Cloud VPN 개요

이 페이지에서는 Google Cloud VPN과 관련된 개념을 설명합니다.

가상 사설망(VPN)을 만들려면 VPN 라우팅 옵션 선택을 참조하세요.

소개

Cloud VPN은 IPsec VPN 연결을 통해 온프레미스 네트워크를 Google Cloud Platform(GCP) Virtual Private Cloud(VPC) 네트워크에 안전하게 연결합니다. 두 개의 네트워크 사이로 이동되는 트래픽은 하나의 VPN 게이트웨이에서 암호화된 후 다른 VPN 게이트웨이에서 암호 해독됩니다. 인터넷에서 전송되는 데이터는 이러한 방식으로 보호됩니다.

기능

Cloud VPN에는 다음과 같은 기능이 포함되어 있습니다.

VPN 토폴로지

이 다이어그램은 Cloud VPN 게이트웨이와 온프레미스 VPN 게이트웨이 사이의 간단한 VPN 연결을 보여줍니다.

Cloud VPN에서 온프레미스 호스트는 프로젝트의 VPC 네트워크에 있는 Compute Engine 가상 머신(VM) 인스턴스에 대해 하나 이상의 IPsec VPN 터널을 통해 통신합니다.

VPN 다이어그램(확대하려면 클릭)
VPN 다이어그램(확대하려면 클릭)

하이브리드 네트워크를 위한 VPN 선택

GCP에 대한 하이브리드 네트워킹 연결로 Cloud VPN, Cloud Interconnect - 전용 또는 Cloud Interconnect - 파트너를 사용할지 여부를 확인하려면 상호 연결 유형 선택 방법을 참조하세요. 또한 이 페이지에는 Cloud VPN이 지원하는 VPN 시나리오 유형도 포함됩니다.

용어

VPN 문서에서 사용되는 용어는 다음과 같습니다.

프로젝트 ID
GCP 프로젝트의 ID입니다. 이것은 프로젝트에 대해 사용자가 만든 친숙한 이름인 프로젝트 이름이 아닙니다. ID를 찾으려면 GCP Console에서 프로젝트 ID 열을 확인하세요. 자세한 내용은 프로젝트 식별을 참조하세요.
인터넷 키 교환(IKE)
IKE는 인증을 수행하고 트래픽 암호화를 위한 세션 키를 협상하기 위해 사용되는 프로토콜입니다.
Cloud VPN 게이트웨이
개발자가 프로젝트에서 지정한 구성을 사용하여 Google에서 관리되는 GCP에서 실행되는 가상 VPN 게이트웨이입니다. 각 Cloud VPN 게이트웨이는 지역 외부 IP 주소를 사용하는 지역 리소스입니다. Cloud VPN 게이트웨이는 온프레미스 VPN 게이트웨이 또는 다른 Cloud VPN 게이트웨이에 연결할 수 있습니다.
온프레미스 VPN 게이트웨이
GCP에 없고 Cloud VPN 게이트웨이에 연결된 VPN 게이트웨이는 데이터 센터의 물리적 장치 또는 다른 클라우드 공급자의 네트워크에 있는 물리적 또는 소프트웨어 기반의 VPN 서비스일 수 있습니다. Cloud VPN 지침은 VPC 네트워크의 관점에서 작성되므로 '온프레미스 게이트웨이'는 Cloud VPN 연결되는 게이트웨이입니다.
VPN 터널
VPN 터널은 2개의 VPN 게이트웨이를 연결하고 암호화된 트래픽이 전달되는 가상 매체로 작동합니다. 2개의 VPN 게이트웨이 사이의 연결을 만들기 위해서는 2개의 VPN 터널을 설정해야 합니다. 각 터널은 해당 게이트웨이의 관점에서 연결을 정의합니다. 트래픽은 터널 쌍이 설정된 다음에만 전달될 수 있습니다. Cloud VPN 터널은 항상 특정 Cloud VPN 게이트웨이 리소스와 연결됩니다.

