interconnect에 연결된 Interconnect 연결(VLAN)에 대한 BGP 세션을 이미 관리하고 있지 않아야 합니다.

시작하기 전에

Google Cloud에서 다음 항목을 설정하면 Cloud VPN을 더 쉽게 구성할 수 있습니다.

  1. Google 계정으로 로그인합니다.

    아직 계정이 없으면 새 계정을 등록하세요.

  2. Cloud Console의 프로젝트 선택기 페이지에서 Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기 페이지로 이동

  3. Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 프로젝트에 결제가 사용 설정되어 있는지 확인하는 방법을 알아보세요.

  4. Cloud SDK 설치 및 초기화
  1. gcloud 명령어를 사용 중인 경우 다음 명령어로 프로젝트 ID를 설정합니다. 이 페이지의 gcloud 관련 안내에서는 명령어를 실행하기 전에 프로젝트 ID를 설정했다고 가정합니다.

    gcloud config set project project-id
  
  1. 다음 명령어를 사용하면 이미 설정된 프로젝트 ID도 볼 수 있습니다.
    gcloud config list --format='text(core.project)'
  

커스텀 Virtual Private Cloud 네트워크 및 서브넷 만들기

HA VPN 게이트웨이 및 터널 쌍을 만들기 전에 HA VPN 게이트웨이가 있는 리전에 하나의 Virtual Private Cloud 네트워크와 하나 이상의 서브넷을 만들어야 합니다.

이 문서의 예시에서는 VPC 전역 동적 라우팅 모드도 사용하므로 Cloud Router의 모든 인스턴스는 학습한 to on-premises 경로를 VPC 네트워크의 모든 서브넷에 적용합니다. 전역 라우팅 모드에서는 VPC 네트워크의 모든 서브넷 경로가 온프레미스 라우터와 공유됩니다.

HA VPN 게이트웨이 및 터널 쌍-피어 VPN 만들기

이 섹션의 안내에 따라 HA VPN 게이트웨이, 한 쌍의 터널, 피어 VPN 게이트웨이 리소스, BGP 세션을 만듭니다.

Console

VPN 설정 마법사에는 HA VPN 게이트웨이, 터널, 피어 VPN 게이트웨이 리소스, BGP 세션을 만들 수 있는 모든 필수 구성 단계가 포함되어 있습니다.

Cloud VPN 게이트웨이 만들기

  1. Google Cloud Console에서 VPN 페이지로 이동합니다.
    VPN 페이지로 이동
    1. 게이트웨이를 처음 만드는 경우 VPN 연결 만들기 버튼을 선택합니다.
    2. VPN 설정 마법사를 선택합니다.
  2. HA VPN 게이트웨이의 라디오 버튼을 선택합니다.
  3. 계속을 클릭합니다.
  4. VPN 게이트웨이 이름을 지정합니다.
  5. VPC 네트워크에서 기존 네트워크 또는 기본 네트워크를 선택합니다.
  6. 리전을 선택합니다.
  7. 만들고 계속하기를 클릭합니다.
  8. Console 화면이 새로 고쳐지고 게이트웨이 정보가 표시됩니다. 게이트웨이 인터페이스마다 외부 IP 주소 두 개가 자동으로 할당됩니다. 이후 구성 단계에서 게이트웨이 구성의 세부정보를 기록해 둡니다.

피어 VPN 게이트웨이 리소스 만들기

피어 VPN 게이트웨이 리소스는 Google Cloud에서 Google Cloud가 아닌 게이트웨이를 나타냅니다.

  1. VPN 만들기 화면의 피어 VPN 게이트웨이에서 On-prem or Non-Google Cloud를 선택합니다.
  2. 피어 VPN 게이트웨이 이름에서 기존 피어 게이트웨이를 선택하거나 새 피어 VPN 게이트웨이 만들기를 클릭합니다. 기존 게이트웨이를 선택하면 Cloud Console은 기존 피어 게이트웨이에 구성된 피어 인터페이스 개수에 따라 구성할 터널의 수를 선택합니다. 새 피어 게이트웨이를 만들려면 다음 단계를 완료하세요.
    1. 피어 VPN 게이트웨이의 이름을 지정하세요.
    2. 피어 VPN 게이트웨이 인터페이스에서 피어 게이트웨이에 있는 인터페이스 유형에 따라 one, two 또는 four 인터페이스를 선택합니다. 각 유형의 예시는 토폴로지 페이지를 참조하세요.
    3. 각 피어 VPN 인스턴스의 필드에 해당 인터페이스에 사용되는 외부 IP 주소를 지정합니다. 자세한 내용은 피어 VPN 게이트웨이 구성을 참조하세요.
    4. 만들기를 클릭합니다.

