다음을 통해 공유

시나리오: 사용자 지정 설정을 사용하여 NVA를 통해 트래픽 라우팅

  • 아티클

Azure Virtual WAN 가상 허브 라우팅을 사용하는 경우 다양한 옵션을 사용할 수 있습니다. 이 문서에서는 가상 네트워크와 분기 간의 통신을 위해 NVA(네트워크 가상 어플라이언스)를 통해 트래픽을 라우팅하고 인터넷 바인딩된 트래픽에 대해 다른 NVA를 사용하는 데 중점을 두고 있습니다. 자세한 내용은 가상 허브 라우팅 정보를 참조하세요.

참고 항목

아래 라우팅 시나리오의 경우 NVA를 포함하는 Virtual WAN 허브 및 Spoke Virtual Network가 동일한 Azure 지역에 있어야 합니다.

디자인

  • 가상 허브에 연결된 가상 네트워크용 스포크 (예: 이 문서의 뒷부분에 나오는 다이어그램의 VNet 1, VNet 2, VNet 3).
  • 사용자가 NVA를 배포하여 비 인터넷 트래픽을 검사하고 스포크에서 액세스하는 일반 서비스를 사용하는 가상 네트워크용 서비스 VNet (예: 이 문서의 뒷부분에 나오는 다이어그램의 VNet 4).
  • 사용자가 인터넷 바인딩된 트래픽을 검사하는 데 사용할 NVA를 배포한 가상 네트워크용 경계 VNet (예: 이 문서의 뒷부분에 나오는 다이어그램의 VNet 5).
  • Microsoft에서 관리하는 Virtual WAN 허브용 허브.

다음 표에는 이 시나리오에서 지원되는 연결이 요약되어 있습니다.

보낸 사람 수행할 작업 스포크 서비스 VNet 분기 인터넷
스포크 -> 직접 제출 직접 제출 서비스 VNet을 통해 경계 VNet을 통해
서비스 VNet -> 직접 제출 해당 없음 직접 제출
분기 -> 서비스 VNet을 통해 직접 제출 직접 제출

연결 매트릭스의 각 셀은 연결이 Virtual WAN을 통해 또는 NVA를 사용하는 가상 네트워크 중 하나를 통해 직접 흐르는지를 설명합니다.

다음 세부 정보를 참고하세요.

  • 스포크:
    • 스포크는 Virtual WAN 허브를 통해 직접 다른 스포크에 도달합니다.
    • 스포크는 서비스 VNet을 가리키는 정적 경로를 통해 분기에 대한 연결을 가져옵니다. 접두사가 더 구체적이고 요약을 재정의하기 때문에 스포크가 분기에서 특정 접두사를 학습하지 않습니다.
    • 스포크는 직접 VNet 피어링을 통해 경계 VNet에 인터넷 트래픽을 전송합니다.
  • 분기는 서비스 VNet을 가리키는 정적 라우팅을 통해 스포크로 이동합니다. 분기는 요약된 고정 경로를 재정의하는 가상 네트워크에서 특정 접두사를 학습하지 않습니다.
  • 서비스 VNet은 모든 가상 네트워크 및 모든 분기에서 연결할 수 있어야 하는 공유 서비스 VNet과 비슷합니다.
  • 경계 VNet은 지원하는 트래픽만 직접 가상 네트워크 피어링을 통해 전달되므로 Virtual WAN을 통해 연결할 필요가 없습니다. 그러나 구성을 간소화하기 위해 경계 VNet과 동일한 연결 모델을 사용합니다.

3개의 경로 테이블로 변환되는 세 가지 고유한 연결 패턴이 있습니다. 서로 다른 가상 네트워크에 대한 연결은 다음과 같습니다.

  • 스포크:
    • 연결된 경로 테이블: RT_V2B
    • 경로 테이블로 전파: RT_V2BRT_SHARED
  • NVA Vnet(서비스 VNet 및 DMZ VNet):
    • 연결된 경로 테이블: RT_SHARED
    • 경로 테이블로 전파: RT_SHARED
  • 분기:
    • 연결된 경로 테이블: Default
    • 경로 테이블로 전파: RT_SHAREDDefault

참고 항목

스포크 VNet이 기본 레이블에 전파되지 않는지 확인하세요. 이렇게 하면 분기에서 스포크 VNet으로의 트래픽이 NVA로 전달됩니다.

