동적 라우팅을 사용하여 VPN 터널 만들기

이 페이지에서는 Cloud VPN 게이트웨이와 동적 라우팅을 사용하는 터널을 만드는 방법을 설명합니다. 동적 라우팅에는 BGP(Border Gateway Protocol)가 사용됩니다.

동적 라우팅을 사용할 때는 로컬 또는 원격 트래픽 선택기를 지정하지 않으며, 대신 Cloud Router를 사용합니다. 경로 정보는 동적으로 교환됩니다.

시작하기 전에:

  • GCP에서 동적 라우팅이 작동하는 방법에 대한 정보를 검토합니다.
  • 온프레미스 VPN 게이트웨이가 BGP를 지원하는지 확인합니다.

필수 권한

네트워크 관리자 역할이 있는 프로젝트 소유자 편집자, IAM 구성원이 새로운 Cloud VPN 게이트웨이 및 터널을 만들 수 있습니다.

게이트웨이 및 터널 만들기

콘솔


  1. Google Cloud Platform Console에서 VPN 페이지로 이동합니다.
    VPN 페이지로 이동
  2. 만들기를 클릭합니다.
  3. VPN 연결 만들기 페이지의 Google Compute Engine VPN 게이트웨이 섹션에서 다음 정보를 제공합니다.
    • 이름 - VPN 게이트웨이의 이름입니다. 이름은 나중에 변경할 수 없습니다.
    • 설명 - 선택적으로 설명을 입력합니다.
    • 네트워크 - VPN 게이트웨이 및 터널을 만들 GCP 네트워크를 선택합니다. VPC 네트워크 또는 레거시 네트워크를 사용할 수 있습니다.
    • 리전 - Cloud VPN 게이트웨이 및 터널은 리전별 개체입니다. 게이트웨이를 찾을 GCP 리전을 배치합니다. 다른 리전에 있는 인스턴스 및 다른 리소스는 경로 순서에 따라 이그레스 트래픽에 터널을 사용할 수 있습니다. 최상의 성능을 위해서는 관련 GCP 리소스와 동일한 리전에 게이트웨이 및 터널을 배치하세요.
    • IP 주소 - 리전 외부 IP 주소를 만들거나 기존 주소를 선택합니다.
  4. 새 터널 항목에 대해 터널 섹션에 다음을 제공합니다.
    • 이름 - VPN 터널의 이름입니다. 이름은 나중에 변경할 수 없습니다.
    • 설명 - 선택적으로 설명을 입력합니다.
    • 원격 피어 IP 주소 - 온프레미스 VPN 게이트웨이의 공개 IP 주소를 제공합니다.
    • IKE 버전 - 온프레미스 VPN 게이트웨이에서 지원되는 적합한 IKE 버전을 선택합니다. IKEv2는 온프레미스 장치에서 지원되는 경우에 선호됩니다.
    • 공유 보안 비밀 - 인증을 위해 사용되는 사전 공유 키를 제공합니다. Cloud VPN 터널의 공유 보안 비밀은 온프레미스 VPN 게이트웨이에서 상대 터널을 구성할 때 사용되는 것과 일치해야 합니다. 이 지침에 따라 암호적으로 강력한 공유 보안 비밀을 생성할 수 있습니다.
    • 라우팅 옵션 - 동적(BGP)을 선택합니다.
    • Cloud Router - 기존 Cloud Router를 선택하거나 Cloud Router 만들기를 선택하여 새 항목을 만듭니다. 기존 Cloud Router를 사용하는 경우 새 BGP 세션이 생성되지만, Google ASN이 동일합니다. 새 Cloud Router를 만들도록 선택한 경우 다음 세부정보를 제공하세요.
      • 이름 - Cloud Router의 이름입니다. 이름은 나중에 변경할 수 없습니다.
      • 설명 - 선택적으로 설명을 입력합니다.
      • Google ASN - 비공개 ASN(64512 - 65534, 4200000000 - 4294967294)을 선택합니다. 이 Google ASN은 Cloud Router에서 관리되는 모든 BGP 세션에 사용됩니다. ASN은 나중에 변경할 수 없습니다.
      • 저장 후 계속을 클릭합니다.
    • BGP 세션 - 연필 아이콘을 클릭한 후 다음 세부정보를 제공합니다. 완료되었으면 저장 후 계속을 클릭합니다.
      • 이름 - BGP 세션의 이름입니다. 나중에 변경할 수 없습니다.
      • 피어 ASN - 온프레미스 VPN 게이트웨이에서 사용되는 비공개 ASN(64512 - 65534, 4200000000 - 4294967294)입니다.
      • 공지된 경로 우선순위 - (선택사항) 'GCP에 연결' 경로에 공지할 때 Cloud Router가 사용하는 기본 우선순위입니다. 자세한 내용은 경로 측정항목을 참조하세요. 온프레미스 VPN 게이트웨이는 이를 MED 값으로 가져옵니다.
      • Cloud Router BGP IPBGP 피어 IP - 2개의 BGP 인터페이스 IP 주소는 169.254.0.0/16 블록의 공통 /30 CIDR에 속하는 링크-로컬 IP 주소여야 합니다. 각 BGP IP는 경로 정보 교환을 위해 사용되는 해당 링크-로컬 IP를 정의합니다. 예를 들어 169.254.1.1169.254.1.2는 공통 /30 블록에 속합니다.
  5. 동일한 게이트웨이에 터널을 더 만들어야 할 경우, 터널 추가를 클릭하고 이전 단계를 반복합니다. 터널은 나중에 더 추가할 수 있습니다.
  6. 만들기를 클릭합니다.