VPN 터널 만들기

  • 하나의 인터페이스로 피어 VPN 게이트웨이 리소스를 구성한 경우 VPN 만들기 화면의 단일 VPN 터널 대화상자에서 단일 터널을 구성합니다. 99.99% SLA를 위한 두 번째 터널을 만들어야 합니다.
  • 2개 또는 4개의 인터페이스로 피어 VPN 게이트웨이 리소스를 구성한 경우 VPN 만들기 화면 하단에 표시되는 관련 대화상자를 구성해야 합니다.
  1. Cloud Router에서 아직 Cloud Router를 만들지 않은 경우 다음 옵션을 지정하여 Cloud Router를 만듭니다. 라우터가 Partner Interconnect와 연결된 Interconnect 연결에 대한 BGP 세션을 관리하지 않는 경우 기존 Cloud Router를 사용할 수 있습니다.
    1. 새 Cloud Router를 만들려면 새 라우터의 이름, 설명(선택사항), Google ASN을 지정합니다. 네트워크의 다른 곳에서 사용하지 않는 비공개 ASN(64512~65534, 4200000000~4294967294)을 사용할 수 있습니다. Google ASN은 동일한 Cloud Router의 모든 BGP 세션에 사용되며 나중에 ASN을 변경할 수 없습니다.
    2. 만들기를 클릭하여 새 라우터를 만듭니다.
  2. 해당하는 경우, 연결된 Cloud VPN 게이트웨이 인터페이스에서 이 터널의 피어 VPN 게이트웨이 인터페이스와 연결할 HA VPN 인터페이스와 IP 주소 조합을 선택합니다.
  3. 연결된 피어 VPN 게이트웨이 인터페이스에서 이 터널 및 HA VPN 인터페이스와 연결하려는 피어 VPN 게이트웨이 인터페이스와 IP 주소 조합을 선택합니다. 이 인터페이스는 실제 피어 라우터의 인터페이스와 일치해야 합니다.
    1. 터널의 이름을 지정합니다.
    2. 설명(선택사항)을 지정합니다.
    3. IKE 버전을 지정합니다. 피어 라우터에서 지원한다면 기본 설정인 IKE v2를 사용하는 것이 좋습니다.
    4. 공유 보안 비밀을 사용하여 IKE 사전 공유 키를 지정합니다. 공유 보안 비밀은 피어 게이트웨이에서 만드는 파트너 터널의 공유 보안 비밀과 일치해야 합니다. 피어 VPN 게이트웨이에 공유 보안 비밀을 구성하지 않은 경우 공유 보안 비밀을 생성하려면 생성 및 복사 버튼을 클릭합니다. 사전 공유 키는 VPN 터널을 만든 후에 검색할 수 없으므로 안전한 위치에 기록해야 합니다.
    5. 완료를 클릭합니다.
    6. VPN 만들기 화면의 나머지 터널 대화상자에서 터널 만들기 단계를 반복합니다.
  4. 모든 터널을 구성하면 만들고 계속하기를 클릭합니다.

BGP 세션 만들기

  1. 지금 BGP 세션을 설정하지 않으려면 나중에 BGP 세션 구성 버튼을 클릭합니다. 그러면 요약 및 알림 화면이 열립니다.
  2. BGP 세션을 지금 구성하려면 첫 번째 VPN 터널의 구성 버튼을 클릭합니다.
  3. BGP 세션 만들기 화면에서 다음 단계를 따르세요.
    1. BGP 세션의 이름을 지정합니다.
    2. 피어 VPN 게이트웨이에 대해 구성된 피어 ASN을 지정합니다.
    3. (선택사항) 공지된 경로 우선순위를 지정합니다.
    4. Cloud Router BGP IP 주소와 BGP 피어 IP 주소를 지정합니다. 각 주소는 동일한 /30 서브넷에서 169.254.0.0/16 CIDR 블록의 링크-로컬 주소를 사용해야 합니다. 이 주소는 서브넷의 네트워크 또는 브로드캐스트 주소가 아니어야 합니다.
    5. (선택사항) 공지된 경로 드롭다운 메뉴를 클릭하고 커스텀 경로를 만듭니다.
    6. 저장 후 계속을 클릭합니다.
  4. 터널마다 다른 Cloud Router BGP IP 주소와 BGP 피어 IP 주소를 사용하여 게이트웨이에 구성된 나머지 터널에 이전 단계를 반복합니다.
  5. 모든 BGP 세션을 구성하고 나면 BGP 구성 저장을 클릭합니다.

요약 및 알림

  1. 이 화면의 요약 섹션에는 HA VPN 게이트웨이와 피어 VPN 게이트웨이 프로필에 대한 정보가 표시됩니다.
  2. VPN 터널마다 VPN 터널 상태, BGP 세션 이름, BGP 세션 상태, MED 값(공지된 경로 우선순위)을 볼 수 있습니다.
  3. 이 화면의 알림 섹션에는 Cloud VPN과 피어 VPN 간에 완벽하게 작동하는 VPN 연결을 설정하기 위해 완료해야 하는 단계가 나와 있습니다.
  4. 이 화면의 정보를 검토한 후 확인을 클릭합니다.

단일 터널 게이트웨이에 추가 터널 만들기

이 섹션의 단계에 따라 HA VPN 게이트웨이의 두 번째 인터페이스에 두 번째 터널을 구성합니다. 다음과 같은 상황에서 이 작업을 수행합니다.

