VPN vs Other Overlays

 

KVM1과 KVM2에 존재하는 네트워크들도 서로 오버레이네트워크로 구성될것이다. 그렇다면 VPN의 오버레이 네트워크와의 차이는 무엇일까?

일반적으로 Overlay Network 는 물리적 네트워크 위에 또 하나의 논리적인 네트워크 계층을 얹어 구성하는 방식을 의미하며, VPN Overlay Network의 한 유형이다. 다만 VPN 이 주로 보안을 전제로한 터널을 통해 원격지 간 사설 네트워크를 확장하는 데 집중한다면 SDN 이나 VXLAN 과 같은 다른 Overlay Network 기법은 논리적 분할 및 확장이나 네트워크 자동화 및 유연성에더 초점을 둔다.

 

- VPN Overlay 방식과 그 외의 Overlay 방식의 차이

1. 보안 및 터널링 방식의 차이

VPN Overlay

일반적으로 암호화를 통해 안전하게 트래픽을 주고 받기 위한 터널(ex: IPSec, SSL, WireGuard)을 구성한다.

외부 인터넷 망을 통해 내부 사설 네트워크를 확장 연결하려는 목적이 크다

비교적 P2P 혹은 stie to site 연결에 초점을 맞춘 경우가 많다.

 

기타 Overlay Network (VXLAN< GRE, SDN 기반 등)

VPN처럼 반드시 암호화를 전제로 하지 않은 수 있다. (네트워크 분리 및 확장 자체가 주된 목적이기 때문에 암호화는 옵션이다.)

네트워크 구성을 유연하게 하고 확장성 (Sacle-out) 및 자동화 (SDN 컨트롤러)를 지원하기 위해 설계된 경우가 많다.

L2를 기반으로 확장 (VXLAN) 하거나 L3 기반을 라우팅을 동적으로 구성 (Tinc, ZeroTier 등) 하는 식으로 다양한 방식이 존재한다.

 

2. 관리 및 운영 관점
VPN 오버레이
‘보안 터널’이라는 특성상, 각 지점에 설치된 VPN 엔드포인트(게이트웨이)만 잘 설정해주면 비교적 단순하게 연결할 수 있습니다.
다만, 지점이 많아질수록(다수의 사이트, 다수의 VPN 터널) 관리가 복잡해질 수 있습니다.
중앙집중식 관리 솔루션도 있지만, 전형적으로는 “사이트 A ↔ 사이트 B” 단위로 터널을 구성하는 형태가 흔합니다.

기타 오버레이 네트워크
VPN처럼 암호화/터널을 만드는 게 핵심이 아니라, “물리 네트워크를 추상화하여 논리 네트워크를 원하는 대로 구성”하는 데 중점을 둡니다.
SDN 컨트롤러(예: OpenDaylight, ONOS 등)나 분산 해시 테이블(DHT) 기반의 P2P 연결(ZeroTier, Tinc) 같은 방식으로, 노드(호스트)가 늘어나더라도 중앙 혹은 분산 방식으로 자동 라우팅·관리됩니다.
네트워크 토폴로지 변경(노드 추가/삭제, IP대역 변경 등)에 대한 반응이 자동화된 경우가 많아 대규모·동적 환경에서 유리합니다.

 

3. 적용 범위와 목적

VPN
대표적으로 기업 지사 간 트래픽 암호화, 재택근무 시 내부 자원 접근, 클라우드 ↔ 온프레미스 간 보안 터널 등 “원격지 간 안전한 연결”을 필요로 하는 곳에서 쓰입니다.
L3 IP 레벨에서 트래픽을 암호화하고 전달하는 경우가 많습니다.

기타 오버레이
데이터센터 내부에서 가상머신/컨테이너/멀티 클라우드 등을 하나의 논리 네트워크로 묶기 위해 쓰이기도 합니다(VXLAN, GRE, Geneve 등).
오픈소스 SD-WAN이나, 멀티 사이트 간 동적 라우팅(Tinc, ZeroTier, Nebula 등) 등 더 확장된 형태로도 활용합니다.
꼭 ‘암호화’만이 목적이 아니고, “네트워크를 논리적으로 어떻게 더 편리하게 나누고 연결할 것인가”에 집중합니다.

 

결국 VPN도 오버레이 네트워크의 일종이지만, 보안을 전제로 하는 “암호화된 터널”을 통해 사설 네트워크를 연장하고자 하는 목적이 주가 됩니다. 반면 VXLAN 같은 다른 오버레이 방식은 “가상화 환경의 네트워크를 대규모·유연하게 확장”하거나 “SDN 컨트롤러로 중앙집중·자동화 관리”를 목표로 합니다.

VPN 오버레이

목적: 안전한 연결(암호화)
구성: 비교적 단순(점대점/사이트 간), 하지만 지점 증가 시 터널 관리 복잡
활용: 지사-VPN, 재택근무, 클라우드 ↔ 온프레미스 등
그 외 오버레이

목적: 논리적 네트워크 확장·자동화 (필요시 암호화 가능)
구성: SDN/컨트롤러, 분산 라우팅 등을 통해 다수 노드 확장에 유리
활용: 데이터센터 가상 네트워킹, 멀티 사이트 오버레이, SD-WAN 등
즉, 나중에 KVM1과 KVM2의 네트워크를 오버레이 방식으로 연결할 때, 단순히 “VPN 터널”로만 연결하는 것보다 더 다양한 네트워크 확장·자동화 기능을 염두에 두고 있다면, “VPN 오버레이”와는 다른 형태(예: VXLAN, SDN, ZeroTier 등)의 오버레이 네트워크를 고려하게 될 수 있습니다.