HA VPN 게이트웨이 - 피어 VPN 게이트웨이 만들기

이 페이지에서는 피어 VPN 게이트웨이에 연결되는 고가용성 VPN 게이트웨이를 만드는 방법을 설명합니다.

HA VPN 게이트웨이는 HA VPN API를 사용하며 99.99% SLA를 제공합니다. 이 구성은 HA VPN 게이트웨이 인터페이스마다 터널이 하나 있는 터널 쌍을 사용합니다. 99.99% SLA를 구현하려면 HA VPN 게이트웨이 인터페이스 모두에 VPN 터널을 구성해야 합니다.

HA VPN에는 두 가지 게이트웨이 구성요소가 있습니다.

  • Google Cloud의 HA VPN 게이트웨이.
  • 피어 VPN 게이트웨이 또는 게이트웨이 - HA VPN 게이트웨이가 연결되는 피어 네트워크의 하나 이상의 실제 VPN 게이트웨이 기기 또는 소프트웨어 애플리케이션. 피어 게이트웨이는 온프레미스 VPN 게이트웨이나 다른 클라우드 제공업체가 호스팅하는 게이트웨이일 수 있습니다.

    각 피어 게이트웨이 기기 또는 서비스에 대해 Google Cloud에서 외부 VPN 게이트웨이 리소스를 만듭니다. 모든 피어 게이트웨이 시나리오는 Google Cloud에서 단일 외부 피어 VPN 리소스로 표시됩니다.

Cloud VPN에 대한 자세한 내용은 다음 리소스를 참조하세요.

Cloud Interconnect를 통한 HA VPN을 배포하려면 Cloud Interconnect를 통한 HA VPN 개요를 참조하세요.

중복화 유형

HA VPN API에는 외부 VPN 게이트웨이 리소스에 대해 구성하는 인터페이스의 개수를 나타내는 REDUNDANCY_TYPE 옵션이 있습니다.

gcloud 명령어는 외부 VPN 게이트웨이 리소스를 구성할 때 인터페이스 ID에 제공하는 인터페이스 개수에서 REDUNDANCY_TYPE 값을 자동으로 추론합니다.

  • 외부 VPN 인터페이스 1개는 SINGLE_IP_INTERNALLY_REDUNDANT입니다.
  • 외부 VPN 인터페이스 2개는 TWO_IPS_REDUNDANCY입니다.
  • 외부 VPN 인터페이스 4개는 FOUR_IPS_REDUNDANCY입니다.

외부 VPN 게이트웨이를 구성할 때 명시된 개수의 외부 VPN 인터페이스에 다음 인터페이스 식별 번호를 사용합니다.

  • 1개의 외부 VPN 인터페이스에는 0 값을 사용합니다.
  • 2개의 외부 VPN 인터페이스에는 01 값을 사용합니다.
  • 4개의 외부 VPN 인터페이스에는 0, 1, 2, 3 값을 사용합니다.

Cloud Router 만들기

새 HA VPN 게이트웨이를 구성할 때는 새 Cloud Router를 만들거나 기존 Cloud VPN 터널 또는 VLAN 첨부가 있는 기존 Cloud Router를 사용할 수 있습니다. 그러나 첨부의 특정 ASN 요구사항으로 인해 사용하는 Cloud Router가 Partner Interconnect 연결과 연관된 VLAN 연결에 대한 BGP 세션을 이미 관리하고 있지 않아야 합니다.

시작하기 전에

동적 라우팅이 Google Cloud에서 작동하는 방식에 대한 정보를 검토합니다.

피어 VPN 게이트웨이가 Border Gateway Protocol(BGP)을 지원하는지 확인합니다.

Cloud VPN을 보다 쉽게 구성할 수 있도록 Google Cloud에서 다음 항목을 설정합니다.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  1. Google Cloud CLI를 사용하는 경우 다음 명령어를 사용하여 프로젝트 ID를 설정합니다. 이 페이지의 gcloud 관련 안내에서는 명령어를 실행하기 전에 프로젝트 ID를 설정했다고 가정합니다.

        gcloud config set project PROJECT_ID
        
  1. 또한 다음 명령어를 실행하여 이미 설정된 프로젝트 ID를 확인할 수 있습니다.

        gcloud config list --format='text(core.project)'
        

커스텀 VPC 네트워크 및 서브넷 만들기

HA VPN 게이트웨이 및 터널 쌍을 만들기 전에 HA VPN 게이트웨이가 있는 리전에 하나의 Virtual Private Cloud(VPC) 네트워크와 하나 이상의 서브넷을 만듭니다.

HA VPN 게이트웨이에 IPv6를 사용 설정하려면 VPC를 만들 때 IPv6 내부 주소 할당을 사용 설정해야 합니다. 또한 IPv6 내부 주소를 사용하도록 서브넷을 구성해야 합니다.

서브넷의 VM에서 IPv6도 구성해야 합니다.

내부 IPv6 주소를 사용하도록 VPC 서브넷을 구성해야 합니다. gcloud CLI를 사용할 때는 --ipv6-access-type=INTERNAL 플래그로 서브넷을 구성합니다. Cloud Router는 외부 IPv6 주소를 사용하도록 구성된 서브넷에 대해 경로를 동적으로 공지하지 않습니다(--ipv6-access-type=EXTERNAL).

VPC 네트워크 및 서브넷에서 내부 IPv6 주소 범위를 사용하는 방법은 내부 IPv6 사양을 참조하세요.

이 문서의 예시에서는 다음과 같은 방식으로 작동하는 VPC 전역 동적 라우팅 모드도 사용합니다.

  • Cloud Router의 모든 인스턴스는 학습한 to on-premises 경로를 VPC 네트워크의 모든 서브넷에 적용합니다.
  • VPC 네트워크의 모든 서브넷 경로는 온프레미스 경로와 공유됩니다.

HA VPN 게이트웨이 및 터널 쌍-피어 VPN 만들기

이 섹션의 안내에 따라 HA VPN 게이트웨이, 피어 VPN 게이트웨이 리소스, 터널 쌍, BGP 세션을 만듭니다.

HA VPN 게이트웨이 만들기

콘솔

VPN 설정 마법사에는 HA VPN 게이트웨이, 피어 VPN 게이트웨이 리소스, 터널, BGP 세션을 만들 수 있는 모든 필수 구성 단계가 포함되어 있습니다.

HA VPN 게이트웨이를 만들려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 VPN 페이지로 이동합니다.

    VPN으로 이동

  2. 게이트웨이를 처음 만드는 경우 VPN 연결 만들기를 클릭합니다.

  3. VPN 설정 마법사를 선택합니다.

  4. VPN 게이트웨이 이름에 HA VPN 게이트웨이의 이름을 입력합니다.

  5. VPC 네트워크는 기존 네트워크 또는 기본 네트워크를 선택합니다.

  6. 리전에서 HA VPN 게이트웨이의 리전을 선택합니다.

  7. VPN 게이트웨이 IP 버전은 HA VPN 게이트웨이 IP 버전을 선택합니다.

    HA VPN 게이트웨이와 피어 VPN 게이트웨이의 IP 버전은 동일해야 합니다.

  8. VPN 게이트웨이 IP 스택 유형에 대해 VPN 게이트웨이의 스택 유형을 선택합니다.

  9. 만들고 계속하기를 클릭합니다.

    콘솔 페이지가 새로고침되고 게이트웨이 정보가 표시됩니다. 게이트웨이 인터페이스마다 외부 IP 주소 두 개가 자동으로 할당됩니다. 이후 구성 단계에서 게이트웨이 구성의 세부정보를 기록해 둡니다.

gcloud

HA VPN 게이트웨이를 만들려면 다음 명령어를 실행합니다. 게이트웨이가 생성되면 각 게이트웨이 인터페이스에 하나씩 두 개의 외부 IP 주소가 자동으로 할당됩니다.

  • IPv4 워크로드만 지원하려면 IPV4_ONLY 스택 유형으로 HA VPN 게이트웨이를 만들 수 있습니다.
  • IPv4 및 IPv6 워크로드를 모두 지원하려면 IPV4_IPV6 스택 유형으로 HA VPN 게이트웨이를 만들 수 있습니다.
  • IPv6 워크로드만 지원하려면 IPV6_ONLY 스택 유형으로 HA VPN 게이트웨이를 만들 수 있습니다.

IPv4 인터페이스로 HA VPN 게이트웨이를 만들려면 다음 명령어를 실행합니다. 게이트웨이가 생성되면 각 게이트웨이 인터페이스에 하나씩 두 개의 외부 IPv4 주소가 자동으로 할당됩니다.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
   [--stack-type=IP_STACK]

다음을 바꿉니다.

  • GW_NAME: 게이트웨이의 이름
  • NETWORK: Google Cloud 네트워크의 이름
  • REGION: 게이트웨이 및 터널을 만들 Google Cloud 리전
  • IP_STACK: 사용할 IP 스택. IPV4_ONLY 또는 IPV4_IPV6를 지정합니다. 이 플래그를 지정하지 않으면 HA VPN 게이트웨이에 대한 스택 유형은 IPV4_ONLY이 됩니다. --stack-type 플래그는 선택사항입니다.

--gateway-ip-version=IPV4를 지정할 수도 있습니다. 하지만 이 플래그는 필요하지 않습니다. 이 플래그를 지정하지 않으면 HA VPN 게이트웨이는 기본적으로 외부 IPv4 주소를 사용합니다.

IPv6 인터페이스로 HA VPN 게이트웨이를 만들려면 다음 명령어를 실행합니다. 게이트웨이가 생성되면 각 게이트웨이 인터페이스에 하나씩 두 개의 외부 IPv6 주소가 자동으로 할당됩니다.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    --gateway-ip-version=IPV6 \
    --stack-type=IP_STACK

다음을 바꿉니다.

  • GW_NAME: 게이트웨이의 이름
  • NETWORK: Google Cloud 네트워크의 이름
  • REGION: 게이트웨이 및 터널을 만들 Google Cloud 리전
  • IP_STACK: 사용할 IP 스택. IPV4_IPV6 또는 IPV6_ONLY를 지정합니다. 이 플래그를 지정하지 않으면 HA VPN 게이트웨이에 대한 스택 유형은 IPV4_IPV6이 됩니다. --stack-type 플래그는 선택사항입니다.

사용자가 만드는 게이트웨이는 다음 예시 출력과 유사하게 표시됩니다. --gateway-ip-version=IPV6를 지정하면 IPv6 인터페이스가 할당됩니다.

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0                 INTERFACE1                NETWORK     REGION
ha-vpn-gw-a   2600:1900:4f00:2:a:49b::   2600:1900:4f10:2:a:6a8::  network-a   us-central1

API

HA VPN 게이트웨이의 전체 구성을 만들려면 다음 섹션에서 API 명령어를 사용하세요. 이 섹션에 사용된 모든 필드 값은 예시 값입니다.

HA VPN 게이트웨이를 만들려면 vpnGateways.insert 메서드를 사용하여 POST 요청을 보냅니다.

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6",
     "gatewayIpVersion": "IPV4"
   }
   POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a",
     "gatewayIpVersion": "IPV6",
     "stackType": "IPV6_ONLY"
   }
  • IPv4 인터페이스로 HA VPN 게이트웨이를 만드는 경우 gatewayIpVersionstackType 필드가 선택사항입니다.

    • stackType을 지정하지 않으면 기본값은 IPV4_ONLY입니다.

    • gatewayIpVersion을 지정하지 않으면 기본값은 IPV4입니다.

    • IPV4gatewayIpVersion이 있는 게이트웨이에 대해 유효한 stackType 값은 IPV4_IPV6 또는 IPV4_ONLY뿐입니다.

  • IPv6 인터페이스로 HA VPN 게이트웨이를 만들 때 IPV6gatewayIpVersion 값으로 지정합니다. stackType 필드는 선택사항입니다.

