Virtual WAN 허브의 NVA 정보
고객은 Microsoft Azure 및 타사 NVA(네트워크 가상 어플라이언스) 공급업체가 공동으로 관리하는 솔루션의 Virtual WAN 허브에 네트워크 가상 어플라이언스를 직접 배포할 수 있습니다. Azure Marketplace의 모든 네트워크 가상 어플라이언스를 Virtual WAN 허브에 배포할 수 있는 것은 아닙니다. 사용 가능한 파트너의 전체 목록은 이 문서의 파트너 섹션을 참조하세요.
주요 혜택
NVA가 Virtual WAN 허브에 배포되면 다양한 기능을 갖춘 타사 게이트웨이 역할을 수행할 수 있습니다. SD-WAN 게이트웨이, 방화벽 또는 둘 모두의 조합으로 사용할 수 있습니다.
NVA를 Virtual WAN 허브에 배포하면 다음과 같은 이점이 있습니다.
- 미리 정의되고 미리 테스트를 거쳐 선별된 인프라 선택(NVA 인프라 단위): Microsoft와 파트너는 함께 협력하여 솔루션을 고객에게 제공하기 전에 처리량 및 대역폭 제한을 검증합니다.
- 기본 제공 가용성 및 복원력: Virtual WAN NVA 배포는 AZ(가용성 영역)를 인식하며 자동으로 고가용성으로 구성됩니다.
- 간단한 프로비전 및 부트스트래핑: 관리되는 애플리케이션은 Virtual WAN 플랫폼의 프로비전 및 부트스트래핑에 대해 사전에 검증됩니다. 관리되는 애플리케이션은 Azure Marketplace 링크를 통해 사용할 수 있습니다.
- 간소화된 라우팅: Virtual WAN의 지능형 라우팅 시스템을 활용합니다. NVA 솔루션은 Virtual WAN 허브 라우터와 피어링하고 Microsoft 게이트웨이와 비슷하게 Virtual WAN 라우팅 결정 프로세스에 참여합니다.
- 통합 지원: 파트너는 Microsoft Azure Virtual WAN과의 특별 지원 계약을 통해 고객 문제를 신속하게 진단하고 해결할 수 있습니다.
- 선택적 플랫폼 제공 수명 주기 관리: 업그레이드 및 패치는 직접 또는 Azure Virtual WAN 서비스의 일부로 관리됩니다. Virtual WAN의 NVA에 대한 소프트웨어 수명 주기 관리와 관련된 모범 사례는 NVA 공급자 또는 참조 공급자 설명서에 문의하세요.
- 플랫폼 기능과 통합: Microsoft 게이트웨이 및 Virtual Network와의 전송 연결, 암호화된 ExpressRoute(ExpressRoute 회로를 통해 실행되는 SD-WAN 오버레이) 및 가상 허브 경로 테이블이 원활하게 상호 작용합니다.
Important
이 통합 솔루션에 대한 최상의 지원을 받으려면 Microsoft 및 네트워크 가상 어플라이언스 공급자 모두에 대해 비슷한 수준의 지원 자격이 있는지 확인해야 합니다.
파트너
다음 표에서는 Virtual WAN 허브에 배포할 수 있는 네트워크 가상 어플라이언스 및 관련 사용 사례(연결 및/또는 방화벽)에 대해 설명합니다. Virtual WAN NVA 공급업체 식별자 열은 새 NVA를 배포하거나 가상 허브에 배포된 기존 NVA를 볼 때 Azure Portal에 표시되는 NVA 공급업체에 해당합니다.
다음 SD-WAN 연결 네트워크 가상 어플라이언스는 Virtual WAN 허브에 배포할 수 있습니다.