  • 단일 피어 VPN 인터페이스가 있는 피어 VPN 게이트웨이에 대한 HA VPN 게이트웨이를 구성한 경우
  • 여러 인터페이스를 포함하는 피어 VPN 게이트웨이의 HA VPN에서 이전에 단일 터널을 설정했지만 이제 HA VPN 게이트웨이에 대해 99.99% 업타임 SLA를 설정하려는 경우

    1. Google Cloud Console에서 VPN 페이지로 이동합니다.
      VPN 페이지로 이동
    2. VPN 터널 만들기 버튼을 클릭합니다.
    3. 드롭다운 메뉴에서 두 번째 터널이 필요한 게이트웨이를 선택합니다.
    4. 계속을 클릭합니다.
    5. Cloud Router를 선택합니다. Cloud Router를 구성하지 않은 경우 VPN 터널 만들기 절차에 따라 Cloud Router를 만들 수 있습니다.
    6. 피어 VPN 게이트웨이의 경우 온프렘 또는 Google Cloud 외부를 선택합니다.
    7. 피어 VPN 게이트웨이 이름에서 새 터널이 사용할 기존 피어 VPN 게이트웨이 리소스를 선택합니다. 화면 상단에 있는 VPN 게이트웨이 이름에서 모든 기존 터널 보기 링크를 클릭하여 이 Cloud VPN 게이트웨이의 기존 피어 VPN 게이트웨이 이름을 확인할 수 있습니다.
    8. 동일한 피어 VPN 게이트웨이 인터페이스의 터널이 동일한 로컬 Cloud VPN 게이트웨이 인터페이스와 이미 연결되어 있다는 경고가 표시될 수 있습니다. 이 문제를 해결하려면 연결된 Cloud VPN 게이트웨이 인터페이스에서 다른 HA VPN 인터페이스를 선택합니다.
    9. VPN 터널 만들기 절차에 나열된 대로 나머지 단계를 구성하여 터널 구성을 완료합니다.

gcloud


HA VPN 게이트웨이 만들기

다음 명령어 시퀀스를 완료하여 HA VPN 게이트웨이를 만듭니다.

  1. HA VPN 게이트웨이를 만듭니다. 게이트웨이가 생성되면 각 게이트웨이 인터페이스에 하나씩 두 개의 외부 IP 주소가 자동으로 할당됩니다.

    다음 명령어에서 다음 옵션을 바꿉니다.

    • network를 Google Cloud 네트워크 이름으로 바꿉니다.
    • region을 게이트웨이 및 터널을 만들어야 하는 Google Cloud 리전으로 바꿉니다.
    • gw-name을 게이트웨이 이름으로 바꿉니다.
      gcloud compute vpn-gateways create gw-name \
        --network network \
        --region region
    

    만드는 게이트웨이는 다음 예시 출력과 유사하게 표시되어야 합니다. 외부 IP 주소는 각 게이트웨이 인터페이스에 자동으로 할당됩니다.

      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnGateways/ha-vpn-gw-a].
      NAME        INTERFACE0    INTERFACE1   NETWORK   REGION
      ha-vpn-gw-a 203.0.113.16  203.0.113.23 network-a us-central1
    

Cloud Router 만들기

  1. 다음 명령어 시퀀스를 완료하여 Cloud Router를 만듭니다. 다음 명령어에서 다음 옵션을 바꿉니다.

    • router-name을 Cloud VPN 게이트웨이와 동일한 리전에 있는 Cloud Router 이름으로 바꿉니다.
    • google-asn을 피어 네트워크에서 아직 사용하고 있지 않은 비공개 ASN(64512~65534, 4200000000~4294967294)으로 바꿉니다. Google ASN은 동일한 Cloud Router에 있는 모든 BGP 세션에 사용되며, 나중에 변경할 수 없습니다.
      gcloud compute routers create router-name \
        --region region \
        --network network \
        --asn google-asn
    

    만드는 라우터는 다음 예시 출력과 유사하게 표시되어야 합니다.

      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
      NAME      REGION      NETWORK
      router-a us-central1 network-a
    

외부 VPN 게이트웨이 리소스 만들기

피어 VPN 게이트웨이에 대한 정보를 Google VPN에 제공하는 외부 VPN 게이트웨이 리소스를 만듭니다. 피어 VPN 게이트웨이의 HA 권장사항에 따라 다음과 같은 여러 유형의 온프레미스 VPN 게이트웨이에 대해 외부 VPN 게이트웨이 리소스를 만들 수 있습니다.

  • 서로 중복되고 각각 고유한 외부 IP 주소가 있는 두 개의 개별 피어 VPN 게이트웨이 기기.
  • 각각 고유한 외부 IP 주소가 있는 두 개의 개별 인터페이스를 사용하는 단일 피어 VPN 게이트웨이. 이러한 유형의 피어 게이트웨이의 경우 두 개의 인터페이스가 있는 단일 외부 VPN 게이트웨이를 만들 수 있습니다.
  • 단일 외부 IP 주소가 있는 단일 피어 VPN 게이트웨이.

옵션 1: 두 개의 개별 피어 VPN 게이트웨이 기기에 대한 외부 VPN 게이트웨이 리소스 만들기

  1. 이러한 유형의 피어 게이트웨이의 경우 외부 VPN 게이트웨이의 각 인터페이스에는 하나의 외부 IP 주소가 있으며 각 주소는 피어 VPN 게이트웨이 기기 중 한 대의 주소입니다. 다음 gcloud 명령어에서 다음 옵션을 바꿉니다.

    • peer-gw_name을 피어 게이트웨이를 나타내는 이름으로 바꿉니다.
    • peer-gw-ip-0을 피어 게이트웨이의 외부 IP 주소로 바꿉니다.
    • peer-gw-ip-1을 다른 피어 게이트웨이의 외부 IP 주소로 바꿉니다.
      gcloud compute external-vpn-gateways create peer-gw-name \
        --interfaces 0=peer-gw-ip-0,1=peer-gw-ip-1 \
    

    생성된 외부 VPN 게이트웨이 리소스는 peer-gw-ip-0peer-gw-ip-1이 피어 게이트웨이 인터페이스의 실제 외부 주소를 표시하는 다음 예시와 비슷합니다.

