이 문서에서는 권장 토폴로지와 각 HA VPN 토폴로지에 대한 해당 가용성 서비스수준계약(SLA)을 설명합니다. 기본 VPN 토폴로지는 기본 VPN 토폴로지를 참조하세요. 두 VPN 유형을 포함하여 Cloud VPN에 대한 자세한 내용은 Cloud VPN 개요를 참조하세요.
이 페이지에서 사용되는 용어의 정의는 주요 용어를 참조하세요.
개요
HA VPN은 다음 권장 토폴로지 중 하나를 지원합니다.
피어 VPN 게이트웨이에 Cloud de Confiance 를 연결. 이 토폴로지에서는 고가용성 SLA를 달성하기 위해 HA VPN 게이트웨이에서 VPN 터널 2개가 필요합니다. 이 구성에서 HA VPN에는 일반적인 세 가지 동종 앱 게이트웨이 구성이 있습니다.
- 각각 고유한 IP 주소가 있는 개별 피어 VPN 기기 2개
- 개별 IP 주소 2개가 있는 피어 VPN 게이트웨이 하나
- 1개의 IP 주소가 있는 1개의 피어 VPN 게이트웨이
여러 Cloud de Confiance VPC 네트워크를 연결. 두 개의 Cloud de ConfianceVPC 네트워크를 연결하려면 각 네트워크에 HA VPN 게이트웨이를 만듭니다.
Compute Engine VM 인스턴스에 HA VPN 게이트웨이 연결. 이 토폴로지에서는 HA VPN 게이트웨이를 Compute Engine 가상 머신(VM) 인스턴스에 연결합니다. VM 인스턴스는 동일한 영역 또는 다른 영역에 있을 수 있습니다.
Compute Engine VM 인스턴스의 가용성 SLA는 VPN 연결의 가용성 SLA를 결정합니다.
Cloud Interconnect를 통한 HA VPN. 이 토폴로지에서는 Dedicated Interconnect 또는 Partner Interconnect의 VLAN 연결을 통해 IPsec 암호화 트래픽을 전달하는 HA VPN 터널을 만듭니다.. 피어 VPN 게이트웨이에 내부 IP 주소가 있을 수도 있습니다. 자세한 내용과 아키텍처 다이어그램은 Cloud Interconnect를 통한 HA VPN 배포 아키텍처를 참조하세요.
Cloud de Confiance by S3NS에서 모든 피어 게이트웨이 시나리오는 단일 외부 피어 VPN 리소스로 표시됩니다.
HA VPN의 고가용성 구성
다음 표에서는 다양한 HA VPN 구성에서 제공하는 가용성 SLA를 간략하게 설명합니다.
| 토폴로지 | 설명 | 가용성 SLA |
|---|---|---|
| 피어 VPN 게이트웨이에 Cloud de Confiance 연결 | 개별 피어 VPN 게이트웨이 1~2개에 HA VPN 게이트웨이 연결 | 99.99% |
| HA VPN 게이트웨이를 사용하여 VPC 네트워크 연결 | 각 네트워크에서 HA VPN 게이트웨이를 사용하여 Cloud de Confiance VPC 네트워크 2개를 연결합니다. | 99.99% |
| 여러 영역의 Compute Engine VM 인스턴스에 대한 HA VPN | 외부 IP 주소를 사용하여 Compute Engine VM 인스턴스에 HA VPN 게이트웨이 연결 | 99.9% |
| 단일 Compute Engine VM 인스턴스에 대한 HA VPN | 외부 IP 주소를 사용하여 Compute Engine VM 인스턴스 하나에만 HA VPN 게이트웨이 연결 | 가용성 SLA는 Compute Engine에 대한 메모리 최적화 머신 계열의 단일 VM 인스턴스에 제공된 가용성 SLA에 의해 결정됩니다. 자세한 내용은 Compute Engine 서비스수준계약(SLA)을 참조하세요. |
HA VPN 연결에 최대 가용성 SLA를 보장하려면 HA VPN 게이트웨이에서 피어 VPN 게이트웨이 또는 다른 HA VPN 게이트웨이까지 2개의 터널을 구성하는 것이 좋습니다. 피어 VPN 게이트웨이가 동일한 가용성 SLA를 수신하도록 구성되었는지 확인합니다.
터널 중 하나에 장애가 발생한 경우에도 연결을 유지하려면 HA VPN 게이트웨이의 모든 인터페이스를 피어 게이트웨이 또는 다른 HA VPN 게이트웨이의 모든 인터페이스에 연결합니다.
