다음 권장사항은 Cloud VPN의 계획 및 구성에 유용할 수 있습니다.
네트워킹 리소스에 별도의 Google Cloud 프로젝트 사용
Identity and Access Management(IAM) 역할 및 권한을 더 쉽게 구성하려면 가능한 모든 경우에 프로젝트에서 Cloud VPN 및 Cloud Router 리소스를 다른 Google Cloud 리소스와 구분합니다.
라우팅 및 장애 조치
동적 라우팅 선택
동적 라우팅과 Border Gateway Protocol(BGP)을 사용하는 Cloud VPN 게이트웨이를 선택합니다. Google에서는 HA VPN 사용 및 BGP를 지원하는 온프레미스 기기 배포를 권장합니다.
가능한 경우 HA VPN 사용
최고 수준의 가용성을 달성하려면 가능한 경우 HA VPN을 사용하세요.
자세한 내용은 Cloud VPN 개요에서 VPN 유형을 참조하세요.
적절한 터널 구성 선택
HA VPN 터널 수를 기반으로 적절한 터널 구성을 선택합니다.
HA VPN 터널이 2개 있는 경우 활성/수동 터널 구성을 사용합니다.
HA VPN 터널이 3개 이상 있으면 활성/활성 터널 구성을 사용합니다.
자세한 내용은 Cloud VPN 개요에서 다음 섹션을 참조하세요.
안정성
암호화 역할당 하나의 암호화만 사용하여 피어 VPN 게이트웨이 구성
Cloud VPN은 새 보안 연결(SA)이 필요할 때 트래픽의 출처에 따라 IKE 요청의 개시자 또는 응답자 역할을 수행할 수 있습니다.
Cloud VPN이 VPN 연결을 시작하면 Cloud VPN에서 각 암호화 역할의 지원되는 암호화 테이블에 표시된 순서대로 알고리즘을 제안합니다. 제안을 수신하는 피어 측이 알고리즘을 선택합니다.
피어 측이 연결을 시작하면 Cloud VPN에서 각 암호화 역할의 테이블에 표시된 순서를 사용하여 제안에서 암호화를 선택합니다.
개시자 또는 응답자 측에 따라 선택된 암호화가 다를 수 있습니다. 예를 들어 시간이 지나 키 순환 중에 새 보안 연결(SA)이 생성되면 선택된 암호화가 변경될 수도 있습니다. 암호화 선택을 변경하면 성능 또는 MTU와 같은 중요한 터널 특성에 영향을 줄 수 있으므로 암호화 선택이 안정적인지 확인하세요. MTU에 대한 자세한 내용은 MTU 고려사항을 참조하세요.
암호화 선택이 자주 변경되지 않도록 암호화 역할당 하나의 암호화만 제안하고 수락하도록 피어 VPN 게이트웨이를 구성합니다. 이 암호는 Cloud VPN과 피어 VPN 게이트웨이 모두에서 지원되어야 합니다. 각 암호화 역할의 암호화 목록을 제공하지 마세요. 이 권장사항을 따르면 IKE 협상 중에 Cloud VPN 터널 양측에서 항상 동일한 IKE 암호화를 선택합니다.
HA VPN 터널 쌍의 경우 피어 VPN 게이트웨이의 HA VPN 터널 모두를 동일한 암호화 및 IKE 2단계 수명 값을 사용하도록 구성합니다.
보안
VPN 게이트웨이의 방화벽 규칙 설정
Cloud VPN을 통해 이동하는 트래픽에 대한 보안 방화벽 규칙을 만듭니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.
강력한 사전 공유 키 사용
Google에서는 Cloud VPN 터널에 강력한 사전 공유 키를 생성할 것을 권장합니다.
피어 VPN 게이트웨이의 IP 주소 제한
피어 VPN 게이트웨이에 지정할 수 있는 IP 주소를 제한하면 승인되지 않은 VPN 터널이 생성되는 것을 막을 수 있습니다.
자세한 내용은 피어 VPN 게이트웨이의 IP 주소 제한을 참조하세요.
피어 VPN 게이트웨이에 가장 강력한 암호화 구성
피어 VPN 게이트웨이를 구성할 때 피어 VPN 게이트웨이와 Cloud VPN에서 모두 지원하는 가장 강력한 암호화를 각 암호화 역할에 선택합니다.
Cloud VPN에 대해 나열된 제안 순서는 강도별로 정렬되지 않습니다.
지원되는 IKE 암호화 목록은 지원되는 IKE 암호화를 참조하세요.
다음 단계
- 고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
- Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.