네트워크 및 터널 라우팅

이 페이지에서는 지원되는 Virtual Private Cloud 네트워크 및 라우팅 옵션을 설명합니다.

지원되는 네트워크

Cloud VPN은 VPC 커스텀 네트워크, 자동 모드 네트워크, 레거시 네트워크를 지원하지만 다음 권장사항을 고려해야 합니다.

  • 이전 네트워크 대신 VPC 네트워크를 사용하세요. 이전 네트워크는 서브넷을 지원하지 않습니다. 전체 네트워크가 단일 범위의 IP 주소를 사용합니다. 이전 네트워크는 VPC 네트워크로 변환할 수 없습니다.

  • 커스텀 모드 VPC 네트워크를 사용하세요. 커스텀 모드의 VPC 네트워크에서는 해당 서브넷에서 사용되는 IP 주소 범위를 완전히 제어할 수 있습니다.

    • Cloud VPN을 사용하여 2개의 VPC 네트워크를 연결할 경우, 자동 모드 네트워크가 해당 서브넷에 대해 동일한 범위의 내부 IP 주소를 사용하기 때문에 최소한 둘 중 하나는 커스텀 모드 네트워크여야 합니다.

    • Cloud VPN에서 사용하기 자동 모드 네트워크 고려 사항을 검토하세요. 자동 모드 네트워크는 네트워크가 추가될 때 새 리전에 새 서브넷을 자동으로 만드는 것을 비롯하여, 각 GCP 리전에서 서브넷을 자동으로 만듭니다. Cloud VPN 터널이 연결되는 네트워크에서는 자동 모드 네트워크에 사용되는 범위의 비공개 IP 주소를 사용하지 마세요.

VPN 터널을 위한 라우팅 옵션

Cloud VPN은 VPN 터널을 위한 동적 및 정적 라우팅 옵션을 지원합니다. 동적 라우팅은 BGP(Border Gateway Protocol)를 사용합니다.

동적(BGP) 라우팅

동적 라우팅은 온프레미스 VPN 게이트웨이가 BGP를 지원할 경우 선호되는 방법입니다. 동적 라우팅은 Cloud Router를 사용하여 경로를 자동으로 관리합니다. 동적 라우팅은 'GCP에 연결' 경로를 온프레미스 VPN 게이트웨이와 공유하고 온프레미스 게이트웨이에서 확인된 온프레미스 네트워크에 대한 경로를 수락합니다. 동적 라우팅은 터널을 삭제하고 다시 만들 필요 없이 BGP를 사용하여 경로를 추가하고 삭제합니다.

온프레미스 라우터는 BGP를 통해 선택 경로를 광고하도록 구성됩니다. Cloud VPN 터널을 위한 Cloud Router의 BGP 인터페이스는 이러한 경로를 확인하고 해당 동적 라우팅 모드에 따라 VPC 네트워크에 이를 적용합니다. 동일한 Cloud Router는 또한 VPC 네트워크에 대한 경로를 온프레미스 게이트웨이와 공유합니다.

정적 라우팅

Cloud VPN은 VPN 터널에 대해 정책 기반 및 경로 기반 정적 라우팅 옵션을 모두 지원합니다. VPN 터널에 대해 동적(BGP) 라우팅 옵션을 사용할 수 없는 경우에만 정적 라우팅 옵션을 고려하세요.

  • 정책 기반 라우팅: 로컬 IP 범위(왼쪽) 및 원격 IP 범위(오른쪽)는 터널 만들기 과정의 일부로 정의됩니다.

  • 경로 기반 VPN: GCP Console을 사용하여 경로 기반 VPN을 만드는 경우, 원격 IP 범위 목록만 지정합니다. 이러한 범위는 VPC 네트워크에서 온프레미스 리소스에 대한 경로를 만들기 위해서만 사용됩니다.

이러한 두 가지 정적 라우팅 옵션에 대한 자세한 내용은 트래픽 선택기를 참조하세요.

트래픽 선택기

트래픽 선택기는 VPN 터널 설정을 위해 사용되는 CIDR 블록 또는 IP 주소 범위 집합을 정의합니다. 이러한 범위는 터널을 위한 IKE 협상의 일부로 사용됩니다. 일부 문헌에서는 트래픽 선택기를 '암호화 도메인'이라고 부릅니다.

트래픽 선택기는 두 가지 유형이 있습니다.

  • 로컬 트래픽 선택기는 VPN 터널을 방출하는 VPN 게이트웨이의 관점에서 로컬 IP 범위(CIDR 블록) 집합을 정의합니다. Cloud VPN 터널에 대해 로컬 트래픽 선택기는 VPC 네트워크의 서브넷에 대해 터널의 '왼쪽 측면'을 나타내는 기본 및 보조 서브넷 IP 범위 집합을 정의합니다.

