ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure에 연결

이 참조 아키텍처는 사이트 간 VPN(가상 사설망)을 장애 조치(failover) 연결로 사용하여 Azure ExpressRoute를 통해 온-프레미스 네트워크를 Azure 가상 네트워크에 연결하는 방법을 보여 줍니다.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

이 아키텍처는 다음 구성 요소로 구성됩니다.

• 온-프레미스 네트워크. 조직 내에서 실행되는 프라이빗 로컬 영역 네트워크입니다.
• VPN 어플라이언스. 온-프레미스 네트워크에 외부 연결을 제공하는 디바이스 또는 서비스입니다. VPN 어플라이언스는 하드웨어 디바이스이거나 Windows Server 2012의 RRAS(라우팅 및 원격 액세스 서비스)와 같은 소프트웨어 솔루션일 수도 있습니다. 지원되는 VPN 어플라이언스 목록 및 선택한 VPN 어플라이언스를 Azure에 연결하도록 구성하는 방법에 대한 자세한 내용은 사이트 간 VPN Gateway 연결에 대한 VPN 디바이스 정보를 참조하세요.
• ExpressRoute 회로. 에지 라우터를 통해 Azure에서 온-프레미스 네트워크를 연결하는 연결 공급자가 제공하는 레이어 2 또는 레이어 3 회로입니다. 이 회로는 연결 공급자가 관리하는 하드웨어 인프라를 사용합니다.
• ExpressRoute 가상 네트워크 게이트웨이. ExpressRoute 가상 네트워크 게이트웨이를 사용하면 Azure 가상 네트워크를 온-프레미스 네트워크에 연결하는 데 사용되는 ExpressRoute 회로에 연결할 수 있습니다.
• VPN 가상 네트워크 게이트웨이. VPN 가상 네트워크 게이트웨이를 사용하면 Azure 가상 네트워크를 온-프레미스 네트워크의 VPN 어플라이언스에 연결할 수 있습니다. VPN 가상 네트워크 게이트웨이는 VPN 어플라이언스를 통해서만 온-프레미스 네트워크의 요청을 수락하도록 구성되어 있습니다. 자세한 내용은 온-프레미스 네트워크를 Microsoft Azure virtual network에 연결을 참조하세요.
• VPN 연결. 이 연결에는 연결 형식(IPSec) 및 트래픽을 암호화하기 위해 온-프레미스 VPN 어플라이언스와 공유되는 키를 지정하는 속성이 있습니다.
• Azure 가상 네트워크. 각 가상 네트워크는 단일 Azure 지역에 상주하며 여러 애플리케이션 계층을 호스트할 수 있습니다. 애플리케이션 계층은 각 가상 네트워크의 서브넷을 사용하여 분할할 수 있습니다.
• 게이트웨이 서브넷. 가상 네트워크 게이트웨이는 동일한 서브넷에 있습니다.

구성 요소

• Azure ExpressRoute
• Azure VPN Gateway
• Azure Virtual Network

시나리오 정보

이 참조 아키텍처는 사이트 간 VPN(가상 사설망)을 장애 조치(failover) 연결로 사용하여 ExpressRoute를 통해 온-프레미스 네트워크를 Azure 가상 네트워크에 연결하는 방법을 보여 줍니다. ExpressRoute 연결을 통해 온-프레미스 네트워크와 Azure 가상 네트워크 간에 트래픽이 흐릅니다. ExpressRoute 회로의 연결이 끊어진 경우 트래픽은 IPSec VPN 터널을 통해 라우팅됩니다. 이 솔루션을 배포합니다.

ExpressRoute 회로를 사용할 수 없는 경우 VPN 경로가 개인 피어링 연결만 처리합니다. 공용 피어링 및 Microsoft 피어링 연결은 인터넷을 통과합니다.

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

가상 네트워크 및 GatewaySubnet

게이트웨이 개체가 이미 있는 동일한 가상 네트워크에서 ExpressRoute 가상 네트워크 게이트웨이 연결 및 VPN 가상 네트워크 게이트웨이 연결을 만듭니다. 둘 다 GatewaySubnet이라는 동일한 서브넷을 공유합니다.

가상 네트워크에 이름이 GatewaySubnet인 서브넷이 이미 포함되어 있는 경우 /27 이상의 주소 공간이 있어야 합니다. 기존 서브넷이 너무 작은 경우 다음 PowerShell 명령을 사용하여 서브넷을 제거합니다.

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

가상 네트워크에 이름이 GatewaySubnet인 서브넷이 없는 경우 다음 PowerShell 명령을 사용하여 새 서브넷을 만듭니다.

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN 및 ExpressRoute 게이트웨이

조직이 Azure에 연결하기 위한 ExpressRoute 필수 조건 요구 사항을 충족하는지 확인합니다.

Azure 가상 네트워크에 VPN 가상 네트워크 게이트웨이가 이미 포함되어 있는 경우 다음과 같은 PowerShell 명령을 사용하여 제거합니다.

