Azure Virtual WAN으로 마이그레이션
Azure Virtual WAN을 사용하면 회사에서 Microsoft 글로벌 네트워크의 규모를 활용하기 위해 글로벌 연결을 간소화할 수 있습니다. 이 문서에서는 기존의 고객 관리형 허브 및 스포크 토폴로지에서 Microsoft 관리형 Virtual WAN 허브를 활용하는 설계로 마이그레이션하려는 회사를 위해 기술 세부 정보를 제공합니다.
클라우드 중심의 최신 글로벌 네트워크를 채택하는 엔터프라이즈에 제공되는 Azure Virtual WAN의 혜택에 대한 자세한 내용은 글로벌 전송 네트워크 아키텍처 및 Virtual WAN을 참조하세요.
그림: Azure Virtual WAN
Azure 허브 및 스포크 연결 모델은 간단하고 스케일링 가능한 클라우드 네트워크를 빌드하기 위해 Azure 네트워킹의 기본 전이적 라우팅 동작을 활용하려는 수천 명의 고객이 채택한 모델입니다. Azure Virtual WAN은 해당 개념을 기반으로 하며, 온-프레미스 위치와 Azure 간 글로벌 연결 토폴로지를 허용할 뿐만 아니라 고객이 기존 글로벌 네트워크를 확장하기 위해 Microsoft 네트워크의 규모를 활용할 수 있는 새로운 기능을 소개합니다.
이 문서에서는 기존 고객 관리형 허브 및 스포크 환경을 Azure Virtual WAN 기반 토폴로지로 마이그레이션하는 방법을 보여 줍니다.
시나리오
Contoso는 유럽과 아시아 지역에 지점이 있는 글로벌 금융 조직입니다. 기존 애플리케이션을 온-프레미스 데이터 센터에서 Azure로 이동할 계획이며 하이브리드 연결을 위한 지역 허브 가상 네트워크를 포함하여 고객 관리형 허브 및 스포크 아키텍처를 기반으로 하는 기본 설계를 구축했습니다. 클라우드 기반 기술로 전환하는 과정의 일환으로 네트워크 팀은 비즈니스 성장에 맞게 연결을 최적화해야 합니다.
다음 그림은 여러 Azure 지역에 대한 연결을 포함하여 기존 글로벌 네트워크를 개괄적으로 보여 줍니다.
그림: Contoso 기존 네트워크 토폴로지
기존 네트워크 토폴로지에서 이해할 수 있는 사항은 다음과 같습니다.
허브 및 스포크 토폴로지는 일반적인 프라이빗 WAN(광역 네트워크)에 다시 연결하기 위한 ExpressRoute 회로를 포함하여 여러 지역에서 사용됩니다.
일부 사이트에는 클라우드 내에서 호스트된 애플리케이션에 도달하기 위해 Azure에 직접 연결하는 VPN 터널도 있습니다.
요구 사항
네트워킹 팀은 클라우드로의 Contoso 마이그레이션을 지원할 수 있는 글로벌 네트워크 모델을 제공했으며, 비용, 규모 및 성능 영역에서 최적화해야 합니다. 요약하면, 다음 요구 사항이 충족되어야 합니다.
- 클라우드 호스팅 애플리케이션에 최적화된 경로를 HQ(본사)와 지점 모두에 제공합니다.
- 다음 연결 경로를 보존하면서 기존 온-프레미스 DC(데이터 센터)를 통한 VPN 종료를 제거합니다.
- 분기 및 VNet 간: VPN 연결 사무소에서 로컬 Azure 지역의 클라우드로 마이그레이션된 애플리케이션에 액세스할 수 있어야 합니다.
- 분기 및 허브 간-허브 및 VNet 간: VPN 연결 사무소에서 원격 Azure 지역의 클라우드로 마이그레이션된 애플리케이션에 액세스할 수 있어야 합니다.
- 분기 간 지역 VPN 연결 사무소에서 서로 간에 통신하고, ExpressRoute 연결 HQ/DC 사이트와 통신할 수 있어야 합니다.
