Azure Files에서 사용할 사이트 간 VPN 구성

  • 아티클

S2S(사이트 간) VPN 연결을 사용하여 열린 인터넷을 통해 데이터를 보내지 않고 온-프레미스 네트워크에서 Azure 파일 공유를 탑재할 수 있습니다. 사이트 간 VPN은 VPN 서비스를 제공하는 Azure 리소스이며 스토리지 계정 또는 다른 Azure 리소스와 함께 리소스 그룹에 배포되는 Azure VPN Gateway를 사용하여 설정할 수 있습니다.

A topology chart illustrating the topology of an Azure VPN gateway connecting an Azure file share to an on-premises site using a S2S VPN

Azure Files에 사용할 수 있는 네트워킹 옵션에 대해 자세히 알아보려면 이 문서를 계속하기 전에 먼저 Azure Files 네트워킹 개요를 참조하는 것이 좋습니다.

이 문서에서는 Azure 파일 공유를 온-프레미스에 직접 탑재하도록 사이트 간 VPN을 구성하는 단계에 대해 자세히 설명합니다. 사이트 간 VPN을 통해 Azure 파일 동기화의 동기화 트래픽을 라우팅하려는 경우 Azure 파일 동기화 프록시 및 방화벽 설정 구성을 참조하세요.

적용 대상

파일 공유 유형 SMB NFS
표준 파일 공유(GPv2), LRS/ZRS Yes No
표준 파일 공유(GPv2), GRS/GZRS Yes No
프리미엄 파일 공유(FileStorage), LRS/ZRS Yes Yes

필수 조건

  • 온-프레미스에 탑재하려는 Azure 파일 공유. Azure 파일 공유는 스토리지 계정 내에 배포됩니다. 스토리지 계정은 여러 파일 공유뿐만 아니라 다른 스토리지 리소스(예: Blob 또는 큐)도 배포할 수 있는 공유 스토리지 풀을 나타내는 관리 구문입니다. Azure 파일 공유 만들기에서 Azure 파일 공유 및 스토리지 계정을 배포하는 방법에 대해 자세히 알아봅니다.

  • 온-프레미스에 탑재하려는 Azure 파일 공유가 포함된 스토리지 계정의 프라이빗 엔드포인트입니다. 프라이빗 엔드포인트를 만드는 방법을 알아보려면 Azure Files 네트워크 엔드포인트 구성을 참조하세요.

  • Azure VPN Gateway와 호환되는 온-프레미스 데이터 센터의 네트워크 어플라이언스 또는 서버. Azure Files는 선택한 온-프레미스 네트워크 어플라이언스와는 관련이 없지만, Azure VPN Gateway는 테스트된 디바이스의 목록을 유지 관리합니다. 다른 네트워크 어플라이언스에서 다양한 기능, 성능 특성 및 관리 기능을 제공하므로 네트워크 어플라이언스를 선택할 때 이러한 기능을 고려해야 합니다.

기존 네트워크 어플라이언스가 없는 경우 Windows Server에는 온-프레미스 네트워크 어플라이언스로 사용할 수 있는 기본 제공 서버 역할, RRAS(라우팅 및 원격 액세스)가 포함되어 있습니다. Windows Server에서 라우팅 및 원격 액세스를 구성하는 방법에 대한 자세한 내용은 RAS 게이트웨이를 참조하세요.

스토리지 계정에 가상 네트워크 추가

스토리지 계정에 새 가상 네트워크 또는 기존 가상 네트워크를 추가하려면 다음 단계를 수행합니다.

  1. Azure Portal에 로그인하고 온-프레미스에 탑재하려는 Azure 파일 공유가 포함된 스토리지 계정으로 이동합니다.

  2. 스토리지 계정의 목차에서 보안 + 네트워킹 > 네트워킹을 선택합니다. 가상 네트워크를 만들 때 가상 네트워크를 스토리지 계정에 추가하지 않은 경우 결과 창에는 공용 네트워크 액세스 아래의 모든 네트워크에서 사용에 대한 라디오 단추가 선택되어 있습니다.

