Cloud VPN 개요

이 페이지에서는 Google Cloud VPN과 관련된 개념을 설명합니다.

Cloud VPN은 IPsec VPN 연결을 통해 피어 네트워크를 Virtual Private Cloud(VPC) 네트워크에 안전하게 연결합니다. 한쪽 VPN 게이트웨이에서 두 네트워크 사이의 트래픽 이동을 암호화하고 다른 쪽 VPN 게이트웨이에서 이를 복호화합니다. 인터넷에서 전송되는 데이터가 보호됩니다. Cloud VPN의 두 인스턴스를 서로 연결할 수도 있습니다.

가상 사설망(VPN)을 만들려면 VPN 옵션 선택을 참조하세요.

Cloud VPN 문서에서 사용되는 용어의 정의는 주요 용어를 참조하세요.

하이브리드 네트워킹 솔루션 선택

Google Cloud에 대한 하이브리드 네트워킹 연결로 Cloud VPN, Dedicated Interconnect 또는 Partner Interconnect 사용할지 여부를 확인하려면 다음 리소스를 참조하세요.

Cloud VPN 유형

Google Cloud는 두 가지 유형의 Cloud VPN 게이트웨이인 HA VPN과 기본 VPN을 제공합니다.

HA VPN으로 이동에 대한 자세한 내용은 기본 VPN에서 HA VPN으로 이동을 참조하세요.

HA VPN

HA VPN은 단일 리전의 IPsec VPN 연결을 통해 온프레미스 네트워크를 Virtual Private Cloud 네트워크에 안전하게 연결할 수 있는 고가용성(HA) Cloud VPN 솔루션입니다. HA VPN은 99.99% 서비스 가용성의 SLA를 제공합니다.

HA VPN 게이트웨이를 만들면 Google Cloud가 두 인터페이스의 고정된 각 번호에 대해 하나씩 2개의 외부 IP 주소를 자동으로 선택합니다. 각 IP 주소는 고가용성을 지원하기 위해 고유 주소 풀에서 자동으로 선택됩니다. HA VPN 게이트웨이를 삭제하면 Google Cloud가 재사용할 수 있도록 이러한 주소를 해제합니다.

각 HA VPN 게이트웨이 인터페이스는 여러 터널을 지원합니다. 여러 HA VPN 게이트웨이를 만들 수도 있습니다.

활성 인터페이스 1개와 공용 IP 주소 1개를 사용하여 HA VPN 게이트웨이를 구성할 수 있습니다. 하지만 이 구성은 99.99% 서비스 가용성 SLA를 제공하지 않습니다.

HA VPN 게이트웨이는 API 문서 및 gcloud 명령어에서 대상 VPN 게이트웨이가 아니라 VPN 게이트웨이라고 합니다.

HA VPN 게이트웨이에 대한 전달 규칙을 만들 필요가 없습니다.

HA VPN은 Google Cloud의 외부 VPN 게이트웨이 리소스를 사용하여 Google VPN에 피어 VPN 게이트웨이 또는 게이트웨이에 대한 정보를 제공합니다. 자세한 내용은 외부 VPN 게이트웨이 리소스피어 VPN 게이트웨이에 대한 정의를 참조하세요.

다음 다이어그램은 2개의 피어 VPN 게이트웨이에 연결된 HA VPN 게이트웨이의 2개 인터페이스를 포함하는 토폴로지를 나타내는 HA VPN 개념을 보여줍니다. HA VPN 토폴로지(구성 시나리오)에 대한 자세한 내용은 Cloud VPN 토폴로지 페이지를 참조하세요.


2개의 피어 VPN 게이트웨이에 대한 HA VPN 게이트웨이(확대하려면 클릭)
2개의 피어 VPN 게이트웨이에 대한 HA VPN 게이트웨이(확대하려면 클릭)

HA VPN 요구사항

HA VPN에서 99.99%의 서비스 수준 가용성을 달성하려면 Cloud VPN 구성이 다음 요구사항을 충족해야 합니다.