gcloud


다음 명령어에서 다음 항목을 바꿉니다.

  • [PROJECT_ID]를 프로젝트 ID로 바꿉니다.
  • [NETWORK]를 GCP 네트워크 이름으로 바꿉니다.
  • [REGION]GCP 리전으로 바꿉니다. 이 리전은 게이트웨이 및 터널을 만들기 위해 필요합니다.
  • [GW_NAME]을 게이트웨이 이름으로 바꿉니다.
  • [GW_IP_NAME]을 게이트웨이에서 사용되는 외부 IP 이름으로 바꿉니다.

다음 명령어 시퀀스를 완성하여 GCP 게이트웨이를 만듭니다.

  1. Cloud VPN 게이트웨이에 대한 리소스를 만듭니다.

    1. 대상 VPN 게이트웨이 객체를 만듭니다.

      gcloud compute target-vpn-gateways create [GW_NAME] \
          --network [NETWORK] \
          --region [REGION] \
          --project [PROJECT_ID]
      
    2. 리전 외부(정적) IP 주소를 예약합니다.

      gcloud compute addresses create [GW_IP_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
    3. 온프레미스 VPN 게이트웨이를 구성할 때 사용할 수 있도록 IP 주소를 기록해 둡니다.

      gcloud compute addresses describe [GW_IP_NAME] \
          --region [REGION] \
          --project [PROJECT_ID] \
          --format='flattened(address)'
      
    4. 3개의 전달 규칙을 만듭니다. 이러한 규칙은 GCP가 ESP(IPSec), UDP 500, UDP 4500 트래픽을 게이트웨이로 전송하도록 지시합니다.

       gcloud compute forwarding-rules create fr-[GW_NAME]-esp \
           --ip-protocol ESP \
           --address [GW_IP_NAME] \
           --target-vpn-gateway [GW_NAME] \
           --region [REGION] \
           --project [PROJECT_ID]
      
      gcloud compute forwarding-rules create fr-[GW_NAME]-udp500 \
          --ip-protocol UDP \
          --ports 500 \
          --address [GW_IP_NAME] \
          --target-vpn-gateway [GW_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
      gcloud compute forwarding-rules create fr-[GW_NAME]-udp4500 \
          --ip-protocol UDP \
          --ports 4500 \
          --address [GW_IP_NAME] \
          --target-vpn-gateway [GW_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
  2. 아직 Cloud Router를 만들지 않았거나, 새 Cloud Router를 만들려는 경우에는 다음 명령어를 사용합니다. [ROUTER_NAME]을 Cloud Router 이름으로 바꾸고 [GOOGLE_ASN]비공개 ASN(64512 - 65534, 4200000000 - 4294967294)으로 바꿉니다. Google ASN은 동일한 Cloud Router에 있는 모든 BGP 세션에 사용되며, 나중에 변경할 수 없습니다.

      gcloud compute routers create [ROUTER_NAME] \
      --asn [GOOGLE_ASN] \
      --network [NETWORK] \
      --region [REGION] \
      --project [PROJECT_ID]
    
  3. 다음 세부정보에 따라 Cloud VPN 터널을 만듭니다.

    • [TUNNEL_NAME]을 터널 이름으로 바꿉니다.
    • [ON_PREM_IP]를 온프레미스 VPN 게이트웨이의 외부 IP 주소로 바꿉니다.
    • [IKE_VERS]1(IKEv1) 또는 2(IKEv2)로 바꿉니다.
    • [SHARED_SECRET]를 공유 보안 비밀로 바꿉니다. Cloud VPN 터널의 공유 보안 비밀은 온프레미스 VPN 게이트웨이에서 상대 터널을 구성할 때 사용되는 것과 일치해야 합니다. 이 지침에 따라 암호적으로 강력한 공유 보안 비밀을 생성할 수 있습니다.
    • [ROUTER_NAME]을 Cloud VPN 터널에 대한 경로를 관리하기 위해 사용하려는 Cloud Router의 이름으로 바꿉니다. Cloud Router는 터널을 만들기 전에 존재해야 합니다.

      gcloud compute vpn-tunnels create [TUNNEL_NAME] \
          --peer-address [ON_PREM_IP] \
          --ike-version [IKE_VERS] \
          --shared-secret [SHARED_SECRET] \
          --router [ROUTER_NAME] \
          --target-vpn-gateway [GW_NAME] \
          --region [REGION] \
          --project [PROJECT_ID]
      
  4. 인터페이스 및 BGP 피어를 만들어서 Cloud Router에 대한 BGP 세션을 구성합니다. 다음 방법 중 하나를 선택합니다.