- 지점 및 허브 간-허브 및 지점 간: 전역적으로 분리된 VPN 연결 사무소에서 서로 간에 통신하고, 모든 ExpressRoute 연결 HQ/DC 사이트와 통신할 수 있어야 합니다.
- 지점 및 인터넷 간: 연결된 사이트에서 인터넷과 통신할 수 있어야 합니다. 이 트래픽을 필터링하고 로깅해야 합니다.
- VNet 간: 동일한 지역의 스포크 가상 네트워크에서 서로 간에 통신할 수 있어야 합니다.
- VNet 및 허브 간-허브 및 VNet 간: 다른 지역의 스포크 가상 네트워크에서 서로 간에 통신할 수 있어야 합니다.
- Contoso 로밍 사용자(노트북 및 휴대폰)가 회사 네트워크를 사용하지 않을 때 회사 리소스에 액세스할 수 있는 기능을 제공합니다.
Azure Virtual WAN 아키텍처
다음 그림은 이전 섹션에서 자세히 설명한 요구 사항을 충족하기 위해 Azure Virtual WAN을 사용하는 업데이트된 대상 토폴로지를 개괄적으로 보여 줍니다.
그림: Azure Virtual WAN 아키텍처
요약:
- 유럽의 HQ는 ExpressRoute 연결 상태를 유지하고, 유럽 온-프레미스 DC는 Azure로 완전히 마이그레이션되어 현재 서비스 해제되었습니다.
- 아시아 DC 및 HQ는 프라이빗 WAN 연결 상태를 유지합니다. Azure Virtual WAN은 이제 로컬 이동 통신 사업자 네트워크를 보강하고 글로벌 연결을 제공하는 데 사용됩니다.
- Azure Virtual WAN 허브는 서유럽 및 동남 아시아 Azure 지역에 모두 배포되어 ExpressRoute 및 VPN 연결 디바이스를 위한 연결 허브를 제공합니다.
- 허브는 글로벌 메시 네트워크에 대한 OpenVPN 연결을 사용하여 여러 클라이언트 유형에서 로밍 사용자에게 VPN 종료도 제공하므로, Azure로 마이그레이션된 애플리케이션뿐만 아니라 온-프레미스에 남아 있는 모든 리소스에도 액세스할 수 있습니다.
- Azure Virtual WAN에서 가상 네트워크 내의 리소스에 대한 인터넷 연결을 제공합니다.
Azure Virtual WAN에서 원격 사이트에 대한 인터넷 연결도 제공합니다. Microsoft 365와 같은 SaaS 서비스에 대한 액세스를 최적화하기 위해 파트너 통합을 통해 로컬 인터넷 분리가 지원됩니다.
Virtual WAN으로 마이그레이션
이 섹션에서는 Azure Virtual WAN으로 마이그레이션하는 다양한 단계를 보여 줍니다.
1단계: 단일 지역 고객 관리형 허브 및 스포크
다음 그림은 Azure Virtual WAN을 출시하기 전의 Contoso에 대한 단일 지역 토폴로지를 보여 줍니다.
그림 1: 단일 지역 수동 허브 및 스포크
허브 및 스포크 방식에 따라 고객 관리형 허브 가상 네트워크에는 다음과 같은 몇 가지 기능 블록이 포함됩니다.
- 공유 서비스(여러 스포크에 필요한 공통 함수). 예: Contoso는 IaaS(서비스 제공 인프라) 가상 머신에서 Windows Server 도메인 컨트롤러를 사용합니다.
- IP/라우팅 방화벽 서비스는 타사 네트워크 가상 어플라이언스에서 제공하며, 스포크-스포크 계층 3 IP 라우팅이 가능합니다.
- 인터넷 리소스에 대해 필터링된 아웃바운드 액세스를 위해 가상 머신에서 실행되는 인바운드 HTTPS 요청 및 타사 프록시 서비스에 대한 Azure Application Gateway를 포함한 인터넷 수신/송신 서비스입니다.
