Cloud VPN

안녕하세요 BTC Hallo팀입니다. 오늘부터는 Cloud VPN에 대해서 소개 해보겠습니다.

 

 

Cloud VPN은 IPsec VPN 연결을 통해 피어 네트워크를 Virtual Private Cloud(VPC) 네트워크에 안전하게 연결합니다. 한 VPN 게이트웨이에서 두 네트워크 사이에서 이동하는 트래픽을 암호화하고 다른 VPN 게이트웨이에서 복호화합니다. 이 작업은 인터넷에서 전송되는 데이터를 보호합니다. Cloud VPN의 두 인스턴스를 서로 연결할 수도 있습니다.

 

 

Cloud VPN 유형

 

Google Cloud는 두 가지 유형의 Cloud VPN 게이트웨이인 HA VPN과 기본 VPN을 제공합니다.

 

 

HA VPN

 

두가지 유형의 VPN중 먼저 HA VPN에 대해서 알아보겠습니다.

HA VPN은 단일 리전에서 IPsec VPN 연결을 통해 온프레미스 네트워크를 VPC 네트워크에 안전하게 연결할 수 있게 해주는 고가용성(HA) Cloud VPN 솔루션입니다. HA VPN은 99.99% 서비스 가용성의 SLA를 제공합니다.

HA VPN 게이트웨이를 만들면 Google Cloud가 두 인터페이스의 고정된 각 번호에 각각 하나씩 외부 IPv4 주소 두 개를 자동으로 선택합니다. 각 IPv4 주소는 고가용성을 지원하기 위해 고유 주소 풀에서 자동으로 선택됩니다. 각 HA VPN 게이트웨이 인터페이스는 터널 여러 개를 지원합니다. HA VPN 게이트웨이를 여러 개 만들 수도 있습니다. HA VPN 게이트웨이를 삭제하면 Google Cloud에서 IP 주소를 재사용할 수 있도록 해제합니다. 활성 인터페이스 한 개와 공용 IP 주소 한 개만 사용하여 HA VPN 게이트웨이를 구성할 수 있습니다. 하지만 이 구성은 99.99% 서비스 가용성 SLA를 제공하지 않습니다.

HA VPN은 미리보기 상태로 IPv6 트래픽 교환을 지원합니다.
HA VPN 게이트웨이는 API 문서와 gcloud 명령어에서 대상 VPN 게이트웨이가 아니라 VPN 게이트웨이라고 합니다. HA VPN 게이트웨이에 대한 전달 규칙을 만들 필요가 없습니다.

HA VPN은 Google Cloud의 외부 VPN 게이트웨이 리소스를 사용하여 Google VPN에 피어 VPN 게이트웨이 또는 게이트웨이에 대한 정보를 제공합니다.

 

 

HA VPN 요구사항

 

HA VPN에서 99.99% 서비스 수준 가용성을 달성하려면 Cloud VPN 구성이 다음 요구사항을 충족해야 합니다.