  • 원격 트래픽 선택기는 VPN 터널을 방출하는 VPN 게이트웨이의 관점에서 원격 IP 범위(CIDR 블록) 집합을 정의합니다. Cloud VPN 터널에 대해 원격 트래픽 선택기는 '오른쪽 측면' 또는 온프레미스 네트워크입니다.

트래픽 선택기는 IKE 핸드셰이크를 설정하기 위해 사용되는 VPN 터널의 고유 부분입니다. 로컬 또는 원격 IP 범위를 변경해야 할 경우, Cloud VPN 터널 및 해당 온프레미스 터널을 삭제하고 다시 만들어야 합니다.

라우팅 옵션 및 트래픽 선택기

로컬 및 원격 트래픽 선택기의 IP 범위(CIDR 블록) 값은 Cloud VPN 터널에서 사용되는 라우팅 옵션에 따라 달라집니다.

터널
라우팅 옵션
로컬
트래픽 선택기
원격
트래픽 선택기
VPC
네트워크 경로
온프레미스
네트워크 경로
동적(BGP) 라우팅 항상
0.0.0.0/0
항상
0.0.0.0/0
커스텀 광고로 수정되지 않은 한, Cloud VPN 터널의 BGP 인터페이스를 관리하는 Cloud Router가 네트워크의 동적 라우팅 모드Cloud Router의 할당량 및 한도에 따라 VPC 네트워크의 서브넷에 대한 경로를 공유합니다. Cloud VPN 터널의 BGP 인터페이스를 관리하는 Cloud Router는 커스텀 경로 제한 및 Cloud Router 할당량 및 한도가 적용되며, 온프레미스 VPN 게이트웨이로 라우터에 전송되는 경로를 확인하고 이를 VPC 네트워크에 커스텀 동적 경로로 추가합니다.
정책 기반 라우팅 구성 가능합니다.
정책 기반 터널 및 트래픽 선택기를 참조하세요.
필수.
정책 기반 터널 및 트래픽 선택기를 참조하세요.
온프레미스 라우터의 VPC 네트워크에 있는 서브넷에 대한 경로를 수동으로 만들고 유지 관리해야 합니다. 커스텀 정적 경로는 개발자가 GCP Console을 사용하여 정책 기반 VPN 터널을 만들 경우에 자동으로 생성됩니다. gcloud를 사용하여 터널을 만들 경우, 추가 gcloud 명령어를 사용하여 경로를 만들어야 합니다. 자세한 내용은 정책 기반 VPN 만들기를 참조하세요.
경로 기반 VPN 항상
0.0.0.0/0
항상
0.0.0.0/0
온프레미스 라우터의 VPC 네트워크에 있는 서브넷에 대한 경로를 수동으로 만들고 유지관리해야 합니다. 커스텀 정적 경로는 개발자가 GCP Console을 사용하여 경로 기반 VPN 터널을 만들 경우에 자동으로 생성됩니다. gcloud를 사용하여 터널을 만들 경우, 추가 gcloud 명령어를 사용하여 경로를 만들어야 합니다. 자세한 내용은 경로 기반 VPN 만들기를 참조하세요.

정책 기반 터널 및 트래픽 선택기

이 섹션에서는 정책 기반 Cloud VPN 터널을 만들 때 트래픽 선택기에 대한 특별한 고려 사항을 설명합니다. 동적(BGP) 라우팅 또는 경로 기반 VPN을 사용하는 VPN 터널에는 적용되지 않습니다.

정책 기반 Cloud VPN 터널을 만들 때 이에 대한 로컬 트래픽 선택기를 지정할 수 있습니다.

  • 커스텀 로컬 트래픽 선택기: 로컬 트래픽 선택기를 VPC 네트워크의 서브넷 집합 또는 VPC 네트워크에서 원하는 IP 범위의 서브넷을 포함하는 RFC 1918 CIDR 집합으로 정의할 수 있습니다. IKEv1은 로컬 트래픽 선택기를 단일 CIDR로 제한합니다.

  • 커스텀 모드 VPC 네트워크: RFC 1918 CIDR로 구성되는 커스텀 로컬 트래픽 선택기를 지정해야 합니다.

  • 자동 모드 VPC 네트워크: 지정되지 않은 경우 로컬 트래픽 선택기는 Cloud VPN 터널과 동일한 리전에서 자동으로 생성된 서브넷의 기본 IP 범위입니다. 자동 모드 네트워크는 리전별로 하나의 서브넷과 잘 정의된 IP 범위를 포함합니다.

  • 레거시 네트워크: 지정되지 않은 경우 로컬 트래픽 선택기는 기존 네트워크의 전체 RFC 1918 IP 주소 범위로 정의됩니다.