터널 라우팅 옵션

Cloud VPN은 VPN 터널에 대해 서로 다른 세 가지 라우팅 방법을 제공합니다.

동적(BGP) 라우팅
Cloud Router는 해당 또는 온프레미스 VPN 게이트웨이가 지원하는 경우 Border Gateway Protocol(BGP)을 사용하여 Cloud VPN 터널에 대한 경로를 관리할 수 있습니다. 이 라우팅 방법을 사용하면 터널 구성을 변경하지 않아도 경로를 업데이트하고 교환할 수 있습니다. GCP 서브넷 경로는 온프레미스 VPN 게이트웨이로 내보내지고, 온프레미스 VPN 게이트웨이에서 확인된 온프레미스 서브넷 경로는 VPC 네트워크에 적용됩니다. 이러한 두 작업 모두 네트워크의 동적 라우팅 옵션에 따라 수행됩니다. 동적 라우팅은 경로가 변경될 때 터널을 다시 만들 필요가 없기 때문에 권장됩니다.
정책 기반 라우팅
이 라우팅 옵션을 사용할 경우 Cloud VPN 터널을 만들 때 원격 네트워크 IP 범위로컬 서브넷을 지정합니다. Cloud VPN의 관점에서 원격 네트워크 IP 범위는 VPN 터널의 '우측'이고 로컬 서브넷은 '좌측'입니다. GCP는 터널이 생성될 때 원격 네트워크 범위의 각각에 대해 정적 경로를 자동으로 만듭니다. 온프레미스 VPN 게이트웨이에서 해당 터널을 만들 때는 우측과 좌측 범위가 반대로 됩니다.
경로 기반 VPN
이 라우팅 옵션을 사용할 경우에는 원격 네트워크 IP 범위(우측)만 지정합니다. 모든 들어오는 트래픽은 개발자가 수동으로 만든 경로에 따라 터널을 통해 허용됩니다.

네트워크 유형 및 라우팅 옵션에 대한 자세한 내용은 VPC 네트워크 유형 및 라우팅 옵션 선택 페이지를 참조하세요.

사양

VPN 및 GCP 네트워크를 통해 2개 이상의 온프레미스 위치를 서로 연결하는 허브 및 스포크 구성을 만드는 것은 기술적으로 가능하지만 그러한 설정은 서비스 약관을 위반하는 것입니다. 1개 이하의 온프레미스 위치가 관련되어 있으므로 GCP 네트워크의 허브 및 스포크 연결을 만들 수 있습니다.

Cloud VPN의 사양은 다음과 같습니다.

  • Cloud VPN은 VPC 네트워크레거시 네트워크에서 사용할 수 있습니다. VPC의 경우 네트워크의 서브넷에서 사용되는 IP 주소 범위를 완전히 제어할 수 있도록 커스텀 모드가 권장됩니다.

    • 온프레미스 서브넷의 IP 주소 범위가 VPC 네트워크에 있는 서브넷에서 사용되는 IP 주소와 겹치는 경우 라우팅 충돌을 해결하는 방법은 경로 순서를 참조하세요.
  • Cloud VPN은 온프레미스 호스트의 비공개 Google 액세스와 연계하여 사용할 수 있으므로 온프레미스 호스트는 외부 IP 주소가 아니라 내부 IP 주소를 사용하여 Google API 및 서비스에 연결할 수 있습니다. 자세한 내용은 VPC 문서에서 비공개 액세스 옵션을 참조하세요.

  • 각 Cloud VPN 게이트웨이는 다른 Cloud VPN 게이트웨이 또는 온프레미스 VPN 게이트웨이에 연결되어야 합니다.

  • 온프레미스 VPN 게이트웨이는 정적 외부 IP 주소를 포함해야 합니다. Cloud VPN을 구성하려면 해당 IP 주소를 알아야 합니다.