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Azure ExpressRoute를 사용하여 하이브리드 네트워크 아키텍처 구성의 지침에 따라 ExpressRoute 연결을 설정합니다.

Azure 및 온-프레미스 VPN을 사용하여 하이브리드 네트워크 아키텍처 구성의 지침에 따라 VPN 가상 네트워크 게이트웨이 연결을 설정합니다.

가상 네트워크 게이트웨이 연결을 설정한 후 다음과 같이 환경을 테스트합니다.

1. 온-프레미스 네트워크에서 Azure 가상 네트워크로 연결할 수 있는지 확인합니다.
2. 테스트를 위해 ExpressRoute 연결을 중지하려면 공급자에게 문의합니다.
3. VPN 가상 네트워크 게이트웨이 연결을 사용하여 온-프레미스 네트워크에서 Azure 가상 네트워크로 계속 연결할 수 있는지 확인합니다.
4. ExpressRoute 연결을 재설정하려면 공급자에게 문의합니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.

일반적인 Azure 보안 고려 사항은 Microsoft Cloud Services 및 네트워크 보안을 참조하세요.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.

ExpressRoute 비용 고려 사항은 다음 문서를 참조하세요.

• Azure ExpressRoute를 사용하여 하이브리드 네트워크 아키텍처를 구성할 때의 비용 고려 사항.

운영 우수성

운영 우수성은 애플리케이션을 배포하고 프로덕션에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성 핵심 요소 개요를 참조하세요.

ExpressRoute DevOps 고려 사항은 Azure ExpressRoute를 사용하여 하이브리드 네트워크 아키텍처 구성 지침을 참조하세요.

사이트 간 VPN DevOps 고려 사항은 Azure 및 온-프레미스 VPN을 사용하여 하이브리드 네트워크 아키텍처 구성 지침을 참조하세요.

시나리오 배포

필수 구성 요소. 적절한 네트워크 어플라이언스를 사용하여 기존 온-프레미스 인프라가 이미 구성된 상태여야 합니다.

솔루션을 배포하려면 다음 단계를 수행합니다.

1. 아래 링크를 선택하세요.

   

2. Azure Portal에서 링크가 열릴 때까지 기다린 다음, 이러한 리소스를 배포하려는 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 지역 및 위치는 리소스 그룹과 일치하도록 자동으로 변경됩니다.

3. 환경에 대한 리소스 이름, 공급자, SKU 또는 네트워크 IP 주소를 변경하려면 나머지 필드를 업데이트합니다.

4. 검토 + 만들기를 선택한 다음, 만들기를 선택하여 이러한 리소스를 배포합니다.

5. 배포가 완료될 때가지 기다립니다.

   참고

   이 템플릿 배포는 다음 리소스만 배포합니다.

   • 리소스 그룹(새로 만드는 경우)
   • ExpressRoute 회로
   • Azure Virtual Network
   • ExpressRoute 가상 네트워크 게이트웨이

   온-프레미스에서 ExpressRoute 회로로 개인 피어링 연결을 성공적으로 설정하려면 서비스 공급자를 회로 서비스 키와 연결해야 합니다. 서비스 키는 ExpressRoute 회로 리소스의 개요 페이지에서 찾을 수 있습니다. ExpressRoute 회로 구성에 대한 자세한 내용은 피어링 구성 만들기 또는 수정을 참조하세요. 개인 피어링을 성공적으로 구성한 후에는 ExpressRoute 가상 네트워크 게이트웨이를 회로에 연결할 수 있습니다. 자세한 내용은 자습서: Azure Portal을 사용하여 ExpressRoute 회로에 가상 네트워크 연결을 참조하세요.

6. ExpressRoute에 대한 백업으로 사이트 간 VPN 배포를 완료하려면 사이트 간 VPN 연결 만들기를 참조하세요.

7. ExpressRoute를 구성한 동일한 온-프레미스 네트워크에 대한 VPN 연결을 성공적으로 구성했으며 피어링 위치에 전체 오류가 발생한 경우 ExpressRoute 연결을 백업하도록 설정을 완료한 것입니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

• Sarah Parkes | 선임 클라우드 솔루션 설계자

비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인하세요.

다음 단계

• ExpressRoute 설명서
• ExpressRoute에 대한 Azure 보안 기준
• ExpressRoute 회로를 만드는 방법
• Azure 네트워킹 블로그
• PowerShell을 사용하여 사이트 간 연결 및 ExpressRoute 공존 연결 구성

관련 리소스

• 하이브리드 아키텍처 디자인
• Azure 하이브리드 옵션
• Azure의 허브-스포크 네트워크 토폴로지
• 스포크 간 네트워킹
• Azure에 온-프레미스 네트워크 연결
• ExpressRoute를 사용하여 온-프레미스 네트워크 확장
• 보안 하이브리드 네트워크 구현
• Azure와 온-프레미스 AD 통합