      Created [https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0      INTERFACE1
      peer-gw   peer-gw-ip-0    peer-gw-ip-1
    

옵션 2: 두 개의 개별 인터페이스를 사용하여 단일 피어 VPN 게이트웨이에 대한 외부 VPN 게이트웨이 리소스 만들기

  1. 이러한 유형의 피어 게이트웨이의 경우 두 개의 인터페이스로 외부 VPN 게이트웨이를 하나만 만듭니다. 다음 gcloud 명령어에서 다음 옵션을 바꿉니다.

    • peer-gw-name을 피어 게이트웨이를 나타내는 이름으로 바꿉니다.
    • peer-gw-ip-0을 피어 게이트웨이의 한 인터페이스에서 가져온 외부 IP 주소로 바꿉니다.
    • peer-gw-ip-1을 피어 게이트웨이의 다른 인터페이스에서 가져온 외부 IP 주소로 바꿉니다.

      gcloud compute external-vpn-gateways create peer-gw-name \
       --interfaces 0=on-prem-gw-ip-0,1=on-prem-gw-ip-1 \
      

      생성된 외부 VPN 게이트웨이 리소스는 peer-gw-ip-0peer-gw-ip-1이 피어 게이트웨이 인터페이스의 실제 외부 주소를 표시하는 다음 예시와 비슷합니다.

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0      INTERFACE1
      peer-gw   peer-gw-ip-0  peer-gw-ip-1
      

옵션 3: 단일 외부 IP 주소로 단일 피어 VPN 게이트웨이에 대한 외부 VPN 게이트웨이 리소스 만들기

  1. 이러한 유형의 피어 게이트웨이의 경우 하나의 인터페이스로 외부 VPN 게이트웨이를 만듭니다. 다음 gcloud 명령어에서 다음 옵션을 바꿉니다.

    • peer-gw-name을 피어 게이트웨이를 나타내는 이름으로 바꿉니다.
    • peer-gw-ip-0을 피어 게이트웨이의 인터페이스에서 가져온 외부 IP 주소로 바꿉니다.
      gcloud compute external-vpn-gateways create peer-gw-name \
        --interfaces 0=peer-gw-ip-0 \
    

    생성된 외부 VPN 게이트웨이 리소스는 peer-gw-ip-0으로 피어 게이트웨이 인터페이스의 실제 외부 주소를 표시하는 다음 예시와 비슷합니다.

      Created [https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways/peer-gw].
      NAME      INTERFACE0
      peer-gw   peer-gw-ip-0
    

HA VPN 게이트웨이의 각 인터페이스에 하나씩 두 개의 VPN 터널 만들기

VPN 터널을 만들 때 VPN 터널의 피어 측을 앞서 만든 외부 VPN 게이트웨이로 지정합니다. 외부 VPN 게이트웨이의 중복 유형에 따라 다음 두 가지 옵션 중 하나를 사용하여 터널을 구성합니다.

옵션 1: 외부 VPN 게이트웨이가 두 개의 개별 피어 VPN 게이트웨이 기기 또는 두 개의 IP 주소를 가진 단일 기기인 경우

  1. 이 경우 VPN 터널 하나를 외부 VPN 게이트웨이의 인터페이스 0에 연결하고 다른 VPN 터널을 외부 VPN 게이트웨이의 인터페이스 1에 연결해야 합니다.

    각 터널을 만들려면 다음 명령어에서 다음 옵션을 바꿉니다.

    • tunnel-name-if0tunnel-name-if1을 터널 이름으로 바꿉니다. 게이트웨이 인터페이스 이름을 포함하여 터널 이름을 지정하면 나중에 터널을 식별하는 데 도움이 됩니다.
    • gw-name을 HA VPN 게이트웨이 이름으로 바꿉니다.
    • (선택사항) --vpn-gateway-region은 HA VPN 게이트웨이가 작동할 리전입니다. 값은 --region과 같아야 합니다. 지정하지 않을 경우 이 옵션이 자동으로 설정됩니다. 이 옵션은 이 명령어 호출의 기본 compute/region 속성 값을 재정의합니다.
    • peer-gw-name을 이전에 만든 외부 피어 게이트웨이의 이름으로 바꿉니다.
    • peer-ext-gw-if0peer-ext-gw-if1을 외부 피어 게이트웨이에서 이전에 구성한 인터페이스 번호로 바꿉니다.
    • ike-vers를 IKEv1의 경우 1, IKEv2의 경우 2로 바꿉니다. 가능하다면 IKE 버전에 IKEv2를 사용하세요. 피어 게이트웨이에 IKEv1이 필요한 경우 --ike-version 2를 --ike-version 1로 바꿉니다.
    • shared-secret를 공유 보안 비밀로 바꿉니다. 이 공유 보안 비밀은 피어 게이트웨이에서 만드는 파트너 터널의 공유 보안 비밀과 일치해야 합니다. 강력한 사전 공유 키 생성의 권장사항을 참조하세요.
    • 이전에 만든 HA VPN 게이트웨이의 첫 번째 인터페이스의 경우 int-num-0을 번호 0으로 바꿉니다.
    • 이전에 만든 HA VPN 게이트웨이의 두 번째 인터페이스의 경우 int-num-1을 번호 1로 바꿉니다.

        gcloud compute vpn-tunnels create tunnel-name-if0 \
          --peer-external-gateway peer-gw-name \
          --peer-external-gateway-interface peer-ext-gw-if0  \
          --region region \
          --ike-version ike-vers \
          --shared-secret shared-secret \
          --router router-name \
          --vpn-gateway gw-name \
          --interface int-num-0
      
       gcloud compute vpn-tunnels create tunnel-name-if1 \
          --peer-external-gateway peer-gw-name \
          --peer-external-gateway-interface peer-ext-gw-if1 \
          --region region \
          --ike-version ike-vers \
          --shared-secret shared-secret \
          --router router-name \
          --vpn-gateway gw-name \
          --interface int-num-1
      

      명령어 결과는 다음 예시와 유사하게 표시되어야 합니다.

        Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
        NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
        tunnel-a-to-on-prem-if-0  us-central1  ha-vpn-gw-a    0               peer-gw        0
        Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
        NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
        tunnel-a-to-on-prem-if-1  us-central1  ha-vpn-gw-a    1               peer-gw        1
      

옵션 2: 외부 VPN 게이트웨이가 단일 외부 IP 주소를 갖는 단일 피어 VPN 게이트웨이인 경우

  1. 이 경우 두 VPN 터널 모두 외부 VPN 게이트웨이의 인터페이스 0에 연결해야 합니다.

    각 터널을 만들려면 다음 명령어에서 다음 옵션을 바꿉니다.

    • tunnel-name-if0tunnel-name-if1을 터널 이름으로 바꿉니다. 게이트웨이 인터페이스 이름을 포함하여 터널 이름을 지정하면 나중에 터널을 식별하는 데 도움이 됩니다.
    • peer-gw-name을 이전에 만든 외부 피어 게이트웨이의 이름으로 바꿉니다.
    • peer-ext-gw-if0을 외부 피어 게이트웨이에서 이전에 구성된 인터페이스 번호로 바꿉니다.
    • (선택사항) --vpn-gateway-region은 HA VPN 게이트웨이가 작동할 리전입니다. 값은 --region과 같아야 합니다. 지정하지 않으면 이 옵션이 자동으로 설정됩니다. 이 옵션은 이 명령어 호출의 기본 compute/region 속성 값을 재정의합니다.
    • ike-vers를 IKEv1의 경우 1, IKEv2의 경우 2로 바꿉니다. 가능하다면 IKE 버전에 IKEv2를 사용하세요. 피어 게이트웨이에 IKEv1이 필요한 경우 --ike-version 2를 --ike-version 1로 바꿉니다.
    • shared-secret를 공유 보안 비밀로 바꿉니다. 이 공유 보안 비밀은 피어 게이트웨이에서 만드는 파트너 터널의 공유 보안 비밀과 일치해야 합니다. 강력한 사전 공유 키 생성의 권장사항을 참조하세요.
    • 이전에 만든 HA VPN 게이트웨이의 첫 번째 인터페이스의 경우 int-num-0을 번호 0으로 바꿉니다.
    • 이전에 만든 HA VPN 게이트웨이의 두 번째 인터페이스의 경우 int-num-1을 번호 1로 바꿉니다.
      gcloud compute vpn-tunnels create tunnel-name-if0 \
        --peer-external-gateway peer-gw-name \
        --peer-external-gateway-interface peer-ext-gw-if0  \
        --region region \
        --ike-version ike-vers \
        --shared-secret shared-secret \
        --router router-name \
        --vpn-gateway gw-name \
        --interface int-num-0
    
      gcloud compute vpn-tunnels create tunnel-name_if1 \
        --peer-external-gateway peer-gw-name \
        --peer-external-gateway-interface [peer-ext-gw-if0] \
        --region region \
        --ike-version ike-vers \
        --shared-secret shared-secret \
        --router router-name \
        --vpn-gateway gw-name \
        --interface int-num-1
    

    명령어 결과는 다음 예시와 유사하게 표시되어야 합니다.

      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
      NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
      tunnel-a-to-on-prem-if-0  us-central1  ha-vpn-gw-a    0               peer-gw        0
      Created [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
      NAME                      REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
      tunnel-a-to-on-prem-if-1  us-central1  ha-vpn-gw-a    1               peer-gw        0
    

Cloud Router 인터페이스 및 BGP 피어 만들기

  1. HA VPN 게이트웨이 인터페이스에서 이전에 구성한 각 터널에 Cloud Router BGP 인터페이스와 BGP 피어를 만듭니다.
    다음 명령어에서 다음 옵션을 바꿉니다.

    • router-interface-name-0router-interface-name-1을 Cloud Router BGP 인터페이스의 이름으로 바꿉니다. 이전에 구성된 터널 이름과 관련된 이름을 사용하면 도움이 됩니다.
    • 수동 구성 방법을 사용하는 경우 ip-address-0ip-address-1을 구성하는 HA VPN 게이트웨이 인터페이스의 BGP IP 주소로 바꿉니다. 터널마다 서로 다른 게이트웨이 인터페이스를 사용합니다.
    • mask-length30을 사용합니다.
    • tunnel-name-0tunnel-name-1을 구성된 HA VPN 게이트웨이 인터페이스와 연결된 터널로 바꿉니다.

    BGP 인터페이스 및 BGP 피어를 구성하는 자동 또는 수동 구성 방법을 선택합니다.

    자동

    Google Cloud가 링크-로컬 BGP IP 주소를 자동으로 선택하도록 하려면 다음 단계를 따르세요.

