GCP Cloud Engineer - 49

클라우드 VPN 유형

• HA VPN: 온프레미스 네트워크와 Virtual Private Cloud(VPC) 네트워크를 안전하게 연결할 수 있는 고가용성 Cloud VPN 솔루션입니다.

  • ㅁ 서비스 가용성 99.99% SLA 제공

  • ㅁ 단일 리전에서 IPsec VPN 연결 사용

• 기본 VPN: 안전한 온프레미스 네트워크와 Google Cloud VPC 네트워크 연결을 제공합니다.

  • ㅁ 서비스 가용성 99.9% SLA 제공

  • ㅁ IPsec VPN 터널을 사용하여 트래픽을 암호화하고 복호화 (1460 bytes, MPU)

HA VPN 구성

• 터널 설정: HA VPN 게이트웨이에서 피어 VPN 게이트웨이까지 2개 또는 4개의 터널을 구성해야 합니다.

• 외부 IP 주소: HA VPN 게이트웨이는 두 개의 고정된 외부 IP 주소를 자동으로 할당받습니다.

  • ㅁ 각 IP 주소는 고유 주소 풀에서 자동 선택됩니다.

• 다양한 토폴로지(Topoly) 지원: HA VPN 게이트웨이를 Amazon Web Services(AWS) Virtual Private Gateway 또는 다른 HA VPN 게이트웨이와 연결할 수 있습니다.

기본 VPN의 특징

• IPsec 및 IKE 지원: 사이트 간 VPN, 정적 및 동적 경로, IKEv1 및 IKEv2 암호화를 지원합니다.

• 클라이언트 VPN 소프트웨어 비지원: 클라이언트 컴퓨터가 클라이언트 VPN 소프트웨어를 사용하여 VPN에 참여해야 하는 사용 사례를 지원하지 않습니다.

네트워크 구성

• 동적 경로: Cloud Router를 통해 구성되며, BGP를 사용하여 Cloud VPN 터널에 대한 경로를 관리합니다.

• MTU 고려사항: 온프레미스 VPN 게이트웨이의 최대 전송 단위(MTU)는 1,460바이트를 초과할 수 없습니다.

신규 서브넷 추가

• BGP 세션: VPN 터널은 BGP를 지원해야 하며, 네트워크 구성 변경사항을 자동으로 전파합니다.

• 새 서브넷 연결: 데이터 센터에서 증가하는 트래픽을 처리하기 위해 새 스테이징 서브넷과 새 온프레미스 10.0.30.0/24 서브넷을 추가할 수 있습니다.

---

모르는 단어

IPsec VPN

IPsec VPN은 인터넷 프로토콜 보안(IPsec)을 사용하여 가상 사설 네트워크(VPN) 연결을 생성하는 방법을 의미합니다.

IPsec는 네트워크 계층에서 작동하여 모든 애플리케이션 트래픽을 암호화하고, 무결성을 보장하며, 송신자 인증을 제공합니다. 이는 데이터가 인터넷을 통해 전송될 때 중간에서 데이터를 도청하거나 변조하는 것을 방지합니다.

IPsec VPN은 일반적으로 두 개의 네트워크 사이에 안전한 터널을 생성하는 데 사용됩니다.

예를 들어, 기업은 IPsec VPN을 사용하여 온프레미스 네트워크와 클라우드 네트워크를 안전하게 연결할 수 있습니다. 이렇게 하면 사용자는 인터넷을 통해 클라우드 리소스에 안전하게 액세스할 수 있습니다.

IKE

IKE(인터넷 키 교환, Internet Key Exchange)는 보안된 네트워크 연결을 설정하기 위해 사용되는 프로토콜입니다.

IKE는 IPsec(IP Security) VPN 연결을 설정할 때 사용되며, 두 장치 사이에 안전한 통신을 가능하게 하는 암호화 키를 동적으로 생성하고 교환하는 역할을 합니다.

IKE 프로토콜은 두 단계로 이루어져 있습니다:

• 단계 1:

• 두 장치 사이에 안전한 통신 채널을 설정합니다. 이 단계에서는 암호화, 해시, 인증 방법 등의 파라미터를 협상하고, 이를 바탕으로 IKE 보안 연결(IKE SA, Security Association)을 생성합니다.