정책 기반 Cloud VPN 터널을 만들 때 이에 대한 원격 트래픽 선택기를 지정해야 합니다. GCP Console을 사용하여 Cloud VPN 터널을 만들 때는 원격 트래픽 선택기의 CIDR에 해당하는 대상의 커스텀 정적 경로가 자동으로 생성됩니다. IKEv1은 원격 트래픽 선택기를 단일 CIDR로 제한합니다. 방법은 정책 기반 VPN 만들기를 참조하세요.

트래픽 선택기의 중요한 고려사항

Cloud VPN 정책 기반 터널을 만들기 전에 다음을 고려하세요.

  • 대부분의 VPN 게이트웨이는 패킷의 소스 IP가 터널의 로컬 트래픽 선택기에 포함되고, 패킷의 대상 IP가 터널의 원격 트래픽 선택기에 포함될 경우에만 VPN 터널을 통해 트래픽을 전달합니다. 일부 VPN 장치는 이 요구사항에 해당되지 않습니다.

  • Cloud VPN은 0.0.0.0/0(모든 IP 주소)의 트래픽 선택기 CIDR을 지원합니다. 이 경우에 해당하는지 확인하려면 온프레미스 VPN 게이트웨이와 함께 제공되는 문서를 참조하세요. 두 트래픽 선택기 모두 0.0.0.0/0으로 설정된 정책 기반 VPN 터널을 만드는 것은 경로 기반 VPN을 만드는 것과 기능적으로 동일합니다.

  • Cloud VPN이 IKEv1 및 IKEv2 프로토콜을 구현하는 방법을 알아보려면 트래픽 선택기당 여러 CIDR을 참조하세요.

  • Cloud VPN을 사용하면 VPN을 만든 후 트래픽 선택기를 수정할 수 없습니다. Cloud VPN 터널의 로컬 또는 원격 트래픽 선택기를 변경하려면 터널을 삭제한 다음 다시 만들어야 하지만 Cloud VPN 게이트웨이를 삭제할 필요는 없습니다.

  • 자동 모드 VPC 네트워크를 커스텀 모드 VPC 네트워크로 변환할 경우, 커스텀 서브넷을 추가하거나 자동으로 생성된 서브넷을 삭제하거나 서브넷에 대한 보조 IP 범위를 수정하려면 게이트웨이가 아닌 Cloud VPN 터널을 삭제하고 다시 만들어야 할 수 있습니다. 기존 Cloud VPN 터널이 포함된 VPC 네트워크 모드는 전환하지 않아야 합니다. 자세한 내용은 자동 모드 네트워크 고려 사항을 참조하세요.

또한 일관적이고 예측 가능한 VPN 동작을 위해서는 다음을 확인해야 합니다.

  • 로컬 및 원격 트래픽 선택기가 가능한 한 구체적이어야 합니다.

  • Cloud VPN 로컬 트래픽 선택기가 온프레미스 VPN 게이트웨이에 있는 해당 터널에 구성된 원격 트래픽 선택기와 동일해야 합니다.

  • Cloud VPN 원격 트래픽 선택기가 온프레미스 VPN 게이트웨이에 있는 해당 터널에 구성된 로컬 트래픽 선택기와 동일해야 합니다.

트래픽 선택기당 여러 CIDR

정책 기반 Cloud VPN 터널을 만들 때 IKEv2를 사용하면 트래픽 선택기당 여러 CIDR을 지정할 수 있습니다. Cloud VPN은 IKE 버전에 관계없이 항상 단일 하위 SA를 사용합니다.

다음 표에서는 정책 기반 VPN 터널의 트래픽 선택기당 여러 CIDR에 대한 Cloud VPN 지원 여부를 요약해서 보여줍니다.

IKE 버전 트래픽 선택기당 여러 CIDR
IKEv1 허용하지 않음
IKEv1 프로토콜은 RFC 2407 및 RFC 2409에 정의된 대로 하위 SA(보안 연결)당 단일 CIDR만 지원합니다. Cloud VPN은 VPN 터널당 단일 하위 SA가 필요하므로, IKEv1을 사용할 때 로컬 트래픽 선택기에 대한 단일 CIDR과 원격 트래픽 선택기에 대한 단일 CIDR만 제공할 수 있습니다.