피어 VPN 게이트웨이에 Cloud de Confiance 연결
HA VPN에는 다음과 같은 세 가지 일반적인 동종 앱 게이트웨이 구성이 있습니다.
- 각각 자체 IP 주소가 있는 2개의 개별 피어 VPN 게이트웨이에 대한 HA VPN 게이트웨이
- 2개의 개별 IP 주소를 사용하는 1개의 피어 VPN 게이트웨이에 대한 HA VPN 게이트웨이
- 1개의 IP 주소를 사용하는 1개의 피어 VPN 게이트웨이에 대한 HA VPN 게이트웨이
이러한 구성을 설정하려면 HA VPN - 피어 VPN 게이트웨이 만들기를 참조하세요.
IPV6_ONLY 또는 IPV4_IPV6 스택 유형으로 HA VPN 게이트웨이를 배포할 경우 VPN 터널이 IPv6 트래픽 교환을 지원할 수 있습니다. VPN 터널에 대해 만드는 BGP 세션에서 IPv6도 사용 설정해야 합니다. 이 시나리오에서는 다음 토폴로지에서 온프레미스 서브넷 및 VPC 서브넷에 IPv6 주소를 할당할 수 있습니다. 자세한 내용은 IPv6 지원을 참조하세요.
2개의 피어 VPN 게이트웨이 연결
피어 측 게이트웨이가 하드웨어 기반인 경우 두 번째 피어 측 게이트웨이가 연결 측에 중복성 및 장애 조치를 제공합니다. 두 번째 물리적 게이트웨이를 사용하면 소프트웨어 업그레이드 또는 기타 예약된 유지보수를 위해 게이트웨이 중 하나를 오프라인으로 전환할 수 있습니다. 또한 물리적 게이트웨이 중 하나에 오류가 발생할 때 사용자를 보호합니다.
이 토폴로지에서는 1개의 HA VPN 게이트웨이가 2개의 피어 VPN 게이트웨이에 연결됩니다. 각 피어 VPN 게이트웨이에는 1개의 인터페이스와 1개의 외부 IP 주소가 있습니다. HA VPN 게이트웨이는 각 피어 VPN 게이트웨이에 하나씩 2개의 터널을 사용합니다.
Cloud de Confiance에서 이 구성의 REDUNDANCY_TYPE은 TWO_IPS_REDUNDANCY 값을 갖습니다.
다음 예시는 99.99% 가용성 SLA를 제공합니다.
2개의 IP 주소로 1개의 피어 VPN 게이트웨이 연결
이 토폴로지에서는 2개의 별도 외부 IP 주소가 있는 1개의 피어 게이트웨이에 연결되는 1개의 HA VPN 게이트웨이에 대해 설명합니다. HA VPN 게이트웨이는 피어 VPN 게이트웨이의 각 외부 IP 주소에 하나씩 2개의 터널을 사용합니다.
Cloud de Confiance에서 이 구성의 REDUNDANCY_TYPE은 TWO_IPS_REDUNDANCY 값을 갖습니다.
다음 예시는 99.99% 가용성 SLA를 제공합니다.
IP 주소 하나로 1개의 피어 VPN 게이트웨이 연결
이 토폴로지에서는 1개의 외부 IP 주소가 있는 1개의 피어 VPN 게이트웨이에 연결되는 1개의 HA VPN 게이트웨이에 대해 설명합니다. HA VPN 게이트웨이는 피어 VPN 게이트웨이의 단일 외부 IP 주소에 2개의 터널을 모두 사용합니다.
Cloud de Confiance에서 이 구성의 REDUNDANCY_TYPE은 SINGLE_IP_INTERNALLY_REDUNDANT 값을 갖습니다.
다음 예시는 99.99% 가용성 SLA를 제공합니다.
99.99% 가용성 SLA 구성
Cloud de Confiance 측에서 99.99% 가용성 SLA를 충족하려면 HA VPN 게이트웨이의 인터페이스 2개 각각에서 피어 게이트웨이의 해당 인터페이스까지 이르는 터널이 있어야 합니다.