  3. 가상 네트워크를 추가하려면 선택한 가상 네트워크 및 IP 주소에서 사용 라디오 단추를 선택합니다. 가상 네트워크 부제목 아래의 + 기존 가상 네트워크 추가 또는 + 새 가상 네트워크 추가를 선택합니다. 새 가상 네트워크를 만들면 새 Azure 리소스가 만들어집니다. 새 가상 네트워크 리소스 또는 기존 가상 네트워크 리소스는 스토리지 계정과 동일한 지역에 있어야 하지만 동일한 리소스 그룹 또는 구독에 있을 필요는 없습니다. 그러나 가상 네트워크를 배포하는 리소스 그룹, 지역 및 구독은 다음 단계에서 가상 네트워크 게이트웨이를 배포하는 위치와 일치해야 합니다.

    Screenshot of the Azure portal giving the option to add an existing or new virtual network to the storage account.

    기존 가상 네트워크를 추가하는 경우 먼저, 가상 네트워크에 게이트웨이 서브넷을 만들어야 합니다. 해당 가상 네트워크의 서브넷을 한 개 이상의 선택하라는 메시지가 표시됩니다. 새 가상 네트워크를 만드는 경우 만들기 프로세스에서 서브넷을 만듭니다. 가상 네트워크에 대한 결과 Azure 리소스를 통해 나중에 더 많은 서브넷을 추가할 수 있습니다.

    이전에 가상 네트워크에 대한 공용 네트워크 액세스를 사용하도록 설정하지 않은 경우 Microsoft.Storage 서비스 엔드포인트를 가상 네트워크 서브넷에 추가해야 합니다. 완료하는 데 최대 15분이 걸릴 수 있지만 대부분의 경우 훨씬 더 빠르게 완료됩니다. 이 작업이 완료될 때까지 VPN 연결 경유를 포함하여 해당 스토리지 계정 내에서 Azure 파일 공유에 액세스할 수 없습니다.

  4. 페이지 맨 위에서 저장을 선택합니다.

가상 네트워크 게이트웨이 배포

가상 네트워크 게이트웨이를 배포하려면 다음 단계를 수행합니다.

  1. Azure Portal 상단의 검색 상자에서 가상 네트워크 게이트웨이를 검색하여 선택합니다. 가상 네트워크 게이트웨이 페이지가 표시됩니다. 페이지 상단에서 + 만들기를 선택합니다.

  2. 기본 탭에서 프로젝트 세부 정보인스턴스 세부 정보에 대한 값을 입력합니다. 가상 네트워크 게이트웨이는 가상 네트워크와 동일한 구독, Azure 지역 및 리소스 그룹에 있어야 합니다.

    Screenshot showing how to create a virtual network gateway using the Azure portal.

    • 구독: 드롭다운 목록에서 사용하려는 구독을 선택합니다.
    • 리소스 그룹: 이 페이지에서 가상 네트워크를 선택하면 이 설정이 자동으로 채워집니다.
    • 이름: 가상 네트워크 게이트웨이 이름입니다. 게이트웨이 이름 지정은 게이트웨이 서브넷 이름 지정과 동일하지 않습니다. 만들고 있는 가상 네트워크 게이트웨이 개체의 이름입니다.
    • 지역: 이 리소스를 만들려는 지역을 선택합니다. 가상 네트워크 게이트웨이의 지역은 가상 네트워크와 동일해야 합니다.
    • 게이트웨이 유형: VPN을 선택합니다. VPN 게이트웨이는 가상 네트워크 게이트웨이 유형 VPN을 사용합니다.
    • SKU: 드롭다운에서 사용하려는 기능을 지원하는 게이트웨이 SKU를 선택합니다. SKU는 허용되는 사이트 간 터널 수 및 원하는 VPN 성능을 제어합니다. 게이트웨이 SKU를 참조하세요. IKEv2 인증(경로 기반 VPN)을 사용하려는 경우 기본 SKU를 사용하지 마세요.
    • 세대: 사용하려는 세대를 선택합니다. Generation2 SKU를 사용하는 것이 좋습니다. 자세한 내용은 게이트웨이 SKU를 참조하세요.
    • 가상 네트워크: 드롭다운에서 이전 단계에서 스토리지 계정에 추가한 가상 네트워크를 선택합니다.
    • 서브넷: 이 필드는 회색으로 표시되고 만든 게이트웨이 서브넷의 이름과 IP 주소 범위를 나열해야 합니다. 대신 텍스트 상자가 있는 게이트웨이 서브넷 주소 범위 필드가 표시되는 경우 가상 네트워크에서 게이트웨이 서브넷을 아직 구성하지 않은 것입니다.

