가상 네트워크 피어링 만들기, 변경 또는 삭제
가상 네트워크 피어링을 만들고 변경하거나 삭제하는 방법을 알아봅니다. 가상 네트워크 피어링을 사용하면 Azure 백본 네트워크를 통해 동일한 지역에서 그리고 여러 지역에서(글로벌 가상 네트워크 피어링) 네트워크를 연결할 수 있습니다. 피어링된 후 가상 네트워크는 여전히 별도의 리소스로 관리됩니다. 가상 네트워크 피어링을 처음 사용하는 경우 가상 네트워크 피어링 개요 또는 가상 네트워크 피어링 자습서를 완료하여 이에 대해 자세히 알아볼 수 있습니다.
필수 조건
활성 구독이 있는 Azure 계정이 없는 경우 체험 계정을 만듭니다. 이 문서의 나머지 부분을 시작하기 전에 다음 작업 중 하나를 완료합니다.
피어링 작업에 필요한 권한이 있는 Azure 계정으로 Azure Portal에 로그인합니다.
피어링 만들기
피어링을 만들기 전에 먼저 요구 사항 및 제약 조건과 필요한 권한을 숙지하세요.
Azure Portal 상단의 검색 창에 가상 네트워크를 입력합니다. 검색 결과에서 가상 네트워크를 선택합니다.
가상 네트워크에서 피어링을 만들 네트워크를 선택합니다.
설정에서 피어링을 선택합니다.
+ 추가를 선택합니다.
다음 설정의 값을 입력하거나 선택하고 추가를 선택합니다.
설정 설명 원격 가상 네트워크 요약 피어링 링크 이름 로컬 가상 네트워크의 피어링 이름입니다. 이름은 가상 네트워크 내에서 고유해야 합니다. 가상 네트워크 배포 모델 피어링하려는 가상 네트워크를 배포한 배포 모델을 선택합니다. 리소스 ID를 알고 있음 피어링하려는 가상 네트워크에 대한 읽기 권한이 있는 경우 이 확인란을 선택 취소된 상태로 둡니다. 피어링하려는 가상 네트워크 또는 구독에 대한 읽기 권한이 없는 경우 이 확인란을 선택합니다. 리소스 ID 이 필드는 리소스 ID를 알고 있음 확인란을 선택하면 나타납니다. 입력하는 리소스 ID는 이 가상 네트워크와 동일한 또는 지원되는 다른 Azure 지역에 있는 가상 네트워크의 리소스 ID여야 합니다.
전체 리소스 ID는/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>
형식입니다.
가상 네트워크의 속성을 확인하여 가상 네트워크의 리소스 ID를 알 수 있습니다. 가상 네트워크의 속성을 확인하는 방법을 알아보려면 가상 네트워크 관리를 참조하세요. 피어링 중인 가상 네트워크를 사용하는 구독이 아닌 다른 Microsoft Entra 테넌트에 구독이 연결된 경우 사용자 권한을 할당해야 합니다. 각 테넌트의 사용자를 반대 테넌트에 게스트 사용자로 추가합니다.구독 피어링하려는 가상 네트워크의 구독을 선택합니다. 계정이 읽기 권한이 있는 구독 수에 따라 하나 이상의 구독이 나열됩니다. 가상 네트워크 원격 가상 네트워크를 선택합니다. 원격 가상 네트워크 피어링 설정 피어링된 가상 네트워크가 'vnet-1'에 액세스하도록 허용 기본적으로 이 옵션은 선택되어 있습니다.
- 피어링된 가상 네트워크에서 'vnet-1'로의 트래픽을 허용하려면 이 옵션을 선택합니다. 이 설정은 허브 스포크 네트워크 토폴로지에서 허브와 스포크 간의 통신을 가능하게 하고 피어링된 가상 네트워크의 VM이 'vnet-1'의 VM과 통신할 수 있도록 합니다. 네트워크 보안 그룹에 대한 VirtualNetwork 서비스 태그에는 이 설정이 선택된 경우 가상 네트워크와 피어링된 가상 네트워크가 포함됩니다. 서비스 태그에 대한 자세한 내용은 Azure 서비스 태그를 참조하세요.피어링된 가상 네트워크가 'vnet-1'에서 전달된 트래픽을 수신하도록 허용 이 옵션은 기본적으로 선택되어 있지 않습니다.