동종 앱 게이트웨이에 인터페이스가 2개 있는 경우 각 동종 앱 인터페이스에서 각 HA VPN 게이트웨이 인터페이스까지 이르는 터널 하나씩 터널 2개를 구성하면 99.99% 가용성 SLA에 대한 요구사항을 충족합니다. Cloud de Confiance 측의 99.99% 가용성 SLA에는 풀 메시 구성이 필요하지 않습니다. 이 경우 풀 메시는 각 HA VPN 인터페이스에서 동종 앱 게이트웨이의 인터페이스 2개 각각까지 이르는 터널 2개로 정의됩니다. VPN 공급업체에서 풀 메시 구성을 권장하는지 확인하려면 피어(온프레미스) VPN 게이트웨이의 문서를 참조하거나 VPN 공급업체에 문의하세요.
2개의 동종 앱 인터페이스가 있는 구성에서 HA VPN 게이트웨이의 다음 각 인터페이스에 있는 터널은 동종 앱 게이트웨이 또는 게이트웨이의 해당 인터페이스와 일치합니다.
- HA VPN
interface 0- 동종 앱interface 0 - HA VPN
interface 1- 피어interface 1
예시는 피어 VPN 게이트웨이 2개, 인터페이스 2개 및 피어 VPN 게이트웨이 1개, 인터페이스 2개에 대한 다이어그램에 표시되어 있습니다.
1개의 피어 게이트웨이에 1개의 피어 인터페이스만 있는 경우 각 HA VPN 게이트웨이 인터페이스의 각 터널을 단일 피어 인터페이스에 연결해야 합니다. 피어 VPN 게이트웨이 1개, 인터페이스 1개에 대한 다이어그램을 참조하세요.
다음 예시는 99.99% 가용성 SLA를 제공하지 않습니다.
- HA VPN
interface 0- 피어interface 0
HA VPN의 활성-활성 및 활성-수동 라우팅 옵션
Cloud VPN 터널이 중지하면 자동으로 다시 시작합니다. 전체 가상 VPN 기기가 실패하면 Cloud VPN이 동일한 구성으로 새 기기를 자동으로 인스턴스화합니다. 새 게이트웨이와 터널은 자동으로 연결됩니다.
HA VPN 게이트웨이에 연결된 VPN 터널은 동적(BGP) 라우팅을 사용해야 합니다. HA VPN 터널의 경로 우선순위를 구성하는 방법에 따라 활성-활성 또는 활성-수동 라우팅 구성을 만들 수 있습니다. 이러한 라우팅 구성의 경우 두 VPN 터널이 모두 활성 상태로 유지됩니다.
다음 표에서는 활성-활성 또는 활성-수동 라우팅 구성의 기능을 비교합니다.
| 기능 | active-active | active-passive |
|---|---|---|
| 처리량 | 유효한 총 처리량은 두 터널 모두의 처리량 합계입니다. | 활성 터널을 2개에서 1개로 줄이면 유효한 전체 처리량이 절반으로 줄어들어 연결이 느려지거나 패킷이 손실될 수 있습니다. |
| 경로 공지 | 동종 앱 게이트웨이는 터널마다 동일한 multi-exit discriminator(MED) 값을 사용하여 동종 앱 네트워크의 경로를 공지합니다. Cloud VPN 터널을 관리하는 Cloud Router는 동일한 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다. 동종 앱 네트워크로 전송되는 이그레스 트래픽에는 등가 멀티 경로(ECMP) 라우팅이 사용됩니다. 동일한 Cloud Router는 동일한 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다. 피어 게이트웨이는 ECMP를 사용하여 이러한 경로를 통해 Cloud de Confiance로 이그레스 트래픽을 전송합니다. |
피어 게이트웨이는 터널마다 MED 값이 다른 피어 네트워크의 경로를 공지합니다. Cloud VPN 터널을 관리하는 Cloud Router는 다른 우선순위로 VPC 네트워크에서 이러한 경로를 커스텀 동적 경로로 가져옵니다. 동종 앱 네트워크로 전송되는 이그레스 트래픽은 관련 터널을 사용할 수 있는 한 우선순위가 가장 높은 경로를 사용합니다. 동일한 Cloud Router가 각 터널에 서로 다른 우선순위를 사용하여 VPC 네트워크에 경로를 공지합니다. 피어 게이트웨이는 우선순위가 가장 높은 터널만 사용하여 Cloud de Confiance로 트래픽을 전송할 수 있습니다. |