    • stackType을 지정하지 않으면 기본값은 IPV4_IPV6입니다.

    • IPV6gatewayIpVersion이 있는 게이트웨이에 대해 유효한 stackType 값은 IPV4_IPV6 또는 IPV6_ONLY뿐입니다.

피어 VPN 게이트웨이 리소스 만들기

콘솔

피어 VPN 게이트웨이 리소스는 Google Cloud에서 Google Cloud가 아닌 게이트웨이를 나타냅니다.

피어 VPN 게이트웨이 리소스를 만들려면 다음 단계를 따르세요.

  1. VPN 만들기 페이지의 피어 VPN 게이트웨이에서 온프렘 또는 Google Cloud 외부를 선택합니다.
  2. 피어 VPN 게이트웨이 이름에서 기존 피어 게이트웨이를 선택하거나 새 피어 VPN 게이트웨이 만들기를 클릭합니다.

    기존 게이트웨이를 선택하면 Google Cloud 콘솔은 기존 피어 게이트웨이에 구성된 피어 인터페이스 개수에 따라 구성할 터널의 수를 선택합니다.

    새 피어 게이트웨이를 만들려면 다음 단계를 완료하세요.

    1. 피어 VPN 게이트웨이의 이름을 지정하세요.
    2. 피어 VPN 게이트웨이 인터페이스에서 피어 게이트웨이에 있는 인터페이스 유형에 따라 one, two 또는 four 인터페이스를 선택합니다. 각 유형의 예시는 토폴로지 페이지를 참조하세요.
    3. 각 피어 VPN 인스턴스의 필드에 해당 인터페이스에 사용되는 외부 IP 주소를 지정합니다. 자세한 내용은 피어 VPN 게이트웨이 구성을 참조하세요.
    4. 만들기를 클릭합니다.

gcloud

피어 VPN 게이트웨이에 대한 정보를 Google Cloud에 제공하는 외부 VPN 게이트웨이 리소스를 만듭니다. 피어 VPN 게이트웨이의 고가용성 권장사항에 따라 다음과 같이 온프레미스 VPN 게이트웨이의 여러 유형에 대해 외부 VPN 게이트웨이 리소스를 만들 수 있습니다.

  • 서로 중복되고 각각 고유한 외부 IP 주소가 있는 두 개의 개별 피어 VPN 게이트웨이 기기.
  • 각각 고유한 외부 IP 주소가 있는 두 개의 개별 인터페이스를 사용하는 단일 피어 VPN 게이트웨이. 이러한 유형의 피어 게이트웨이의 경우 두 개의 인터페이스가 있는 단일 외부 VPN 게이트웨이를 만들 수 있습니다.
  • 단일 외부 IP 주소가 있는 단일 피어 VPN 게이트웨이.

옵션 1: 두 개의 개별 피어 VPN 게이트웨이 기기에 대한 외부 VPN 게이트웨이 리소스 만들기

  • 이러한 유형의 피어 게이트웨이의 경우 외부 VPN 게이트웨이의 각 인터페이스에는 하나의 외부 IP 주소가 있으며 각 주소는 피어 VPN 게이트웨이 기기 중 한 대의 주소입니다.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
    

    다음을 바꿉니다.

    • PEER_GW_NAME: 피어 게이트웨이를 나타내는 이름
    • PEER_GW_IP_0: 피어 게이트웨이의 외부 IP 주소
    • PEER_GW_IP_1: 다른 피어 게이트웨이의 외부 IP 주소

    생성된 외부 VPN 게이트웨이 리소스는 PEER_GW_IP_0PEER_GW_IP_1이 피어 게이트웨이 인터페이스의 실제 외부 IP 주소를 표시하는 다음 예시와 비슷합니다.

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME      INTERFACE0    INTERFACE1
    peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
    

옵션 2: 두 개의 개별 인터페이스를 사용하여 단일 피어 VPN 게이트웨이에 대한 외부 VPN 게이트웨이 리소스 만들기

  • 이러한 유형의 피어 게이트웨이의 경우 두 개의 인터페이스로 외부 VPN 게이트웨이를 하나만 만듭니다.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
    

    다음을 바꿉니다.

    • PEER_GW_NAME: 피어 게이트웨이를 나타내는 이름
    • PEER_GW_IP_0: 피어 게이트웨이의 한 인터페이스에 대한 외부 IP 주소
    • PEER_GW_IP_1: 피어 게이트웨이의 다른 인터페이스에 대한 외부 IP 주소입니다.

    생성된 외부 VPN 게이트웨이 리소스는 PEER_GW_IP_0PEER_GW_IP_1이 피어 게이트웨이 인터페이스의 실제 외부 IP 주소를 표시하는 다음 예시와 비슷합니다.

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME     INTERFACE0    INTERFACE1
    peer-gw  PEER_GW_IP_0  PEER_GW_IP_1
    

옵션 3: 단일 외부 IP 주소로 단일 피어 VPN 게이트웨이에 대한 외부 VPN 게이트웨이 리소스 만들기

  • 이러한 유형의 피어 게이트웨이의 경우 하나의 인터페이스로 외부 VPN 게이트웨이를 만듭니다.

    gcloud compute external-vpn-gateways create PEER_GW_NAME \
       --interfaces 0=PEER_GW_IP_0
    

    다음을 바꿉니다.

    • PEER_GW_NAME: 피어 게이트웨이를 나타내는 이름
    • PEER_GW_IP_0: 피어 게이트웨이의 인터페이스에 대한 외부 IP 주소

    생성된 외부 VPN 게이트웨이 리소스는 PEER_GW_IP_0으로 피어 게이트웨이 인터페이스의 실제 외부 IP 주소를 표시하는 다음 예시와 비슷합니다.

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
    NAME       INTERFACE0
    peer-gw    PEER_GW_IP_0
    

API

외부 VPN 게이트웨이 리소스를 만들려면 externalVpnGateways.insert 메서드를 사용하여 POST 요청을 보냅니다.

  • 인터페이스가 하나인 외부(피어) VPN 게이트웨이의 경우 다음 예시를 사용하지만 redundancyTypeSINGLE_IP_INTERNALLY_REDUNDANT인 인터페이스 ID와 ipAddress는 하나만 지정합니다.
  • 인터페이스가 두 개인 외부 VPN 게이트웨이 또는 각 인터페이스가 하나인 외부 VPN 게이트웨이의 경우 TWO_IPS_REDUNDANCY 예시를 사용합니다.
  • 4개의 외부 VPN 인터페이스가 있는 하나 이상의 외부 VPN 게이트웨이의 경우 예를 들어 Amazon Web Services(AWS)에서는 다음 예시를 사용하지만 인터페이스 ID의 인스턴스 4개 및 ipAddress를 지정하고 FOUR_IPS_REDUNDANCYredundancyType을 사용합니다.

     POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
     {
       "name": "my-peer-gateway",
       "interfaces": [
         {
           "id": 0,
           "ipAddress": "192.0.2.1"
         },
         {
           "id": 1,
           "ipAddress": "192.0.2.2"
         }
       ],
       "redundancyType": "TWO_IPS_REDUNDANCY"
     }
    

Cloud Router 만들기

콘솔

Cloud Router에서 아직 Cloud Router를 만들지 않은 경우 다음 옵션을 지정하여 Cloud Router를 만듭니다. Cloud Router가 Cloud NAT에 사용되지 않는 한 기존 Cloud Router를 사용할 수 있습니다.

  1. 새 Cloud Router를 만들려면 다음을 지정합니다.

    • 이름
    • 설명(선택사항)
    • 새 라우터의 Google ASN

    네트워크의 다른 곳에서 사용하지 않는 비공개 ASN(64512~65534, 4200000000~4294967294)을 사용할 수 있습니다. Google ASN은 동일한 Cloud Router의 모든 BGP 세션에 사용되며 나중에 ASN을 변경할 수 없습니다.

  2. 새 라우터를 만들려면 만들기를 클릭합니다.

gcloud

Cloud Router가 Cloud NAT에 사용되지 않는 한 기존 Cloud Router를 사용할 수 있습니다. 그렇지 않으면 다른 Cloud Router를 만듭니다.

Cloud Router를 만들려면 다음 명령어를 실행합니다.

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

다음을 바꿉니다.

  • ROUTER_NAME: Cloud VPN 게이트웨이와 동일한 리전에 있는 Cloud Router의 이름
  • REGION: 게이트웨이 및 터널을 만들 Google Cloud 리전
  • NETWORK: VPC 네트워크의 이름입니다.
  • GOOGLE_ASN: 피어 네트워크에서 아직 사용하고 있지 않은 모든 비공개 ASN(64512~65534, 4200000000~4294967294). Google ASN은 동일한 Cloud Router에 있는 모든 BGP 세션에 사용되며, 나중에 변경할 수 없습니다.

사용자가 만드는 라우터는 다음 예시 출력과 유사하게 표시됩니다.

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

API

Cloud Router가 Cloud NAT에 사용되지 않는 한 기존 Cloud Router를 사용할 수 있습니다. 그렇지 않으면 다른 Cloud Router를 만듭니다.

Cloud Router를 만들려면 routers.insert 메서드를 사용하여 POST 요청을 보냅니다.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

VPN 터널 만들기

콘솔

하나의 인터페이스로 피어 VPN 게이트웨이 리소스를 구성한 경우 VPN 만들기 페이지의 단일 VPN 터널 대화상자에서 단일 터널을 구성합니다. 99.99% SLA를 위해서는 두 번째 터널을 만들어야 합니다.

2개 또는 4개의 인터페이스로 피어 VPN 게이트웨이 리소스를 구성한 경우 VPN 만들기 페이지 하단에 표시되는 관련 대화상자를 구성합니다.

VPN 터널을 만들려면 다음 단계를 따르세요.

  1. 해당하는 경우, 연결된 Cloud VPN 게이트웨이 인터페이스에서 이 터널의 피어 VPN 게이트웨이 인터페이스와 연결할 HA VPN 인터페이스와 IP 주소 조합을 선택합니다.
  2. 연결된 피어 VPN 게이트웨이 인터페이스에서 이 터널 및 HA VPN 인터페이스와 연결하려는 피어 VPN 게이트웨이 인터페이스와 IP 주소 조합을 선택합니다. 이 인터페이스는 실제 피어 라우터의 인터페이스와 일치해야 합니다.
    1. 터널의 이름을 지정합니다.
    2. 설명(선택사항)을 지정합니다.
    3. IKE 버전을 지정합니다. 피어 라우터에서 지원한다면 기본 설정인 IKE v2를 사용하는 것이 좋습니다. IPv6 트래픽을 허용하려면 IKEv2를 선택해야 합니다.
    4. 사전 공유 키(공유 비밀번호)를 사용하여 IKE 사전 공유 키를 지정합니다. 사전 공유 키는 피어 게이트웨이에서 만드는 파트너 터널의 사전 공유 키와 일치해야 합니다. 피어 VPN 게이트웨이에 사전 공유 키를 구성하지 않았고 사전 공유 키를 생성하려면 생성 및 복사를 클릭합니다. 사전 공유 키는 VPN 터널을 만든 후에 검색할 수 없으므로 안전한 위치에 기록해야 합니다.
    5. 완료를 클릭합니다.
    6. VPN 만들기 페이지에서 남은 터널 대화상자에 대해 터널 만들기 단계를 반복합니다.
  3. 모든 터널을 구성하면 만들고 계속하기를 클릭합니다.

gcloud

HA VPN 게이트웨이의 각 인터페이스에 하나씩 두 개의 VPN 터널을 만듭니다. VPN 터널을 만들 때 VPN 터널의 피어 측을 앞서 만든 외부 VPN 게이트웨이로 지정합니다. 외부 VPN 게이트웨이의 중복 유형에 따라 다음 두 가지 옵션 중 하나를 사용하여 터널을 구성합니다.