    • 온프레미스 VPN 게이트웨이가 방화벽 뒤에 있는 경우 ESP(IPSec) 프로토콜 및 IKE(UDP 500 및 UDP 4500) 트래픽을 게이트웨이로 전달할 수 있도록 방화벽을 구성해야 합니다. 방화벽이 네트워크 주소 변환(NAT)을 제공하는 경우에는 UDP 캡슐화 및 NAT-T를 참조하세요.
  • Cloud VPN은 인증에 대해 사전 공유 키(공유 비밀번호)만 지원합니다. Cloud VPN 터널을 만들 때 공유 비밀번호를 지정해야 합니다. 온프레미스 게이트웨이에서 터널을 만들 때 동일한 비밀번호를 지정해야 합니다. 강력한 공유 비밀번호를 만들려면 이 가이드라인을 참조하세요.

  • Cloud VPN은 1,460바이트의 최대 전송 단위(MTU)를 사용합니다. 1,460바이트 이하의 MTU를 사용하도록 온프레미스 VPN 게이트웨이를 구성해야 합니다.

    • ESP 오버헤드를 고려하기 위해서는 터널을 통해 트래픽을 전송하는 시스템의 MTU 값을 더 낮은 값으로 설정해야 할 수 있습니다. 자세한 내용 및 권장 사항은 MTU 고려 사항을 참조하세요.
  • Cloud VPN에서는 사전 파편화를 지원하도록 온프레미스 VPN 게이트웨이를 구성해야 합니다. 패킷을 캡슐화하려면 먼저 파편화해야 합니다.

  • Cloud VPN은 4096 패킷 창에 재생 탐지를 사용합니다. 이 기능은 해제할 수 없습니다.

  • Cloud VPN에서 지원되는 암호화 및 구성 매개변수는 지원되는 IKE 암호화를 참조하세요.

유지관리 및 가용성

Cloud VPN은 정기적으로 유지관리가 수행됩니다. 유지관리 중에는 Cloud VPN 터널이 오프라인으로 전환되어 네트워크 트래픽이 잠시 중단됩니다. 유지관리가 완료되면 Cloud VPN 터널이 자동으로 다시 설정됩니다.

Cloud VPN 유지관리는 사전 예고 없이 언제든지 발생할 수 있는 정상적인 운영 작업입니다. 유지관리 기간은 Cloud VPN SLA에 영향을 주지 않도록 충분히 짧게 설계됩니다.

여러 터널을 사용하여 고가용성 VPN 구성을 설계할 수 있습니다. 이를 위한 일부 전략은 중복성 및 높은 처리량 VPN 페이지를 참조하세요.

UDP 캡슐화 및 NAT-T

Cloud VPN은 NAT-T(NAT-Traversal)를 위해 UDP 캡슐화를 통한 일대일 NAT 지원합니다. 일대다 NAT 및 포트 기반 주소 변환은 지원되지 않습니다. 즉, Cloud VPN은 단일 공개 IP 주소를 공유하는 여러 개의 온프레미스 또는 피어 VPN 게이트웨이에 연결할 수 없습니다.

일대일 NAT를 사용할 때는 내부(비공개) 주소가 아닌 공개 IP 주소를 사용하여 자신을 식별하도록 온프레미스 VPN 게이트웨이를 구성해야 합니다. 온프레미스 VPN 게이트웨이에 연결하도록 클라우드 VPN 터널을 구성할 때는 외부 IP 주소를 지정합니다. Cloud VPN은 온프레미스 VPN 게이트웨이가 해당 ID로 외부 IP 주소를 사용할 것으로 기대합니다.

일대일 NAT 이면의 VPN 게이트웨이에 대한 자세한 내용은 문제해결 페이지를 참조하세요.

권장사항

Cloud VPN을 가장 효율적인 방법으로 빌드하기 위해서는 이 권장사항을 따르세요.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...