Cloud VPN에 대해 알아보자

 

 

 

Packets 이란?

쪼개진 데이터 조각을 말한다. Packets은 데이터를 전송할 목적지에서 다시 합쳐질 수 있는 데이터 조각들이다. 

하나의 Packet은 Header (Packet의 목적지와 사용한 Protocol 정보를 담고있음) 와 Payload (Packet의 실제 내용) 으로 구성된다. 

 

 

 

 

Packet Encapsulation 이란? 

Packet을 Encapsulate 한다는 것은 Packet을 다른 Packet으로 감싸는 것을 의미한다.

즉, 본래의 Packet(header + payload)을 이를 감쌀 Packet의 payload 섹션에 포함시킨다.  

 

 

 

 

Tunneling 이란?

Packets을 한 네트워크에서 다른 네트워크로 이동시키는 방법을 말한다.

이때 해당 네트워크에서 지원하지 않는 프로토콜을 이용하여 Packets을 Encapsulating 한다.

 

 

 

 

왜 Encapsulation이 유용할까? 

모든 Packets은 목적지에 도달하기 위해 네트워크 프로토콜을 사용하는데, 모든 네트워크가 모든 종류의 프로토콜을 다 수용할 수 있는 것은 아니다. 예를 들어, 어떤 회사는 IPv6 프로토콜을 사용하는데 연결하고자 하는 오피스의 네트워크는 IPv4만 지원한다. 이럴 경우 IPv6 Packets을 IPv4 Packets으로 Encapsulate 하면, 그 오피스에 연결이 바로 가능하다. 

 

두 번째로, Encapsulation은 데이터를 Encryption 할 때 유용하다. Encryption은 Encryption Key가 있어야만 데이터를 Decrypt 할 수 있는 방법이다. 이 때, 데이터의 Header까지 Encrypt 하게 되면 네트워크 라우터가 목적지가 어딘지 알 수 없어 Packets을 보낼 수 없는 상황이 된다. 이런 암호화 된 Packet을 암호화 되지 않은 Packet으로 감싸게 되면 다른 네트워크로 전송할 수 있다. 

 

 

 

 

출처: https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&curPage=1&columnist=0&dir_group_dist=0&seq=15547

VPN (Virtual Private Network)이란?

VPN은 인터넷과 같은 공중망을 마치 전용 회선처럼 사용해 보안성을 향상하면서도 사설망을 이용하지 않았기 때문에 비용 문제까지 해결한 네트워크이다. 예를 들어, 본사와 지사 사이의 거리가 서울과 부산이라면 전용선 구축에 막대한 비용을 지불해야 할 것이다. 이 때 VPN을 사용하면 비용 절감은 물론이고 중요 데이터를 송수신 할 경우 라우터 체계를 비공개하고, 데이터를 암호화하고, 사용자 인증 기능을 추가하는 등 다양한 방법으로 보안 기능을 제공한다. 

 

 

 

 

VPN Tunneling 이란?

연결해야 할 두 지점간에 마치 터널이 뚫린 것처럼 통로를 생성하는 것을 말한다. VPN을 이용해 인터넷에 연결하면 테이터 패킷이 암호화된 보안 터널을 통해 전송되며, 실제 IP 주소가 가상 IP 주소로 대체되고 데이터가 VPN 서버로 리디렉션되어 데이터가 유출되는 일을 방지할 수 있다. 또한 인터넷 업체나 해커가 사용자의 데이터나 위치를 확인하는 일을 방지할 수 있다. VPN에서 주로 사용하는 프로토콜은 IPsec 프로토콜과 TLS (Transport Layer Security) or SSL (Secure Sockets Layer) 이다. 

 

 

 

 

IPsec (Internet Protocol Security) 이란?

두 컴퓨터 간의 패킷 송수신을 암호화하고 보안하는 네트워크 계층 프로토콜

차세대 인터넷 프로토콜인 IPv6에서는 기본적으로 IPsec을 포함하고 있다.

 

 

 

 

GCP Cloud VPN에 대해 알아보자 

Cloud VPN은 IPsec VPN 터널을 통해 사용자의 네트워크를 구글 네트워크로 안전하게 확장한다. 트래픽은 암호화되어 Public Internet을 통해 두 네트워크를 오간다. 하나의 VPN 게이트웨이에서 두 네트워크 사이에서 이동하는 트래픽을 암호화하고 다른 VPN 게이트웨이에서 복호화한다. 또한 Cloud VPN의 두 인스턴스를 서로 연결할 수도 있다. 

Cloud VPN은 적은 양의 데이터 이동에 적합하다. 

 

[ Cloud VPN의 2가지 유형]

HA VPN

High Availability VPN은 단일 Region에서 IPsec VPN 연결을 통해 On-premise 네트워크를 VPC 네트워크에 안전하게 연결할 수 있게 해주는 고가용성 (HA) Cloud VPN 솔루션이다. 

HA VPN 게이트웨이를 만들면 구글 클라우드가 두 인터페이스의 고정된 각 번호에 각각 하나씩 외부 IPv4 주소 두 개를 자동으로 선택한다. 각 HA VPN 게이트웨이 인터페이스는 터널 여러 개를 지원하고, HA VPN 게이트웨이도 여러 개 만들 수 있다. HA 게이트웨이는 IPv6 트래픽 교환을 지원한다.

피어 기기 두 개가 필요하다면 각 피어 기기를 서로 다른 HA VPN 게이트웨이 인터페이스에 연결해야 한다. 피어 측이 AWS 와 같은 다른 클라우드 제공업체이면 AWS 측에서도 VPN 연결을 적절한 중복성으로 구성해야 한다.

피어 VPN 게이트웨이 기기는 동적 (BGP) 라우팅을 지원해야 한다.

Cloud VPN 토폴로지, 피어 VPN 게이트웨이 두 개에 대한 HA VPN 게이트웨이

 

 

Classic VPN

HA VPN을 도입하기 전에 생성된 모든 Cloud VPN 게이트웨이는 기본 VPN 게이트웨이로 간주된다. HA VPN과 달리 기본 VPN 게이트웨이는 인터페이스 한 개, 외부 IP 주소 한 개가 있으며 정적 라우팅을 사용하는 터널이 지원된다.

기본 VPN의 동적 라우팅(BGP)을 구성할 수도 있지만 Google CLoud VM 인스턴스에서 실행되는 타사 VPN 게이트웨이 소프트웨어에 연결되는 터널에만 구성할 수 있다. 

기본 VPN 게이트웨이는 IPv6는 지원하지 않는다.

 

 

 

 

문제 관련 내용

- provides a Secure Tunnel Connection between an On-Prem Location and a GCP VPC

- If a single tunnel does not provide necessary throughput, GCP can smoothly distribute traffic across multiple tunnels to provide additional bandwidth.

- The Bandwidth of a GCP VPN can be increased by distributing traffic across multiple Tunnels.

- Classic VPN supports both Static and Dynamic Routing and provides a single Secure Tunnel

- HA VPN supports Dynamic Routing and provides one or more Secure Tunnels