| 파트너 | Virtual WAN NVA 공급업체 식별자 | 구성/방법/배포 가이드 | 전용 지원 모델 |
|---|---|---|---|
| Barracuda Networks | barracudasdwanrelease | Virtual WAN 배포 가이드용 Barracuda SecureEdge | 예 |
| Cisco SD-WAN | ciscosdwan | Cisco SD-WAN 솔루션을 Azure Virtual WAN과 통합하면 다중 클라우드 배포를 위한 Cloud OnRamp가 향상되고, Azure Virtual WAN 허브에서 Cisco Catalyst 8000V Edge Software(Cisco Catalyst 8000V)를 NVA(네트워크 가상 어플라이언스)로 구성할 수 있습니다. Cisco SD-WAN Cloud OnRamp, Cisco IOS XE 릴리스 17.x 구성 가이드 보기 | 예 |
| VMware SD-WAN | vmwaresdwaninvwan | Virtual WAN 허브 배포 가이드의 VMware SD-WAN 배포를 위해 관리되는 애플리케이션은 이 Azure Marketplace 링크에서 찾을 수 있습니다. | 예 |
| Versa Networks | versanetworks | 기존 Versa Networks 고객인 경우 Versa 계정에 로그온하고 다음 Versa 배포 가이드 링크를 사용하여 배포 가이드에 액세스합니다. 새 Versa 고객인 경우 Versa 미리 보기 가입 링크를 사용하여 가입합니다. | 예 |
| Aruba EdgeConnect | arubaedgeconnectenterprise | Aruba EdgeConnect SD-WAN 배포 가이드. 현재 미리 보기 상태: Azure Marketplace 링크 | 아니요 |
다음 보안 네트워크 가상 어플라이언스는 Virtual WAN 허브에 배포할 수 있습니다. 이 가상 어플라이언스는 모든 남북, 동서 및 인터넷 바운드 트래픽을 검사하는 데 사용할 수 있습니다.
| 파트너 | Virtual WAN NVA 공급업체 | 구성/방법/배포 가이드 | 전용 지원 모델 |
|---|---|---|---|
| Azure Virtual WAN용 Check Point CloudGuard 네트워크 보안 | checkpoint | Virtual WAN용 Check Point 네트워크 보안 배포 가이드 | 아니요 |
| Fortinet NGFW(차세대 방화벽) | fortinet-ngfw | Fortinet NGFW 배포 가이드입니다. Fortinet NGFW는 최대 80개의 배율 단위를 지원하며 SD-WAN 터널 종료에는 사용하지 않는 것이 좋습니다. Fortigate SD-WAN 터널 종료에 대해서는 Fortinet SD-WAN 및 NGFW 설명서를 참조하세요. | 아니요 |
다음 이중 역할 SD-WAN 연결 및 보안(차세대 방화벽) 네트워크 가상 어플라이언스를 Virtual WAN 허브에 배포할 수 있습니다. 이러한 가상 어플라이언스를 사용하여 모든 남북, 동서 및 인터넷 바인딩 트래픽을 검사할 수 있습니다.
| 파트너 | Virtual WAN NVA 공급업체 | 구성/방법/배포 가이드 | 전용 지원 모델 |
|---|---|---|---|
| Fortinet NGFW(차세대 방화벽) | fortinet-sdwan-and-ngfw | Fortinet SD-WAN 및 NGFW NVA 배포 가이드입니다. Fortinet SD-WAN 및 NGFW NVA는 최대 20개의 배율 단위를 지원하며 SD-WAN 터널 종료 및 차세대 방화벽 기능을 모두 지원합니다. | 아니요 |
기본 사용 사례
Any-to-Any 연결
고객은 NVA를 공간이 있는 모든 Azure 지역에 배포할 수 있습니다. 분기 사이트는 Azure Virtual WAN 허브에 배포된 가장 가까운 NVA에서 종료되는 SD-WAN 터널을 통해 Azure에 연결됩니다.
그런 다음, 분기 사이트에서 Microsoft 글로벌 백본을 통해 동일한 지역 또는 다른 지역의 가상 네트워크에 배포된 Azure의 워크로드에 액세스할 수 있습니다. 또한 SD-WAN 연결된 사이트는 ExpressRoute, 사이트 간 VPN 또는 원격 사용자 연결을 통해 Azure에 연결된 다른 분기와 통신할 수 있습니다.
연결 NVA와 함께 Azure Firewall에서 제공하는 보안
고객은 연결 기반 NVA와 함께 Azure Firewall을 배포할 수 있습니다. 검사를 위해 모든 트래픽을 Azure Firewall로 보내도록 Virtual WAN 라우팅을 구성할 수 있습니다. 검사를 위해 모든 인터넷 바인딩된 트래픽을 Azure Firewall로 보내도록 Virtual WAN을 구성할 수도 있습니다.
