Google Cloud Platform (GCP)으로의 이중 VPN 터널 설정

GCP는 최근 VPN 게이트웨이를 위한 새로운 HA 옵션을 출시했습니다. 이중 VPN 게이트웨이를 선택하면 최대 복원성을 위해 두 개의 IP 주소를 제공합니다. 활성 터널을 모니터링하려면 BGP 활성화가 필요합니다.

이것은 GCP에 대한 가장 복원성 있는 연결을 위한 카토의 권장 사항입니다.

1단계

Cato 관리 애플리케이션에서 네트워크 > IP 할당으로 이동합니다. GCP 사이트에 대한 새로운 PoP 위치를 선택합니다. 할당된 IP 주소는 오른쪽에 나타납니다. IP 주소를 메모해 두십시오. GCP 구성에서 입력해야 합니다.

2단계

GCP에서 하이브리드 연결 → VPN → 클라우드 VPN 게이트웨이로 이동합니다. 새 VPN 게이트웨이를 생성하십시오:

mceclip1.png

이제 세부 정보를 입력하십시오:

  • 이름 - 게이트웨이를 식별할 수 있는 이름

  • VPC 네트워크 - 이것이 여러분의 VPC입니다

  • 지역 - 게이트웨이를 생성하고자 하는 지리적 지역

두 개의 IP 주소를 생성한다고 명시된 것을 주의하세요:

mceclip3.png

3단계

피어 VPN 게이트웨이로 이동하고 새 VPN 게이트웨이를 생성하십시오. 인터페이스 섹션에서 두 개의 인터페이스를 선택하십시오.

mceclip4.png
  • 인터페이스 0 IP 주소: 기본 PoP의 IP를 입력하십시오 (1단계)

  • 인터페이스 1 IP 주소: 백업 PoP의 IP를 입력하십시오 (1단계)

4단계

이제 BGP 피어링을 관리할 클라우드 라우터를 생성해야 합니다. 활성 터널과 백업 터널을 결정하기 위해서는 BGP가 필요합니다.

하이브리드 연결 → 클라우드 라우터로 이동하여 새로운 라우터를 생성하십시오.

Google ASN에는 사설 ASN 값을 사용하십시오 (RFC 1918): 64512에서 65535까지.

5단계

VPN 섹션으로 돌아가서 클라우드 VPN 게이트웨이를 선택하십시오. 최근에 생성된 VPN 게이트웨이를 클릭하고 VPN 터널 추가를 선택하십시오. 피어 VPN 게이트웨이에서 VPN 피어(Cato PoP)를 선택하고 고가용성에서 VPN 터널 쌍 생성이 선택되어 있는지 확인하십시오. 클라우드 라우터에서 최근에 생성된 클라우드 라우터를 선택하십시오.

이제 하단에서 두 개의 VPN 터널을 편집하도록 강제합니다. 각각을 클릭하고 세부 사항을 입력하십시오:

mceclip5.png

각 터널의 이름을 작성하고(마스터/백업) 사전 공유 키를 선택하십시오.

완료되면 마법사가 BGP 구성을 요청할 것입니다. 각 터널에 대해 관련 BGP 설정을 구성합니다:

  • 이름 - BGP 피어링에 대한 이름

  • 피어 ASN - Cato 측에 할당하려는 BGP ASN

  • MED - 기본 터널은 100, 백업은 110

  • 클라우드 라우터 BGP IP - GCP 측의 라우터 IP

    • 169.254.0.0/16 내에서 동일한 /30 CIDR에 속해야 합니다.

    • 해당 /30 네트워크의 브로드캐스트 주소 또는 네트워크 IP 주소를 사용할 수 없습니다.

  • BGP 피어 IP - Cato 측의 라우터 IP

단계 6

Cato 관리 애플리케이션으로 돌아가 IPsec IKEv2 사이트 유형을 생성하십시오 (네트워크 > 사이트를 선택하고 새로 만들기를 클릭하십시오). 다음 사이트 설정을 사용하십시오:

IPsec IKEv2 섹션

  • 서비스 유형: 일반을 선택하십시오.

  • 기본/보조 소스 (송신) IP: 1단계에서 할당된 IP 주소를 선택하십시오.

  • 기본/보조 목적지 IP: GCP의 클라우드 VPN 게이트웨이 IP 주소를 입력하십시오.

  • 기본/보조 비밀번호 설정/변경: 각 터널에 지정한 사전 공유 키를 입력하십시오.

BGP

  • 마스터 및 백업을 위한 두 개의 BGP 피어를 생성하십시오.

  • GCP에서 구성한 대로 이웃 ASN 및 IP입니다.

  • 메트릭: 마스터 용으로 BGP 100를 지정하고 백업 110를 추가하십시오.

  • 빠른 수렴을 위해 유지 시간 및 킵얼라이브 간격을 각각 30 및 10으로 변경할 수 있습니다.

  • 라우팅 - GCP에서 모든 경로를 수락하지 않습니다. GCP 뒤의 서브넷은 일반 Cato 사이트처럼 네트워크 섹션에서 구성해야 합니다. 알림을 위해 기본 경로(하나의 0.0.0.0/0 경로 - Cato를 통한 WAN + 인터넷)와 모든 경로(귀하의 Cato 계정의 모든 네트워크가 GCP에 알림됨 - WAN 트래픽만) 중에서 선택할 수 있습니다.

단계 7

Cato 관리 애플리케이션에서 설정을 저장한 후 얼마 지나지 않아, GCP의 클라우드 VPN 터널 아래에서 두 터널의 BGP 및 VPN에 "설정됨" 상태가 표시되어야 합니다:

mceclip7.png

도움이 되었습니까?

5명 중 5명이 도움이 되었다고 했습니다.

댓글 0개