옵션 1: 외부 VPN 게이트웨이가 두 개의 개별 피어 VPN 게이트웨이 기기 또는 두 개의 IP 주소를 가진 단일 기기인 경우

  • 이 경우 VPN 터널 하나를 외부 VPN 게이트웨이의 interface 0에 연결하고 다른 VPN 터널을 외부 VPN 게이트웨이의 interface 1에 연결해야 합니다.

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_0
    
    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_1
    

    다음을 바꿉니다.

    • TUNNEL_NAME_IF0TUNNEL_NAME_IF1: 터널의 이름. 게이트웨이 인터페이스 이름을 포함하여 터널 이름을 지정하면 나중에 터널을 식별하는 데 도움이 됩니다.
    • PEER_GW_NAME: 이전에 만든 외부 피어 게이트웨이의 이름
    • PEER_EXT_GW_IF0PEER_EXT_GW_IF1: 이전에 외부 피어 게이트웨이에 구성된 인터페이스 번호
    • IKE_VERS: IKEv1의 경우 1, IKEv2의 경우 2. 가능하다면 IKE 버전에 IKEv2를 사용하세요. 피어 게이트웨이에 IKEv1이 필요한 경우 --ike-version 2--ike-version 1로 바꿉니다. IPv6 트래픽을 허용하려면 IKEv2를 지정해야 합니다.
    • SHARED_SECRET: 사전 공유 키(공유 비밀번호)로, 피어 게이트웨이에서 만든 파트너 터널의 사전 공유 키와 일치해야 합니다. 권장사항은 강력한 사전 공유 키 생성을 참조하세요.
    • GW_NAME: HA VPN 게이트웨이의 이름
    • INT_NUM_0: 이전에 만든 HA VPN 게이트웨이의 첫 번째 인터페이스 번호 0
    • INT_NUM_1: 이전에 만든 HA VPN 게이트웨이의 두 번째 인터페이스 번호 1
    • VPN_GATEWAY_REGION: 작동할 HA VPN 게이트웨이. 값은 --region과 같아야 합니다. 지정하지 않으면 이 옵션이 자동으로 설정됩니다. 이 옵션은 이 명령어 호출의 기본 리전 속성 값을 재정의합니다. --vpn-gateway-region 플래그는 선택사항입니다.

    명령어 결과는 다음 예시와 비슷합니다.

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
    NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
    tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
    NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
    tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
    

옵션 2: 외부 VPN 게이트웨이가 단일 외부 IP 주소를 갖는 단일 피어 VPN 게이트웨이인 경우

  • 이 경우 두 VPN 터널 모두 외부 VPN 게이트웨이의 interface 0에 연결해야 합니다.

    gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_0
    
    gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
      [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_1
    

    다음을 바꿉니다.

    • TUNNEL_NAME_IF0TUNNEL_NAME_IF1: 터널의 이름. 게이트웨이 인터페이스 이름을 포함하여 터널 이름을 지정하면 나중에 터널을 식별하는 데 도움이 됩니다.
    • PEER_GW_NAME: 이전에 만든 외부 피어 게이트웨이의 이름
    • PEER_EXT_GW_IF0: 이전에 외부 피어 게이트웨이에 구성된 인터페이스 번호
    • IKE_VERS: IKEv1의 경우 1, IKEv2의 경우 2. 가능하다면 IKE 버전에 IKEv2를 사용하세요. 피어 게이트웨이에 IKEv1이 필요한 경우 --ike-version 2--ike-version 1로 바꿉니다. IPv6 트래픽을 허용하려면 IKEv2를 지정해야 합니다.
    • SHARED_SECRET: 사전 공유 키(공유 비밀번호)로, 피어 게이트웨이에서 만든 파트너 터널의 사전 공유 키와 일치해야 합니다. 권장사항은 강력한 사전 공유 키 생성을 참조하세요.
    • INT_NUM_0: 이전에 만든 HA VPN 게이트웨이의 첫 번째 인터페이스 번호 0
    • INT_NUM_1: 이전에 만든 HA VPN 게이트웨이의 두 번째 인터페이스 번호 1
    • VPN_GATEWAY_REGION: 작동할 HA VPN 게이트웨이. 값은 --region과 같아야 합니다. 지정하지 않으면 이 옵션이 자동으로 설정됩니다. 이 옵션은 이 명령어 호출의 기본 리전 속성 값을 재정의합니다. --vpn-gateway-region 플래그는 선택사항입니다.

    명령어 결과는 다음 예시와 비슷합니다.

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
    NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
    tunnel-a-to-on-prem-if-0   us-central1  ha-vpn-gw-a    0               peer-gw        0
    
    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
    NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
    tunnel-a-to-on-prem-if-1   us-central1  ha-vpn-gw-a    1               peer-gw        0
    

API

HA VPN 게이트웨이의 각 인터페이스에 하나씩 두 개의 VPN 터널을 만들려면 vpnTunnels.insert 메서드를 사용하여 POST 요청을 보냅니다. 99.99%의 업타임 SLA를 얻으려면 HA VPN 게이트웨이의 각 인터페이스에 터널을 만들어야 합니다.

  1. 첫 번째 터널을 만들려면 다음 명령어를 실행합니다.

       POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
       {
         "name": "ha-vpn-gw-a-tunnel-0",
         "ikeVersion": 2,
         "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
         "peerExternalGatewayInterface": 0,
         "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
         "sharedSecret": "SHARED_SECRET",
         "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
         "vpnGatewayInterface": 0
       }
    

    이 터널과 연결된 BGP 세션에서 IPv6를 사용 설정하려면 ikeVersion2를 지정해야 합니다.

  2. 두 번째 터널을 만들려면 이 명령어를 반복하되 다음 매개변수를 변경합니다.

    • name
    • peerExternalGatewayInterface
    • sharedSecret 또는 sharedSecretHash(필요한 경우)
    • vpnGatewayInterface: 다른 HA VPN 게이트웨이 인터페이스의 값으로 변경합니다. 이 예시에서는 이 값을 1로 변경합니다.

BGP 세션 만들기

각 HA VPN 터널에 IPv4 BGP 세션, IPv6 BGP 세션 또는 둘 다를 만들 수 있습니다.

다음 표에서는 HA VPN 스택 및 VPC 네트워크 트래픽을 위한 BGP 세션 유형을 보여줍니다. 구체적인 안내를 보려면 BGP 세션 유형을 선택합니다.

BGP 세션 유형 HA VPN 게이트웨이 VPC 네트워크 유형 멀티 프로토콜 BGP(MP-BGP)가 허용되나요?
IPv4 BGP 세션 IPv4 전용 또는 이중 스택 IPv4 전용 또는 이중 스택
IPv6 BGP 세션 이중 스택 이중 스택
IPv4 및 IPv6 BGP 세션 모두 이중 스택 이중 스택 아니요

동일한 터널에서 IPv4 및 IPv6 BGP 세션을 둘 다 설정하거나 HA VPN 터널의 BGP 세션에 MP-BGP를 사용 설정하려면 이중 스택 HA VPN 게이트웨이를 사용합니다. 하지만 동일한 HA VPN 터널에서 IPv4 BGP 세션 및 IPv6 BGP 세션을 설정하는 경우 어느 세션에서도 MP-BGP를 사용 설정할 수 없습니다.

IPv4 BGP 세션

콘솔

BGP 세션을 만들려면 다음 단계를 따르세요.

  1. BGP 세션 구성을 클릭합니다.
  2. BGP 세션 만들기 페이지에서 다음 단계를 완료합니다.
    1. BGP 세션 유형IPv4 BGP 세션을 선택합니다.
    2. 이름에 BGP 세션 이름을 입력합니다.
    3. 피어 ASN에 피어 VPN 게이트웨이에 구성된 피어 ASN을 입력합니다.
    4. 선택사항: 공지된 경로 우선순위(MED)에 이 BGP 피어에 공지된 경로의 우선순위를 입력합니다.
    5. 선택사항: IPv6 경로 교환을 사용 설정하려면 IPv6 트래픽 사용 설정 토글을 클릭합니다.
  3. BGP IPv4 주소 할당에서 자동 또는 수동을 선택합니다. 수동을 선택하는 경우 다음을 수행합니다. 1. Cloud Router BGP IPv4 주소에 Cloud Router BGP IPv4 주소를 입력합니다. 1. BGP 피어 IPv4 주소에 BGP 피어의 IPv4 주소를 입력합니다. IPv4 주소는 다음 요구사항을 충족해야 합니다. * 각 IPv4 주소가 169.254.0.0/16 주소 범위에 들어가는 동일한 /30 서브넷에 속해야 합니다. * 각 IPv4 주소가 /30 서브넷의 첫 번째 또는 두 번째 호스트입니다. 서브넷의 첫 번째 및 마지막 IP 주소는 네트워크 및 브로드캐스트 주소로 예약됩니다. * BGP 세션의 각 IPv4 주소 범위는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

    자동을 선택하면 Google Cloud가 BGP 세션에 대해 IPv4 주소를 자동으로 선택합니다.

    1. (선택사항) 이전 단계에서 IPv6 경로 교환을 사용 설정한 경우 BGP IPv6 다음 홉 할당에서 자동 또는 수동을 선택합니다. 수동을 선택하는 경우 다음을 수행합니다.
      1. Cloud Router BGP IPv6 다음 홉2600:2d00:0:2::/63 주소 범위의 IPv6 주소를 입력합니다. 이 IP 주소는 Cloud Router에서 공지하는 IPv6 경로의 다음 홉 주소입니다.
      2. 피어 BGP IPv6 다음 홉2600:2d00:0:2::/63 주소 범위의 IPv6 주소를 입력합니다. 이 IP 주소는 BGP 피어로부터 Cloud Router가 학습한 IPv6 경로의 다음 홉 주소입니다.
      3. (선택사항) 고급 옵션 섹션을 확장합니다.
      4. BGP 피어를 사용 설정하려면 사용 설정됨을 선택합니다. 사용 설정하면 라우팅 정보로 피어 연결이 설정됩니다. 자세한 내용은 BGP 세션 설정을 참조하세요.
      5. MD5 인증을 사용 설정하려면 사용 설정을 선택합니다. 사용 설정하면 MD5 인증을 사용하여 BGP 세션을 인증합니다. 자세한 내용은 MD5 인증 사용을 참조하세요. 또는 나중에 MD5 인증을 사용 설정할 수 있습니다.
      6. BGP 세션에 아웃바운드 경로를 추가하려면 모든 커스텀 학습 경로의 우선순위에 커스텀 학습 경로 우선순위를 입력합니다. 자세한 내용은 커스텀 학습된 경로를 참조하세요.
  4. 저장 후 계속을 클릭합니다.

  5. 게이트웨이에 구성된 나머지 터널에 대해 이전 단계를 반복합니다. 각 터널에 대해 다른 Cloud Router BGP IP 주소 및 BGP 피어 IP 주소를 사용합니다.

  6. BGP 구성 저장을 클릭합니다.

gcloud

BGP 세션을 만들려면 다음 단계를 따르세요.

명령어에서 다음을 바꿉니다.

  • ROUTER_INTERFACE_NAME_0ROUTER_INTERFACE_NAME_1: Cloud Router 인터페이스의 이름. 이전에 구성한 터널 이름과 관련된 이름을 사용하는 것이 좋습니다.
  • TUNNEL_NAME_0TUNNEL_NAME_1: 구성된 HA VPN 게이트웨이 인터페이스와 연결된 터널
  • IP_VERSION: IPV4를 지정하거나 지정하지 않은 채로 둡니다. 지정하지 않는 경우 기본값은 IPV4입니다.
  • IP_PREFIXESCUSTOM_ROUTE_PRIORITY: BGP 세션의 학습된 경로를 수동으로 지정할 수 있는 값입니다. 이 기능에 대한 자세한 내용은 커스텀 학습된 경로를 참조하세요.
  • AUTHENTICATION_KEY: MD5 인증에 사용할 보안 비밀 키입니다. 이 선택적 기능에 대한 자세한 내용은 MD5 인증 사용을 참조하세요.

