이 문서에서는 IPv4 허브 및 스포크 네트워크 토폴로지를 IPv6으로 전환하는 방법을 설명합니다. 허브 및 스포크 네트워크 토폴로지 시작 지점으로 표시하고 IPv6 지원을 구현하기 위해 수행할 수 있는 단계를 설명합니다.
허브 및 스포크 네트워크에서 허브 가상 네트워크는 스포크 가상 네트워크에 대한 연결의 중심 지점입니다. 스포크 가상 네트워크는 허브에 연결되며 애플리케이션 리소스에 대한 격리를 제공할 수 있습니다. 자세한 내용은 IPv6으로의 전환을 참조하세요.
아키텍처
이 아키텍처의 Visio 파일을 다운로드합니다.
워크플로
공용 인터넷 및 프레미스 간 네트워크: 사용자 또는 서비스는 공용 인터넷을 통해 Azure 리소스에 액세스할 수 있습니다. 프레미스 간 네트워크에는 VPN 게이트웨이를 통해 Azure 네트워크에 안전하게 연결하는 온-프레미스 가상 머신이 있습니다.
Azure Virtual Network Manager: 이 구성 요소는 Azure 내의 전체 네트워크 인프라를 감독하는 관리 계층입니다. 가상 네트워크의 라우팅, 정책 및 전반적인 상태를 처리합니다.
허브 가상 네트워크: 허브는 네트워크 토폴로지의 중심점입니다. 네트워크 구성은 IPv4 및 IPv6(이중 스택)을 모두 지원합니다.
- Azure Bastion은 Azure Portal에서 TLS(전송 계층 보안)를 통해 직접 가상 머신으로 안전하고 원활한 RDP/SSH(원격 데스크톱 프로토콜/보안 셸) 연결을 제공합니다.
- Azure Firewall은 허브와 공용 인터넷 간의 트래픽을 검사하고 필터링합니다.
- ExpressRoute는 프레미스 간 네트워크를 허브에 연결합니다.
- 또한 VPN Gateway는 프레미스 간 네트워크를 허브에 연결하고 중복성을 제공합니다.
- 허브 가상 네트워크의 서비스는 모니터링을 위해 Azure Monitor에 로그 및 메트릭(진단)을 보냅니다.
스포크 가상 네트워크: 허브에 연결된 4개의 스포크가 있습니다. 각 스포크는 IPv4 및 IPv6을 모두 지원하는 이중 스택 네트워크입니다.
- IPv6 UDR(사용자 정의 경로)은 스포크에서 IPv6 트래픽에 대한 사용자 지정 경로를 정의합니다.
- 스포크 가상 네트워크는 피어링 연결 또는 연결된 그룹을 통해 연결됩니다. 피어링 연결 및 연결된 그룹은 가상 네트워크 간의 비전통적이고 짧은 대기 시간 연결입니다. 피어되거나 연결된 가상 네트워크는 Azure 백본을 통해 트래픽을 교환할 수 있습니다.
- 스포크 가상 네트워크의 모든 아웃바운드 트래픽은 강제 터널링이라는 Azure Firewall의 구성을 사용하여 허브를 통해 흐릅니다.
- 각 스포크 내에는 각각 가상 머신을 호스팅하는 리소스 서브넷으로 지정된 세 개의 서브넷이 있습니다.
- 각 가상 머신은 IPv4 및 IPv6 주소 범위를 지원하도록 구성된 내부 부하 분산 장치에 연결합니다. 부하 분산 장치는 들어오는 네트워크 트래픽을 가상 머신에 분산합니다.
구성 요소
- Azure Virtual Network는 Azure에서 개인 네트워크의 기본 구성 요소입니다. Virtual Network를 사용하면 Azure Virtual Machines와 같은 많은 Azure 리소스가 서로, 프레미스 간 네트워크 및 인터넷과 안전하게 통신할 수 있습니다.
- 가상 머신 통신에는 가상 네트워크 인터페이스가 필요합니다. 가상 머신 및 기타 리소스를 여러 네트워크 인터페이스로 설정하여 이중 스택(IPv4 및 IPv6) 구성을 만들 수 있습니다.
- 공용 IP 주소 는 Azure 리소스에 대한 인바운드 IPv4 및 IPv6 연결에 사용됩니다.
- Virtual Network Manager는 네트워크 그룹 및 해당 연결을 만들고 관리하는 데 사용됩니다.
- Azure Firewall 은 관리되는 클라우드 기반 네트워크 보안 서비스입니다. Azure Virtual Network 리소스를 보호합니다. Azure Firewall 관리형 방화벽 인스턴스는 자체 서브넷에 있습니다.