  • HA VPN 게이트웨이를 피어 게이트웨이에 연결하면 99.99% 가용성은 연결의 Google Cloud 측에서만 보장됩니다. 엔드 투 엔드 가용성을 달성하려면 피어 VPN 게이트웨이를 올바르게 구성해야 합니다.
  • 양측 모두 Google Cloud 게이트웨이이고 제대로 구성된 경우 엔드 투 엔드 99.99% 가용성이 보장됩니다.
  • 두 VPN 게이트웨이가 VPC 네트워크에 있을 때 고가용성을 얻으려면 2개의 HA VPN 게이트웨이를 사용해야 하며 둘 다 같은 리전에 있어야 합니다. 두 게이트웨이 모두 같은 리전에 있어야 하지만, Virtual Private Cloud 네트워크가 전역 동적 라우팅 모드를 사용하는 경우 서로 공유하는 서브넷의 경로는 어느 리전에든 있을 수 있습니다. VPC 네트워크가 리전별 동적 라우팅 모드를 사용하는 경우 동일한 리전의 서브넷의 경로만 피어 네트워크와 공유되며 학습된 경로는 VPN 터널과 동일한 리전의 서브넷에만 적용됩니다. VPC 네트워크의 동적 라우팅 모드에 대한 자세한 내용은 VPC 네트워크 개요를 참조하세요.
  • HA VPN은 외부 VPN 게이트웨이 리소스에서 구성된 경우 Google Cloud IP 주소를 거부합니다. 이 예시에서는 외부 VPN 게이트웨이 리소스의 외부 IP 주소로 VM 인스턴스의 외부 IP 주소를 사용합니다. 지원되는 HA VPN Google Cloud - Google Cloud 토폴로지는 Google Cloud - Google Cloud VPN HA VPN 게이트웨이 만들기에 설명된 대로 HA VPN이 양측에서 사용되는 경우입니다.
  • Cloud VPN 게이트웨이의 관점에서 2개의 VPN 터널을 구성해야 합니다.
    • 2개의 피어 VPN 게이트웨이 기기가 있는 경우 Cloud VPN 게이트웨이의 각 인터페이스에서 각 터널을 자체 피어 게이트웨이에 연결해야 합니다.
    • 2개의 인터페이스가 있는 단일 피어 VPN 게이트웨이 기기가 있는 경우 Cloud VPN 게이트웨이의 각 인터페이스에서 각 터널을 피어 게이트웨이의 자체 인터페이스에 연결해야 합니다.
    • 단일 인터페이스가 있는 단일 피어 VPN 게이트웨이 기기가 있는 경우 Cloud VPN 게이트웨이의 각 인터페이스에서 두 터널 모두 피어 게이트웨이의 동일한 인터페이스에 연결해야 합니다.
  • 피어 VPN 기기는 적절한 중복성으로 구성해야 합니다. 적절한 중복 구성에 대한 세부정보는 기기 공급업체에서 지정하며 여러 하드웨어 인스턴스를 포함할 수도 있고 포함하지 않을 수도 있습니다. 자세한 내용은 피어 VPN 기기의 공급업체 문서를 참조하세요. 2개의 피어 기기가 필요한 경우 각 피어 기기를 다른 HA VPN 게이트웨이 인터페이스에 연결해야 합니다. 피어 측이 AWS와 같은 다른 클라우드 제공업체인 경우 AWS 측에도 VPN 연결을 적절한 중복성으로 구성해야 합니다.
  • 피어 VPN 게이트웨이 기기는 동적(BGP) 라우팅을 지원해야 합니다.

기본 VPN

반면 기본 VPN 게이트웨이에는 단일 인터페이스, 단일 외부 IP 주소가 있으며 동적(BGP) 또는 정적 라우팅(경로 기반 또는 정책 기반)을 사용하는 터널을 지원합니다. 99.9% 서비스 가용성의 SLA를 제공합니다.

지원되는 기본 VPN 토폴로지는 기본 VPN 토폴로지 페이지를 참조하세요.

기본 VPN은 API 문서 및 gcloud 명령어에서 대상 VPN 게이트웨이라고 합니다.

비교표

다음 표에서는 HA VPN 기능과 기본 VPN 기능을 비교합니다.