  3. 가상 네트워크 게이트웨이에 연결된 공용 IP 주소 값을 지정합니다. 가상 네트워크 게이트웨이가 생성될 때 공용 IP 주소가 이 개체에 할당됩니다. 기본 공용 IP 주소는 게이트웨이를 삭제하고 다시 만드는 경우에만 변경됩니다. 크기 조정, 다시 설정 또는 기타 내부 유지 관리/업그레이드를 변경하지 않습니다.

    Screenshot showing how to specify the public IP address for a virtual network gateway using the Azure portal.

    • 공용 IP 주소: 인터넷에 공개할 가상 네트워크 게이트웨이의 IP 주소입니다. 마찬가지로 새 IP 주소를 만들어야 하지만, 사용되지 않은 기존 IP 주소를 사용할 수도 있습니다. 새로 만들기를 선택하면 새 IP 주소 Azure 리소스가 가상 네트워크 게이트웨이와 동일한 리소스 그룹에 만들어지며 공용 IP 주소 이름은 새로 만든 IP 주소의 이름이 됩니다. 기존 항목 사용을 선택하는 경우 사용되지 않은 기존 IP 주소를 선택해야 합니다.
    • 공용 IP 주소 이름: 텍스트 상자에서 공용 IP 주소 인스턴스의 이름을 입력합니다.
    • 공용 IP 주소 SKU: 설정이 자동으로 선택됩니다.
    • 할당: 할당은 일반적으로 자동으로 선택되며 동적이거나 정적일 수 있습니다.
    • 활성-활성 모드 사용: 사용 안 함을 선택합니다. 활성-활성 게이트웨이 구성을 만드는 경우에만 이 설정을 사용하도록 설정합니다. active-active 모드에 대한 자세한 내용은 고가용성 프레미스 간 및 VNet 간 연결을 참조하세요.
    • BGP 구성: Border Gateway Protocol이 구성에 특별히 필요한 경우를 제외하고는 사용 안함을 선택합니다. 이 설정이 필요한 경우 기본 ASN은 65515이며, 이 값은 변경 가능합니다. 이 설정에 대한 자세한 내용은 Azure VPN Gateway에서의 BGP 정보를 참조하세요.

  4. 검토 + 만들기를 선택하여 유효성 검사를 실행합니다. 유효성 검사를 통과하면 만들기를 선택하여 가상 네트워크 게이트웨이를 배포합니다. 배포가 완료되는데 최대 45분이 소요될 수 있습니다.

온-프레미스 게이트웨이용 로컬 네트워크 게이트웨이 만들기

로컬 네트워크 게이트웨이는 온-프레미스 네트워크 어플라이언스를 나타내는 Azure 리소스입니다. 스토리지 계정, 가상 네트워크 및 가상 네트워크 게이트웨이와 함께 배포되지만, 스토리지 계정과 동일한 리소스 그룹 또는 구독에 있을 필요는 없습니다. 로컬 네트워크 게이트웨이를 만들려면 다음 단계를 수행합니다.

  1. Azure Portal 상단의 검색 상자에서 가상 네트워크 게이트웨이를 검색하여 선택합니다. 로컬 네트워크 게이트웨이 페이지가 표시됩니다. 페이지 상단에서 + 만들기를 선택합니다.

  2. 기본 탭에서 프로젝트 세부 정보인스턴스 세부 정보에 대한 값을 입력합니다.

    Screenshot showing how to create a local network gateway using the Azure portal.