Cloud VPN은 각각 단일 CIDR이 있는 여러 하위 SA와 함께 IKEv1을 사용하여 VPN 터널을 만드는 것을 지원하지 않습니다.
IKEv2 다음 조건이 모두 충족되는 경우 허용
  • 온프레미스 VPN 게이트웨이가 단일 하위 SA(보안 연결)을 사용합니다. 로컬 트래픽 선택기에 대한 모든 CIDR과 원격 트래픽 선택기에 대한 모든 CIDR이 반드시 단일 하위 SA에 있어야 합니다.
  • 구성하는 CIDR 수로 인해 IKE 제안 패킷이 Cloud VPN의 최대 MTU인 1,460바이트를 초과하는 경우가 발생하지 않습니다. Cloud VPN 터널은 IKE가 이 MTU를 초과하는 경우 설정되지 않습니다.
  • 온프레미스 게이트웨이에서 지원하는 CIDRS 수에 대한 제한을 초과하지 않습니다. 자세한 내용은 게이트웨이 공급업체의 문서를 참조하세요.

최대 MTU를 초과하는 IKE 제안 패킷이 생성되지 않도록 트래픽 선택기별로 30개 이하의 CIDR을 사용하는 것이 좋습니다.

트래픽 선택기 전략

온프레미스 VPN 게이트웨이가 VPN 터널당 여러 하위 SA를 만드는 경우 또는 트래픽 선택기당 여러 CIDR로 인해 IKEv2에 대한 IKE 제안이 1,460바이트를 초과하는 경우 다음 전략을 고려하세요.

  1. VPN 터널에 대해 동적 라우팅을 사용합니다. 온프레미스 VPN 게이트웨이는 BGP를 지원합니다. VPN 터널의 로컬 및 원격 트래픽 선택기는 기본적으로 0.0.0.0/0입니다. 경로는 온프레미스 VPN 게이트웨이 및 Cloud VPN 터널과 연결된 Cloud Router 사이에 자동으로 교환됩니다.

  2. 광범위한 단일 CIDR 트래픽 선택기 및 정적 터널 라우팅을 사용합니다.

    • 경로 기반 VPN을 사용합니다. 두 가지 트래픽 선택기 모두 경로 기반 VPN에 대해 0.0.0.0/0으로 정의됩니다. 트래픽 선택기보다 구체적인 경로를 만들 수 있습니다.

    • 정책 기반 라우팅을 사용하고 로컬 및 원격 트래픽 선택기를 가능한 한 광범위하게 구성합니다. 정책 기반 Cloud VPN 터널의 경우, 원격 트래픽 선택기의 CIDR보다 대상이 더 구체적인 VPC 네트워크의 온프레미스 네트워크에 대한 경로를 만들 수 있습니다. 이를 수행하기 위한 가장 간단한 방법은 정책 기반 VPN 만들기 페이지의 gcloud 단계에 따라 VPN 터널과 개별적으로 경로를 만드는 것입니다.

  3. 각 터널이 해당 로컬 트래픽 선택기에 대한 하나의 CIDR 블록과 원격 트래픽 선택기에 대한 하나의 CIDR 블록만 포함하도록 정책 기반 라우팅을 사용하여 여러 Cloud VPN 터널을 만듭니다. 비슷한 방식으로 온프레미스에서도 터널을 구성합니다. Cloud VPN은 게이트웨이별로 여러 터널을 지원하지만, 여러 터널을 사용하기 위해서는 몇 가지 한계가 있습니다.

    • 단일 Cloud VPN 게이트웨이를 사용하여 모든 터널을 지원할 수 있도록 온프레미스 VPN 게이트웨이가 동일한 공개 IP 주소로 종료되는 여러 터널을 지원해야 합니다. 그렇지 않으면, Cloud VPN 게이트웨이별로 별도의 Cloud VPN 게이트웨이를 사용해야 합니다.
    • GCP Console을 사용하여 경로 기반 또는 정책 기반 Cloud VPN 터널을 만들면, 터널 외에도 온프레미스 네트워크에 대한 경로가 자동으로 생성됩니다. 각각 동일한 원격 트래픽 선택기를 사용하는 여러 VPN 터널에 대해 경로가 자동으로 생성될 경우(경로 기반 VPN을 만드는 경우에 해당), VPC 네트워크에서 대상이 모두 동일하지만, 다음 홉이 다른 여러 경로가 포함될 수 있습니다. 그 결과 경로의 적용 가능 여부 및 순서에 따라 트래픽이 VPN 터널에 제공될 때 예측할 수 없거나 예기치 않은 동작이 발생할 수 있습니다. 동적(BGP) 터널 라우팅을 사용하지 않을 경우에는 VPC 네트워크 및 온프레미스 네트워크 모두에서 정적 경로를 신중하게 만들고 검토해야 합니다.

다음 단계

추가 VPN 개념

Cloud VPN 개념에 대한 추가 정보를 보려면 페이지 아래의 탐색 화살표를 사용해서 다음 개념으로 이동하거나 다음 링크를 참조하세요.

VPN 관련

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...