[gcp] Cloud VPN

안녕하세요, 지난글인 Cloud Router에서 BGP 서비스를 제공하는 제품 중 Cloud VPN에 대해 알아보겠습니다. 

 

Cloud VPN은 IPsec VPN 연결을 통해 Peer 네트워크를 가상 프라이빗 클라우드(VPC) 네트워크에 안전하게 확장합니다. VPN 연결은 암호화를 처리하는 VPN 게이트웨이 하나와 복호화를 처리하는 다른 VPN 게이트웨이로 네트워크 간에 이동하는 트래픽을 암호화합니다. 이를 통해 전송 중에 데이터를 보호합니다.  공개 인터넷으로 트래픽을 라우팅하는 Cloud VPN을 사용할 수 없습니다. Cloud VPN은 비공개 네트워크 간의 보안 통신을 위해 설계된 것입니다.

Google Cloud에서는 두 가지 유형의 Cloud VPN 게이트웨이를 제공합니다.

• HA VPN
• 기본 VPN

 

HA VPN

HA VPN은 IPsec VPN 연결을 통해 온프레미스 네트워크를 VPC 네트워크에 안전하게 연결할 수 있는 고가용성(HA) Cloud VPN 솔루션입니다. HA VPN은 토폴로지 또는 구성 시나리오에 따라 99.99% 또는 99.9%의 가용성 SLA를 제공할 수 있습니다.

• HA VPN 게이트웨이를 다른 HA VPN 게이트웨이에 연결할 때는 게이트웨이가 동일한 IP 스택 유형을 사용해야 합니다. 예를 들어 IPV4_IPV6 스택 유형으로 HA VPN 게이트웨이를 만들 때는 다른 HA VPN 게이트웨이도 IPV4_IPV6로 설정해야 합니다.
• Cloud VPN 게이트웨이의 관점에서 2개의 VPN 터널을 구성합니다.
• Peer VPN 게이트웨이 기기는 동적 경계 게이트웨이 프로토콜(BGP) 라우팅을 지원해야 합니다.

An HA VPN gateway to two peer VPN gateways

 

 

기본 VPN

HA VPN 출시 전에 생성된 모든 Cloud VPN 게이트웨이는 기본 VPN 게이트웨이로 간주됩니다. HA VPN과는 달리 기본 VPN 게이트웨이에는 인터페이스 하나, 외부 IP 주소 하나가 있으며 정적 라우팅(정책 기반 또는 경로 기반)을 사용하는 터널이 지원됩니다.

단순한 기본 VPN 토폴로지

 

• 기본 VPN 게이트웨이는 99.9% 서비스 가용성의 SLA를 제공합니다.
• Cloud VPN은 IPsec만 지원합니다. 다른 VPN 기술(예: SSL VPN)은 지원되지 않습니다.
• Cloud VPN은 일반 라우팅 캡슐화(GRE) 트래픽을 지원합니다. GRE 지원을 이용하면 인터넷(외부 IP 주소) 및 Cloud VPN 또는 Cloud Interconnect(내부 IP 주소)로부터 VM에서 GRE 트래픽을 종료할 수 있습니다. 그런 다음 캡슐화 해제된 트래픽을 연결 가능한 대상으로 전달할 수 있습니다. GRE를 통해 Secure Access Service Edge(SASE) 및 SD-WAN과 같은 서비스를 사용할 수 있습니다. GRE 트래픽을 허용하려면 방화벽 규칙을 만들어야 합니다.
• HA VPN 터널은 IPv6 트래픽 교환을 지원하지만 기본 VPN 터널은 이를 지원하지 않습니다.

 

 

네트워크 대역폭

각 Cloud VPN 터널은 인그레스 및 이그레스 트래픽에 합계에 대해 초당 최대 250,000개의 패킷을 지원합니다. 터널의 평균 패킷 크기에 따라 초당 250,000개 패킷은 1Gbps~3Gbps 대역폭과 같습니다.

 

 

IPsec 및 IKE 지원

Cloud VPN은 IKE 사전 공유 키(공유 보안 비밀) 및 IKE 암호화를 사용하여 IKEv1 및 IKEv2를 지원합니다. Cloud VPN은 인증에 대해서만 사전 공유 키를 지원합니다. Cloud VPN 터널을 만들 때는 사전 공유 키를 지정합니다. 동종 앱 게이트웨이에서 터널을 만들 때 이와 동일한 사전 공유 키를 지정합니다.

HA VPN에서 IPv6 트래픽을 사용 설정하려면 IKEv2를 사용해야 합니다.

 

 

Cloud VPN에 대한 보다 자세한 내용은 Cloud VPN Docs를 참고하세요.