이러한 고정 경로는 가상 네트워크 및 분기를 통해 주고받는 트래픽이 서비스 VNet(VNet 4)에서 NVA를 통과하도록 합니다.

설명 경로 테이블 고정 경로
분기 RT_V2B 10.2.0.0/16 -> vnet4conn
NVA 스포크 기본값 10.1.0.0/16 -> vnet4conn

이제 Virtual WAN을 사용하여 패킷을 보낼 올바른 연결을 선택할 수 있습니다. 또한 Virtual WAN을 사용하여 해당 패킷을 받을 때 수행할 올바른 작업을 선택해야 합니다. 다음과 같이 이에 대헤 연결 경로 테이블을 사용합니다.

설명 Connection 고정 경로
VNet2Branch vnet4conn 10.2.0.0/16 -> 10.4.0.5
Branch2VNet vnet4conn 10.1.0.0/16 -> 10.4.0.5

자세한 내용은 가상 허브 라우팅 정보를 참조하세요.

아키텍처

다음 다이어그램에서는 이 문서의 앞부분에서 설명한 아키텍처를 보여 줍니다.

다이어그램에는 허브가 한 개(허브 1) 있습니다.

  • 허브 1은 NVA VNets VNet 4VNet 5에 직접 연결됩니다.

  • Vnet 1, 2, 3 및 분기 사이의 트래픽은 VNet 4 NVA 10.4.0.5를 통해 이동할 것으로 예상됩니다.

  • VNet 1, 2, 3의 모든 인터넷 바인딩된 트래픽은 VNet 5 NVA 10.5.0.5를 통해 이동할 것으로 예상됩니다.

Diagram of network architecture.

워크플로

Diagram of workflow.

NVA를 통해 라우팅을 설정하려면 다음 단계를 고려하세요.

  1. 인터넷 바인딩된 트래픽이 VNet 5를 통해 이동하려면 VNet 1, 2, 3을 가상 네트워크 피어링을 통해 VNet 5에 직접 연결해야 합니다. 또한 0.0.0.0/0 및 다음 홉 10.5.0.5에 대한 가상 네트워크에서 사용자 정의 경로를 설정해야 합니다.

    VNet 1, 2, 3을 VNet 5에 연결하지 않고 대신 VNet 4에서 NVA를 사용하여 분기(온-프레미스 VPN 또는 ExpressRoute 연결)에서 0.0.0.0/0 트래픽을 라우팅하는 경우 대체 워크플로로 이동합니다.

    그러나 VNet 간 트래픽이 NVA를 통해 전송되도록 하려면 가상 허브에서 VNet 1, 2, 3의 연결을 끊고 연결하거나 NVA 스포크 VNet4 위에 스택해야 합니다. Virtual WAN에서 VNet 간 트래픽은 Virtual WAN 허브 또는 Virtual WAN 허브의 Azure Firewall(보안 허브)을 통해 전송됩니다. VNet이 VNet 피어링을 사용하여 직접 피어링하면 가상 허브를 통해 전송되는 것을 직접 무시할 수 있습니다.

  2. Azure Portal에서 가상 허브로 이동하여 RT_Shared라는 사용자 지정 경로 테이블을 만듭니다. 이 테이블은 모든 가상 네트워크 및 분기 연결의 전파를 통해 경로를 학습합니다. 다음 다이어그램에서 이러한 빈 테이블을 확인할 수 있습니다.

    • 경로: 정적 경로를 추가하지 않아도 됩니다.

    • 연결: VNet 4 및 5를 선택합니다. 즉, 이러한 가상 네트워크의 연결이 경로 테이블 RT_Shared에 연결됩니다.

    • 전파: 모든 분기 및 가상 네트워크 연결을 통해 해당 경로가 이 경로 테이블에 동적으로 전파되도록 하려고 하므로 분기 및 모든 가상 네트워크를 선택합니다.

  3. VNet 1, 2, 3에서 분기로 트래픽을 전송하는 RT_V2B라는 사용자 지정 경로 테이블을 만듭니다.

    • 경로: 다음 홉을 VNet 4 연결로 사용하여 분기에 대해 집계된 정적 경로 항목을 추가합니다. VNet 4의 연결에서 분기 접두사에 대한 정적 경로를 구성합니다. VNet 4에서 NVA의 특정 IP로 다음 홉을 나타냅니다.