BGP 세션에 IPv4 주소 할당

BGP에 대한 주소를 구성하는 자동 또는 수동 구성 방법을 선택합니다. 이들 명령어는 BGP에 IPv6를 사용 설정하지 않습니다.

IPv6를 사용 설정하려면 IPv6 다음 홉 주소 할당에 나열된 명령어를 실행하세요.

자동

Google Cloud가 링크-로컬 BGP IPv4 주소를 자동으로 선택하도록 하려면 다음 단계를 완료하세요.

첫 번째 VPN 터널의 경우

  1. Cloud Router에 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    기본적으로 IP 버전을 지정하지 않으면 명령어가 IPv4 주소를 인터페이스에 할당합니다.

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. 첫 번째 터널의 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_0을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 BGP 피어의 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION
    

    피어에 대해 커스텀 학습 경로를 지정하려면 --set-custom-learned-route-ranges 플래그를 추가합니다. 원하는 경우 --custom-learned-route-priority 플래그를 사용하여 경로의 우선순위 값을 0에서 65535(포함) 사이로 설정할 수 있습니다. 각 BGP 세션에는 세션에 대해 구성한 모든 커스텀 학습된 경로에 적용되는 하나의 우선순위 값이 포함될 수 있습니다. 이 기능에 대한 자세한 내용은 커스텀 학습된 경로를 참조하세요.

    예를 들어 커스텀 학습된 경로를 추가하고 경로의 우선순위를 설정하려면 다음 명령어를 실행합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    MD5 인증을 사용하려면 --md5-authentication-key 플래그를 추가하세요. 이 필드를 사용하여 보안 비밀 키를 제공합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
    

    명령어 결과는 다음 예시와 비슷합니다.

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

두 번째 VPN 터널의 경우

  1. Cloud Router에 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  2. 두 번째 터널의 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_1을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION
    

    첫 번째 터널에 커스텀 학습된 경로를 구성한 경우 두 번째 터널에 동일한 경로를 구성할 수 있습니다. 예를 들어 두 번째 터널을 경로의 백업으로 작동하도록 구성할 수 있습니다. 이 경우에는 경로에 낮은 우선 순위(높은 숫자)를 지정합니다. 등가 멀티 경로(ECMP) 경로의 일부로 두 터널을 모두 사용하려면 첫 번째 터널에서와 동일한 우선순위를 경로에 지정합니다. 두 경우 모두 다음과 같은 명령어를 사용합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    MD5 인증을 사용하려면 --md5-authentication-key 플래그를 사용하여 보안 비밀 키를 제공합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

수동

Cloud Router 인터페이스 및 BGP 피어와 연관된 IPv4 BGP 주소를 수동으로 할당하려면 다음 단계를 수행합니다.

각 VPN 터널에서 /30 블록의 링크-로컬 IPv4 주소 쌍을 169.254.0.0/16 주소 범위(총 4개의 /30 서브넷, HA VPN 게이트웨이당 하나씩) 중에서 결정합니다. 지정한 IPv4 서브넷은 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

각 터널에 대해 이러한 BGP IPv4 주소 중 하나를 Cloud Router에 할당하고 다른 BGP IPv4 주소를 피어 VPN 게이트웨이에 할당합니다. 피어 BGP IPv4 주소를 사용하도록 피어 VPN 기기를 구성합니다.

다음 명령어에서 다음을 바꿉니다.

  • GOOGLE_BGP_IP_0: Cloud VPN 게이트웨이 interface 0의 터널에 대한 Cloud Router 인터페이스의 BGP IPv4 주소. PEER_BGP_IP_0은 피어의 BGP IPv4 주소를 나타냅니다.
  • GOOGLE_BGP_IP_1: Cloud VPN 게이트웨이 interface 1의 터널에 대한 Cloud Router 인터페이스의 BGP IPv4 주소. PEER_BGP_IP_1은 피어의 BGP IPv4 주소를 나타냅니다.
  • MASK_LENGTH: 30. Cloud Router는 169.254.0.0/16 IPv4 주소 범위에서 고유한 /30 서브넷을 사용해야 합니다.

첫 번째 VPN 터널의 경우

  1. Cloud Router에 인터페이스를 추가합니다. ROUTER_INTERFACE_NAME_0을 인터페이스 이름으로 바꿉니다.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IP_0 \
      --mask-length 30 \
      --region=REGION
    

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_0을 피어 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IP_0 \
     --region=REGION
    

    피어에 대해 커스텀 학습 경로를 지정하려면 --set-custom-learned-route-ranges 플래그를 추가합니다. 원하는 경우 --custom-learned-route-priority 플래그를 사용하여 경로의 우선순위 값을 0에서 65535(포함) 사이로 설정할 수 있습니다. 각 BGP 세션에는 세션에 대해 구성한 모든 커스텀 학습된 경로에 적용되는 하나의 우선순위 값이 포함될 수 있습니다. 이 기능에 대한 자세한 내용은 커스텀 학습된 경로를 참조하세요.

    예를 들어 커스텀 학습된 경로를 추가하고 경로의 우선순위를 설정하려면 다음 명령어를 실행합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    MD5 인증을 사용하려면 --md5-authentication-key 플래그를 사용하여 보안 비밀 키를 제공합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_BGP_IP_0 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
    

    명령어 결과는 다음 예시와 비슷합니다.

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

두 번째 VPN 터널의 경우

  1. Cloud Router에 인터페이스를 추가합니다. ROUTER_INTERFACE_NAME_1을 인터페이스 이름으로 바꿉니다.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IP_1 \
     --mask-length 30 \
     --region=REGION
    
  2. 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_1을 피어 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IP_1 \
     --region=REGION
    

    첫 번째 터널에 커스텀 학습된 경로를 구성한 경우 두 번째 터널에 동일한 경로를 지정할 수 있습니다. 예를 들어 두 번째 터널을 경로의 백업으로 작동하도록 구성할 수 있습니다. 이 경우에는 경로에 낮은 우선 순위(높은 숫자)를 지정합니다. 등가 멀티 경로(ECMP) 경로의 일부로 두 터널을 모두 사용하려면 첫 번째 터널에서와 동일한 우선순위를 경로에 지정합니다. 두 경우 모두 다음과 같은 명령어를 사용합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=PRIORITY
    

    선택사항: MD5 인증을 사용 설정하려면 --md5-authentication-key 플래그를 사용하여 보안 비밀 키를 제공합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_BGP_IP_0 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
    

IPv6 다음 홉 주소 할당

MP-BGP를 사용하고 IPv4 및 IPv6 트래픽을 모두 교환하는 VPN 터널이 필요한 경우에만 이 섹션의 명령어를 사용합니다. 이 터널을 통해 IPv6 트래픽을 라우팅하지 않거나 나중에 이 터널에 단일 IPv6 BGP 세션을 추가하려는 경우 IPv4 BGP 주소 할당에 나열된 명령어를 사용할 수 있습니다.

자동

MP-BGP를 사용하는 IPv4 BGP 세션을 만드는 경우 Google Cloud가 IPv6 다음 홉 주소를 자동으로 할당할 수 있습니다. Google Cloud는 2600:2d00:0:2::/63 IPv6 주소 범위에서 사용되지 않은 주소를 할당합니다.

이 구성은 Cloud Router 및 BGP 피어 IPv4 주소에 자동 또는 수동 구성을 선택하는 것과 관련이 없습니다. 다음 명령어는 자동 구성을 사용합니다. 그러나 IPv4 BGP 주소 할당에 설명된 --ip-address--peer-ip-address 플래그를 사용하여 BGP IPv4 및 BGP 피어 IPv4 주소를 할당할 수도 있습니다.

첫 번째 VPN 터널의 경우

  1. Cloud Router에 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. 첫 번째 터널의 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_0을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --enable-ipv6
    

    --enable-ipv6 플래그를 지정하여 이 IPv4 BGP 세션에서 IPv6 경로 교환을 사용 설정합니다. 이는 IPv6 다음 홉 주소를 할당하는 데 필요합니다. 나중에 IPv6 경로 교환을 중지할 수 있습니다. 자세한 내용은 IPv4 또는 IPv6 세션의 멀티 프로토콜 BGP 구성을 참조하세요.

    명령어 결과는 다음 예시와 비슷합니다.

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

두 번째 VPN 터널의 경우

  1. Cloud Router에 두 번째 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  2. 두 번째 터널의 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_1을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --enable-ipv6
    

수동

MP-BGP를 사용하는 IPv4 BGP 세션을 만들 때 Cloud Router와 BGP 피어의 IPv6 다음 홉 주소를 수동으로 구성할 수 있습니다.

이 구성은 Cloud Router 및 BGP 피어 IPv4 주소에 자동 또는 수동 구성을 선택하는 것과 관련이 없습니다. 이러한 주소를 수동으로 구성하는 방법의 예시는 IPv4 BGP 주소 할당을 참조하세요.

각 VPN 터널에 대해 IPv6 다음 홉 주소 쌍을 결정합니다. 지정한 IPv6 다음 홉 주소는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 하며 Google에서 사전 할당한 내부 IPv6 주소 범위(2600:2d00:0:2::/63)에서 선택되어야 합니다.

BGP IPv6 다음 홉 주소를 수동으로 할당하려면 다음 단계를 완료하세요.

첫 번째 VPN 터널의 경우

  1. Cloud Router에 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
    

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. 첫 번째 터널의 인터페이스에 BGP 피어 구성을 추가합니다 .

    gcloud compute routers add-bgp-peerROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --enable-ipv6 \
      --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
      --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    명령어에서 다음을 바꿉니다.

    • PEER_NAME_0: 피어 VPN 인터페이스 이름
    • PEER_ASN: 피어 VPN 게이트웨이에 대해 구성된 ASN
    • IPV6_NEXTHOP_ADDRESS: Cloud Router가 공지하는 IPv6 경로의 다음 홉 주소입니다. 이 주소는 2600:2d00:0:2::/63 IPv6 주소 범위에 있어야 합니다.
    • PEER_IPV6_NEXTHOP_ADDRESS: BGP 피어에서 Cloud Router가 학습한 IPv6 경로의 다음 홉 주소입니다. 이 주소는 2600:2d00:0:2::/63 IPv6 주소 범위에 있어야 합니다.

    명령어 결과는 다음 예시와 비슷합니다.

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

    두 번째 VPN 터널의 경우

  3. Cloud Router에 두 번째 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
    
  4. 두 번째 터널의 두 번째 인터페이스에 BGP 피어 구성을 추가합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --enable-ipv6 \
      --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
      --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    명령어에서 다음을 바꿉니다.

    • PEER_NAME_1: 피어 VPN 인터페이스 이름
    • PEER_ASN: 피어 VPN 게이트웨이에 대해 구성된 ASN
    • IPV6_NEXTHOP_ADDRESS: Cloud Router가 공지하는 IPv6 경로의 다음 홉 주소
    • PEER_IPV6_NEXTHOP_ADDRESS: Cloud Router가 BGP 피어에서 인식하는 IPv6 경로의 다음 홉 주소

API

BGP 세션을 만들려면 다음 단계를 따르세요.

  1. Cloud Router 인터페이스를 만들려면 다음 요청 중 하나를 수행합니다.

    PATCH 요청은 포함한 매개변수만 업데이트하고, UPDATE 요청은 Cloud Router의 모든 매개변수를 업데이트합니다.

    각 IPv4 BGP 세션의 각 BGP IP 주소 범위는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

    두 번째 HA VPN 게이트웨이에서 각 VPN 터널에 대해 이 단계와 명령어를 반복합니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "169.254.0.1/30"
          }
        ]
    }
    
  2. 인터페이스에 BGP 피어 구성을 추가하려면 다음 요청 중 하나를 수행합니다.

    다른 VPN 터널에 대해 이 명령어를 반복하여 namepeerAsn을 제외한 모든 옵션을 변경합니다.