- 온-프레미스 네트워크에 연결하기 위한 ExpressRoute 및 VPN 가상 네트워크 게이트웨이
2단계: Virtual WAN 허브 배포
각 지역에 Virtual WAN 허브를 배포합니다. 다음 문서에 설명된 대로 VPN 및 ExpressRoute 기능을 사용하여 Virtual WAN 허브를 설정합니다.
참고 항목
이 문서에 표시된 트래픽 경로 중 일부를 사용하도록 설정하려면 Azure Virtual WAN에서 표준 SKU를 사용해야 합니다.
그림 2: 고객 관리형 허브 및 스포크에서 Virtual WAN으로 마이그레이션
3단계: 원격 사이트(ExpressRoute 및 VPN)를 Virtual WAN에 연결
Virtual WAN 허브를 기존 ExpressRoute 회로에 연결하고, 인터넷을 통한 사이트 간 VPN을 원격 분기로 설정합니다.
그림 3: 고객 관리형 허브 및 스포크에서 Virtual WAN으로 마이그레이션
이 시점에서 온-프레미스 네트워크 장비는 Virtual WAN 관리형 허브 VNet에 할당된 IP 주소 공간을 반영하는 경로를 받기 시작합니다. 이 단계에서 원격 VPN 연결 분기에는 스포크 가상 네트워크의 기존 애플리케이션에 대한 두 가지 경로가 표시됩니다. 해당 디바이스는 전환 단계에서 대칭 라우팅을 보장하기 위해 고객 관리형 허브에 대한 터널을 계속 사용하도록 구성해야 합니다.
4단계: Virtual WAN을 통한 하이브리드 연결 테스트
관리형 Virtual WAN 허브를 프로덕션 연결에 사용하기 전에 테스트 스포크 가상 네트워크 및 Virtual WAN VNet 연결을 설정하는 것이 좋습니다. 다음 단계를 계속하기 전에 ExpressRoute 및 사이트 간 VPN을 통해 이 테스트 환경에 대한 연결이 작동하는지 확인합니다.
그림 4: 고객 관리형 허브 및 스포크에서 Virtual WAN으로 마이그레이션
이 단계에서는 원래 고객 관리형 허브 가상 네트워크와 새 Virtual WAN 허브가 모두 동일한 ExpressRoute 회로에 연결되어 있다는 것을 인식하는 것이 중요합니다. 이로 인해 두 환경의 스포크가 통신할 수 있도록 사용할 수 있는 트래픽 경로가 있습니다. 예를 들어 고객 관리형 허브 가상 네트워크에 연결된 스포크의 트래픽은 새 Virtual WAN 허브에 대한 VNet 연결을 통해 연결된 스포크에 연결하기 위해 ExpressRoute 회로에 사용되는 MSEE 디바이스를 트래버스합니다. 이 기능을 통해 5단계에서 스포크를 단계별로 마이그레이션할 수 있습니다.
5단계: Virtual WAN 허브로의 전환 연결
그림 5: 고객 관리형 허브 및 스포크에서 Virtual WAN으로 마이그레이션
a. 스포크 가상 네트워크에서 이전 고객 관리형 허브로의 기존 피어링 연결을 삭제합니다. a-c 단계가 완료될 때까지는 스포크 가상 네트워크의 애플리케이션에 액세스할 수 없습니다.
b. VNet 연결을 통해 스포크 가상 네트워크를 Virtual WAN 허브에 연결합니다.
c. 스포크-스포크 통신을 위해 이전에 스포크 가상 네트워크 내에서 사용된 모든 UDR(사용자 정의 경로)을 제거합니다. 이 경로는 이제 Virtual WAN 허브 내에서 사용할 수 있는 동적 라우팅을 통해 사용하도록 설정됩니다.
d. 다음 단계(e)를 허용하기 위해 이제 고객 관리형 허브의 기존 ExpressRoute 및 VPN Gateway가 해제됩니다.
e. 새 VNet 연결을 통해 이전 고객 관리형 허브(허브 가상 네트워크)를 Virtual WAN 허브에 연결합니다.
6단계: 공유 서비스 스포크가 된 이전 허브
이제 Virtual WAN 허브가 새 토폴로지의 중앙 지점이 되도록 Azure 네트워크를 다시 설계했습니다.
