GCP HA VPN 정리
GCP HA VPN
- 두 개의 VPN 터널을 자동으로 생성하여 Active-Standby 또는 Active-Active 상태를 제공
- Gateway 공인 IP : 2개
- Routing : BGP (동적 라우팅 only)
- VPN Config 값 Export 가능 (Classic VPN은 export 불가)
- 구성 Active-Standby 또는 Active-Active 상태 ( 온프레미스 장비에서 BGP 우선순위 관리하여 컨트롤)
- Active-Standby (페일오버)
- Active-Standby 모드는 기본적으로 하나의 VPN 터널만 활성화 상태에서 사용됩니다.
- 다른 터널은 Standby 상태로, Active 터널에 장애가 발생하면 Standby 터널로 자동으로 전환됩니다.
- 이 방식은 주로 장애 복구(Failover)에 사용됩니다.
- 설정은 주로 온프레미스 장비에서 관리되며, BGP 세션 설정을 통해 터널 상태가 변할 때 트래픽을 전환합니다.
- Active-Active (로드 밸런싱)
- Active-Active 모드는 두 개의 터널이 동시에 활성화되어 로드 밸런싱을 수행합니다.
- 두 터널이 동시에 트래픽을 처리하므로, 트래픽이 양쪽 터널로 분산됩니다. 장애가 발생하면 다른 터널이 자동으로 트래픽을 처리하게 됩니다.
- 이 설정은 BGP 라우팅 정책에 의해 트래픽을 분산하고, 온프레미스 장비에서도 BGP의 다중 경로 기능을 설정하여 로드 밸런싱을 실현합니다.
- 예) Peer 요청사항 : active standby 구성 (Failover) _ 평상시에는 active 터널만 up 상태
HA VPN BGP 라우팅을 위한 Cloud Router 생성
- GCP에서 동적 경로 전파를 위해 사용되는 서비스
- **BGP (Border Gateway Protocol)**를 사용하여, GCP의 네트워크와 온프레미스 환경 간에 동적으로 라우팅 정보 교환.
- GCP의 VPC와 연결되는 외부 VPN 게이트웨이(예: Palo Alto, Cisco 등)와 BGP 세션 형성.
- Cloud Router ASN : 네트워크의 다른 위치에서 사용하지 않는 모든 비공개 ASN(64512~65534, 4200000000~4294967294)중 선택 가능
BGP (Border Gateway Protocol) 세션
- GCP에서 HA VPN과 Cloud Router를 설정하면, BGP (Border Gateway Protocol) 세션이 자동으로 형성됨
- BGP는 경로를 동적으로 광고(advertise)하고 학습(learn)하는 프로토콜로, 네트워크 간의 경로를 자동으로 조정할 수 있게 해줌
- BGP 세션은 VPN 터널을 통해 설정됩니다. 각 터널은 고유한 BGP 세션을 가질 수 있습니다.
예를 들어, GCP의 HA VPN에서는 두 개의 BGP 세션이 자동으로 설정될 수 있습니다. 하나는 Active 상태에서, 다른 하나는 Standby 상태에서 운영됩니다.
GCP 예시
- VPN Tunnel별 'BGP 세션 세부정보'에서 다음과 같이 경로를 확인할 수 있다
- 공지된 경로 = 광고된 경로 (Advertised) : GCP VPN 내부 IP 대역 = Local IP Range
- 커스텀 학습된 경로 (Learned) : Peer (외부) VPN의 내부 IP 대역 = Peer IP Range
트래픽 흐름
1.GCP VM 트래픽 → 2. Cloud Router BGP IP → 3. VPN 공인 IP (GCP 측) → 4. Peer VPN 공인 IP (온프레미스 측) → 5. Peer VPN Router BGP IP → 6. Peer Private IP Range (온프레미스 네트워크의 Private IP)