    예를 들면 다음과 같습니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT"
        }
      ]
    }
    

    다음 예시에는 사용 설정된 IPv6 경로 교환 및 수동으로 구성된 IPv6 다음 홉 주소를 사용하여 BGP 피어를 추가하는 명령어가 포함되어 있습니다. ipv6NexthopAddresspeerIpv6NexthopAddress를 생략하면 IPv6 다음 홉 주소가 자동으로 할당됩니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT",
        "enableIpv6": true,
        "ipv6NexthopAddress: "2600:2d00:0:2::1"
        "peerIpv6NexthopAddress: "2600:2d00:0:2::2"
        }
      ]
    }
    

    피어에 커스텀 학습된 경로를 지정하려면 경로의 IP 프리픽스를 정의합니다. 원하는 경우 경로의 우선순위 값을 0에서 65535(포함) 사이로 설정할 수 있습니다. 각 BGP 세션에는 세션에 대해 구성한 모든 커스텀 학습된 경로에 적용되는 하나의 우선순위 값이 포함될 수 있습니다. 이 기능에 대한 자세한 내용은 커스텀 학습된 경로를 참조하세요.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT",
        "enableIpv6": true,
        "ipv6NexthopAddress": "2600:2d00:0:2::1",
        "peerIpv6NexthopAddress": "2600:2d00:0:2::2",
        "customLearnedRoutePriority": 200,
        "customLearnedIpRanges": [
            {
              "range": "1.2.3.4"
            },
            {
              "range": "6.7.0.0/16"
            },
            {
              "range": "2001:db8:abcd:12::/64"
            }
          ]
          }
        ]
      }
    

    MD5 인증 세션을 구성하려면 키와 키 이름을 모두 추가하여 요청에 인증 키를 포함합니다. 그런 후 BGP 피어링 세션을 만들 때 이 키를 해당 이름으로 참조합니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "md5AuthenticationKeys": [
        {
        "name": "bgppeer-1-key",
        "key": "secret_key_value"
        }
        ],
    }
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT",
        "md5AuthenticationKeyName": "bgppeer-1-key"
        }
      ]
    }
    

IPv6 BGP 세션

콘솔

BGP 세션을 만들려면 다음 단계를 따르세요.

  1. BGP 세션 구성을 클릭합니다.
  2. BGP 세션 만들기 페이지에서 다음 단계를 완료합니다.

    1. BGP 세션 유형IPv6 BGP 세션을 선택합니다.
    2. 이름에 BGP 세션 이름을 입력합니다.
    3. 피어 ASN에 피어 VPN 게이트웨이에 구성된 피어 ASN을 입력합니다.
    4. 선택사항: 공지된 경로 우선순위(MED)에 이 BGP 피어에 공지된 경로의 우선순위를 입력합니다.
    5. 선택사항: IPv4 경로 교환을 사용 설정하려면 IPv4 트래픽 사용 설정 토글을 클릭합니다.
    6. BGP IPv6 주소 할당에서 자동 또는 수동을 선택합니다. 수동을 선택하는 경우 다음을 수행합니다.

      1. Cloud Router BGP IPv6 주소에 Cloud Router BGP IPv6 주소를 입력합니다.
      2. BGP 피어 IPv6 주소에 BGP 피어의 IPv6 주소를 입력합니다. IPv6 주소는 다음 요구사항을 충족해야 합니다.
        • 각 주소는 마스크 길이가 /64fdff:1::/64 주소 범위의 고유한 로컬 주소(ULA)여야 합니다. 예를 들면 fdff:1::1입니다.
        • 각 주소는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

      자동을 선택하면 Google Cloud가 BGP 세션에 대해 IPv6 주소를 자동으로 선택합니다.

    7. (선택사항) 이전 단계에서 IPv4 경로 교환을 사용 설정한 경우 BGP IPv4 다음 홉 할당에서 자동 또는 수동을 선택합니다. 수동을 선택하는 경우 다음을 수행합니다.

      1. Cloud Router BGP IPv4 다음 홉 필드에서 169.254.0.0/16 주소 범위의 IPv4 주소를 입력합니다. 이 IP 주소는 Cloud Router에서 공지하는 IPv4 경로의 다음 홉 주소입니다.
      2. 피어 BGP IPv4 다음 홉 필드에 169.254.0.0/16 주소 범위의 IP 주소를 입력합니다. 이 IP 주소는 BGP 피어로부터 Cloud Router가 학습한 IPv4 경로의 다음 홉 주소입니다.
      3. (선택사항) 고급 옵션 섹션을 확장합니다.
      4. BGP 피어를 사용 설정하려면 사용 설정됨을 선택합니다. 사용 설정하면 라우팅 정보로 피어 연결이 설정됩니다. 자세한 내용은 BGP 세션 설정을 참조하세요.
      5. MD5 인증을 추가하려면 사용 설정을 선택합니다. 사용 설정하면 MD5 인증을 사용하여 Cloud Router와 해당 피어 간에 BGP 세션을 인증할 수 있습니다. 자세한 내용은 MD5 인증 사용을 참조하세요. 또는 나중에 MD5 인증을 사용 설정할 수 있습니다.
      6. BGP 세션에 아웃바운드 경로를 추가하려면 모든 커스텀 학습 경로의 우선순위에 커스텀 학습 경로 우선순위를 입력합니다. 자세한 내용은 커스텀 학습된 경로를 참조하세요.
  3. 저장 후 계속을 클릭합니다.

  4. 게이트웨이에 구성된 나머지 터널에 대해 이전 단계를 반복합니다. 각 터널에 대해 다른 Cloud Router BGP IP 주소 및 BGP 피어 IP 주소를 사용합니다.

  5. BGP 구성 저장을 클릭합니다.

gcloud

BGP 세션을 만들려면 다음 단계를 따르세요.

명령어에서 다음을 바꿉니다.

  • ROUTER_INTERFACE_NAME_0ROUTER_INTERFACE_NAME_1: Cloud Router 인터페이스의 이름. 이전에 구성한 터널 이름과 관련된 이름을 사용하는 것이 좋습니다.
  • TUNNEL_NAME_0TUNNEL_NAME_1: 구성된 HA VPN 게이트웨이 인터페이스와 연결된 터널
  • IP_VERSION: IPV6. 이 매개변수는 Google Cloud에서 이 인터페이스에 IPv6 주소를 자동으로 할당하려는 경우에만 필요합니다. 이 인터페이스에 IPv6 주소를 수동으로 할당하는 경우 이 플래그를 생략할 수 있습니다.

  • IP_PREFIXESCUSTOM_ROUTE_PRIORITY: BGP 세션의 학습된 경로를 수동으로 지정할 수 있는 값입니다. 이 기능에 대한 자세한 내용은 커스텀 학습된 경로를 참조하세요.

  • AUTHENTICATION_KEY: MD5 인증에 사용할 보안 비밀 키입니다. 이 선택적 기능에 대한 자세한 내용은 MD5 인증 사용을 참조하세요.

(선택사항) BGP 식별자 범위 할당

Cloud Router에 첫 번째 인터페이스를 추가하면 BGP 식별자 범위가 자동으로 Cloud Router에 할당됩니다. Cloud Router에 대해 자체 BGP 식별자 범위를 정의하려면 자체 범위를 만들 수 있습니다. 나중에 이 범위를 수정할 수도 있습니다. 자세한 내용은 Cloud Router의 BGP 식별자 범위 구성을 참조하세요.

IPv6 BGP 주소 할당

다음 절차에서는 BGP IPv6 및 BGP 피어 IPv6 주소를 자동 또는 수동으로 구성한 IPv6 BGP 세션을 만듭니다.

MP-BGP와 함께 IPv6 BGP를 사용하려면 IPv4 다음 홉 주소 할당에 나열된 명령어를 실행합니다.

자동

Google Cloud가 BGP 세션의 IPv6 주소를 자동으로 선택하도록 하려면 다음 단계를 완료하세요.

첫 번째 VPN 터널의 경우

  1. Cloud Router에 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION \
       --ip-version=IPV6
    

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. 첫 번째 터널의 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_0을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION
    

    피어에 대해 커스텀 학습 경로를 지정하려면 --set-custom-learned-route-ranges 플래그를 추가합니다. 원하는 경우 --custom-learned-route-priority 플래그를 사용하여 경로의 우선순위 값을 0에서 65535(포함) 사이로 설정할 수 있습니다. 각 BGP 세션에는 세션에 대해 구성한 모든 커스텀 학습된 경로에 적용되는 하나의 우선순위 값이 포함될 수 있습니다. 이 기능에 대한 자세한 내용은 커스텀 학습된 경로를 참조하세요.

    예를 들어 커스텀 학습된 경로를 추가하고 경로의 우선순위를 설정하려면 다음 명령어를 실행합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --set-custom-learned-route-ranges=IP_PREFIXES \
       --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    (선택사항) MD5 인증을 사용 설정하려면 --md5-authentication-key 플래그를 사용하여 보안 비밀 키를 제공합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
    

    명령어 결과는 다음 예시와 비슷합니다.

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

두 번째 VPN 터널의 경우

  1. Cloud Router에 두 번째 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_1 \
      --vpn-tunnel=TUNNEL_NAME_1 \
      --region=REGION \
      --ip-version=IPV6
    
  2. 두 번째 터널의 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_1을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION
    

    첫 번째 터널에 커스텀 학습된 경로를 구성한 경우 두 번째 터널에 동일한 경로를 구성할 수 있습니다. 예를 들어 두 번째 터널을 경로의 백업으로 작동하도록 구성할 수 있습니다. 이 경우에는 경로에 낮은 우선 순위(높은 숫자)를 지정합니다. 등가 멀티 경로(ECMP) 경로의 일부로 두 터널을 모두 사용하려면 첫 번째 터널에서와 동일한 우선순위를 경로에 지정합니다. 두 경우 모두 다음과 같은 명령어를 사용합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --set-custom-learned-route-ranges=IP_PREFIXES \
     --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    (선택사항) MD5 인증을 사용 설정하려면 --md5-authentication-key 플래그를 사용하여 보안 비밀 키를 제공합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

수동

Cloud Router 인터페이스 및 BGP 피어와 관련된 BGP 세션에 IPv6 주소를 수동으로 할당하려면 다음 단계를 수행합니다.

각 VPN 터널마다 구성하는 BGP 세션 유형에 따라 BGP 세션에 대한 적절한 IPv6 주소 쌍을 결정합니다.

각 IPv6 주소는 마스크 길이가 /126 이하인 fdff:1::/64 IPv6 주소 범위의 고유한 로컬 주소(ULA)여야 합니다. 예를 들면 fdff:1::1입니다.

각 IPv6 주소는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

각 터널에 대해 이러한 IPv6 주소 중 하나를 Cloud Router에 할당하고 다른 IPv6 주소를 피어 VPN 게이트웨이에 할당합니다. BGP 세션의 피어 IPv6 주소를 사용하도록 피어 VPN 기기를 구성합니다.

다음 명령어에서 다음을 바꿉니다.

  • GOOGLE_BGP_IPV6_0: Cloud VPN 게이트웨이 interface 0의 터널에 대한 Cloud Router 인터페이스의 IPv6 주소. PEER_BGP_IPV6_0은 BGP 피어의 IPv6 주소를 나타내며 GOOGLE_BGP_IPV6_0의 IP 버전과 일치해야 합니다.
  • GOOGLE_BGP_IPV6_1: Cloud VPN 게이트웨이 interface 1의 터널에 대한 Cloud Router 인터페이스의 IPv6 주소. PEER_BGP_IPV6_1은 BGP 피어의 IPv6 주소를 나타내며 GOOGLE_BGP_IPV6_1의 IP 버전과 일치해야 합니다.