• HA VPN 게이트웨이를 피어 게이트웨이에 연결하면 99.99% 가용성은 연결의 Google Cloud 측에서만 보장됩니다. 엔드 투 엔드 가용성을 달성하려면 피어 VPN 게이트웨이를 올바르게 구성해야 합니다.
• 양측 모두 Google Cloud 게이트웨이고 제대로 구성된 경우 엔드 투 엔드 99.99% 가용성이 보장됩니다.
• 두 VPN 게이트웨이가 VPC 네트워크에 있을 때 고가용성을 얻으려면 HA VPN 게이트웨이 두 개를 사용해야 하며 둘 다 같은 리전에 있어야 합니다.
• 두 게이트웨이 모두 동일한 리전에 있어야 하지만 VPC 네트워크에 전역 동적 라우팅 모드가 사용될 경우에는 게이트웨이가 서로 공유하는 서브넷 경로를 어떤 리전에도 배치할 수 있습니다. VPC 네트워크에 리전 동적 라우팅 모드가 사용될 경우 동일 리전의 서브넷 경로만 피어 네트워크에 공유됩니다. 학습된 경로는 VPN 터널과 동일한 리전에 있는 서브넷에만 적용됩니다.
• HA VPN 게이트웨이를 다른 HA VPN 게이트웨이에 연결할 때는 게이트웨이가 동일한 IP 스택 유형을 사용해야 합니다. 예를 들어 IPV4_IPV6 스택 유형으로 HA VPN 게이트웨이를 만들 때는 다른 HA VPN 게이트웨이도 IPV4_IPV6로 설정해야 합니다.
• HA VPN은 외부 VPN 게이트웨이에 구성된 경우 Google Cloud IP 주소를 거부합니다. 예를 들어 VM 인스턴스의 외부 IP 주소를 외부 VPN 게이트웨이 리소스에 대한 외부 IP 주소로 사용하는 경우가 있습니다. Google Cloud 네트워크 간에 지원되는 유일한 HA VPN 토폴로지는 Google Cloud 네트워크 간 HA VPN 만들기에 설명된 대로 HA VPN이 양측에서 사용되는 경우입니다.
• Cloud VPN 게이트웨이의 관점에서 2개의 VPN 터널을 구성합니다.
  • 피어 VPN 게이트웨이 기기가 두 개 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 각 터널을 자체 피어 게이트웨이에 연결해야 합니다.
  • 인터페이스가 두 개 있는 단일 피어 VPN 게이트웨이 기기가 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 각 터널을 피어 게이트웨이의 자체 인터페이스에 연결해야 합니다.
  • 인터페이스가 하나 있는 단일 피어 VPN 게이트웨이 기기가 있으면 Cloud VPN 게이트웨이의 각 인터페이스에서 두 터널 모두 피어 게이트웨이의 동일한 인터페이스에 연결해야 합니다.
• 피어 VPN 기기를 적절한 중복성으로 구성해야 합니다. 기기 공급업체는 적절하게 중복된 구성 세부정보를 지정하며, 여기에는 여러 하드웨어 인스턴스가 포함될 수 있습니다. 자세한 내용은 피어 VPN 기기의 공급업체 문서를 참조하세요.
• 피어 기기 두 개가 필요하면 각 피어 기기를 서로 다른 HA VPN 게이트웨이 인터페이스에 연결해야 합니다. 피어 측이 AWS와 같은 다른 클라우드 제공업체이면 AWS 측에서도 VPN 연결을 적절한 중복성으로 구성해야 합니다.
• 피어 VPN 게이트웨이 기기는 동적(BGP) 라우팅을 지원해야 합니다.

다음 다이어그램은 피어 VPN 게이트웨이 두 개에 연결된 HA VPN 게이트웨이의 인터페이스 두 개가 포함된 토폴로지를 나타내는 HA VPN 개념을 보여줍니다.

피어 VPN 게이트웨이 두 개에 대한 HA VPN 게이트웨이

 

 

기본 VPN

 

HA VPN을 도입하기 전에 생성된 모든 Cloud VPN 게이트웨이는 기본 VPN 게이트웨이로 간주됩니다. 
HA VPN과는 달리 기본 VPN 게이트웨이에는 인터페이스 한 개, 외부 IP 주소 한 개가 있으며 동적(BGP) 또는 정적 라우팅(정책 기반 또는 경로 기반)을 사용하는 터널을 지원합니다. 99.9% 서비스 가용성 SLA를 제공합니다.
기본 VPN 게이트웨이는 IPv6를 지원하지 않습니다.

 

이상으로 Cloud VPN의 개요와 그 종류에 대해서 알아보았습니다. 다음주에는 Cloud VPN의 사양에 대한 내용을 알아보도록 하겠습니다.

감사합니다.

 

 

출처:https://cloud.google.com/network-connectivity/docs/vpn/concepts/overview