- Azure VPN Gateway 또는 Azure ExpressRoute 를 사용하여 가상 네트워크를 VPN(가상 사설망) 디바이스 또는 ExpressRoute 회로에 연결하는 가상 네트워크 게이트웨이를 만들 수 있습니다. 게이트웨이는 크로스-프레미스 네트워크 연결을 제공합니다.
- Azure Load Balancer 는 트래픽을 공유하는 용도가 동일한 여러 컴퓨터를 사용하도록 설정하는 데 사용됩니다. 이 아키텍처에서 부하 분산 장치는 IPv6을 지원하는 여러 서브넷 간에 트래픽을 분산합니다.
- Azure의 경로 테이블 은 네트워크 트래픽에 대한 사용자 지정 경로 정의를 제공하는 UDR 집합입니다.
- Azure Virtual Machines 는 IPv6을 지원하는 IaaS(Infrastructure as a Service) 컴퓨팅 솔루션입니다.
- Azure Bastion은 Microsoft에서 제공하고 기본 제공하는 PaaS(완전 관리형 PaaS) 플랫폼입니다. 공용 IP 주소 노출 없이 가상 머신에 대한 안전하고 원활한 원격 데스크톱 프로토콜 및 SSH 액세스를 제공합니다.
- Monitor 는 클라우드 및 온-프레미스 환경에서 모니터링 데이터를 수집, 분석 및 응답하기 위한 포괄적인 모니터링 솔루션입니다. Monitor를 사용하여 애플리케이션 및 서비스의 가용성과 성능을 극대화할 수 있습니다.
허브 가상 네트워크를 IPv6으로 전환
IPv6을 지원하도록 허브 가상 네트워크를 전환하려면 IPv6 주소 범위를 수용하도록 네트워크 인프라를 업데이트해야 합니다. 따라서 네트워크의 중앙에서 제어하는 부분이 IPv6 트래픽을 처리할 수 있도록 해야 합니다. 이 방법을 사용하면 중앙 허브가 IPv6을 사용하여 다양한 스포크(네트워크 세그먼트) 간에 트래픽을 효율적으로 라우팅하고 관리할 수 있습니다. 허브 가상 네트워크에서 IPv6을 구현하려면 다음 단계를 수행합니다.
허브 가상 네트워크 및 허브 서브넷에 IPv6 주소 공간 추가
먼저 허브 가상 네트워크에 IPv6 주소 범위를 추가한 다음 해당 서브넷에 추가해야 합니다. 가상 네트워크에 /56 주소 블록을 사용하고 각 서브넷에 대해 /64 주소 블록을 사용합니다. 다음 표에서는 설정 예제를 보여줍니다.
| 허브 가상 네트워크 주소 범위 | 허브 서브넷 주소 범위 |
|---|---|
허브 가상 네트워크: 2001:db8:1234:0000::/56 |
Azure Bastion 서브넷: 2001:db8:1234:0000::/64Azure Firewall 서브넷: 2001:db8:1234:0001::/64VPN Gateway 서브넷: 2001:db8:1234:0002::/64ExpressRoute 서브넷: 2001:db8:1234:0003::/64 |
이러한 IPv6 주소는 예입니다. 조직의 IPv6 주소 블록으로 대체 2001:db8:1234:: 해야 합니다. 중복을 방지하고 주소 공간을 효율적으로 사용할 수 있도록 IPv6 주소 할당을 신중하게 계획하고 문서화합니다. 허브 가상 네트워크에 IPv6 주소 공간을 추가하려면 Azure Portal, PowerShell 또는 Azure CLI를 사용할 수 있습니다.
각 허브 서브넷에 대한 UDR(사용자 정의 경로) 구성
UDR은 Azure의 기본 시스템 경로를 재정의하도록 수동으로 설정한 경로입니다. Azure에서 UDR은 가상 네트워크의 네트워크 트래픽 흐름을 제어하는 데 필수적입니다. UDR을 사용하여 한 서브넷에서 Azure 내의 특정 어플라이언스, 게이트웨이 또는 대상 또는 온-프레미스 네트워크로 트래픽을 보낼 수 있습니다. 허브 가상 네트워크에 IPv6 지원을 추가하는 경우 다음을 수행해야 합니다.
- IPv6 경로를 추가합니다. 설정된 경로 테이블이 있는 경우 IPv6 주소 접두사를 지정하는 새 경로를 추가합니다.
- 기존 경로를 수정합니다. IPv4에 대한 경로가 이미 있는 경우 IPv6 트래픽에도 적용되도록 수정하거나 별도의 IPv6 관련 경로를 만들어야 할 수 있습니다.