첫 번째 VPN 터널의 경우

  1. Cloud Router에 인터페이스를 추가합니다. ROUTER_INTERFACE_NAME_0을 인터페이스 이름으로 바꿉니다.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --ip-address=GOOGLE_BGP_IPV6_0 \
     --mask-length=MASK_LENGTH  \
     --region=REGION \
    

    MASK_LENGTH126 이하의 값으로 바꿉니다.

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_0with a name for the peer, and replacePEER_ASN`을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IPV6_0 \
     --region=REGION
    

    피어에 대해 커스텀 학습 경로를 지정하려면 --set-custom-learned-route-ranges 플래그를 추가합니다. 원하는 경우 --custom-learned-route-priority 플래그를 사용하여 경로의 우선순위 값을 0에서 65535(포함) 사이로 설정할 수 있습니다. 각 BGP 세션에는 세션에 대해 구성한 모든 커스텀 학습된 경로에 적용되는 하나의 우선순위 값이 포함될 수 있습니다. 이 기능에 대한 자세한 내용은 커스텀 학습된 경로를 참조하세요.

    예를 들어 커스텀 학습된 경로를 추가하고 경로의 우선순위를 설정하려면 다음 명령어를 실행합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --region=REGION \
     --set-custom-learned-route-ranges=IPV6_PREFIXES \
     --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
    

    (선택사항) MD5 인증을 사용 설정하려면 --md5-authentication-key 플래그를 사용하여 보안 비밀 키를 제공합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IPV6_0 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

    명령어 결과는 다음 예시와 비슷합니다.

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

두 번째 VPN 터널의 경우

  1. 두 번째 인터페이스를 Cloud Router에 추가합니다. ROUTER_INTERFACE_NAME_1을 인터페이스 이름으로 바꿉니다.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IPV6_1 \
     --mask-length=MASK_LENGTH \
     --region=REGION \
    

    MASK_LENGTH64 이하의 값으로 바꿉니다.

  2. 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_1을 피어 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IPV6_1 \
     --region=REGION
    

    첫 번째 터널에 커스텀 학습된 경로를 구성한 경우 두 번째 터널에 동일한 경로를 지정할 수 있습니다. 예를 들어 두 번째 터널을 경로의 백업으로 작동하도록 구성할 수 있습니다. 이 경우에는 경로에 낮은 우선 순위(높은 숫자)를 지정합니다. 등가 멀티 경로(ECMP) 경로의 일부로 두 터널을 모두 사용하려면 첫 번째 터널에서와 동일한 우선순위를 경로에 지정합니다. 두 경우 모두 다음과 같은 명령어를 사용합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --set-custom-learned-route-ranges=IPV6_PREFIXES \
     --custom-learned-route-priority=PRIORITY
    

    (선택사항) MD5 인증을 사용 설정하려면 --md5-authentication-key 플래그를 사용하여 보안 비밀 키를 제공합니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_BGP_IPV6_1 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

IPv4 다음 홉 주소 할당

MP-BGP를 사용하는 VPN 터널이 필요한 경우에만 이 섹션의 명령어를 사용합니다. MP-BGP를 사용하면 IPv6 BGP 세션을 통해 IPv4 경로를 교환할 수 있습니다.

터널의 BGP 세션에서 MP-BGP를 사용할 계획이 없다면, IPv6 BGP 주소 할당에 나열된 명령어를 사용하세요.

BGP 피어 다음 홉 IPv4 또는 IPv6 주소를 자동 또는 수동으로 구성하도록 선택할 수 있습니다.

자동

MP-BGP를 사용하는 IPv6 BGP 세션을 만드는 경우 Google Cloud가 IPv4 다음 홉 주소를 자동으로 할당할 수 있습니다. Google Cloud는 169.254.0.0/16 주소 범위에서 사용되지 않은 주소를 할당합니다.

이 구성은 Cloud Router 및 BGP 피어 IPv6 주소에 자동 또는 수동 구성을 선택하는 것과 관련이 없습니다. 다음 명령어는 자동 구성을 사용합니다. 하지만 --ip-addressIPv6 BGP IP 주소 할당에 설명된 --peer-ip-address 플래그를 사용하여 Cloud Router 인터페이스와 BGP 피어에 IPv6 주소를 할당할 수도 있습니다.

첫 번째 VPN 터널의 경우

  1. Cloud Router에 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION \
      --ip-version=IPV6
    

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. 첫 번째 터널의 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_0을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0 \
       --region=REGION \
       --enable-ipv4
    

    명령어 결과는 다음 예시와 비슷합니다.

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

두 번째 VPN 터널의 경우

  1. Cloud Router에 두 번째 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_1 \
      --vpn-tunnel=TUNNEL_NAME_1 \
      --region=REGION \
      --ip-version=IPV6
    
  2. 두 번째 터널의 두 번째 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_1을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1 \
       --region=REGION \
       --enable-ipv4
    

수동

MP-BGP를 사용하는 IPv6 BGP 세션을 만들 때 Cloud Router와 BGP 피어의 IPv4 다음 홉 주소를 수동으로 구성할 수 있습니다.

이 구성은 BGP 세션에 대한 Cloud Router 및 IPv6 주소에 자동 또는 수동 구성을 선택하는 것과 관련이 없습니다. 이러한 주소를 수동으로 구성하는 방법의 예시는 IPv6 BGP 주소 할당을 참조하세요.

각 VPN 터널에 대해 링크-로컬 IPv4 주소 범위 169.254.0.0/16으로부터 IPv4 다음 홉 주소 쌍을 선택합니다. 이러한 IPv4 주소는 VPC 네트워크의 모든 Cloud Router에서 고유해야 합니다.

BGP IPv4 다음 홉 주소를 수동으로 할당하려면 다음 단계를 완료하세요.

첫 번째 VPN 터널의 경우

  1. Cloud Router에 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION \
      --ip-version=IPV6
    

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. 첫 번째 터널의 인터페이스에 BGP 피어 구성을 추가합니다 .

    gcloud compute routers add-bgp-peerROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --enable-ipv4 \
      --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
      --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
    

    명령어에서 다음을 바꿉니다.

    • PEER_NAME_0: 피어 VPN 인터페이스 이름
    • PEER_ASN: 피어 VPN 게이트웨이에 대해 구성된 ASN
    • IPV4_NEXTHOP_ADDRESS: Cloud Router가 공지하는 IPv4 경로의 다음 홉 주소. 이 주소는 169.254.0.0/16 IPv4 주소 범위에 있어야 합니다.
    • PEER_IPV4_NEXTHOP_ADDRESS: BGP 피어에서 Cloud Router가 학습한 IPv4 경로의 다음 홉 주소입니다. 이 주소는 169.254.0.0/16 IPv4 주소 범위에 있어야 합니다.

    명령어 결과는 다음 예시와 비슷합니다.

    Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
    

    두 번째 VPN 터널의 경우

  3. Cloud Router에 두 번째 인터페이스를 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_1 \
      --vpn-tunnel=TUNNEL_NAME_1 \
      --region=REGION \
      --ip-version=IPV6
    
  4. 두 번째 터널의 인터페이스에 BGP 피어 구성을 추가합니다.

    gcloud compute routers add-bgp-peerROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --enable-ipv4 \
      --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
      --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
    

    다음 명령어에서 다음을 바꿉니다.

    • PEER_NAME_1: 피어 VPN 인터페이스 이름
    • PEER_ASN: 피어 VPN 게이트웨이에 대해 구성된 ASN
    • IPV4_NEXTHOP_ADDRESS: Cloud Router가 공지하는 IPv4 경로의 다음 홉 주소. 이 주소는 169.254.0.0/16 IPv4 주소 범위에 있어야 합니다.
    • PEER_IPV4_NEXTHOP_ADDRESS: BGP 피어에서 Cloud Router가 학습한 IPv4 경로의 다음 홉 주소. 이 주소는 169.254.0.0/16 IPv4 주소 범위에 있어야 합니다.

API

BGP 세션을 만들려면 다음 단계를 따르세요.

  1. Cloud Router 인터페이스를 만들고 IPv6 주소를 할당하려면 routers.patch 메서드 또는 routers.update 메서드를 사용하여 PATCH 또는 UPDATE 요청을 보냅니다. PATCH는 포함한 매개변수만 업데이트합니다. UPDATE는 Cloud Router의 모든 매개변수를 업데이트합니다.

    다음 예시에서는 수동으로 구성된 IPv6 주소로 인터페이스를 만듭니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "fdff:1::/112"
          }
        ]
    }
    

    각 IPv6 BGP 세션의 각 BGP IP 주소 범위는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

    다른 예시로, 다음 명령어는 자동으로 할당된 IPv6 주소로 인터페이스를 만듭니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipVersion": "IPV6"
          }
        ]
    }
    

    HA VPN 게이트웨이의 각 VPN 터널마다 이 단계를 반복합니다.

  2. VPN 터널의 Cloud Router에 BGP 피어 구성을 추가하고 routers.patch 메서드 또는 routers.update 메서드를 사용하여 PATCH 또는UPDATE 요청을 보냅니다. 다른 VPN 터널에 대해 이 명령어를 반복하여 namepeerAsn을 제외한 모든 옵션을 변경합니다.

    예를 들면 다음과 같습니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT"
        }
      ]
    }
    

    다음 예시에는 사용 설정된 IPv4 경로 교환 및 수동으로 구성된 IPv4 다음 홉 주소를 사용하여 IPv6 BGP 인터페이스에 대해 BGP 피어를 추가하는 명령어가 포함되어 있습니다. ipv4NexthopAddresspeerIpv4NexthopAddress를 생략하면 IPv4 다음 홉 주소가 자동으로 할당됩니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers//ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT",
        "enableIpv4": true,
        "ipv4NexthopAddress: "169.254.0.1",
        "peerIpv4NexthopAddress: "169.254.0.2"
        }
      ]
    }
    

    피어에 커스텀 학습된 경로를 지정하려면 경로의 IP 프리픽스를 정의합니다. 원하는 경우 경로의 우선순위 값을 0에서 65535(포함) 사이로 설정할 수 있습니다. 각 BGP 세션에는 세션에 대해 구성한 모든 커스텀 학습된 경로에 적용되는 하나의 우선순위 값이 포함될 수 있습니다. 자세한 내용은 커스텀 학습된 경로를 참조하세요.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT",
        "enableIpv4": true,
        "ipv4NexthopAddress: "169.254.0.1",
        "peerIpv4NexthopAddress: "169.254.0.2"
        "customLearnedRoutePriority": 200,
        "customLearnedIpRanges": [
            {
              "range": "1.2.3.4"
            },
            {
              "range": "6.7.0.0/16"
            },
            {
              "range": "2001:db8:abcd:12::/64"
            }
          ]
          }
        ]
    }
    

    MD5 인증을 사용하도록 세션을 구성하려면 요청에 인증 키가 포함되어 있어야 합니다. 즉, 키와 키 이름을 모두 제공해야 합니다. 또한 BGP 피어링 세션을 만들 때 키를 이름으로 참조해야 합니다. 예를 들면 다음과 같습니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "md5AuthenticationKeys": [
        {
        "name": "bgppeer-1-key",
        "key": "secret_key_value"
        }
        ],
    }
    {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0",
        "ipAddress": "fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT",
        "md5AuthenticationKeyName": "bgppeer-1-key"
        }
      ]
    }
    

IPv4 BGP 및 IPv6 BGP 세션 모두

다음 단계를 따라 동일한 HA VPN 터널에서 동시에 실행되는 IPv4 BGP 세션 및 IPv6 BGP 세션 모두를 만듭니다.

이 구성을 만들려면 2개의 BGP 인터페이스와 2개의 BGP 피어를 Cloud Router에 추가하여 이를 동일한 VPN 터널에 연결합니다. BGP 세션 중 하나에서 MP-BGP를 사용할 수 없습니다.

콘솔

IPv4 및 IPv6 BGP 세션을 모두 만들려면 다음 단계를 수행합니다.

