Azure Route Server 문제 해결
일반적인 Azure Route Server 문제 중 일부를 해결하는 방법을 알아봅니다.
연결 문제
NVA(네트워크 가상 어플라이언스)가 Route Server에 기본 경로(0.0.0.0/0)를 보급한 후 인터넷 연결이 끊기는 이유는 무엇인가요?
NVA에서 기본 경로를 보급하는 경우 Route Server는 NVA 자체를 포함하여 가상 네트워크의 모든 VM(가상 머신)에 대해 해당 경로를 프로그래밍합니다. 이 기본 경로는 NVA를 모든 인터넷에 바인딩된 트래픽에 대한 다음 홉으로 설정합니다. NVA에 인터넷 연결이 필요한 경우 NVA에서 해당 기본 경로를 재정의하고 UDR을 NVA가 호스트되는 서브넷에 연결하도록 UDR(사용자 정의 경로)를 구성해야 합니다. 그렇지 않으면 NVA 호스트 머신은 NVA에서 보낸 트래픽을 포함하여 인터넷에 바인딩된 트래픽을 NVA에 다시 보냅니다. 자세한 내용은 사용자 정의 경로를 참조하세요.
| 경로 | 다음 홉 |
|---|---|
| 0.0.0.0/0 | 인터넷 |
NVA가 GatewaySubnet에서 UDR(사용자 정의 경로)을 사용하여 방화벽에 모든 트래픽을 강제로 적용한 후 Route Server에 대한 연결이 끊어지는 이유는 무엇인가요?
방화벽을 사용하여 온-프레미스 트래픽을 검사하려는 경우 GatewaySubnet(UDR이 있는 GatewaySubnet에 연결된 경로 테이블)에서 UDR(사용자 정의 경로)을 사용하여 모든 온-프레미스 트래픽을 방화벽으로 강제 적용할 수 있습니다. 그러나 이 UDR은 BGP(컨트롤 플레인 트래픽)를 방화벽에 강제로 적용하여 경로 서버와 게이트웨이 간의 통신을 중단할 수 있습니다. 이 문제는 Route Server가 있는 가상 네트워크로 향하는 트래픽을 검사하는 경우에 발생합니다. 이 문제를 방지하려면 GatewaySubnet 경로 테이블에 다른 UDR을 추가하여 컨트롤 플레인 트래픽이 방화벽으로 강제 적용되는 것을 제외해야 합니다(방화벽에 BGP 규칙을 추가하는 것이 바람직하지 않거나 가능하지 않은 경우).
| 경로 | 다음 홉 |
|---|---|
| 10.0.0.0/16 | 10.0.2.1 |
| 10.0.1.0/27 | VirtualNetwork |
10.0.0.0/16은 가상 네트워크의 주소 공간이며 10.0.1.0/27은 RouteServerSubnet의 주소 공간입니다. 10.0.2.1은 방화벽의 IP 주소입니다.
다음 홉 유형이 Virtual Network Gateway인 UDR(사용자 정의 경로)을 추가했지만 이 UDR이 적용되지 않습니다. 이것은 예상된 동작인가요?
네, 이는 예상된 동작입니다. 다음 홉 유형이 Virtual Network Gateway인 사용자 정의 경로는 Route Server의 가상 네트워크 및 피어링된 가상 네트워크 내의 서브넷에 대해 지원되지 않습니다. 그러나 다음 홉을 NVA(네트워크 가상 어플라이언스) 또는 인터넷으로 구성하려는 경우 다음 홉 유형이 VirtualAppliance 또는 인터넷인 사용자 정의 경로를 추가하는 것은 지원됩니다.
내 VM의 네트워크 인터페이스 유효 경로에서 다음 홉 유형이 없음으로 설정된 UDR(사용자 정의 경로)이 있는 이유는 무엇인가요?
NVA에서 경로 서버로의 경로를 다른 사용자 정의 경로와 정확히 일치하는 경로로 보급하는 경우 보급된 경로의 다음 홉이 유효해야 합니다. 보급된 다음 홉이 구성된 백 엔드 풀이 없는 부하 분산 장치인 경우 이 잘못된 경로가 사용자 정의 경로보다 우선합니다. 네트워크 인터페이스의 유효 경로에서 잘못된 보급 경로는 다음 홉 유형이 없음으로 설정된 사용자 정의 경로로 표시됩니다.
서비스 엔드포인트 정책을 RouteServerSubnet 또는 GatewaySubnet에 연결한 후 연결이 끊어지는 이유는 무엇인가요?
서비스 엔드포인트 정책을 RouteServerSubnet 또는 GatewaySubnet에 연결하면 Azure의 기본 관리 플랫폼과 해당 Azure 서비스(Route Server 및 VPN/ExpressRoute 게이트웨이) 간의 통신이 중단될 수 있습니다. 이로 인해 이러한 Azure 리소스가 비정상 상태가 되어 온-프레미스와 Azure 워크로드 간의 연결이 끊어질 수 있습니다.
Route Server의 가상 네트워크에 대한 기본값(Azure 제공 DNS) 대신 사용자 지정 DNS를 사용한 후 연결이 끊어지는 이유는 무엇인가요?