- 경로 테이블을 서브넷과 연결합니다. 경로를 정의한 후 경로 테이블을 가상 네트워크 내의 관련 서브넷과 연결합니다. 이 연결은 정의한 경로를 사용하는 서브넷을 결정합니다.
모든 리소스에 대한 경로를 추가할 필요는 없지만 각 서브넷에 대한 경로가 필요합니다. 각 서브넷에는 여러 리소스가 있을 수 있으며 모두 서브넷과 연결된 경로 테이블에 정의된 규칙을 따릅니다. 자세한 내용은 사용자 정의 경로 개요를 참조 하세요.
예제 아키텍처의 경우 허브 가상 네트워크에는 Azure Bastion, Azure Firewall, VPN Gateway 및 ExpressRoute의 네 개의 서브넷이 있습니다. 다음 표에서는 각 서브넷에 대한 예제 UDR을 보여줍니다.
| 허브 서브넷 | 설명 | IPv6 주소 범위 | 경로 이름 | 대상 | 다음 홉 |
|---|---|---|---|---|---|
| Azure Bastion | 방화벽으로 라우팅 | 2001:db8:1234:0000::/64 |
인터넷 경로 | ::/0 |
2001:db8:1234:0001::/64 (Azure Firewall) |
| Azure Firewall | 기본 경로 | 2001:db8:1234:0001::/64 |
인터넷 경로 | ::/0 |
인터넷 게이트웨이 |
| VPN Gateway | 온-프레미스 경로 | 2001:db8:1234:0002::/64 |
온-프레미스 경로 | 2001:db8:abcd::/56 |
VPN Gateway |
| ExpressRoute | 온-프레미스 경로 | 2001:db8:1234:0003::/64 |
온-프레미스 경로 | 2001:db8:efgh::/56 |
ExpressRoute |
UDR을 설정할 때 조직 네트워크 정책 및 Azure 배포의 아키텍처에 맞게 조정해야 합니다.
ExpressRoute 회로 수정(해당하는 경우)
ExpressRoute 회로에 IPv6 지원을 제공하려면 다음을 수행해야 합니다.
- IPv6 프라이빗 피어링을 사용하도록 설정합니다. ExpressRoute 회로에 대해 IPv6 프라이빗 피어링을 사용하도록 설정합니다. 이 구성을 사용하면 온-프레미스 네트워크와 허브 가상 네트워크 간의 IPv6 트래픽을 사용할 수 있습니다.
- IPv6 주소 공간을 할당합니다. 기본 및 보조 ExpressRoute 링크에 대한 IPv6 서브넷을 제공합니다.
- 경로 테이블을 업데이트합니다. ExpressRoute 회로를 통해 IPv6 트래픽을 적절하게 전달해야 합니다.
이러한 구성은 ExpressRoute 회로를 통해 Azure 서비스에 대한 IPv6 연결을 확장하므로 이중 스택 기능을 동시에 라우팅할 수 있습니다. ExpressRoute를 수정하려면 Azure Portal, PowerShell 또는 Azure CLI를 사용할 수 있습니다.
스포크 가상 네트워크를 IPv6으로 전환
스포크 가상 네트워크는 중앙 허브에 연결됩니다. 스포크 가상 네트워크에 IPv6 지원을 제공하는 경우 각 스포크 네트워크는 고급 IPv6 프로토콜을 통해 통신할 수 있으며 네트워크를 통해 균일성을 확장합니다. 스포크 가상 네트워크에 IPv6 지원을 제공하려면 다음 단계를 수행합니다.
스포크 가상 네트워크 및 스포크 서브넷에 IPv6 주소 공간 추가
허브 가상 네트워크와 마찬가지로 모든 스포크 가상 네트워크 및 해당 서브넷에 IPv6 주소 범위를 추가해야 합니다. 가상 네트워크에는 /56 주소 블록을 사용하고 서브넷의 경우 /64 주소 블록을 사용합니다. 다음 표에서는 스포크 가상 네트워크 및 해당 서브넷에 대한 IPv6 주소 범위의 예를 제공합니다.