기능 HA VPN 기본 VPN
SLA 2개의 인터페이스와 2개의 외부 IP로 구성된 경우 99.99% SLA 제공 99.9% SLA 제공
외부 IP 및 전달 규칙 만들기 풀에서 생성된 공개 IP 전달 규칙이 필요하지 않음 공개 IP 및 전달 규칙을 만들어야 함
라우팅 옵션 지원 동적 라우팅(BGP)만 BGP를 사용한 정적 라우팅(정책 기반, 경로 기반) 또는 동적 라우팅
Cloud VPN 게이트웨이에서 동일한 피어 게이트웨이로의 2개 터널 지원 지원되지 않음
API 리소스 vpn-gateway 리소스라고 함 target-vpn-gateway 리소스라고 함

사양

Cloud VPN의 사양은 다음과 같습니다.

  • Cloud VPN은 VPC 네트워크 및 레거시 네트워크에서 사용할 수 있습니다. VPC의 경우 네트워크의 서브넷에서 사용되는 IP 주소 범위를 완전히 제어할 수 있도록 커스텀 모드가 권장됩니다. 자세한 내용은 일반적인 VPC 네트워크, 레거시 네트워크, 커스텀 모드 네트워크에 대한 문서를 참조하세요.

    • 기본 VPN 및 HA VPN 게이트웨이는 인터넷 라우팅이 가능한 외부 IPv4 주소를 사용합니다. 이 주소에는 ESP, UDP 500, UDP 4500 트래픽만 허용됩니다. 이는 기본 VPN에 구성된 Cloud VPN 주소 또는 HA VPN에 자동으로 할당된 주소에 적용됩니다.

    • 온프레미스 서브넷의 IP 주소 범위가 VPC 네트워크에 있는 서브넷에서 사용되는 IP 주소와 겹치는 경우 라우팅 충돌을 해결하는 방법은 경로 순서를 참조하세요.

  • Cloud VPN은 온프레미스 호스트에는 비공개 Google 액세스와 함께 사용할 수 있습니다. 자세한 내용은 비공개 Google 액세스 옵션을 참조하세요.

  • 각 Cloud VPN 게이트웨이는 다른 Cloud VPN 게이트웨이 또는 피어 VPN 게이트웨이에 연결되어야 합니다.

  • 피어 VPN 게이트웨이에는 인터넷 라우팅이 가능한 정적 외부 IPv4 주소를 포함해야 합니다. Cloud VPN을 구성하려면 IP 주소를 알아야 합니다.

    • 피어 VPN 게이트웨이가 방화벽 뒤에 있는 경우 ESP(IPsec) 프로토콜 및 IKE(UDP 500 및 UDP 4500) 트래픽을 게이트웨이로 전달할 수 있도록 방화벽을 구성해야 합니다. 방화벽이 네트워크 주소 변환(NAT)을 제공하는 경우에는 UDP 캡슐화 및 NAT-T를 참조하세요.
  • Cloud VPN에서는 사전 파편화를 지원하도록 피어 VPN 게이트웨이를 구성해야 합니다. 패킷을 캡슐화하려면 먼저 파편화해야 합니다.

  • Cloud VPN은 4096 패킷 창에 재생 탐지를 사용합니다. 이 기능은 해제할 수 없습니다.

네트워크 대역폭

각 Cloud VPN 터널은 최대 3Gbps를 지원할 수 있습니다. 실제 대역폭은 다음과 같은 몇 가지 요인에 따라 달라집니다.

  • Cloud VPN 게이트웨이와 피어 게이트웨이 사이의 네트워크 연결:
    • 두 게이트웨이 간의 네트워크 대역폭. Google과의 다이렉트 피어링 관계를 설정하면 VPN 트래픽이 공개 인터넷을 통해 전송되는 경우보다 처리량이 증가합니다.
    • 왕복 시간(RTT) 및 패킷 손실률. RTT 또는 패킷 손실률이 높아지면 TCP 성능이 크게 저하됩니다.
  • 피어 VPN 게이트웨이의 기능. 자세한 내용은 해당 기기 문서를 참조하세요.
  • 패킷 크기. Cloud VPN은 1,460바이트의 최대 전송 단위(MTU)를 사용합니다. 1,460바이트 이하의 MTU를 사용하도록 피어 VPN 게이트웨이를 구성해야 합니다. 처리는 패킷별 기준에 따라 수행되므로 더 작은 패킷 숫자가 클수록 전체 처리량이 줄어들 수 있습니다. ESP 오버헤드를 고려하기 위해서는 VPN 터널을 통해 트래픽을 전송하는 시스템의 MTU 값을 터널의 MTU 보다 더 낮은 값으로 설정해야 할 수 있습니다. 자세한 내용 및 권장 사항은 MTU 고려 사항을 참조하세요.
  • 패킷 속도. 인그레스 및 이그레스의 경우 각 Cloud VPN 터널의 권장 최대 패킷 속도는 25만pps(초당 패킷)입니다. 패킷을 더 빠른 속도로 전송해야 하는 경우 VPN 터널을 더 만들어야 합니다.