- 이 옵션을 사용하도록 설정하면 피어링된 가상 네트워크가 'vnet-1'에 피어링된 가상 네트워크에서 트래픽을 수신할 수 있습니다. 예를 들어 vnet-2에 vnet-1로 전달되는 트래픽을 vnet-2 외부에서 수신하는 NVA가 있는 경우 이 설정을 선택하여 해당 트래픽이 vnet-2에서 vnet-1에 도달하도록 할 수 있습니다. 이 기능을 사용하도록 설정하면 피어링을 통해 전달된 트래픽이 허용되지만 사용자 정의 경로나 네트워크 가상 어플라이언스는 만들지 않습니다. 사용자 정의 경로와 네트워크 가상 어플라이언스는 개별적으로 만들어집니다.피어링된 가상 네트워크의 게이트웨이 또는 경로 서버가 트래픽을 'vnet-1'로 전달하도록 허용 이 옵션은 기본적으로 선택되어 있지 않습니다.
- 이 설정을 활성화하면 'vnet-1'이 피어링된 가상 네트워크의 게이트웨이 또는 경로 서버에서 트래픽을 수신할 수 있습니다. 이 옵션을 활성화하려면 피어링된 가상 네트워크에 게이트웨이 또는 경로 서버가 포함되어야 합니다.피어링된 가상 네트워크에서 'vnet-1' 원격 게이트웨이 또는 경로 서버를 사용하도록 설정 이 옵션은 기본적으로 선택되지 않습니다.
- 이 옵션은 'vnet-1'에 원격 게이트웨이 또는 경로 서버가 있고 'vnet-1'에서 "'vnet-1'의 게이트웨이가 피어링된 가상 네트워크로 트래픽을 전달하도록 허용"하는 경우에만 사용할 수 있습니다. 이 옵션은 피어링된 가상 네트워크의 피어링 중 하나에서만 사용할 수 있습니다.
이 가상 네트워크가 원격 Route Server를 사용하여 경로를 교환하도록 하려면 이 옵션을 선택할 수도 있습니다. Azure Route Server를 참조하세요.
참고: 가상 네트워크에 구성된 게이트웨이가 이미 있는 경우 원격 게이트웨이를 사용할 수 없습니다. 전송을 위한 게이트웨이 사용에 관해 자세히 알아보려면 가상 네트워크 피어링에서 전송을 위한 VPN 게이트웨이 구성을 참조로컬 가상 네트워크 요약 피어링 링크 이름 원격 가상 네트워크의 피어링 이름입니다. 이름은 가상 네트워크 내에서 고유해야 합니다. 로컬 가상 네트워크 피어링 설정 'vnet-1'이 피어링된 가상 네트워크에 액세스하도록 허용 기본적으로 이 옵션은 선택되어 있습니다.
- 'vnet-1'에서 피어링된 가상 네트워크로의 트래픽을 허용하려면 이 옵션을 선택합니다. 이 설정은 허브 스포크 네트워크 토폴로지에서 허브와 스포크 간의 통신을 가능하게 하고 'vnet-1'의 VM이 피어링된 가상 네트워크의 VM과 통신할 수 있도록 합니다.'vnet-1'이 피어링된 가상 네트워크에서 전달된 트래픽을 수신하도록 허용 이 옵션은 기본적으로 선택되어 있지 않습니다.
- 이 옵션을 사용하도록 설정하면 'vnet-1'이 피어링된 가상 네트워크로 피어링된 가상 네트워크에서 트래픽을 수신할 수 있습니다. 예를 들어 vnet-2에 vnet-2 외부에서 트래픽을 수신하고 vnet-1로 전달하는 NVA가 있는 경우 이 설정을 선택하여 해당 트래픽이 vnet-2에서 vnet-1에 도달하도록 할 수 있습니다. 이 기능을 사용하도록 설정하면 피어링을 통해 전달된 트래픽이 허용되지만 사용자 정의 경로나 네트워크 가상 어플라이언스는 만들지 않습니다. 사용자 정의 경로와 네트워크 가상 어플라이언스는 개별적으로 만들어집니다.'vnet-1'의 게이트웨이 또는 경로 서버가 피어링된 가상 네트워크로 트래픽을 전달하도록 허용 이 옵션은 기본적으로 선택되어 있지 않습니다.
- 이 설정을 활성화하면 피어링된 가상 네트워크가 'vnet-1'의 게이트웨이 또는 경로 서버에서 트래픽을 수신할 수 있습니다. 이 옵션을 사용하려면 'vnet-1'에 게이트웨이 또는 경로 서버가 포함되어야 합니다.'vnet-1'을 사용하여 피어링된 가상 네트워크의 원격 게이트웨이 또는 경로 서버 사용 이 옵션은 기본적으로 선택되지 않습니다.
