Cloud VPN(2)

안녕하세요 BTC Hallo팀입니다. 이번주에는 지난주에 이어서 Cloud VPN에 대해서 알아보겠습니다. 먼저 지난번에 소개해 드렸던 내용을 간단하게 표로 보여드리겠습니다.

비교표

사양

Cloud VPN의 사양은 다음과 같습니다.

• Cloud VPN은 이 섹션에 나열된 요구사항에 따라 사이트 간 IPsec VPN 연결만 지원합니다. 클라이언트-게이트웨이 시나리오는 지원하지 않습니다. 즉, Cloud VPN은 클라이언트 컴퓨터가 클라이언트 VPN 소프트웨어를 사용하여 VPN에 '전화 접속'해야 하는 사용 사례를 지원하지 않습니다.
• Cloud VPN은 IPsec만 지원합니다. 다른 VPN 기술(예: SSL VPN)은 지원되지 않습니다.
• Cloud VPN은 VPC 네트워크와 레거시 네트워크에서 사용할 수 있습니다. VPC 네트워크의 경우 네트워크의 서브넷에 사용되는 IP 주소 범위를 완전히 제어할 수 있도록 커스텀 모드 VPC 네트워크가 권장됩니다.
  
  • 기본 VPN 게이트웨이와 HA VPN 게이트웨이는 인터넷 라우팅이 가능한 외부 IPv4 주소를 사용합니다. 이 주소에는 ESP, UDP 500, UDP 4500 트래픽만 허용됩니다. 이는 기본 VPN에 구성된 Cloud VPN 주소 또는 HA VPN에 자동으로 할당된 IP 주소에 적용됩니다.
• 다음 Cloud VPN 트래픽은 Google의 프로덕션 네트워크에 남아 있습니다.
  • HA VPN 게이트웨이 2개 사이
  • 기본 VPN 게이트웨이 2개 사이
  • 기본 VPN 게이트웨이와 VPN 게이트웨이로 작동하는 Compute Engine VM의 외부 IP 주소 사이
• Cloud VPN은 온프레미스 호스트를 위한 비공개 Google 액세스와 함께 사용될 수 있습니다.
• 각 Cloud VPN 게이트웨이를 다른 Cloud VPN 게이트웨이 또는 피어 VPN 게이트웨이에 연결해야 합니다.
• 피어 VPN 게이트웨이에는 인터넷 라우팅이 가능한 정적 외부 IPv4 주소가 포함되어야 합니다. Cloud VPN을 구성하려면 이 IP 주소가 필요합니다.
• 피어 VPN 게이트웨이가 방화벽 규칙 뒤에 있으면 ESP(IPsec) 프로토콜과 IKE(UDP 500 및 UDP 4500) 트래픽을 게이트웨이로 전달할 수 있도록 방화벽 규칙을 구성해야 합니다.
• Cloud VPN에서는 사전 파편화를 지원하도록 피어 VPN 게이트웨이를 구성해야 합니다. 패킷을 캡슐화하기 전에 파편화해야 합니다.
• Cloud VPN은 4096 패킷 창에 재생 탐지를 사용합니다. 이 기능을 중지할 수 없습니다.
• Cloud VPN은 GRE 트래픽을 지원합니다. GRE 지원을 이용하면 인터넷(외부 IP 주소) 및 Cloud VPN 또는 Cloud Interconnect(내부 IP 주소)로부터 VM에서 GRE 트래픽을 종료할 수 있습니다. 그런 다음 캡슐화 해제된 트래픽을 연결 가능한 대상으로 전달할 수 있습니다. GRE를 통해 Secure Access Service Edge(SASE) 및 SD-WAN과 같은 서비스를 사용할 수 있습니다. GRE 트래픽을 허용하려면 방화벽 규칙을 만들어야 합니다.
• HA VPN 터널은 IPv6 트래픽 교환을 지원하지만 기본 VPN 터널은 이를 지원하지 않습니다. IPv6에 대한 HA VPN 지원은 미리보기 상태입니다.