VPN 터널의 TCP 대역폭을 측정할 때 동시에 두 개 이상의 TCP 스트림을 측정해야 합니다. iperf 도구를 사용 중인 경우 -P 매개변수를 사용하여 동시 스트림 수를 지정합니다.

IPsec 및 IKE 지원

Cloud VPN은 들어오는 인증 패킷에 대해 정책 관련 필터링을 수행하지 않습니다. 나가는 패킷은 Cloud VPN 게이트웨이에 구성된 IP 범위를 기준으로 필터링됩니다.

  • Cloud VPN은 인증에 대해 사전 공유 키(공유 보안 비밀)만 지원합니다. Cloud VPN 터널을 만들 때 공유 보안 비밀을 지정해야 합니다. 피어 게이트웨이에서 터널을 만들 때 동일한 보안 비밀을 지정해야 합니다. 강력한 공유 보안 비밀을 만들려면 이 가이드라인을 참조하세요.

  • Cloud VPN에서 지원되는 암호화 및 구성 매개변수는 지원되는 IKE 암호화를 참조하세요.

UDP 캡슐화 및 NAT-T

Cloud VPN에서 NAT-T를 지원하도록 피어 기기를 구성하는 방법에 대한 자세한 내용은 고급 개요의 UDP 및 NAT-T 섹션을 참조하세요.

전송 네트워크인 Cloud VPN

Cloud VPN을 사용하기 전에 Google Cloud 서비스별 약관을 주의 깊게 검토하시기 바랍니다.

전송 네트워크인 VPC 네트워크를 통해 트래픽을 전달할 목적으로만 2개 이상의 온프레미스 네트워크를 연결하기 위해 Cloud VPN 터널을 사용하지 마세요. 이러한 허브 및 스포크 구성은 Google Cloud 서비스별 약관 위반입니다.

HA VPN의 active/active 및 active/passive 라우팅 옵션

Cloud VPN 터널이 작동 중지되면 자동으로 다시 시작됩니다. 전체 가상 VPN 기기가 실패하면 Cloud VPN이 동일한 구성으로 새 기기를 자동으로 인스턴스화합니다. 새 게이트웨이와 터널은 자동으로 연결됩니다.

HA VPN 게이트웨이에 연결된 VPN 터널은 동적(BGP) 라우팅을 사용해야 합니다. HA VPN 터널의 경로 우선순위를 구성하는 방법에 따라 active/active 또는 active/passive 라우팅 구성을 만들 수 있습니다. 이러한 라우팅 구성의 경우 두 VPN 터널이 모두 활성 상태로 유지됩니다.

다음 표에서는 active/active 또는 active/passive 라우팅 구성의 기능을 비교합니다.

기능 active/active active/passive
처리량 유효한 총 처리량은 두 터널의 총 처리량입니다. 활성 터널을 2개에서 1개로 줄이면 유효한 전체 처리량이 절반으로 줄어들어 연결이 느려지거나 패킷이 손실될 수 있습니다.
경로 공지 피어 게이트웨이는 각 터널의 동일한 MED 값을 가진 피어 네트워크의 경로를 공지합니다. Cloud VPN 터널을 관리하는 Cloud Router는 동일한 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다.

피어 네트워크로 전송되는 이그레스 트래픽은 등가 멀티 경로(ECMP) 라우팅을 사용합니다. 동일한 Cloud Router는 동일한 우선 순위를 사용하여 VPC 네트워크에 경로를 공지합니다. 피어 게이트웨이는 이러한 경로를 사용하여 ECMP를 통해 이그레스 트래픽을 Google Cloud로 보낼 수 있습니다.
피어 게이트웨이는 각 터널의 다른 MED 값을 가진 피어 네트워크의 경로를 공지합니다. Cloud VPN 터널을 관리하는 Cloud Router는 다른 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다.