    첫 번째 VPN 터널의 경우

    1. Cloud Router에 BGP 인터페이스를 추가합니다.

      gcloud compute routers add-interface router-name \
          --interface-name router-interface-name-0 \
          --mask-length mask-length \
          --vpn-tunnel tunnel-name-0 \
          --region region
      

      명령어 결과는 다음 예시와 유사하게 표시되어야 합니다.

      Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
      
    2. 첫 번째 터널의 인터페이스에 BGP 피어를 추가합니다 . peer-name을 피어 VPN 인터페이스 이름으로 바꾸고 peer-asn을 피어 VPN 게이트웨이에 구성된 ASN으로 바꿉니다.

      gcloud compute routers add-bgp-peer router-name \
          --peer-name peer-name \
          --peer-asn peer-asn \
          --interface router-interface-name-0 \
          --region region \
      

      명령어 결과는 다음 예시와 유사하게 표시되어야 합니다.

      Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
      

    두 번째 VPN 터널의 경우

    1. Cloud Router에 BGP 인터페이스를 추가합니다.

      gcloud compute routers add-interface router-name \
          --interface-name router-interface-name-1 \
          --mask-length mask-length \
          --vpn-tunnel tunnel-name-1 \
          --region region
      
    2. 두 번째 터널의 인터페이스에 BGP 피어를 추가합니다 . peer-name을 피어 VPN 인터페이스 이름으로 바꾸고 peer-asn을 피어 VPN 게이트웨이에 구성된 ASN으로 바꿉니다.

      gcloud compute routers add-bgp-peer router-name \
          --peer-name peer-name \
          --peer-asn peer-asn \
          --interface router-interface-name-1 \
          --region region \
      

    수동

    Google Cloud BGP 인터페이스 및 피어와 연결된 BGP IP 주소를 수동으로 할당하려면 다음 단계를 따르세요.

    1. 각 VPN 터널에서 /30 블록의 링크-로컬 BGP IP 주소 쌍을 169.254.0.0/16 범위(총 4개 주소) 중에서 결정합니다. 각 터널에 대해 이러한 BGP IP 주소 중 하나를 Cloud Router에 할당하고 다른 BGP IP 주소를 피어 VPN 게이트웨이에 할당합니다. 또한 피어 BGP IP 주소를 사용하도록 피어 VPN 기기를 구성해야 합니다. 아래 명령어에서 다음 옵션을 사용합니다.
      • google-bgp-ip-0은 Cloud VPN 게이트웨이 인터페이스 0의 터널에 대한 Cloud Router 인터페이스의 BGP IP를 나타냅니다. on-prem-bgp-ip-0은 해당 피어의 BGP IP를 나타냅니다.
      • google-bgp-ip-1은 Cloud VPN 게이트웨이 인터페이스 1의 터널에 대한 Cloud Router 인터페이스의 BGP IP를 나타냅니다. on-prem-bgp-ip-1은 해당 피어의 BGP IP를 나타냅니다.

    첫 번째 VPN 터널의 경우

    1. Cloud Router에 BGP 인터페이스를 추가합니다. router-interface-name-0을 바꿔서 인터페이스 이름을 제공합니다.

      gcloud compute routers add-interface router-name \
          --interface-name router-interface-name-0 \
          --vpn-tunnel tunnel-name-0 \
          --ip-address google-bgp-ip-0 \
          --mask-length 30 \
          --region region \
      

      명령어 결과는 다음 예시와 유사하게 표시되어야 합니다.

      Updated [https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a].
      
    2. 인터페이스에 BGP 피어를 추가합니다. peer-name을 피어 이름으로 바꾸고 [PEER_ASN]을 피어 VPN 게이트웨이에 구성된 ASN으로 바꿉니다.

      gcloud compute routers add-bgp-peer router-name \
          --peer-name peer-name \
          --peer-asn peer-asn \
          --interface router-interface_name-0 \
          --peer-ip-address on-prem-bgp-ip-0 \
          --region region \
      

      명령어 결과는 다음 예시와 유사하게 표시되어야 합니다.

      Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
      

    두 번째 VPN 터널의 경우

    1. Cloud Router에 BGP 인터페이스를 추가합니다. router-interface-name-1을 바꿔서 인터페이스 이름을 지정합니다.

      gcloud compute routers add-interface router-name \
          --interface-name router-interface-name-1 \
          --vpn-tunnel tunnel-name-1 \
          --ip-address google-bgp-ip-1 \
          --mask-length 30 \
          --region region \
      
    2. 인터페이스에 BGP 피어를 추가합니다. peer-name을 피어 이름으로 바꾸고 peer-asn을 피어 VPN 게이트웨이에 구성된 ASN으로 바꿉니다.

      gcloud compute routers add-bgp-peer router-name \
          --peer-name peer-name \
          --peer-asn peer-asn \
          --interface router-interface-name-1 \
          --peer-ip-address on-prem-bgp-ip-1 \
          --region region \
      

Cloud Router 구성 확인

  1. Cloud Router가 선택한 BGP IP 주소를 나열합니다. 새 인터페이스를 기존 Cloud Router에 추가한 경우, 새 인터페이스의 BGP IP 주소가 가장 높은 색인 번호로 나열되어야 합니다. 피어 IP 주소는 피어 VPN 게이트웨이를 설정하는 데 사용해야 하는 BGP IP 주소입니다.

     gcloud compute routers get-status router-name \
         --region region \
         --format='flattened(result.bgpPeerStatus[].name,
           result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
    

    2개의 Cloud VPN 터널 (색인 0) 및 (색인 1)을 관리하는 Cloud Router에 대한 예상 출력은 다음 예시와 같습니다.