Route Server가 배포된 가상 네트워크의 경우 기본(Azure 제공) DNS를 사용하지 않는 경우 사용자 지정 DNS 구성이 공용 도메인 이름을 확인할 수 있는지 확인합니다. 이렇게 하면 Azure 서비스(Route Server 및 VPN/ExpressRoute 게이트웨이)가 Azure의 기본 관리 평면과 통신할 수 있습니다. Azure DNS Private Resolver 설명서에서 와일드카드 규칙에 대한 참고 사항을 참조하세요.
NVA와 Route Server 사이에 BGP 피어링을 설정한 후 NVA에서 Route Server의 BGP 피어 IP로 TCP ping할 수 없는 이유는 무엇인가요?
일부 NVA에서는 NVA에서 Route Server를 TCP ping하고 BGP 피어링 플래핑을 방지하려면 Route Server 서브넷에 정적 경로를 추가해야 합니다. 예를 들어 Route Server가 10.0.255.0/27에 있고 NVA가 10.0.1.0/24에 있으면 NVA의 라우팅 테이블에 다음 경로를 추가해야 합니다.
| 경로 | 다음 홉 |
|---|---|
| 10.0.255.0/27 | 10.0.1.1 |
10.0.1.1은 NVA(더 정확히는 NIC 중 하나)가 호스트되는 서브넷의 기본 게이트웨이 IP입니다.
이미 ExpressRoute 게이트웨이 및/또는 Azure VPN 게이트웨이가 있는 가상 네트워크에 Route Server를 배포할 때 ExpressRoute 및/또는 Azure VPN을 통해 온-프레미스 네트워크에 연결되지 않는 이유는 무엇인가요?
Route Server를 가상 네트워크에 배포하는 경우 게이트웨이와 가상 네트워크 간 컨트롤 플레인을 업데이트해야 합니다. 해당 업데이트를 수행하는 동안 가상 네트워크 VM의 온-프레미스 네트워크에 대한 연결이 끊어지는 기간이 있습니다. 프로덕션 환경에서 Route Server를 배포하기 위해 유지 관리를 예약하는 것이 좋습니다.
컨트롤 플레인 문제
Azure VPN 게이트웨이에 연결된 온-프레미스 네트워크가 Route Server에서 보급한 기본 경로를 수신하지 못하는 이유는 무엇인가요?
Azure VPN 게이트웨이는 Route Server를 포함한 BGP 피어로부터 기본 경로를 수신할 수 있지만 다른 피어에 기본 경로를 보급하지 않습니다.
BGP 피어링이 작동 중인 경우에도 NVA가 Route Server에서 경로를 수신하지 않는 이유는 무엇인가요?
Route Server에서 사용하는 ASN은 65515입니다. 경로 전파가 자동으로 발생할 수 있도록 NVA와 Route Server 간에 eBGP 세션을 설정할 수 있도록 NVA에 대해 다른 ASN을 구성해야 합니다. NVA와 Route Server가 가상 네트워크의 다른 서브넷에 있으므로 BGP 구성에서 “멀티 홉”을 사용하도록 설정해야 합니다.
NVA와 Route Server 간 BGP 피어링이 작동 중입니다. NVA와 Azure Route Server 간 경로가 올바르게 교환되고 있는 것을 확인할 수 있습니다. VM의 유효 라우팅 테이블에 NVA 경로가 없는 이유는 무엇인가요?
VM이 NVA 및 Route Server와 동일한 가상 네트워크에 있는 경우:
Route Server는 가상 네트워크에서 실행되는 다른 모든 VM에 경로를 전송할 책임을 공유하는 두 개의 VM에서 호스트되는 두 개의 BGP 피어 IP를 노출합니다. 각 NVA는 가상 네트워크의 VM이 Azure Route Server로부터 일관된 라우팅 정보를 얻을 수 있도록 두 VM에 대해 두 개의 동일한 BGP 세션을 설정해야 합니다. 예를 들어 동일한 AS 번호, 동일한 AS 경로를 사용하고 동일한 경로 세트를 보급해야 합니다.
NVA 인스턴스가 두 개 이상 있고 NVA 인스턴스 하나를 활성으로 지정하고 다른 하나는 수동으로 지정하려는 경우 다른 NVA 인스턴스로부터 오는 동일한 경로에 대해 다른 AS 경로를 보급할 수 ‘있습니다’.
VM이 NVA 및 Route Server를 호스트하는 가상 네트워크와 다른 가상 네트워크에 있는 경우 두 VNet 간에 VNet 피어링이 사용하도록 설정되어 있고 VM의 가상 네트워크에서 원격 경로 서버 사용이 사용하도록 설정되어 있는지 확인합니다.
Route Server를 가상 네트워크에 배포한 후 ExpressRoute의 ECMP(Equal-Cost Multi-Path) 기능이 꺼진 이유는 무엇인가요?
여러 ExpressRoute 연결을 통해 온-프레미스 네트워크에서 Azure로 동일한 경로를 보급할 때 일반적으로 ECMP는 Azure에서 다시 온-프레미스 네트워크로 향하는 이러한 경로를 대상으로 하는 트래픽에 대해 기본적으로 사용하도록 설정됩니다. 현재 Route Server를 배포하면 ExpressRoute와 Route Server 간의 BGP 교환에서 다중 경로 정보가 손실되고, 따라서 Azure의 트래픽은 ExpressRoute 연결 중 하나에서만 통과됩니다.
다음 단계
Azure Route Server를 만들고 구성하는 방법을 알아보려면 다음을 참조하세요.