  1. BGP 세션 구성을 클릭합니다.
  2. BGP 세션 만들기 페이지에서 다음 단계를 완료합니다.

    1. BGP 세션 유형둘 다를 선택합니다.

    IPv4 BGP 세션

    1. 이름에 BGP 세션 이름을 입력합니다.
    2. 피어 ASN에 피어 VPN 게이트웨이에 구성된 피어 ASN을 입력합니다.
    3. BGP IPv4 주소 할당에서 자동 또는 수동을 선택합니다. 수동을 선택하는 경우 다음을 수행합니다.
    4. Cloud Router BGP IPv4 주소에 Cloud Router BGP IPv4 주소를 입력합니다.
    5. BGP 피어 IPv4 주소에 BGP 피어의 IPv4 주소를 입력합니다. IPv4 주소는 다음 요구사항을 충족해야 합니다.

      • 각 IPv4 주소가 169.254.0.0/16 주소 범위에 들어가는 동일한 /30 서브넷에 속해야 합니다.
      • 각 IPv4 주소가 /30 서브넷의 첫 번째 또는 두 번째 호스트여야 합니다. 서브넷의 첫 번째 및 마지막 IP 주소는 네트워크 및 브로드캐스트 주소로 예약됩니다.
      • BGP 세션의 각 IPv4 주소 범위는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

      자동을 선택하면 Google Cloud가 BGP 세션에 대해 IPv4 주소를 자동으로 선택합니다.

      자동 IPv6 주소 할당량을 선택하면 Google Cloud가 BGP 세션에 대해 IPv6 주소를 자동으로 선택합니다.

    6. (선택사항) 고급 옵션 섹션을 확장합니다.

    7. BGP 피어를 사용 설정하려면 사용 설정됨을 선택합니다. 사용 설정하면 라우팅 정보로 피어 연결이 설정됩니다. 자세한 내용은 BGP 세션 설정을 참조하세요.

    8. MD5 인증을 추가하려면 사용 설정을 선택합니다. 사용 설정하면 MD5 인증을 사용하여 Cloud Router와 해당 피어 간에 BGP 세션을 인증할 수 있습니다. 자세한 내용은 MD5 인증 사용을 참조하세요. 또는 나중에 MD5 인증을 사용 설정할 수 있습니다.

    9. BGP 세션에 아웃바운드 경로를 추가하려면 모든 커스텀 학습 경로의 우선순위에 커스텀 학습 경로 우선순위를 입력합니다. 자세한 내용은 커스텀 학습된 경로를 참조하세요.

    10. 저장 후 계속을 클릭합니다.

    IPv6 BGP 세션

    1. 이름에 BGP 세션 이름을 입력합니다.
    2. 피어 ASN에 피어 VPN 게이트웨이에 구성된 피어 ASN을 입력합니다.
    3. 선택사항: 공지된 경로 우선순위(MED)에 이 BGP 피어에 공지된 경로의 우선순위를 입력합니다.
    4. BGP IPv6 주소 할당에서 자동 또는 수동을 선택합니다. 수동을 선택하는 경우 다음을 수행합니다.
    5. Cloud Router BGP IPv6 주소에 Cloud Router BGP IPv6 주소를 입력합니다.
    6. BGP 피어 IPv6 주소에 BGP 피어의 IPv6 주소를 입력합니다. IPv4 주소는 다음 요구사항을 충족해야 합니다.

      • 각 주소는 마스크 길이가 /64fdff:1::/64 주소 범위의 고유한 로컬 주소(ULA)여야 합니다. 예를 들면 fdff:1::1입니다.
      • 각 주소는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

      자동을 선택하면 Google Cloud가 BGP 세션에 대해 IPv6 주소를 자동으로 선택합니다.

    7. (선택사항) 고급 옵션 섹션을 확장합니다.

    8. BGP 피어를 사용 설정하려면 사용 설정됨을 선택합니다. 사용 설정하면 라우팅 정보로 피어 연결이 설정됩니다. 자세한 내용은 BGP 세션 설정을 참조하세요.

    9. MD5 인증을 사용 설정하려면 사용 설정을 선택합니다. 사용 설정하면 MD5 인증을 사용하여 Cloud Router와 피어 간에 BGP 세션을 인증합니다. 자세한 내용은 MD5 인증 사용을 참조하세요. 또는 나중에 MD5 인증을 사용 설정할 수 있습니다.

    10. BGP 세션에 아웃바운드 경로를 추가하려면 모든 커스텀 학습 경로의 우선순위에 커스텀 학습 경로 우선순위를 입력합니다. 자세한 내용은 커스텀 학습된 경로를 참조하세요.

    11. 저장 후 계속을 클릭합니다.

  3. 게이트웨이에 구성된 나머지 터널에 대해 이전 단계를 반복합니다. 각 터널에 대해 다른 Cloud Router BGP IP 주소 및 BGP 피어 IP 주소를 사용합니다.

  4. BGP 구성 저장을 클릭합니다.

gcloud

BGP 세션을 만들려면 다음 단계를 따르세요.

명령어에서 다음을 바꿉니다.

  • ROUTER_INTERFACE_NAME_0_ipv4ROUTER_INTERFACE_NAME_0_ipv6: 동일한 터널을 공유하는 첫 번째 Cloud Router BGP 인터페이스 쌍의 이름. 이전에 구성된 터널 이름과 관련된 이름을 사용하면 도움이 됩니다.
  • ROUTER_INTERFACE_NAME_1_ipv4, ROUTER_INTERFACE_NAME_1_ipv6: Cloud Router BGP 인터페이스의 두 번째 집합의 이름
  • TUNNEL_NAME_0TUNNEL_NAME_1: 구성된 HA VPN 게이트웨이 인터페이스와 연결된 터널
  • IP_PREFIXESCUSTOM_ROUTE_PRIORITY: BGP 세션의 학습된 경로를 수동으로 지정할 수 있는 값입니다. 이 기능에 대한 자세한 내용은 커스텀 학습된 경로를 참조하세요.
  • AUTHENTICATION_KEY: MD5 인증에 사용할 보안 비밀 키입니다. 이 선택적 기능에 대한 자세한 내용은 MD5 인증 사용을 참조하세요.

    또한 Cloud Router 인터페이스와 BGP 피어의 IPv4 및 IPv6 주소를 자동 또는 수동으로 구성하도록 선택할 수 있습니다.

    (선택사항) BGP 식별자 범위 할당

    IPv6 주소가 포함된 첫 번째 인터페이스를 Cloud Router에 추가하면 BGP 식별자 범위가 자동으로 Cloud Router에 할당됩니다. Cloud Router에 대해 자체 BGP 식별자 범위를 정의하려면 자체 범위를 만들 수 있습니다. 나중에 이 범위를 수정할 수도 있습니다. 자세한 내용은 Cloud Router의 BGP 식별자 범위 구성을 참조하세요.

자동

Google Cloud가 BGP 주소를 자동으로 선택하도록 하려면 다음 단계를 완료하세요.

첫 번째 VPN 터널의 경우

  1. IPv4 주소가 포함된 인터페이스를 Cloud Router에 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION
       --ip-version=IPV4
    

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. IPv6 주소가 포함된 두 번째 인터페이스를 동일한 터널에 추가합니다. 다음 명령어를 실행합니다.

    gcloud compute routers add-interface ROUTER_NAME \
       --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
       --vpn-tunnel=TUNNEL_NAME_0 \
       --region=REGION \
       --ip-version=IPV6
    

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. 첫 번째 터널의 IPv4 주소가 포함된 첫 번째 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_0_ipv4을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0_ipv4 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
       --region=REGION
    
  4. 첫 번째 터널의 IPv6 주소가 포함된 두 번째 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_0_ipv6을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
       --region=REGION
    

    대부분의 경우 PEER_ASN이 동일하지만 온프레미스 네트워크 토폴로지에 따라 다를 수 있습니다.

두 번째 VPN 터널의 경우

  1. IPv4 주소가 포함된 인터페이스를 Cloud Router에 추가합니다.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION
     --ip-version=IPV4
    
  2. IPv6 주소가 포함된 인터페이스를 동일한 터널에 추가합니다. 다음 명령어를 실행합니다.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION \
     --ip-version=IPV6
    
  3. 두 번째 터널의 IPv4 주소가 포함된 첫 번째 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_1_ipv4을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1_ipv4 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
     --region=REGION
    
  4. 두 번째 터널의 IPv6 주소가 포함된 두 번째 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_1_ipv6을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
       --region=REGION
    

    대부분의 경우 PEER_ASN이 동일하지만 온프레미스 네트워크 토폴로지에 따라 다를 수 있습니다.

수동

Cloud Router 인터페이스 및 BGP 피어와 연관된 IPv4 및 IPv6 주소를 수동으로 할당하려면 다음 단계를 수행합니다.

각 VPN 터널마다 구성하는 BGP 세션 유형에 따라 적절한 BGP 주소 쌍을 결정합니다. 세션 유형당 총 4개의 IP 주소를 선택해야 합니다.

  • IPv4 BGP 세션의 경우 4개의 IPv4 주소가 169.254.0.0/16 범위의 /30 블록에 있는 링크-로컬 IPv4 주소여야 합니다. 예를 들면 169.254.0.1/30입니다.
  • IPv6 BGP 세션의 경우 4개의 IPv6 주소는 길이가 /126 이하인 fdff:1::/64 범위의 고유한 로컬 주소(ULA)여야 합니다. 예를 들면 fdff:1:1:1::/112입니다.

지정한 BGP 주소는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

각 터널마다 BGP IPv6 주소를 Cloud Router에 할당합니다. BGP 피어 IPv6 주소를 사용하도록 피어 VPN 기기를 구성합니다.

다음 명령어에서 다음을 바꿉니다.

  • GOOGLE_BGP_IPV4_0: Cloud VPN 게이트웨이 interface 0의 터널에 대한 Cloud Router 인터페이스의 IPv4 주소. PEER_BGP_IPV4_0은 BGP 피어의 IPv4 주소를 나타내며 GOOGLE_BGP_IPV4_0과 일치합니다.
  • GOOGLE_BGP_IPV6_0: Cloud VPN 게이트웨이 interface 0의 터널에 대한 Cloud Router 인터페이스의 IPv6 주소. PEER_BGP_IPV6_0은 BGP 피어의 IPv6 주소를 나타내며 GOOGLE_BGP_IPV6_0과 일치합니다.
  • GOOGLE_BGP_IPV4_1: Cloud VPN 게이트웨이 interface 1의 터널에 대한 Cloud Router 인터페이스의 IPv4 주소. PEER_BGP_IPV4_1은 BGP 피어의 IPv4 주소를 나타내며 GOOGLE_BGP_IPV4_1과 일치합니다.
  • GOOGLE_BGP_IPV6_1: Cloud VPN 게이트웨이 interface 1의 터널에 대한 Cloud Router 인터페이스의 IPv6 주소. PEER_BGP_IPV6_1은 BGP 피어의 IPv6 주소를 나타내며 GOOGLE_BGP_IPV6_1과 일치합니다.

첫 번째 VPN 터널의 경우

  1. IPv4 주소가 포함된 인터페이스를 Cloud Router에 추가합니다. ROUTER_INTERFACE_NAME_0_ipv4를 인터페이스 이름으로 바꿉니다.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IPV4_0 \
      --mask-length 30 \
      --region=REGION
    

    명령어 결과는 다음 예시와 비슷합니다.

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. IPv6 주소가 포함된 인터페이스를 동일한 터널에 추가합니다. ROUTER_INTERFACE_NAME_0_ipv6를 인터페이스 이름으로 바꿉니다.

    gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --ip-address=GOOGLE_BGP_IPV6_0 \
      --mask-length=MASK_LENGTH  \
      --region=REGION \
    

    MASK_LENGTH64 이하의 값으로 바꿉니다.