NVA 방화벽에서 제공하는 보안
고객은 SD-WAN 연결 및 차세대 방화벽 기능을 모두 수행하는 Virtual WAN 허브에 네트워크 가상 어플라이언스를 배포할 수도 있습니다. 고객은 온-프레미스 디바이스를 허브의 NVA에 연결하고, 동일한 어플라이언스를 사용하여 모든 북-남, 동-서 및 인터넷 바인딩 트래픽을 검사할 수 있습니다. 이러한 시나리오를 가능하게 하는 라우팅은 라우팅 의도 및 라우팅 정책을 통해 구성할 수 있습니다.
이러한 트래픽 흐름을 지원하는 파트너는 파트너 섹션에서 이중 역할 SD-WAN 연결 및 보안(차세대 방화벽) 네트워크 가상 어플라이언스로 나열됩니다.
작동 방식
Azure Virtual WAN 허브에 직접 배포할 수 있는 NVA는 Virtual WAN 허브에서 사용하도록 특별히 설계되었습니다. NVA 제안은 관리되는 애플리케이션으로 Azure Marketplace에 게시되며, 고객은 Azure Marketplace에서 제안을 직접 배포할 수 있습니다.
각 파트너의 NVA 제품은 배포 요구 사항에 따라 다소 다른 환경과 기능을 갖게 됩니다.
관리되는 애플리케이션
Virtual WAN 허브에 배포할 수 있는 모든 NVA 제품에는 Azure Marketplace에서 사용할 수 있는 관리되는 애플리케이션이 있습니다. 파트너는 관리되는 애플리케이션을 통해 다음을 수행할 수 있습니다.
- NVA에 대한 사용자 지정 배포 환경을 빌드합니다.
- Virtual WAN 허브에서 NVA를 직접 만들 수 있는 특수 Resource Manager 템플릿을 제공합니다.
- 소프트웨어 라이선스 비용을 직접 또는 Azure Marketplace를 통해 청구합니다.
- 사용자 지정 속성 및 리소스 미터를 표시합니다.
NVA 파트너는 어플라이언스 배포, 구성 라이선스 및 관리 요구 사항에 따라 다양한 리소스를 만들 수 있습니다. 고객이 모든 관리되는 애플리케이션과 같이 Virtual WAN 허브에서 NVA를 만들면 두 개의 리소스 그룹이 구독에 만들어집니다.
- 고객 리소스 그룹 - 관리되는 응용 프로그램에 대한 응용 프로그램 자리 표시자를 포함합니다. 파트너는 이를 사용하여 이 곳에서 선택하는 모든 고객 속성을 노출할 수 있습니다.
- 관리되는 리소스 그룹 - 관리되는 애플리케이션의 게시자가 제어하므로 고객이 이 리소스 그룹의 리소스를 직접 구성하거나 변경할 수 없습니다. 이 리소스 그룹에는 NetworkVirtualAppliances 리소스가 포함되어 있습니다.
관리되는 리소스 그룹 권한
기본적으로 관리되는 모든 리소스 그룹에는 Microsoft Entra 할당 모두 거부 권한이 있습니다. 모두 할당 거부는 고객이 네트워크 가상 어플라이언스 리소스를 포함하여 관리되는 리소스 그룹의 모든 리소스에 대해 쓰기 작업을 호출하지 못하도록 합니다.
그러나 파트너는 관리되는 리소스 그룹에 배포된 리소스에 대해 고객이 수행할 수 있는 특정 작업에 대한 예외를 만들 수 있습니다.
파트너가 허용된 새 작업을 추가하고 수동 새로 고침이 필요하므로 기존 관리되는 리소스 그룹의 리소스에 대한 권한은 동적으로 업데이트되지 않습니다.
관리되는 리소스 그룹에 대한 권한을 새로 고치기 위해 고객은 권한 새로 고침 REST API를 활용할 수 있습니다.
참고 항목
새 권한을 올바르게 적용하려면 추가 targetVersion 쿼리 매개 변수를 사용하여 권한 새로 고침 API를 호출해야 합니다. targetVersion의 값은 공급자에 따라 다릅니다. 최신 버전 번호는 공급자의 설명서를 참조하세요.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Solutions/applications/{applicationName}/refreshPermissions?api-version=2019-07-01&targetVersion={targetVersion}
NVA 인프라 단위
Virtual WAN 허브에서 NVA를 만들 때 배포하려는 NVA 인프라 단위의 수를 선택해야 합니다. NVA 인프라 단위는 Virtual WAN 허브의 NVA에 대한 총 대역폭 용량의 단위입니다. 용량 및 크기 조정을 생각하는 방식 면에서 NVA 인프라 단위는 VPN 배율 단위와 비슷합니다.