| 장애 조치 | 터널이 비정상 상태가 되는 경우(예: DPD가 다운되는 경우) Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 경로를 철회합니다. BGP 세션이 다운되면 터널링이 비정상 상태가 되지 않고 Cloud Router가 다음 홉이 사용할 수 없는 터널인 학습된 경로를 삭제합니다. 철회 프로세스는 40~60초가 걸릴 수 있으며 이 기간 중에 패킷이 손실될 수 있습니다. |
터널이 비정상 상태가 되는 경우(예: DPD가 다운되는 경우) Cloud Router는 다음 홉이 사용할 수 없는 터널인 학습된 경로를 철회합니다. BGP 세션이 다운되면 터널링이 비정상 상태가 되지 않고 Cloud Router가 다음 홉이 사용할 수 없는 터널인 학습된 경로를 삭제합니다. 철회 프로세스는 40~60초가 걸릴 수 있으며 이 기간 중에 패킷이 손실될 수 있습니다. 터널을 한 번에 한 개만 사용하므로 첫 번째 터널이 실패하여 장애 조치가 필요한 경우 두 번째 터널이 모든 이그레스 대역폭을 처리할 수 있습니다. |
전체 메시 토폴로지의 활성-수동 라우팅
Cloud Router가 지정된 Cloud VPN 인터페이스를 통해 다른 MED 값과 동일한 프리픽스를 수신할 경우, 우선순위가 가장 높은 경로만 VPC 네트워크로 가져옵니다. 다른 비활성 경로는 Cloud de Confiance 콘솔에 또는 Google Cloud CLI를 통해 표시되지 않습니다. 우선순위가 가장 높은 경로를 사용할 수 없게 되면 Cloud Router가 이를 철회하고 그 다음 최선의 경로를 VPC 네트워크로 자동으로 가져옵니다.
여러 터널 또는 게이트웨이 사용
동종 앱 게이트웨이 구성에 따라 경로 우선순위(MED 값)로 인해 일부 트래픽이 한 터널을 통과하고 다른 트래픽이 다른 터널을 통과하도록 경로를 구성할 수 있습니다. 마찬가지로 Cloud Router가 VPC 네트워크 경로를 공유하는 데 사용하는 기본 우선순위를 조정할 수 있습니다. 이러한 상황은 전적으로 활성-활성이 아니고 전적으로 활성-수동도 아닌 가능한 라우팅 구성을 보여줍니다.
권장 라우팅 옵션
단일 HA VPN 게이트웨이를 사용하는 경우 활성-수동 라우팅 구성을 사용하는 것이 좋습니다. 이 구성을 사용하면 정상 터널 작동 시 관측된 대역폭 용량은 장애 조치 중에 관측된 대역폭 용량과 일치합니다. 앞에서 설명한 다중 게이트웨이 시나리오를 제외하고 관측된 대역폭 한도가 일정하게 유지되므로 이러한 유형의 구성을 더욱 쉽게 관리할 수 있습니다.
여러 HA VPN 게이트웨이를 사용하는 경우 활성-활성 라우팅 구성을 사용하는 것이 좋습니다. 이 구성을 사용하면 정상 터널 작동 시 관측된 대역폭 용량은 최대 대역폭 용량의 2배입니다. 하지만 이 구성은 터널을 효과적으로 언더프로비저닝하지 못하므로 장애 조치 시 트래픽이 손실될 수 있습니다.
HA VPN 게이트웨이를 사용하여 VPC 네트워크 연결
각 네트워크에서 HA VPN 게이트웨이를 사용하여 Cloud de Confiance VPC 네트워크 두 개를 연결할 수 있습니다.
전이 라우팅을 사용하여 두 개 이상의 VPC 네트워크를 연결할 수 있습니다. 전이 라우팅을 사용하려면 허브 VPC 네트워크를 만들고 개별 HA VPN 연결을 사용하여 다른 VPC 네트워크를 이 허브에 연결합니다.
VPC 네트워크 연결
각 네트워크에서 HA VPN 게이트웨이를 사용하여 2개의 VPC 네트워크를 함께 연결할 수 있습니다. 각 HA VPN 게이트웨이는 이름으로 다른 게이트웨이를 식별합니다.
다음 예시는 99.99% 가용성 SLA를 제공합니다.
이 구성을 설정하려면 서로 연결되는 완전히 구성된 HA VPN 게이트웨이 두 개 만들기를 참조하세요.
99.99% 가용성 SLA 구성
99.99% 가용성 SLA를 보장하려면 다음 두 가지가 모두 충족되도록 각 HA VPN 게이트웨이를 터널 2개로 구성합니다.