    • google-bgp-ip-0은 Cloud VPN 게이트웨이 인터페이스 0의 터널에 대한 Cloud Router 인터페이스의 BGP IP를 나타내며, on-prem-bgp-ip-0은 해당 피어의 BGP IP를 나타냅니다.
    • google-bgp-ip-1은 Cloud VPN 게이트웨이 인터페이스 1의 터널에 대한 Cloud Router 인터페이스의 BGP IP를 나타내며, on-prem-bgp-ip-1은 해당 피어의 BGP IP를 나타냅니다.
    result.bgpPeerStatus[0].ipAddress:     169.254.0.1 [GOOGLE_BGP_IP_0]
    result.bgpPeerStatus[0].name:          bgp-peer-tunnel-a-to-on-prem-if-0
    result.bgpPeerStatus[0].peerIpAddress: 169.254.0.2 [ON_PREM_BGP_IP_0]
    result.bgpPeerStatus[1].ipAddress:     169.254.1.1 [GOOGLE_BGP_IP_1]
    result.bgpPeerStatus[1].name:          bgp-peer-tunnel-a-to-on-prem-if-1
    result.bgpPeerStatus[1].peerIpAddress: 169.254.1.2 [ON_PREM_BGP_IP_1]
    

    다음 명령어를 사용하여 Cloud Router 구성의 전체 목록을 가져올 수도 있습니다.

    gcloud compute routers describe router-name \
        --region region
    

    전체 목록은 다음 예시와 같이 표시됩니다.

    bgp:
      advertiseMode: DEFAULT
      asn: 65001
    bgpPeers:
    - interfaceName: if-tunnel-a-to-on-prem-if-0
      ipAddress: 169.254.0.1
      name: bgp-peer-tunnel-a-to-on-prem-if-0
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
    - interfaceName: if-tunnel-a-to-on-prem-if-1
      ipAddress: 169.254.1.1
      name: bgp-peer-tunnel-a-to-on-prem-if-1
      peerAsn: 65004
      peerIpAddress: 169.254.1.2
    creationTimestamp: '2018-10-18T11:58:41.704-07:00'
    id: '4726715617198303502'
    interfaces:
    - ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
      name: if-tunnel-a-to-on-prem-if-0
    - ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
      name: if-tunnel-a-to-on-prem-if-1
      kind: compute#router
      name: router-a
      network: https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a
      region: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1
      selfLink: https://www.googleapis.com/compute/v1/projects/project-id/regions/us-central1/routers/router-a
    
  2. 게이트웨이 구성을 완료하려면 구성 완료를 진행합니다.

API

HA VPN 게이트웨이의 전체 구성을 만들려면 다음 API 명령어를 사용합니다.

1단계: HA VPN 게이트웨이를 만들려면 vpnGateways.insert 메서드를 사용하여 POST 요청을 실행합니다.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnGateways
 {
   "name": "ha-vpn-gw-a",
   "network": "https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a"
 }

2단계: Cloud Router를 만들려면 routers.insert 메서드를 사용하여 POST 요청을 실행합니다.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/project-id/global/networks/network-a"
 }

라우터가 Partner Interconnect와 연결된 Interconnect 연결에 대한 BGP 세션을 관리하지 않는 한 기존 Cloud Router를 사용할 수 있습니다. 그렇지 않으면 다른 Cloud Router를 만듭니다.

3단계: 외부 VPN 게이트웨이 리소스를 만들려면 externalVpnGateways.insert 메서드를 사용하여 POST 요청을 실행합니다.

  • 인터페이스가 하나인 외부(피어) VPN 게이트웨이의 경우 아래 예시를 사용하지만 redundancyTypeSINGLE_IP_INTERNALLY_REDUNDANT인 인터페이스 ID와 ipAddress는 하나만 지정합니다.
  • 인터페이스가 두 개인 외부 VPN 게이트웨이 또는 각 인터페이스가 하나인 외부 VPN 게이트웨이의 경우 아래의 TWO_IPS_REDUNDANCY 예시를 사용합니다.
  • 4개의 외부 VPN 인터페이스가 있는 하나 이상의 외부 VPN 게이트웨이의 경우 예를 들어 Amazon Web Services(AWS)에서는 아래 예시를 사용하지만 인터페이스 ID의 인스턴스 4개 및 ipAddress를 지정하고 FOUR_IPS_REDUNDANCYredundancyType을 사용합니다.

 POST https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways
 {
   "name": "my-peer-gateway",
   "interfaces": [
     {
       "id": 0,
       "ipAddress": "192.0.2.1"
     },
     {
       "id": 1,
       "ipAddress": "192.0.2.2"
     }
   ],
   "redundancyType": "TWO_IPS_REDUNDANCY"
 }

4단계: HA VPN 게이트웨이의 각 인터페이스에 하나씩 두 개의 VPN 터널을 만들려면 vpnTunnels.insert 메서드를 사용하여 POST 요청을 실행합니다.

다음 명령어를 입력하여 첫 번째 터널을 만듭니다.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpnTunnels
 {
   "name": "ha-vpn-gw-a-tunnel-0",
   "ikeVersion": 2,
   "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/project-id/global/external-vpn-gateways/my-peer-gateway",
   "peerExternalGatewayInterface": 0,
   "peerIp": "192.0.2.1",
   "router": "https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers/router-a",
   "sharedSecret": "shared_secret",
   "vpnGateway": "https://www.googleapis.com/compute/v1/projects/project-id/regions/region/vpn-gateways/ha-vpn-gw-a",
   "vpnGatewayInterface": 0
 }

두 번째 터널을 만들려면 이 명령어를 반복하되 다음 매개변수를 변경합니다.