- NVA 인프라 단위는 NVA가 배포된 가상 머신 인프라가 지원할 수 있는 집계 네트워킹 처리량에 대한 지침입니다. 1 NVA 인프라 단위는 500Mbps의 집계 처리량에 해당합니다. 이 500Mbps 숫자는 네트워크 가상 어플라이언스에서 실행되는 소프트웨어 간의 차이점을 고려하지 않습니다. NVA 또는 파트너별 소프트웨어 구현에서 설정된 기능에 따라 암호화/암호 해독, 캡슐화/캡슐화 해제 또는 심층 패킷 검사와 같은 네트워킹 기능이 더 많이 사용될 수 있습니다. 즉, NVA 인프라 단위보다 처리량이 적을 수 있습니다. 예상 처리량에 Virtual WAN NVA 인프라 단위를 매핑하려면 공급업체에 문의하세요.
- Azure는 지정된 NVA 가상 허브 배포에 대해 2~80 NVA 인프라 단위에 이르는 배포를 지원하지만 파트너는 지원하는 배율 단위를 선택할 수 있습니다. 따라서 가능한 모든 배율 단위 구성을 배포하지 못할 수 있습니다.
Virtual WAN NVA는 항상 선택한 특정 배율 단위에 대한 공급업체별 처리량 수를 최소한으로 달성할 수 있도록 배포됩니다. 이를 위해 Virtual WAN의 NVA는 ‘n+1’ 방식으로 여러 인스턴스 형태의 추가 용량으로 오버프로비전됩니다. 즉, 지정된 시간에 인스턴스 전체의 집계 처리량이 공급업체별 처리량 수보다 클 수 있습니다. 이렇게 하면 인스턴스가 비정상 상태인 경우 나머지 ‘n’개의 인스턴스가 고객 트래픽을 처리하고 해당 배율 단위에 대한 공급업체별 처리량을 제공할 수 있습니다.
지정된 시간에 NVA를 통과하는 총 트래픽 양이 선택한 배율 단위에 대한 공급업체별 처리량 수를 초과하는 경우 일상적인 Azure 플랫폼 유지 관리 작업 또는 소프트웨어 업그레이드를 포함하지만 이에 국한되지 않는 NVA 인스턴스를 사용할 수 없게 될 수 있는 이벤트로 인해 서비스 또는 연결 중단이 발생할 수 있습니다. 서비스 중단을 최소화하려면 테스트 중에 관찰된 최상의 처리량 수에 의존하는 대신 특정 배율 단위에 대한 최고 트래픽 프로필 및 공급업체별 처리량 수를 기반으로 배율 단위를 선택해야 합니다.
NVA 구성 프로세스
파트너들은 배포 프로세스의 일부로 NVA를 자동으로 구성하는 환경을 제공하기 위해 노력했습니다. NVA가 가상 허브로 프로비저닝되면 NVA에 필요할 수 있는 추가 구성은 NVA 파트너 포털 또는 관리 애플리케이션을 통해 수행해야 합니다. NVA에 직접 액세스할 수 없습니다.
NVA가 있는 사이트 및 연결 리소스
Virtual WAN 사이트 간 VPN 게이트웨이 구성과 달리 분기 사이트를 Virtual WAN 허브의 NVA에 연결하기 위해 사이트 리소스, 사이트 간 연결 리소스 또는 지점 및 사이트 간 연결 리소스를 만들 필요가 없습니다.
Virtual WAN 허브를 Azure 가상 네트워크에 연결하고 ExpressRoute, 사이트 간 VPN 또는 원격 사용자 VPN 연결을 연결하려면 여전히 허브-VNet 연결을 만들어야 합니다.