- 이 옵션은 피어링된 가상 네트워크에 원격 게이트웨이 또는 경로 서버가 있고 피어링된 가상 네트워크에서 "피어링된 가상 네트워크의 게이트웨이가 'vnet-1'로 트래픽을 전달할 수 있도록 허용"하는 경우에만 사용할 수 있습니다. 이 옵션은 'vnet-1' 피어링 중 하나에서만 사용할 수 있습니다.참고 항목
가상 네트워크 게이트웨이를 사용하여 온-프레미스 트래픽을 피어링된 가상 네트워크로 전이적으로 보내는 경우 온-프레미스 VPN 디바이스의 피어링된 가상 네트워크 IP 범위를 '관심' 트래픽으로 설정해야 합니다. 온-프레미스 VPN 디바이스의 사이트 간 IPSec VPN 터널 구성에 모든 Azure 가상 네트워크의 CIDR 주소를 추가해야 할 수도 있습니다. CIDR 주소에는 허브, 스포크, 지점 및 사이트 간 IP 주소 풀과 같은 리소스가 포함됩니다. 그렇지 않으면 온-프레미스 리소스가 피어링된 VNet의 리소스와 통신할 수 없습니다. 관심 트래픽은 2단계 보안 연결을 통해 전달됩니다. 보안 연결은 지정된 각 서브넷에 대한 전용 VPN 터널을 만듭니다. 온-프레미스 및 Azure VPN Gateway 계층은 동일한 수의 사이트 간 VPN 터널 및 Azure VNet 서브넷을 지원해야 합니다. 그렇지 않으면 온-프레미스 리소스가 피어링된 VNet의 리소스와 통신할 수 없습니다. 지정된 각 Azure VNet 서브넷에 대한 2단계 보안 연결을 만드는 방법에 대한 지침은 온-프레미스 VPN 설명서를 참조하세요.
몇 초 후 새로 고침 단추를 선택하면 피어링 상태가 업데이트 중에서 연결됨으로 변경됩니다.
서로 다른 구독의 가상 네트워크와 배포 모델 간의 피어링을 구현하기 위한 단계별 지침은 다음 단계를 참조하세요.
피어링 설정 보기 또는 변경
피어링을 변경하기 전에 먼저 요구 사항 및 제약 조건과 필요한 권한을 숙지하세요.
Azure Portal 상단의 검색 창에 가상 네트워크를 입력합니다. 검색 결과에서 가상 네트워크를 선택합니다.
가상 네트워크에서 피어링 설정을 보거나 변경하려는 가상 네트워크를 선택합니다.
설정에서 피어링을 선택한 다음, 설정을 보거나 변경할 피어링을 선택합니다.
해당 설정을 변경합니다. 피어링 만들기 섹션의 4단계 에서 각 설정의 옵션에 대해 읽어보세요. 그런 다음 저장을 선택하여 구성 변경을 완료합니다.
피어링 삭제
피어링을 삭제하기 전에 요구 사항 및 제약 조건과 필요한 권한을 숙지하세요.
두 가상 네트워크 간의 피어링이 삭제되면 더 이상 두 가상 네트워크 간에 트래픽이 흐를 수 없습니다. 원격 가상 네트워크 트래픽을 차단하고 싶은데, 피어링을 삭제하는 대신 가상 네트워크가 가끔 통신하게 하려면 원격 가상 네트워크 트래픽 허용 설정을 선택 취소합니다. 피어링을 삭제하고 다시 만드는 것보다 네트워크 액세스를 사용 안 함/사용 설정하는 것이 더 쉬움을 알 수 있습니다.
Azure Portal 상단의 검색 창에 가상 네트워크를 입력합니다. 검색 결과에서 가상 네트워크를 선택합니다.
가상 네트워크에서 피어링 설정을 보거나 변경하려는 가상 네트워크를 선택합니다.
설정에서 피어링을 선택합니다.
삭제하려는 피어링 옆에 있는 상자를 선택한 다음 삭제를 선택합니다.
피어링 삭제에서 확인 상자에 삭제를 입력한 다음 삭제를 선택합니다.
참고 항목
가상 네트워크에서 가상 네트워크 피어링을 삭제하면 원격 가상 네트워크의 피어링도 삭제됩니다.
삭제 확인에서 삭제를 확인하려면 삭제를 선택합니다.