| 스포크 가상 네트워크 주소 범위 | 스포크 서브넷 주소 범위 |
|---|---|
스포크 가상 네트워크 1: 2001:db8:1234:0100::/56 |
서브넷 1: 2001:db8:1234:0100::/64서브넷 2: 2001:db8:1234:0101::/64서브넷 3: 2001:db8:1234:0102::/64 |
스포크 가상 네트워크 2: 2001:db8:1234:0200::/56 |
서브넷 1: 2001:db8:1234:0200::/64서브넷 2: 2001:db8:1234:0201::/64서브넷 3: 2001:db8:1234:0202::/64 |
스포크 가상 네트워크 3: 2001:db8:1234:0300::/56 |
서브넷 1: 2001:db8:1234:0300::/64서브넷 2: 2001:db8:1234:0301::/64서브넷 3: 2001:db8:1234:0302::/64 |
스포크 가상 네트워크 4: 2001:db8:1234:0400::/56 |
서브넷 1: 2001:db8:1234:0400::/64서브넷 2: 2001:db8:1234:0401::/64서브넷 3: 2001:db8:1234:0402::/64 |
설정의 경우 조직의 할당 및 요구 사항에 따라 IPv6 주소를 조정합니다.
스포크 가상 네트워크 리소스 수정
각 스포크 가상 네트워크에는 여러 가상 머신과 내부 부하 분산 장치가 포함되어 있습니다. 내부 부하 분산 장치를 사용하면 IPv4 및 IPv6 트래픽을 가상 머신으로 라우팅할 수 있습니다. IPv6을 지원하려면 가상 머신 및 내부 부하 분산 장치를 수정해야 합니다.
각 가상 머신에 대해 IPv6 네트워크 인터페이스를 만들고 가상 머신과 연결하여 IPv6 지원을 추가해야 합니다. 자세한 내용은 가상 머신에 IPv6 구성 추가를 참조 하세요.
각 스포크 가상 네트워크에 내부 부하 분산 장치가 없는 경우 이중 스택 내부 부하 분산 장치를 만들어야 합니다. 자세한 내용은 이중 스택 내부 부하 분산 장치 만들기를 참조 하세요. 내부 부하 분산 장치가 있는 경우 PowerShell 또는 Azure CLI를 사용하여 IPv6 지원을 추가할 수 있습니다.
각 스포크 서브넷에 대한 UDR(사용자 정의 경로) 구성
UDR을 구성하려면 스포크 가상 네트워크가 허브 가상 네트워크와 동일한 구성을 사용합니다. 스포크 가상 네트워크에 IPv6 지원을 추가할 때 다음을 수행해야 합니다.
IPv6 경로를 추가합니다. 설정된 경로 테이블이 있는 경우 IPv6 주소 접두사를 지정하는 새 경로를 추가합니다.
기존 경로를 수정합니다. IPv4에 대한 경로가 이미 있는 경우 IPv6 트래픽에도 적용되도록 수정하거나 별도의 IPv6 관련 경로를 만들어야 할 수 있습니다.
경로 테이블을 서브넷과 연결합니다. 경로를 정의한 후 경로 테이블을 가상 네트워크 내의 관련 서브넷과 연결합니다. 이 연결은 정의한 경로를 사용하는 서브넷을 결정합니다.
다음 표에서는 스포크 가상 네트워크의 각 서브넷에 대한 예제 UDR을 보여줍니다.
| 스포크 서브넷 | 설명 | IPv6 주소 범위 | 경로 이름 | 대상 | 다음 홉 |
|---|---|---|---|---|---|
| 서브넷 1 | 방화벽으로 라우팅 | 2001:db8:1234:0100::/64 |
인터넷 경로 | ::/0 |
2001:db8:1234:0001::/64 (Azure Firewall) |
| 서브넷 2 | VPN Gateway로 라우팅 | 2001:db8:1234:0101::/64 |
VPN 경로 | 2001:db8:abcd::/64 |
2001:db8:1234:0002::/64 (VPN Gateway) |
| 서브넷 3 | ExpressRoute로 라우팅 | 2001:db8:1234:0102::/64 |
ExpressRoute 경로 | 2001:db8:5678::/64 |
2001:db8:1234:0003::/64 (ExpressRoute) |
설치를 위해 UDR을 조직 네트워크 정책 및 Azure 배포의 아키텍처에 맞게 조정해야 합니다.
참가자
Microsoft는 이 문서를 유지 관리합니다. 다음 기여자 원래 기사를 썼다.
보안 주체 작성자:
- 베르너 랄 | 선임 클라우드 솔루션 설계자 엔지니어
기타 기여자:
비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.
다음 단계
- IPv6 이중 스택 네트워크를 사용하여 가상 머신 만들기
- IP 주소 범위 관리
- 클라우드 채택 프레임워크: IP 주소 지정 계획
- Azure Virtual Network용 IPv6
- ExpressRoute를 통해 IPv6 지원 추가
- Azure DNS IPv6 지원
- Azure Load Balancer용 IPv6
- Azure Portal을 사용하여 프라이빗 피어링에 대한 IPv6 지원 추가