  3. 첫 번째 터널의 첫 번째 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_0_ipv4을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0_ipv4 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
     --peer-ip-address=PEER_BGP_IPV4_0 \
     --region=REGION
    
  4. 첫 번째 터널의 두 번째 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_0_ipv6을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_0_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
       --peer-ip-address=PEER_BGP_IPV6_0 \
       --region=REGION
    

    대부분의 경우 PEER_ASN이 동일하지만 온프레미스 네트워크 토폴로지에 따라 다를 수 있습니다.

두 번째 VPN 터널의 경우

  1. IPv4 주소가 포함된 인터페이스를 Cloud Router에 추가합니다. ROUTER_INTERFACE_NAME_1_ipv4를 인터페이스 이름으로 바꿉니다.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IPV4_1 \
     --mask-length MASK_LENGTH \
     --region=REGION
    
  2. IPv6 주소가 포함된 인터페이스를 동일한 터널에 추가합니다. ROUTER_INTERFACE_NAME_1_ipv6를 인터페이스 이름으로 바꿉니다.

    gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --ip-address=GOOGLE_BGP_IPV6_1 \
     --mask-length=MASK_LENGTH \
     --region=REGION \
    

    MASK_LENGTH64 이하의 값으로 바꿉니다.

  3. 두 번째 터널의 첫 번째 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_1_ipv4을 피어 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1_ipv4 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
     --peer-ip-address=PEER_BGP_IPV4_1 \
     --region=REGION
    
  4. 두 번째 터널의 두 번째 인터페이스에 BGP 피어 구성을 추가합니다. PEER_NAME_1_ipv6을 피어 VPN 인터페이스 이름으로 바꾸고 PEER_ASN을 피어 VPN 게이트웨이에 대해 구성된 ASN으로 바꿉니다.

    gcloud compute routers add-bgp-peer ROUTER_NAME \
       --peer-name=PEER_NAME_1_ipv6 \
       --peer-asn=PEER_ASN \
       --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
       --peer-ip-address=PEER_BGP_IPV6_1 \
       --region=REGION
    

    대부분의 경우 PEER_ASN이 동일하지만 온프레미스 네트워크 토폴로지에 따라 다를 수 있습니다.

API

BGP 세션을 만들려면 다음 단계를 따르세요.

  1. 2개의 Cloud Router 인터페이스를 만들려면 routers.patch 메서드 또는 routers.update 메서드를 사용하여 PATCH 또는 UPDATE 요청을 보냅니다. PATCH는 포함한 매개변수만 업데이트합니다. UPDATE는 Cloud Router의 모든 매개변수를 업데이트합니다.

    HA VPN 게이트웨이의 첫 번째 VPN 터널에 대한 2개의 Cloud Router 인터페이스를 만듭니다. IPv4 주소가 포함된 인터페이스와 IPv6 주소가 포함된 인터페이스를 만듭니다. 동일한 PATCH 또는 UPDATE 요청에서 인터페이스와 해당 BGP 피어를 모두 구성할 수 있습니다. 인터페이스가 동일한 linkedVpnTunnel 터널과 연결되고 이후 BGP 피어가 인터페이스와 연결됩니다.

    각 인터페이스의 BGP 주소 범위는 VPC 네트워크의 모든 리전에 속한 모든 Cloud Router에서 고유해야 합니다.

    HA VPN 게이트웨이에서 각 VPN 터널에 대해 이 단계와 명령어를 반복합니다.

    다음 예시에서는 IPv4 주소가 포함된 인터페이스와 IPv6 주소가 포함된 인터페이스를 동일한 linkedVpnTunnel에 추가합니다. 예시 명령어는 IPv4 및 IPv6 BGP 주소를 수동으로 지정합니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "169.254.0.1/30"
          },
          {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipRange": "fdff:1::/126"
          }
    
        ]
    }
    

    다음 예시에서는 IPv4 및 IPv6 BGP 주소가 자동으로 할당된 동일한 linkedVpnTunnel에 IPv4 BGP 인터페이스와 IPv6 BGP 인터페이스를 추가합니다.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
      "interfaces": [
        {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipVersion": "IPV4"
          },
          {
          "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
          "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
          "ipVersion": "IPV6"
          }
    
        ]
    }
    
    1. 각 VPN 터널의 Cloud Router에 BGP 피어를 추가하려면 routers.patch 메서드 또는 routers.update 메서드를 사용하여 PATCH 또는UPDATE 요청을 보냅니다. 다른 VPN 터널에 대해 이 명령어를 반복하여 필요에 따라 모든 옵션을 변경합니다.

      예를 들면 다음과 같습니다.

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
      {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv4",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv4",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT"
        },
        {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv6",
        "ipAddress": fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv6",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT"
        }
      ]
      }
      

구성 확인

콘솔

구성을 확인하려면 요약 및 알림 페이지로 이동합니다.

  1. 이 페이지의 요약 섹션에는 HA VPN 게이트웨이와 피어 VPN 게이트웨이 프로필에 대한 정보가 표시됩니다. VPN 터널마다 VPN 터널 상태, BGP 세션 이름, BGP 세션 상태, MED 값(공지된 경로 우선순위)을 볼 수 있습니다.
  2. 이 페이지의 알림 섹션에는 Cloud VPN과 피어 VPN 간에 완벽하게 작동하는 VPN 연결을 설정하기 위해 완료해야 하는 단계가 나와 있습니다.
  3. 피어 VPN 기기에 대해 구성 템플릿을 다운로드하려면 구성 다운로드를 클릭합니다. 템플릿을 선택하고 지원되는 공급업체 목록을 보는 방법은 피어 VPN 구성 템플릿 다운로드를 참조하세요. 나중에 피어 VPN 게이트웨이 페이지로 이동하여 구성 템플릿을 다운로드할 수도 있습니다.
  4. 이 페이지의 정보를 검토한 후 확인을 클릭합니다.

gcloud

Cloud Router 구성을 확인하려면 다음 단계를 따르세요.

  • Cloud Router가 선택한 BGP 세션 IP 주소를 나열합니다. 새 인터페이스를 기존 Cloud Router에 추가한 경우 새 인터페이스의 BGP IPv4 또는 IPv6 주소가 가장 높은 색인 번호로 나열될 수 있습니다. BGP IPv4 또는 BGP IPv6 주소 peerIpAddress를 사용하여 피어 VPN 게이트웨이를 구성합니다.

    gcloud compute routers get-status ROUTER_NAME \
       --region=REGION \
       --format='flattened(result.bgpPeerStatus[].name,
         result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
    

    2개의 Cloud VPN 터널(색인 0 및 색인 1)을 관리하는 Cloud Router에 대한 예상 출력은 다음 예시와 같으며, 각 항목에 대한 설명은 다음과 같습니다.

    • GOOGLE_BGP_IP_0은 Cloud VPN 게이트웨이 interface 0의 터널에 대한 Cloud Router 인터페이스의 BGP IP 주소를 나타냅니다. PEER_BGP_IP_0은 피어의 BGP IP 주소를 나타냅니다.
    • GOOGLE_BGP_IP_1은 Cloud VPN 게이트웨이 interface 1의 터널에 대한 Cloud Router 인터페이스의 BGP IP 주소를 나타냅니다. PEER_BGP_IP_1은 피어의 BGP IP 주소를 나타냅니다.
      result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
      result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
      result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
      result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
      result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
      result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
    
  • 다음 명령어를 사용하여 Cloud Router 구성의 전체 목록을 가져올 수도 있습니다.

    gcloud compute routers describe ROUTER_NAME \
       --region=REGION
    

    전체 목록은 다음 예시와 같습니다.

    bgp:
      advertiseMode: DEFAULT
      asn: 65001
    bgpPeers:
    - interfaceName: if-tunnel-a-to-on-prem-if-0
      ipAddress: 169.254.0.1
      name: bgp-peer-tunnel-a-to-on-prem-if-0
      peerAsn: 65002
      peerIpAddress: 169.254.0.2
    - interfaceName: if-tunnel-a-to-on-prem-if-1
      ipAddress: 169.254.1.1
      name: bgp-peer-tunnel-a-to-on-prem-if-1
      peerAsn: 65004
      peerIpAddress: 169.254.1.2
    creationTimestamp: '2018-10-18T11:58:41.704-07:00'
    id: '4726715617198303502'
    interfaces:
    - ipRange: 169.254.0.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
      name: if-tunnel-a-to-on-prem-if-0
    - ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
      name: if-tunnel-a-to-on-prem-if-1
      kind: compute#router
      name: router-a
      network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
      region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
      selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    

API

Cloud Router 구성을 확인하려면 routers.getRouterStatus 메서드를 사용하여 GET 요청을 보내고 빈 요청 본문을 사용합니다.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

단일 터널 게이트웨이에 추가 터널 만들기

콘솔

99.99% 업타임 SLA를 받으려면 HA VPN 게이트웨이의 각 HA VPN 인터페이스에 터널을 구성합니다.

다음과 같은 경우에는 두 번째 터널을 구성합니다.

  • 단일 피어 VPN 인터페이스가 있는 피어 VPN 게이트웨이에 대한 HA VPN 게이트웨이를 구성한 경우
  • 여러 개의 인터페이스를 포함하는 피어 VPN 게이트웨이에 대해 HA VPN 게이트웨이에서 이전에 단일 터널을 설정했지만 이제 HA VPN 게이트웨이에 대한 99.99% 업타임 SLA를 원하는 경우

두 번째 터널을 구성하려면 HA VPN 게이트웨이에서 피어 VPN 게이트웨이에 터널 추가의 단계를 따릅니다.

기본 공지 경로 우선순위 설정(선택사항)

만든 BGP 세션을 통해 각 Cloud Router가 피어 네트워크에 경로를 공지할 수 있습니다. 공지는 수정되지 않은 기본 우선순위를 사용합니다.

Google Cloud 쪽과 피어 쪽에 있는 두 터널의 공지된 경로 우선순위가 일치하는 활성/활성 라우팅 구성을 위해 HA VPN 게이트웨이 및 터널 쌍-피어 VPN 만들기에 설명된 구성을 사용합니다. Google Cloud에서 두 BGP 피어에 동일한 공지 경로 우선순위를 구성하려면 Google Cloud 쪽에서 공지된 경로 우선순위를 생략합니다.

활성/수동 구성을 만들려면 두 개의 HA VPN 터널에 대해 동일하지 않은 공지된 경로 우선순위를 구성합니다. 한 공지 경로 우선순위가 다른 경로 우선순위보다 높아야 합니다. 예를 들면 다음과 같습니다.

  • BGP 세션1/터널1, 경로 우선순위 = 10
  • BGP 세션2/터널2, 경로 우선순위 = 20

기본 공지 경로 우선순위에 대한 자세한 내용은 공지된 프리픽스 및 우선순위를 참조하세요.

또한 커스텀 공지를 사용하여 공지할 경로를 지정할 수 있습니다.

  • --advertisement-mode=CUSTOM 플래그(gcloud) 또는 advertiseMode: custom 플래그(API)를 추가합니다.
  • --set-advertisement-ranges 플래그(gcloud) 또는 advertisedIpRanges 플래그(API)를 사용하여 IP 주소 범위를 지정합니다.

구성 완료하기

새 Cloud VPN 게이트웨이 및 관련 VPN 터널을 사용하려면 먼저 다음 단계를 완료하세요.

  1. 피어 VPN 게이트웨이를 설정하고 여기에 해당 터널을 구성합니다. 자세한 내용은 다음을 참조하세요.
  2. Google Cloud 및 피어 네트워크에서 필요에 따라 방화벽 규칙을 구성합니다.
  3. VPN 터널의 상태를 확인합니다. 이 단계에는 HA VPN 게이트웨이의 고가용성 구성을 확인하는 작업이 포함됩니다.

다음 단계

  • 피어 VPN 게이트웨이에 허용되는 IP 주소를 제어하려면 피어 VPN 게이트웨이의 IP 주소 제한을 참조하세요.
  • 고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
  • Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.