요구 사항 및 제약 조건
동일한 또는 다른 지역에 있는 가상 네트워크를 피어링할 수 있습니다. 다른 지역의 가상 네트워크 피어링을 글로벌 가상 네트워크 피어링이라고도 합니다.
글로벌 피어링을 만들 때 피어링된 가상 네트워크는 모든 Azure 공용 클라우드 지역 또는 중국 클라우드 지역 또는 정부 클라우드 지역에 있을 수 있습니다. 클라우드를 통해 피어링할 수 없습니다. 예를 들어 Azure 퍼블릭 클라우드의 가상 네트워크는 21Vianet 클라우드에서 운영하는 Microsoft Azure의 가상 네트워크에 피어링할 수 없습니다.
피어링의 일부인 경우 가상 네트워크를 이동할 수 없습니다. 가상 네트워크를 다른 리소스 그룹 또는 구독으로 이동해야 하는 경우 피어링을 삭제하고 가상 네트워크를 이동한 다음 피어링을 다시 만들어야 합니다.
한 가상 네트워크의 리소스는 글로벌 피어링된 가상 네트워크에 있는 기본 부하 분산 장치(내부 또는 공용)의 프런트 엔드 IP 주소와 통신할 수 없습니다. 기본 부하 분산 장치에 대한 지원은 동일한 지역 내에서만 가능합니다. 가상 네트워크 피어링과 글로벌 가상 네트워크 피어링 둘 다 표준 부하 분산 장치를 지원합니다. 기본 Load Balancer를 사용하는 일부 서비스는 글로벌 가상 네트워크 피어링을 통해 작동하지 않습니다. 자세한 내용은 글로벌 가상 네트워크 피어링 및 부하 분산 장치와 관련된 제약 조건을 참조하세요.
원격 게이트웨이를 사용하거나 전역적으로 피어링된 가상 네트워크 및 로컬로 피어링된 가상 네트워크에서 게이트웨이 전송을 허용할 수 있습니다.
가상 네트워크는 같은 구독에 있을 수도 있고 다른 구독에 있을 수도 있습니다. 다른 구독에서 가상 네트워크를 피어링하는 경우 두 구독이 같거나 다른 Microsoft Entra 테넌트에 연결되어 있을 수 있습니다. 아직 AD 테넌트가 없는 경우 빠르게 만들수 있습니다.
피어링하는 가상 네트워크의 IP 주소 공간이 겹치면 안 됩니다.
Resource Manager를 통해 배포된 두 가상 네트워크 또는 Resource Manager를 통해 배포된 가상 네트워크와 클래식 배포 모델을 통해 배포된 가상 네트워크를 피어링할 수 있습니다. 클래식 배포 모델을 통해 만들어진 두 개의 가상 네트워크는 피어링할 수 없습니다. Azure 배포 모델에 익숙하지 않은 경우 Azure 배포 모델 이해 문서를 읽어보세요. VPN Gateway를 사용하여 클래식 배포 모델을 통해 만든 두 가상 네트워크는 연결할 수 없습니다.
Resource Manager를 통해 만든 두 가상 네트워크를 피어링할 때, 피어링에서 각 가상 네트워크의 피어링을 구성해야 합니다. 피어링 상태에 대한 다음 유형 중 하나가 표시됩니다.
시작됨: 첫 번째 피어링을 만들면 해당 상태는 시작됨입니다.
연결됨: 두 번째 피어링을 만들면 두 피어링의 피어링 상태가 연결됨입니다. 두 가상 네트워크 피어링의 피어링 상태가 연결됨이 될 때까지는 피어링이 설정되지 않습니다.
Resource Manager를 통해 만든 가상 네트워크를 클래식 배포 모델을 통해 만든 가상 네트워크와 피어링하는 경우 Resource Manager를 통해 배포된 가상 네트워크에 대한 피어링만 구성합니다. 가상 네트워크(클래식)의 피어링 또는 클래식 배포 모델을 통해 배포된 두 가상 네트워크 간의 피어링을 구성할 수 없습니다. 가상 네트워크(Resource Manager)에서 가상 네트워크(클래식)로의 피어링을 만들면 피어링 상태가 업데이트 중이 되었다가 곧 연결됨으로 변경됩니다.