  • name
  • peerExternalGatewayInterface
  • peerIp
  • sharedSecret 또는 sharedSecretHash(필요한 경우)
vpnGatewayInterface를 다른 HA VPN 게이트웨이 인터페이스의 값으로 변경합니다. 이 예시에서는 이 값을 1로 변경합니다.

5단계: Cloud Router BGP 인터페이스를 만들려면 routers.patch 메서드 또는 routers.update 메서드를 사용하여 PATCH 또는 UPDATE 요청을 실행합니다. PATCH는 포함한 매개변수만 업데이트합니다. UPDATE는 Cloud Router의 모든 매개변수를 업데이트합니다.

첫 번째 HA VPN 게이트웨이에서 VPN 터널마다 BGP 인터페이스를 만듭니다. 두 번째 BGP 인터페이스의 경우 첫 번째 터널의 ipRange와 동일한 /30 서브넷에서 다른 name, linkedVpnTunnel 이름, ipRange를 사용합니다. 두 번째 HA VPN 게이트웨이에서 각 VPN 터널에 대해 이 단계와 명령어를 반복합니다.

 PATCH https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers/{resourceId}
 {
   "interfaces": [
     {
       "name": "if-tunnel-a-to-on-prem-if-0",
       "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
       "ipRange": "169.254.0.1/30"
      }
    ]
 }

6단계: VPN 터널을 위해 Cloud Router에 BGP 피어를 추가하려면 routers.insert 메서드를 사용하여 POST 요청을 실행합니다. 다른 VPN 터널에 대해 이 명령어를 반복하여 namepeerAsn을 제외한 모든 옵션을 변경합니다.

 POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers
 {
   "name": "router-a",
   "network": "network-a",
   "bgpPeers": [
   {
     "interfaceName": "if-tunnel-a-to-on-prem-if-0",
     "ipAddress": "169.254.0.1",
     "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
     "peerAsn": "65002",
     "peerIpAddress": "169.254.0.2",
     "advertiseMode": "DEFAULT"
    }
  ]
 }

7단계: 빈 요청 본문을 사용하여 routers.getRouterStatus 메서드로 Cloud Router 구성을 확인합니다.

POST https://www.googleapis.com/compute/v1/projects/project-id/regions/region/routers

구성 완료

새 Cloud VPN 게이트웨이와 연결된 VPN 터널을 사용하려면 다음 단계를 완료해야 합니다.

  1. 피어 VPN 게이트웨이를 설정하고 여기에 해당 터널을 구성합니다. 다음 페이지를 참조하세요.
  2. Google Cloud와 피어 네트워크에서 필요에 따라 방화벽 규칙을 구성합니다. 제안 사항은 방화벽 규칙 페이지를 참조하세요.
  3. VPN 터널의 상태를 확인합니다.
VPN 조직 정책 적용

피어 VPN 게이트웨이의 IP 주소를 제한하는 조직 정책 제약조건 적용

기본 VPN 또는 HA VPN 터널을 통해 피어 VPN 게이트웨이에 허용되거나 거부되는 IP 주소 집합을 정의하는 Google Cloud 조직 정책 제약조건을 만들 수 있습니다. 이 제약조건은 이러한 피어 IP 주소의 허용 목록 또는 거부 목록을 포함하며 이 제약조건을 적용한 후에 생성된 Cloud VPN 터널에 적용됩니다. 자세한 내용은 Cloud VPN 개요를 참조하세요.

필수 권한

조직 또는 프로젝트 수준에서 피어 IP 제약조건을 설정하려면 먼저 조직의 조직 정책 관리자(orgpolicy.policyAdmin) 역할을 부여받아야 합니다.

제약조건 설정 방법

조직 정책을 만들고 조직, 폴더 또는 프로젝트와 연결하려면 다음 섹션에 나와 있는 예시를 사용하고 제약조건 사용의 단계를 수행합니다.

Cloud VPN 터널을 통해 특정 피어 IP 주소에서 연결 제한

특정 피어 IP 주소만 허용하려면 다음 단계를 수행합니다.

  1. 다음 명령어를 입력하여 조직 ID를 찾습니다.
    gcloud organizations list

    명령어 결과는 다음 예시와 같이 표시됩니다.

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. 정책을 정의하는 JSON 파일을 만듭니다. 다음 예시와 같이 정책을 JSON 파일로 제공해야 합니다.

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. gcloud Resource Manager set-policy 명령어를 사용하여 조직 정책을 설정합니다. 이때 JSON 파일을 전달하고 이전 단계에서 찾은 organization-id를 사용합니다.

Cloud VPN 터널을 통해 모든 피어 IP에서 연결 제한

새 Cloud VPN 터널 생성을 금지하려면 이 예시 제약조건의 단계를 수행합니다.

  1. 정책을 설정하려는 리소스 계층 구조에서 노드 ID 또는 조직 ID를 찾습니다.
  2. 다음 예시와 같은 JSON 파일을 만듭니다.

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. 특정 피어 IP 주소를 제한하는 데 사용할 동일한 명령어를 입력하여 JSON 파일을 전달합니다.