    • 구독: 원하는 Azure 구독입니다. 가상 네트워크 게이트웨이 또는 스토리지 계정에 사용되는 구독과 일치할 필요는 없습니다.
    • 리소스 그룹: 원하는 리소스 그룹입니다. 가상 네트워크 게이트웨이 또는 스토리지 계정에 사용되는 리소스 그룹과 일치할 필요는 없습니다.
    • 지역: 로컬 네트워크 게이트웨이 리소스를 만들어야 하는 Azure 지역입니다. 가상 네트워크 게이트웨이 및 스토리지 계정에 대해 선택한 지역과 일치해야 합니다.
    • 이름: 로컬 네트워크 게이트웨이의 Azure 리소스 이름입니다. 이 이름은 관리하는 데 유용한 이름일 수 있습니다.
    • 엔드포인트: IP 주소를 선택한 상태로 둡니다.
    • IP 주소: 온-프레미스에 있는 로컬 게이트웨이의 공용 IP 주소입니다.
    • 주소 공간: 이 로컬 네트워크 게이트웨이가 나타내는 네트워크의 주소 범위 또는 범위입니다. 예를 들어 192.168.0.0/16입니다. 여러 주소 공간 범위를 추가하는 경우 지정하는 범위가 연결하려는 다른 네트워크의 범위와 겹치지 않도록 합니다. BGP 지원 연결에서 이 로컬 네트워크 게이트웨이를 사용하려는 경우 선언해야 하는 최소 접두사는 VPN 디바이스에 있는 BGP 피어 IP 주소의 호스트 주소입니다.

  3. 조직에 BGP가 필요한 경우 고급 탭을 선택하여 BGP 설정을 구성합니다. 자세한 내용은 Azure VPN Gateway를 사용한 BGP 정보를 참조하세요.

  4. 검토 + 만들기를 선택하여 유효성 검사를 실행합니다. 유효성 검사를 통과하면 만들기를 선택하여 로컬 네트워크 게이트웨이를 만듭니다.

온-프레미스 네트워크 어플라이언스 구성

온-프레미스 네트워크 어플라이언스를 구성하는 특정 단계는 조직에서 선택한 네트워크 어플라이언스에 따라 달라집니다. 조직에서 선택한 디바이스에 따라 테스트된 디바이스의 목록에는 디바이스 공급업체의 Azure 가상 네트워크 게이트웨이 구성 지침에 대한 링크가 있을 수 있습니다.

사이트 간 연결 만들기

S2S VPN 배포를 완료하려면 온-프레미스 네트워크 어플라이언스(로컬 네트워크 게이트웨이 리소스로 표시됨)와 Azure 가상 네트워크 게이트웨이 간에 연결을 만들어야 합니다. 이렇게 하려면 다음 단계를 수행합니다.

  1. 만든 가상 네트워크 게이트웨이로 이동합니다. 가상 네트워크 게이트웨이에 대한 목차에서 설정 > 연결을 선택한 다음 + 추가를 선택합니다.

  2. 기본 탭에서 프로젝트 세부 정보인스턴스 세부 정보에 대한 값을 입력합니다.

    Screenshot showing how to create a site to site VPN connection using the Azure portal.

    • 구독: 원하는 Azure 구독입니다.
    • 리소스 그룹: 원하는 리소스 그룹입니다.
    • 연결 형식: S2S 연결이므로 드롭다운 목록에서 사이트 간(IPSec)을 선택합니다.
    • 이름: 연결 이름입니다. 가상 네트워크 게이트웨이는 여러 연결을 호스트할 수 있으므로 관리에 유용하고 이 특정 연결을 구분할 수 있는 이름을 선택합니다.
    • 지역: 가상 네트워크 게이트웨이 및 스토리지 계정에 대해 선택한 지역입니다.

  3. 설정 탭에서 다음 정보를 제공합니다.

    Screenshot showing how to configure the settings for a site to site VPN connection using the Azure portal.

