GCP는 최근 VPN 게이트웨이를 위한 새로운 HA 옵션을 출시했습니다. 이중 VPN 게이트웨이를 선택하면 최대 복원성을 위해 두 개의 IP 주소를 제공합니다. 활성 터널을 모니터링하려면 BGP 활성화가 필요합니다.
이것은 GCP에 대한 가장 복원성 있는 연결을 위한 카토의 권장 사항입니다.
1단계
Cato 관리 애플리케이션에서 네트워크 > IP 할당으로 이동합니다. GCP 사이트에 대한 새로운 PoP 위치를 선택합니다. 할당된 IP 주소는 오른쪽에 나타납니다. IP 주소를 메모해 두십시오. GCP 구성에서 입력해야 합니다.
2단계
GCP에서 하이브리드 연결 → VPN → 클라우드 VPN 게이트웨이.로 이동합니다. 새 VPN 게이트웨이를 생성하십시오:
이제 세부 정보를 입력하십시오:
-
이름 - 게이트웨이를 식별할 수 있는 이름
-
VPC 네트워크 - 이것이 여러분의 VPC입니다
-
지역 - 게이트웨이를 생성하고자 하는 지리적 지역
두 개의 IP 주소를 생성한다고 명시된 것을 주의하세요:
3단계
피어 VPN 게이트웨이로 이동하고 새 VPN 게이트웨이를 생성하십시오. 인터페이스 섹션에서 두 개의 인터페이스를 선택하십시오.
-
인터페이스 0 IP 주소: 기본 PoP의 IP를 입력하십시오 (1단계)
-
인터페이스 1 IP 주소: 백업 PoP의 IP를 입력하십시오 (1단계)
4단계
이제 BGP 피어링을 관리할 클라우드 라우터를 생성해야 합니다. 활성 터널과 백업 터널을 결정하기 위해서는 BGP가 필요합니다.
하이브리드 연결 → 클라우드 라우터로 이동하여 새로운 라우터를 생성하십시오.
Google ASN에는 사설 ASN 값을 사용하십시오 (RFC 1918): 64512에서 65535까지.
5단계
VPN 섹션으로 돌아가서 클라우드 VPN 게이트웨이를 선택하십시오. 최근에 생성된 VPN 게이트웨이를 클릭하고 VPN 터널 추가를 선택하십시오. 피어 VPN 게이트웨이에서 VPN 피어(Cato PoP)를 선택하고 고가용성에서 VPN 터널 쌍 생성이 선택되어 있는지 확인하십시오. 클라우드 라우터에서 최근에 생성된 클라우드 라우터를 선택하십시오.
이제 하단에서 두 개의 VPN 터널을 편집하도록 강제합니다. 각각을 클릭하고 세부 사항을 입력하십시오:
각 터널의 이름을 작성하고(마스터/백업) 사전 공유 키를 선택하십시오.
완료되면 마법사가 BGP 구성을 요청할 것입니다. 각 터널에 대해 관련 BGP 설정을 구성합니다:
-
이름 - BGP 피어링에 대한 이름
-
피어 ASN - Cato 측에 할당하려는 BGP ASN
-
MED - 기본 터널은 100, 백업은 110
-
클라우드 라우터 BGP IP - GCP 측의 라우터 IP
-
169.254.0.0/16 내에서 동일한 /30 CIDR에 속해야 합니다.
-
해당 /30 네트워크의 브로드캐스트 주소 또는 네트워크 IP 주소를 사용할 수 없습니다.
-
-
BGP 피어 IP - Cato 측의 라우터 IP
단계 6
Cato 관리 애플리케이션으로 돌아가 IPsec IKEv2 사이트 유형을 생성하십시오 (네트워크 > 사이트를 선택하고 새로 만들기를 클릭하십시오). 다음 사이트 설정을 사용하십시오:
IPsec IKEv2 섹션
-
서비스 유형: 일반을 선택하십시오.
-
기본/보조 소스 (송신) IP: 1단계에서 할당된 IP 주소를 선택하십시오.
-
기본/보조 목적지 IP: GCP의 클라우드 VPN 게이트웨이 IP 주소를 입력하십시오.
-
기본/보조 비밀번호 설정/변경: 각 터널에 지정한 사전 공유 키를 입력하십시오.
BGP
-
마스터 및 백업을 위한 두 개의 BGP 피어를 생성하십시오.
-
GCP에서 구성한 대로 이웃 ASN 및 IP입니다.
-
메트릭: 마스터 용으로 BGP 100를 지정하고 백업 110를 추가하십시오.
-
빠른 수렴을 위해 유지 시간 및 킵얼라이브 간격을 각각 30 및 10으로 변경할 수 있습니다.
-
라우팅 - GCP에서 모든 경로를 수락하지 않습니다. GCP 뒤의 서브넷은 일반 Cato 사이트처럼 네트워크 섹션에서 구성해야 합니다. 알림을 위해 기본 경로(하나의 0.0.0.0/0 경로 - Cato를 통한 WAN + 인터넷)와 모든 경로(귀하의 Cato 계정의 모든 네트워크가 GCP에 알림됨 - WAN 트래픽만) 중에서 선택할 수 있습니다.
단계 7
Cato 관리 애플리케이션에서 설정을 저장한 후 얼마 지나지 않아, GCP의 클라우드 VPN 터널 아래에서 두 터널의 BGP 및 VPN에 "설정됨" 상태가 표시되어야 합니다:
댓글 0개
댓글을 남기려면 로그인하세요.