지원되는 지역
가상 허브의 NVA는 다음 지역에서 제공됩니다.
| 지역 | Azure 지역 |
|---|---|
| 북아메리카 | 캐나다 중부, 캐나다 동부, 미국 중부, 미국 동부, 미국 동부 2, 미국 중남부, 미국 북부, 미국 중서부, 미국 서부, 미국 서부 2 |
| 남아메리카 | 브라질 남부, 브라질 남동부 |
| 유럽 | 프랑스 중부, 프랑스 남부, 독일 북부, 독일 중서부, 북유럽, 노르웨이 동부, 노르웨이 서부, 스위스 북부, 스위스 서부, 영국 남부, 영국 서부, 서유럽, 스웨덴 중부, 이탈리아 북부 |
| 중동 | 아랍에미리트 북부, 카타르 중부, 이스라엘 중부 |
| 아시아 | 동아시아, 일본 동부, 일본 서부, 한국 중부, 한국 남부, 아시아 남동부 |
| 오스트레일리아 | 오스트레일리아 남동부, 오스트레일리아 동부, 오스트레일리아 중부, 오스트레일리아 중부 2 |
| 아프리카 | 남아프리카 북부 |
| 인도 | 인도 남부, 인도 서부, 인도 중부 |
NVA FAQ
네트워크 어플라이언스 파트너이고 허브에서 NVA를 사용하려고 합니다. 이 파트너 프로그램에 가입할 수 있나요?
아쉽게도 현재는 새 파트너 제안을 온보딩할 수 있는 기능이 없습니다. 나중에 다시 확인하세요!
Azure Marketplace에서 Virtual WAN 허브로 NVA를 배포할 수 있나요?
파트너 섹션에 나열된 파트너만 Virtual WAN 허브에 배포할 수 있습니다.
NVA 비용은 얼마인가요?
NVA 라이선스는 NVA 공급업체에서 구입해야 합니다. BYOL(사용자 라이선스 필요)은 현재 지원되는 유일한 라이선스 모델입니다. 또한 사용하는 NVA 인프라 단위와 사용하는 기타 리소스에 대해 Microsoft에서 요금을 부과합니다. 자세한 내용은 가격 책정 개념을 참조하세요.
NVA를 기본 허브에 배포할 수 있나요?
아니요. NVA를 배포하려는 경우 표준 허브를 사용해야 합니다.
NVA를 보안 허브에 배포할 수 있나요?
예. 파트너 NVA는 Azure Firewall을 사용하여 허브에 배포할 수 있습니다.
지점의 CPE 디바이스를 허브의 NVA에 연결할 수 있나요?
아니요. Barracuda CloudGen WAN은 Barracuda CPE 디바이스만 호환됩니다. 자세한 CloudGen WAN 요구 사항은 Barracuda의 CloudGen WAN 페이지를 참조하세요. Cisco의 경우 호환되는 여러 SD-WAN CPE 디바이스가 있습니다. 호환되는 CPE는 다중 클라우드를 위한 Cisco Cloud OnRamp 설명서를 참조하세요. 질문이 있는 경우 공급자에게 문의하세요.
허브의 NVA로 지원되는 라우팅 시나리오는 무엇입니까?
Virtual WAN에서 지원하는 모든 라우팅 시나리오가 허브의 NVA로 지원됩니다.
어떤 지역이 지원됩니까?
지원되는 지역은 NVA가 지원되는 지역을 참조하세요.
허브에서 내 NVA를 삭제하려면 어떻게 해야 하나요?
네트워크 가상 어플라이언스 리소스가 관리되는 애플리케이션을 통해 배포된 경우 관리되는 애플리케이션을 삭제합니다. 그러면 관리되는 리소스 그룹 및 연결된 네트워크 가상 어플라이언스 리소스가 자동으로 삭제됩니다.
라우팅 정책의 다음 홉 리소스인 NVA는 삭제할 수 없습니다. NVA를 삭제하려면 먼저 라우팅 정책을 삭제합니다.
네트워크 가상 어플라이언스 리소스가 파트너 오케스트레이션 소프트웨어를 통해 배포된 경우 파트너 설명서를 참조하여 네트워크 가상 어플라이언스를 삭제합니다.
또는 다음 Powershell 명령을 실행하여 네트워크 가상 어플라이언스를 삭제할 수 있습니다.
Remove-AzNetworkVirtualAppliance -Name <NVA name> -ResourceGroupName <resource group name>
CLI에서도 동일한 명령을 실행할 수 있습니다.
az network virtual-appliance delete --subscription <subscription name> --resource-group <resource group name> --name <Network Virtual Appliance name>
다음 단계
Virtual WAN에 대해 자세히 알아보려면 Virtual WAN 개요 문서를 참조하세요.