그림 6: 고객 관리형 허브 및 스포크에서 Virtual WAN으로 마이그레이션
Virtual WAN 허브는 관리형 엔터티이며 가상 머신과 같은 사용자 지정 리소스를 배포할 수 없으므로 이제 공유 서비스 블록이 스포크 가상 네트워크로 존재하고 Azure Application Gateway 또는 가상화된 네트워크 어플라이언스를 통한 인터넷 수신과 같은 기능을 호스트합니다. 이제 공유 서비스 환경과 백 엔드 가상 머신 간의 트래픽이 Virtual WAN 관리형 허브를 통과합니다.
7단계: Virtual WAN을 완전히 활용하도록 온-프레미스 연결 최적화
이 단계에서는 Contoso에서 대부분의 비즈니스 애플리케이션을 Microsoft Cloud로 마이그레이션했으며, 몇 가지 레거시 애플리케이션만 온-프레미스 DC 내에 남아 있습니다.
그림 7: 고객 관리형 허브 및 스포크에서 Virtual WAN으로 마이그레이션
Azure Virtual WAN의 모든 기능을 활용하기 위해 Contoso는 레거시 온-프레미스 VPN 연결의 서비스를 해제하도록 결정합니다. HQ 또는 DC 네트워크에 계속 액세스하는 모든 분기는 Azure Virtual WAN의 기본 제공 전송 라우팅을 사용하여 Microsoft 글로벌 네트워크를 통과할 수 있습니다.
참고 항목
Microsoft 백본을 활용하여 ExpressRoute 간 전송을 제공하려는 고객의 경우 ExpressRoute Global Reach가 필요합니다(그림 7에는 표시되지 않음).
최종 상태 아키텍처 및 트래픽 경로
그림: 이중 지역 Virtual WAN
이 섹션에서는 몇 가지 트래픽 흐름의 예를 살펴보고 이 토폴로지에서 원래의 요구 사항을 충족시키는 방법에 대해 간략히 설명합니다.
경로 1
경로 1은 아시아의 S2S VPN으로 연결된 분기에서 동남 아시아 지역의 Azure VNet으로 진행하는 트래픽 흐름을 보여 줍니다.
트래픽은 다음과 같이 라우팅됩니다.
아시아 분기가 탄력적 S2S BGP 사용 터널을 통해 동남 아시아 Virtual WAN 허브에 연결됩니다.
아시아 Virtual WAN 허브에서 트래픽을 로컬로 연결된 VNet으로 라우팅합니다.
경로 2
경로 2는 ExpressRoute로 연결된 유럽 HQ에서 동남 아시아 지역의 Azure VNet으로 진행하는 트래픽 흐름을 보여 줍니다.
트래픽은 다음과 같이 라우팅됩니다.
유럽 HQ가 ExpressRoute 회로를 통해 서유럽 Virtual WAN 허브에 연결됩니다.
Virtual WAN 허브-허브 글로벌 연결을 통해 트래픽을 원격 지역에 연결된 VNet으로 전송할 수 있습니다.
경로 3
경로 3은 개인 WAN으로 연결된 아시아 온-프레미스 DC에서 유럽 S2S로 연결된 분기로 진행하는 트래픽 흐름을 보여 줍니다.
트래픽은 다음과 같이 라우팅됩니다.
아시아 DC가 로컬 프라이빗 WAN 이동 통신 사업자에 연결됩니다.
프라이빗 WAN에서 로컬로 종료되는 ExpressRoute 회로가 동남 아시아 Virtual WAN 허브에 연결됩니다.
Virtual WAN 허브 간 글로벌 연결을 통해 트래픽을 전송할 수 있습니다.
경로 4
경로 4는 동남 아시아 지역의 Azure VNet에서 서유럽 지역의 Azure VNet으로 진행하는 트래픽 흐름을 보여 줍니다.
트래픽은 다음과 같이 라우팅됩니다.
- Virtual WAN 허브-허브 글로벌 연결을 통해 추가적인 사용자 구성 없이 연결된 모든 Azure VNet을 기본적으로 통과할 수 있습니다.