Tunnel 0은 한 HA VPN 게이트웨이의interface 0을 다른 HA VPN 게이트웨이의interface 0에 연결합니다.Tunnel 1은 한 HA VPN 게이트웨이의interface 1을 다른 HA VPN 게이트웨이의interface 1에 연결합니다.
Compute Engine VM 인스턴스에 HA VPN 게이트웨이 연결
HA VPN을 사용하면 IPsec 구현으로 네트워크 가상 어플라이언스로 작동하는 HA VPN 게이트웨이와 Compute Engine VM 인스턴스 간에 보안 연결을 설정할 수 있습니다. 이 토폴로지는 올바르게 구성된 경우에 99.9% 가용성 SLA를 제공합니다.
HA VPN 게이트웨이를 여러 VM 인스턴스에 연결
이 토폴로지에서 HA VPN 게이트웨이는 Compute Engine VM 인스턴스 2개에 연결됩니다. HA VPN 게이트웨이와 VM은 서로 다른 두 개의 가상 프라이빗 클라우드(VPC) 네트워크에 있습니다. 두 VM은 서로 다른 영역에 있으며 각 VM에는 외부 IP 주소가 있습니다. VM 인스턴스는 피어 VPN 게이트웨이처럼 작동합니다.
이 토폴로지는 특히 HA VPN을 Compute Engine VM 인스턴스에 호스팅된 서드 파티 네트워크 가상 어플라이언스 VM에 연결하려는 경우에 유용합니다. 예를 들어 이 토폴로지를 사용하면 VPN 연결 다운타임 없이 네트워크 가상 어플라이언스 VM 중 하나를 업그레이드할 수 있습니다.
다이어그램에서 HA VPN 게이트웨이는 network-a라는 VPC 네트워크에 있고 두 VM은 network-b에 있습니다. 두 VPC 네트워크 모두 us-central1에 있습니다. network-a의 HA VPN 게이트웨이는 network-b에서 각 VM의 외부 IP 주소로 구성됩니다.이 토폴로지를 사용하여 가용성을 향상시키는 것이 좋습니다.
다음 예시에서는 99.9% 가용성 SLA를 제공합니다.
이 구성을 설정하려면 Compute Engine VM에 HA VPN 연결을 참조하세요.
99.9% 가용성 SLA 구성
99.9% SLA를 충족하려면 HA VPN 게이트웨이의 각 두 인터페이스에서 각 VM의 해당 인터페이스로 터널이 2개 이상 있어야 합니다. 이 토폴로지를 사용하여 가용성 SLA를 높이는 것이 좋습니다.
HA VPN 게이트웨이의 다음 각 인터페이스에 있는 터널 2개는 VM의 인터페이스에 연결됩니다.
us-central1-a영역에서interface 0부터us-central1-vm-a까지 이르는Tunnel 0us-central1-a영역에서interface 1부터us-central1-vm-a까지 이르는Tunnel 1us-central1-b영역에서interface 0부터us-central1-vm-b까지 이르는Tunnel 2us-central1-b영역에서interface 1부터us-central1-vm-b까지 이르는Tunnel 3
단일 VM 인스턴스에 HA VPN 게이트웨이 HA VPN 연결
HA VPN을 사용하면 네트워크 가상 어플라이언스로 작동하고 IPsec VPN 구현을 실행하는 Compute Engine 가상 머신(VM) 인스턴스에 HA VPN 게이트웨이를 연결할 수 있습니다. HA VPN 게이트웨이와 VM은 서로 다른 VPC 2개에 있습니다. VM에는 외부 IP 주소가 있습니다.
전체 가용성은 Compute Engine에 대한 메모리 최적화 머신 계열의 단일 VM 인스턴스에 제공된 가용성 SLA에 의해 결정됩니다. 자세한 내용은 Compute Engine 서비스수준계약(SLA)을 참조하세요.
이 구성을 설정하려면 Compute Engine VM에 HA VPN 연결을 참조하세요.
99.9% 가용성 SLA 구성
99.9% 가용성 SLA를 충족하려면 HA VPN 게이트웨이의 인터페이스 2개 각각에서 Compute Engine VM 인터페이스까지 이르는 터널 2개가 있어야 합니다.
HA VPN 게이트웨이의 다음 각 인터페이스에 있는 터널 2개는 VM의 인터페이스에 연결됩니다.
us-central1-a영역에서interface 0부터us-central1-vm-a까지 이르는Tunnel 0us-central1-a영역에서interface 1부터us-central1-vm-a까지 이르는Tunnel 1
다음 단계
- 고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
- Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결 참조하기