네트워크 대역폭

각 Cloud VPN 터널은 인그레스 및 이그레스 트래픽에 대해 초당 최대 3기가비트(Gbps)를 지원할 수 있습니다.

이 한도와 관련된 측정항목은 Sent bytes 및 Received bytes입니다. 측정항목의 단위는 바이트이지만 3Gbps 한도는 초당 비트를 의미합니다. 바이트로 변환하는 경우 한도는 초당 375MB(MBps)입니다. 한도 대비 사용량을 측정하는 경우 변환된 한도인 375MBps와 비교하여 Sent bytes 및 Received bytes의 합계를 사용합니다.

대역폭에 영향을 미치는 요인

실제 대역폭은 여러 가지 요인에 따라 달라집니다.

• Cloud VPN 게이트웨이와 피어 게이트웨이 사이의 네트워크 연결:
  • 두 게이트웨이 간의 네트워크 대역폭. Google과 다이렉트 피어링 관계를 설정한 경우 VPN 트래픽이 공개 인터넷으로 전송되는 것보다 처리량이 높습니다.
  • 왕복시간 및 패킷 손실률. RTT 또는 패킷 손실률이 높아지면 TCP 성능이 크게 저하됩니다.
• 피어 VPN 게이트웨이의 기능. 자세한 내용은 해당 기기 설명서를 참조하세요.
• 패킷 크기. Cloud VPN은 최대 전송 단위(MTU) 1,460바이트를 사용합니다. 피어 VPN 게이트웨이가 1,460바이트 이하의 MTU를 사용하도록 구성해야 합니다. 처리는 패킷별 기준에 따라 수행되므로 더 작은 패킷 숫자가 클수록 전체 처리량이 줄어들 수 있습니다. ESP 오버헤드를 고려하기 위해 VPN 터널을 통해 트래픽을 전송하는 시스템의 MTU 값을 터널의 MTU보다 작은 값으로 설정해야 할 수 있습니다. 자세한 내용 및 권장 사항은 MTU 고려 사항을 참조하세요.
• 패킷 속도. 인그레스와 이그레스의 경우 각 Cloud VPN 터널의 권장 최대 패킷 속도는 250,000pps(초당 패킷)입니다. 패킷을 더 빠른 속도로 전송해야 하면 VPN 터널을 추가로 만들어야 합니다.

VPN 터널의 TCP 대역폭을 측정할 경우 TCP 스트림 두 개 이상을 동시에 측정해야 합니다. iperf 도구를 사용하는 경우 -P 매개변수를 사용하여 동시 스트림 수를 지정합니다.

 

터널 MTU

 

Cloud VPN은 항상 1460바이트의 MTU를 사용합니다. 터널의 어느 한 측면에서 VM 및 네트워크의 MTU가 더 높으면 Cloud VPN이 MSS 클램핑을 사용해서 TCP MTU 설정을 1460으로 줄입니다. 또한 VPN 게이트웨이가 ICMP 오류 메시지를 사용해서 경로 MTU 검색(PMTUD)을 사용 설정하여 UDP 패킷에 대해 낮은 MTU를 설정할 수 있습니다.

UDP 패킷이 삭제된 경우 터널을 통해 통신하는 특정 VM의 MTU를 줄일 수 있습니다. Windows VM 및 사용자 제공 이미지의 경우 MTU를 낮게 설정하는 것으로 충분합니다. Google 제공 Linux 이미지의 경우 해당 VM에 대해 DHCP MTU 업데이트를 사용 중지해야 합니다.

 

이상으로 Cloud VPN 소개 2번째 시간을 마치도록 하겠습니다. 다음주에 마지막으로 Cloud VPN에 대해서 설명드릴 수 있도록 하겠습니다.

 

출처: https://cloud.google.com/network-connectivity/docs/vpn/concepts/overview?hl=ko