피어 네트워크로 전송되는 이그레스 트래픽은 관련 터널을 사용할 수 있는 한 가장 우선순위가 높은 경로를 사용합니다. 동일한 Cloud Router는 각 터널에 다른 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다. 피어 게이트웨이는 우선순위가 가장 높은 터널을 사용하여 트래픽을 Google Cloud로만 전송할 수 있습니다.
장애 조치 하나의 터널을 사용할 수 없게 되면 Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 커스텀 동적 경로를 철회합니다. 이 철회 절차는 패킷 손실이 예상되는 최대 40초가 걸릴 수 있습니다. 한 번에 최대 1개의 터널을 사용하므로 첫 번째 터널에 장애가 발생하여 장애 조치가 필요한 경우 두 번째 터널이 모든 이그레스 대역폭을 처리할 수 있습니다.

하나의 터널을 사용할 수 없게 되면 Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 커스텀 동적 경로를 철회합니다. 이 철회 절차는 패킷 손실이 예상되는 최대 40초가 걸릴 수 있습니다.

여러 터널 또는 게이트웨이 사용

피어 게이트웨이 구성에 따라 일부 트래픽이 하나의 터널을 통과하고 다른 트래픽이 경로 우선순위(MED 값)로 인해 다른 터널을 통과하도록 경로를 구성할 수 있습니다. 마찬가지로 Cloud Router가 VPC 네트워크 경로를 공유하는 데 사용하는 기본 우선순위를 조정할 수 있습니다. 이러한 상황은 전적으로 active/active가 아니고 전적으로 active/passive도 아닌 가능한 라우팅 구성을 보여줍니다.

단일 HA VPN 게이트웨이를 사용하는 경우 active/passive 라우팅 구성을 사용하는 것이 좋습니다. 이 구성을 사용하면 정상 터널 작동 시 관측된 대역폭 용량은 장애 조치 중에 관측된 대역폭 용량과 일치합니다. 이전에 설명한 다중 게이트웨이 시나리오를 제외하고 관측 된 대역폭 한도가 일정하게 유지되기 때문에 이러한 유형의 구성은 더 쉽게 관리할 수 있습니다.

여러 HA VPN 게이트웨이를 사용하는 경우 active/active 구성을 사용하는 것이 좋습니다. 이 구성을 사용하면 정상 작동 시 관측된 대역폭 용량은 보장된 대역폭 용량의 2배입니다. 하지만 이 구성은 터널을 효과적으로 프로비저닝하지 못하므로 장애 조치 시 트래픽이 손실될 수 있습니다.

유지보수 및 가용성

Cloud VPN은 정기적으로 유지보수가 수행됩니다. 유지보수 중에는 Cloud VPN 터널이 오프라인으로 전환되어 네트워크 트래픽이 잠시 중단됩니다. 유지보수가 완료되면 Cloud VPN 터널이 자동으로 다시 설정됩니다.

Cloud VPN 유지보수는 사전 예고 없이 언제든지 발생할 수 있는 정상적인 운영 작업입니다. 유지보수 기간은 Cloud VPN SLA에 영향을 주지 않도록 충분히 짧게 설계됩니다.

HA VPN은 가용성이 높은(HA) VPN을 구성하는 데 권장되는 방법입니다. 구성 옵션은 HA VPN 토폴로지 페이지를 참조하세요. 기본 VPN을 중복 및 높은 처리량 옵션으로 사용하는 경우 기본 VPN 토폴로지 페이지를 참조하세요.

권장사항

Cloud VPN을 가장 효율적인 방법으로 빌드하기 위해서는 이 권장사항을 따르세요.

다음 단계

  • 다른 유형의 Cloud VPN 게이트웨이를 설정하려면 VPN 옵션 선택을 참조하세요.
  • 고가용성, 높은 처리량 시나리오 또는 다중 서브넷 시나리오에 대한 자세한 내용은 고급 구성을 참조하세요.
  • 커스텀 VPC 네트워크를 만들려면 커스텀 모드 네트워크 만들기를 참조하세요.
  • VPN 터널 및 게이트웨이를 관리하려면 VPN 유지관리를 참조하세요.
  • Cloud Logging 및 Cloud Monitoring 측정항목을 보려면 로그 및 측정항목 보기를 참조하세요.
  • Cloud VPN와 관련된 일반적인 문제를 모니터링하고 해결하려면 문제해결을 참조하세요.