경로 5
경로 5는 로밍 VPN(P2S) 사용자에게서 서유럽 지역의 Azure VNet으로 진행하는 트래픽 흐름을 보여 줍니다.
트래픽은 다음과 같이 라우팅됩니다.
노트북 및 모바일 디바이스 사용자가 OpenVPN 클라이언트를 사용하여 서유럽의 P2S VPN 게이트웨이에 투명하게 연결합니다.
서유럽 Virtual WAN 허브에서 트래픽을 로컬로 연결된 VNet으로 라우팅합니다.
Azure Firewall을 통한 보안 및 정책 제어
Contoso는 이제 이 문서의 앞부분에서 설명한 요구 사항에 따라 모든 분기와 VNet 간의 연결을 확인했습니다. 보안 제어 및 네트워크 격리에 대한 요구 사항을 충족하려면 허브 네트워크를 통해 트래픽을 계속 분리하고 로깅해야 합니다. 이전에는 NVA(네트워크 가상 어플라이언스)에서 이 기능을 수행했습니다. 또한 Contoso는 기존 프록시 서비스를 해제하고 네이티브 Azure 서비스를 아웃바운드 인터넷 필터링에 활용하려고 합니다.
그림: Virtual WAN의 Azure Firewall(보안 가상 허브)
Azure Firewall을 Virtual WAN 허브에 도입하여 통합된 정책 제어 지점을 사용하도록 설정하려면 다음과 같은 고급 단계가 필요합니다. 이 프로세스 및 보안 가상 허브의 개념에 대한 자세한 내용은 Azure Firewall Manager를 참조하세요.
- Azure Firewall 정책을 만듭니다.
- 방화벽 정책을 Azure Virtual WAN 허브에 연결합니다. 이 단계를 수행하면 기존 Virtual WAN 허브가 보안 가상 허브로 작동하고 필요한 Azure Firewall 리소스를 배포할 수 있습니다.
참고 항목
지역 간 트래픽을 포함하여 보안 가상 허브 사용과 관련된 제약 조건이 있습니다. 자세한 내용은 Firewall Manager - 알려진 이슈를 참조하세요.
다음 경로는 Azure 보안 가상 허브를 통해 사용할 수 있는 연결 경로를 보여 줍니다.
경로 6
경로 6은 동일한 지역 내의 VNet 간 보안 트래픽 흐름을 보여 줍니다.
트래픽은 다음과 같이 라우팅됩니다.
동일한 보안 가상 허브에 연결된 가상 네트워크에서 이제 Azure Firewall을 통해 트래픽을 라우팅합니다.
Azure Firewall에서 정책을 이러한 흐름에 적용할 수 있습니다.
경로 7
경로 7은 Azure VNet에서 인터넷 또는 타사 보안 서비스로 진행하는 트래픽 흐름을 보여 줍니다.
트래픽은 다음과 같이 라우팅됩니다.
보안 가상 허브에 연결된 Virtual Network에서 보안 허브를 인터넷 액세스의 중앙 지점으로 사용하여 트래픽을 인터넷의 퍼블릭 대상으로 보낼 수 있습니다.
이 트래픽은 Azure Firewall FQDN 규칙을 사용하여 로컬로 필터링하거나 검사를 위해 타사 보안 서비스로 보낼 수 있습니다.
경로 8
경로 8은 분기에서 인터넷 또는 타사 보안 서비스로 진행하는 트래픽 흐름을 보여 줍니다.
트래픽은 다음과 같이 라우팅됩니다.
보안 가상 허브에 연결된 분기에서 보안 허브를 인터넷 액세스의 중앙 지점으로 사용하여 트래픽을 인터넷의 퍼블릭 대상으로 보낼 수 있습니다.
이 트래픽은 Azure Firewall FQDN 규칙을 사용하여 로컬로 필터링하거나 검사를 위해 타사 보안 서비스로 보낼 수 있습니다.
다음 단계
- Azure Virtual WAN에 대해 자세히 알아봅니다.
- Azure NetApp Files용 Virtual WAN 구성