    • 가상 네트워크 게이트웨이: 만든 가상 네트워크 게이트웨이를 선택합니다.
    • 로컬 네트워크 게이트웨이: 직접 만든 로컬 네트워크 게이트웨이를 선택합니다.
    • 공유 키(PSK): 연결 암호화를 설정하는 데 사용되는 문자와 숫자의 조합입니다. 가상 네트워크와 로컬 네트워크 게이트웨이 모두에서 동일한 공유 키를 사용해야 합니다. 게이트웨이 디바이스에서 제공하지 않으면 여기서 구성하여 디바이스에 제공할 수 있습니다.
    • IKE 프로토콜: VPN 디바이스에 따라 정책 기반 VPN의 경우 IKEv1을 선택하고 경로 기반 VPN의 경우 IKEv2를 선택합니다. 두 가지 유형의 VPN Gateway에 대한 자세한 내용은 정책 기반 및 경로 기반 VPN 게이트웨이 정보를 참조하세요.
    • Azure 개인 IP 주소 사용: 이 옵션을 선택하면 Azure 개인 IP를 사용하여 IPsec VPN 연결을 설정할 수 있습니다. 이 옵션이 작동하려면 VPN Gateway에서 개인 IP에 대한 지원을 설정해야 합니다. AZ 게이트웨이 SKU에서만 지원됩니다.
    • BGP 사용: 조직에서 이 설정을 특별히 요구하지 않는 한 선택 취소된 상태로 둡니다.
    • 사용자 지정 BGP 주소 사용: 조직에서 이 설정을 특별히 요구하지 않는 한 선택 취소된 상태로 둡니다.
    • FastPath: FastPath는 온-프레미스 네트워크와 가상 네트워크 간의 데이터 경로 성능을 향상시키도록 설계되었습니다. 자세히 알아보기.
    • IPsec/IKE 정책: 연결에 대해 협상할 IPsec/IKE 정책입니다. 조직에 사용자 지정 정책이 필요하지 않은 경우 기본값을 선택한 상태로 둡니다. 자세히 알아보기.
    • 정책 기반 트래픽 선택기 사용: 온-프레미스에서 정책 기반 VPN 방화벽에 연결하도록 Azure VPN Gateway를 구성해야 하는 경우가 아니면 사용하지 않도록 유지합니다. 이 필드를 사용하도록 설정한 경우 VPN 디바이스에 Any-to-Any 대신 온-프레미스 네트워크(로컬 네트워크 게이트웨이) 접두사 및 Azure Virtual Network 접두사 간의 모든 조합으로 정의된 일치하는 트래픽 선택기가 있는지 확인해야 합니다. 예를 들어 온-프레미스 네트워크 접두사가 10.1.0.0/16 및 10.2.0.0/16이고 가상 네트워크 접두사가 192.168.0.0/16 및 172.16.0.0/16이면 다음 트래픽 선택기를 지정해야 합니다.
      • 10.1.0.0/16 <====> 192.168.0.0/16
      • 10.1.0.0/16 <====> 172.16.0.0/16
      • 10.2.0.0/16 <====> 192.168.0.0/16
      • 10.2.0.0/16 <====> 172.16.0.0/16
    • DPD 시간 제한(초): 연결의 데드 피어 검색 시간 제한(초)입니다. 이 속성의 권장 및 기본값은 45초입니다.
    • 연결 모드: 연결 모드는 연결을 시작할 수 있는 게이트웨이를 결정하는 데 사용됩니다. 이 값은 다음으로 설정됩니다.
      • Default: Azure와 온-프레미스 VPN Gateway 모두 연결을 시작할 수 있습니다.
      • ResponderOnly: Azure VPN Gateway가 연결을 시작하지 않습니다. 온-프레미스 VPN Gateway가 연결을 시작해야 합니다.
      • InitiatorOnly: Azure VPN Gateway가 연결을 시작하고 온-프레미스 VPN Gateway의 연결 시도를 거부합니다.

  4. 검토 + 만들기를 선택하여 유효성 검사를 실행합니다. 유효성 검사를 통과하면 만들기를 선택하여 연결을 만듭니다. 가상 네트워크 게이트웨이의 연결 페이지를 통해 성공적으로 연결되었는지 확인할 수 있습니다.

Azure 파일 공유 탑재

S2S VPN을 구성하는 마지막 단계는 이 VPN이 Azure Files에서 작동하는지 확인하는 것입니다. 이 작업은 Azure 파일 공유를 온-프레미스에 탑재하여 수행할 수 있습니다. OS에서 탑재하는 방법에 대한 지침은 다음을 참조하세요.

참고 항목