두 가상 네트워크 간에 피어링이 설정됩니다. 피어링 자체는 전이적이지 않습니다. 다음 사이에 피어링을 만들면:
VirtualNetwork1 및 VirtualNetwork2
VirtualNetwork2 및 VirtualNetwork3
VirtualNetwork2를 통해 VirtualNetwork1과 VirtualNetwork3가 연결되지 않았습니다. VirtualNetwork1과 VirtualNetwork3가 직접 통신하도록 하려면 VirtualNetwork1과 VirtualNetwork3 간에 명시적 피어링을 만들거나 허브 네트워크에서 NVA를 거쳐야 합니다. 자세한 내용은 Azure의 허브-스포크 네트워크 토폴로지를 참조하세요.
기본 Azure 이름 확인을 사용하여 피어링된 가상 네트워크에서 이름을 확인할 수 없습니다. 다른 가상 네트워크에서 이름을 확인하려면 Azure 프라이빗 DNS 또는 사용자 지정 DNS 서버를 사용해야 합니다. 자체 DNS 서버를 설정하는 방법을 알아보려면 자체 DNS 서버를 이용한 이름 확인을 참조하세요.
동일한 지역에서 피어링된 가상 네트워크의 리소스는 마치 동일한 가상 네트워크에 있는 것처럼 동일한 대기 시간으로 서로 통신할 수 있습니다. 네트워크 처리량은 해당 크기에 비례하는 가상 머신에 허용되는 대역폭을 기반으로 합니다. 피어링 내에서 대역폭에 대한 추가 제한이 없습니다. 각 가상 머신 크기마다 고유의 최대 네트워크 대역폭이 있습니다. 다양한 가상 머신 크기의 최대 네트워크 대역폭에 대한 자세한 내용은 Azure의 가상 머신 크기를 참조하세요.
가상 네트워크를 다른 가상 네트워크에 피어링할 수 있으며, Azure Virtual Network 게이트웨이를 통해 다른 가상 네트워크에 연결할 수도 있습니다. 가상 네트워크가 피어링 및 게이트웨이를 통해 연결된 경우 가상 네트워크 간 트래픽은 게이트웨이가 아니라 피어링 구성을 통해 흐릅니다.
가상 네트워크 피어링이 성공적으로 구성된 후 지점 및 사이트 간 VPN 클라이언트를 다시 다운로드하여 새 경로가 클라이언트에 다운로드되는지 확인해야 합니다.
가상 네트워크 피어링을 활용하는 수신 및 송신 트래픽에 대한 명목 요금이 부과됩니다. 자세한 내용은 가격 책정 페이지를 참조하십시오.
네트워크 격리를 사용하지 않는 Application Gateway는 원격 가상 네트워크에 트래픽 허용이 비활성화된 경우 피어링된 VNET 간 트래픽 전송을 허용하지 않습니다.
사용 권한
가상 네트워크 피어링 작업에 사용하는 계정을 다음 역할에 할당해야 합니다.
네트워크 기여자: Resource Manager를 통해 배포된 가상 네트워크에 해당합니다.
클래식 네트워크 contributor: 클래식 배포 모델을 통해 배포된 가상 네트워크에 해당합니다.
계정이 이전 역할 중 하나에 할당되지 않은 경우 다음 표의 필요한 작업이 할당된 사용자 지정 역할에 할당되어야 합니다.
작업 | 이름 |
---|---|
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | 가상 네트워크 A에서 가상 네트워크 B로의 피어링을 만들어야 합니다. 가상 네트워크 A는 가상 네트워크(Resource Manager)이어야 함 |
Microsoft.Network/virtualNetworks/peer/action | 가상 네트워크 B(Resource Manager)에서 가상 네트워크 A로의 피어링을 만들어야 함 |
Microsoft.ClassicNetwork/virtualNetworks/peer/action | 가상 네트워크 B(클래식)에서 가상 네트워크 A로의 피어링을 만들어야 함 |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | 가상 네트워크 피어링 읽기 |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | 가상 네트워크 피어링 삭제 |
다음 단계
가상 네트워크 피어링은 동일한 배포 모델, 같은 구독에 있는 서로 다른 배포 모델 또는 서로 다른 구독을 통해 만든 가상 네트워크 간에 만들 수 있습니다. 다음 시나리오 중 하나에 대한 자습서를 완료합니다.
Azure 배포 모델 구독 둘 다 Resource Manager 동일 다름 하나는 Resource Manager, 다른 하나는 클래식 동일 다름 PowerShell 또는 Azure CLI 샘플 스크립트를 사용하거나 Azure Resource Manager 템플릿을 사용하여 가상 네트워크 피어링을 만듬
가상 네트워크에 대한 Azure Policy 정의 만들기 및 할당