    • GCP가 링크-로컬 BGP IP 주소를 자동으로 선택하도록 하려면 다음 안내를 따르세요.

      1. Cloud Router에 새 인터페이스를 추가합니다. [INTERFACE_NAME]을 바꿔서 인터페이스 이름을 제공합니다.

        gcloud compute routers add-interface [ROUTER_NAME] \
            --interface-name [INTERFACE_NAME] \
            --vpn-tunnel [TUNNEL_NAME] \
            --region [REGION] \
            --project [PROJECT_ID]
        
      2. 인터페이스에 BGP 피어를 추가합니다. [PEER_NAME]을 피어 이름으로 바꾸고 [PEER_ASN]을 온프레미스 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

        gcloud compute routers add-bgp-peer [ROUTER_NAME] \
            --peer-name [PEER_NAME] \
            --peer-asn [PEER_ASN] \
            --interface [INTERFACE_NAME] \
            --region [REGION] \
            --project [PROJECT_ID]
        
      3. Cloud Router가 선택한 BGP IP 주소를 나열합니다. 새 인터페이스를 기존 Cloud Router에 추가한 경우, 새 인터페이스의 BGP IP 주소가 가장 높은 색인 번호로 나열되어야 합니다. 피어 IP 주소는 온프레미스 VPN 게이트웨이를 구성하기 위해 사용해야 하는 BGP IP입니다.

        gcloud compute routers get-status [ROUTER_NAME] \
             --region [REGION] \
             --project [PROJECT_ID] \
             --format='flattened(result.bgpPeerStatus[].ipAddress, \
             result.bgpPeerStatus[].peerIpAddress)'
        

        단일 Cloud VPN 터널(색인 0)을 관리하는 Cloud Router의 예상 출력은 다음과 같습니다. 여기서 [GOOGLE_BGP_IP]는 Cloud Router 인터페이스의 BGP IP를 나타내고, [ON_PREM_BGP_IP]는 온프레미스 피어의 BGP IP를 나타냅니다.

        result.bgpPeerStatus[0].ipAddress:     [GOOGLE_BGP_IP]
        result.bgpPeerStatus[0].peerIpAddress: [ON_PREM_BGP_IP]
        
    • GCP BGP 인터페이스 및 피어와 연결된 BGP IP 주소를 수동으로 지정하려면 다음 안내를 따르세요.

      1. /30 블록의 링크-로컬 BGP IP 주소 쌍을 169.254.0.0/16 범위 중에서 결정합니다. 다음 명령어에서 [GOOGLE_BGP_IP]를 대체하여 이러한 BGP IP 중 하나를 Cloud Router에 지정합니다. 다른 BGP IP 주소는 온프레미스 VPN 게이트웨이에 사용됩니다. 이 주소를 사용하도록 장치를 구성하고, 아래의 마지막 명령어에서 [ON_PREM_BGP_IP]를 바꿉니다.

      2. Cloud Router에 새 인터페이스를 추가합니다. [INTERFACE_NAME]을 바꿔서 인터페이스 이름을 제공합니다.

        gcloud compute routers add-interface [ROUTER_NAME] \
            --interface-name [INTERFACE_NAME] \
            --vpn-tunnel [TUNNEL_NAME] \
            --ip-address [GOOGLE_BGP_IP] \
            --mask-length 30 \
            --region [REGION] \
            --project [PROJECT_ID]
        
      3. 인터페이스에 BGP 피어를 추가합니다. [PEER_NAME]을 피어 이름으로 바꾸고 [PEER_ASN]을 온프레미스 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

        gcloud compute routers add-bgp-peer [ROUTER_NAME] \
            --peer-name [PEER_NAME] \
            --peer-asn [PEER_ASN] \
            --interface [INTERFACE_NAME] \
            --peer-ip-address [ON_PREM_BGP_IP] \
            --region [REGION] \
            --project [PROJECT_ID]
        

후속 작업 단계

새 Cloud VPN 게이트웨이 및 터널을 사용하려면 먼저 다음 단계를 완료해야 합니다.

  1. 온프레미스 VPN 게이트웨이를 설정하고 여기에서 해당 터널을 구성합니다. 다음 페이지를 참조하세요.
  2. GCP 및 온프레미스 네트워크에서 필요에 따라 방화벽 규칙을 구성합니다. 제안 사항은 방화벽 규칙 페이지를 참조하세요.
  3. 터널의 상태를 확인합니다.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...