• 단계 2:

• IKE SA를 사용하여 실제 데이터를 전송하는 데 사용되는 IPsec 보안 연결(IPsec SA)을 생성합니다. 이 단계에서는 데이터 암호화, 인증, IPsec 프로토콜(ESP, AH) 등의 파라미터를 협상합니다.

IKE는 이러한 과정을 통해 VPN 연결의 보안을 유지하고, 키 관리를 단순화하며, VPN 연결의 설정과 유지를 자동화합니다.

피어(Peer)

네트워킹에서 "피어(peer)"는 동등한 위치에 있는 다른 네트워크 노드를 의미합니다.

피어-투-피어(Peer-to-Peer, P2P) 네트워크 모델에서는 모든 컴퓨터가 동등한 위치에 있으며, 클라이언트와 서버 역할을 모두 수행할 수 있습니다.

이러한 네트워크에서 한 노드를 다른 노드와 연결하는 것을 "피어링(peering)"이라고 합니다.

VPN(Virtual Private Network)에서 "피어"는 VPN 연결의 다른 끝에 있는 네트워크 장치를 의미합니다. 예를 들어,

사이트-투-사이트 VPN에서 한 사이트의 VPN 게이트웨이는 다른 사이트의 VPN 게이트웨이를 "피어"로 간주합니다. 이 두 장치는 서로 안전한 통신 채널을 설정하고 유지하는 역할을 합니다.

Topology

토폴로지(Topology)는 네트워크의 물리적 또는 논리적 구조를 설명하는 용어입니다.

물리적 토폴로지는 네트워크의 실제 레이아웃을 나타내며, 이는 네트워크의 노드들이 어떻게 연결되어 있는지, 케이블이 어떻게 배치되어 있는지 등을 포함합니다.

예를 들어, 스타 토폴로지, 버스 토폴로지, 링 토폴로지 등이 있습니다.

논리적 토폴로지는 데이터가 네트워크를 통해 어떻게 이동하는지를 설명합니다. 이는 네트워크 프로토콜(서로 통신하기 위해 따라야하는 규칙 또는 표준)과 데이터 흐름을 기반으로 합니다.

예를 들어, 이더넷 네트워크의 논리적 토폴로지는 버스 토폴로지일 수 있습니다.

컴퓨터 네트워킹에서 토폴로지는 네트워크 설계와 관리에 중요한 역할을 합니다. 토폴로지는 네트워크의 성능, 안정성, 비용 등을 결정하는 데 큰 영향을 미칩니다.

네트워크 프로토콜:

데이터 형식, 데이터 전송 순서, 데이터 송수신을 위한 장치 주소 등을 정의

네트워크 프로토콜에는 여러 종류가 있으며, 각각은 특정 목적에 맞게 설계되었습니다.

예를 들어, HTTP(Hypertext Transfer Protocol)는 웹 브라우저와 웹 서버 간의 통신을 위한 프로토콜이며,

FTP(File Transfer Protocol)는 파일 전송을 위한 프로토콜입니다.

TCP(Transmission Control Protocol)와 IP(Internet Protocol)는 인터넷 통신의 기반이 되는 프로토콜입니다.

BGP

BGP(Border Gateway Protocol)는 인터넷에서 정보를 교환하는 데 사용되는 주요 라우팅 프로토콜입니다.

BGP는 AS(Autonomous System)라고 불리는 네트워크 집합 간에 정보를 교환합니다.

각 AS는 하나의 네트워크 운영자(예: ISP)에 의해 관리되며, BGP는 이러한 AS 간에 최적의 경로를 결정하는 데 사용됩니다.

BGP는 인터넷의 기본 구조를 형성하며, 웹 트래픽이 전 세계의 수많은 네트워크를 통해 효율적으로 이동할 수 있도록 합니다.

BGP는 또한 네트워크 장애가 발생했을 때 트래픽을 다른 경로로 자동으로 리디렉션하는 데 사용됩니다.