    • 연결: VNet 1, 2, 3을 모두 선택합니다. 즉, VNet 연결 1, 2, 3이 이 경로 테이블에 연결되고 이 경로 테이블에서 경로(전파를 통해 정적 및 동적)를 학습할 수 있습니다.

    • 전파: 연결은 경로를 경로 테이블에 전파합니다. VNet 1, 2, 3을 선택하면 VNet 1, 2, 3의 경로를 이 경로 테이블에 전파할 수 있습니다. 분기 가상 네트워크 트래픽이 VNet 4에서 NVA를 통해 이동하므로 분기 연결에서 RT_V2B로 경로를 전파할 필요가 없습니다.

  4. 기본 경로 테이블 DefaultRouteTable을 편집합니다.

    모든 VPN, Azure ExpressRoute, 사용자 VPN 연결은 기본 경로 테이블에 연결됩니다. 모든 VPN, ExpressRoute, 사용자 VPN 연결은 경로를 동일한 경로 테이블 집합으로 전파합니다.

    • 경로: 다음 홉을 VNet 4 연결로 사용하여 VNet 1, 2, 3에 대해 집계된 정적 경로 항목을 추가합니다. VNet 4의 연결에서 VNet 1, 2, 3의 집계된 접두사에 대한 정적 경로를 구성합니다. VNet 4에서 NVA의 특정 IP로 다음 홉을 나타냅니다.

    • 연결: 분기(VPN/ER/P2S)에 대한 옵션이 선택되어 있는지 확인하여 온-프레미스 분기 연결이 기본 경로 테이블에 연결되어 있는지 확인합니다.

    • 전파 위치: 분기(VPN/ER/P2S)에 대한 옵션이 선택되어 있는지 확인하여 온-프레미스 연결이 경로를 기본 경로 테이블로 전파하는지 확인합니다.

대체 워크플로

이 워크플로에서는 VNet 1, 2, 3을 VNet 5에 연결하지 않습니다. 대신, VNet 4에서 NVA를 사용하여 분기(온-프레미스 VPN 또는 ExpressRoute 연결)에서 0.0.0.0/0 트래픽을 라우팅합니다.

Diagram of alternate workflow.

NVA를 통해 라우팅을 설정하려면 다음 단계를 고려하세요.

  1. Azure Portal에서 가상 허브로 이동하여 NVA 10.4.0.5를 통해 트래픽을 전송하는 RT_NVA라는 사용자 지정 경로 테이블을 만듭니다.

    • 경로: 작업이 필요하지 않습니다.

    • 연결:VNet4를 선택합니다. 즉, VNet 연결 4가 이 경로 테이블에 연결되고 이 경로 테이블에서 경로(전파를 통해 정적 및 동적)를 학습할 수 있습니다.

    • 전파: 연결은 경로를 경로 테이블에 전파합니다. VNet 1, 2, 3을 선택하면 VNet 1, 2, 3의 경로를 이 경로 테이블에 전파할 수 있습니다. 분기(VPN/ER/P2S)를 선택하면 분기/온-프레미스 연결에서 이 경로 테이블로 경로를 전파할 수 있습니다. 모든 VPN, ExpressRoute, 사용자 VPN 연결은 경로를 동일한 경로 테이블 집합으로 전파합니다.

  2. VNet4 NVA를 통해 VNet 1, 2, 3에서 분기로 또는 인터넷(0.0.0.0/0)으로 트래픽을 전송하는 RT_VNET이라는 사용자 지정 경로 테이블을 만듭니다. VNet 간 트래픽은 VNet 4의 NVA를 통하지 않고 직접 전송됩니다. 트래픽이 NVA를 통해 이동하게 하려면 VNet 1, 2, 3의 연결을 끊고 VNet 피어링을 사용하여 VNet4에 연결합니다.

    • 경로:

      • 다음 홉을 VNet 1, 2, 3에서 분기에 전송하는 트래픽에 대한 VNet 4 연결로 사용하여 집계 경로 ‘10.2.0.0/16’을 추가합니다. VNet4 연결에서 ‘10.2.0.0/16’의 경로를 구성하고 VNet 4에서 NVA의 특정 IP로 사용할 다음 홉을 나타냅니다.

      • 다음 홉을 VNet 4 연결로 사용하여 경로 ‘0.0.0.0/0’을 추가합니다. ‘0.0.0.0/0’은 인터넷으로 트래픽을 보내는 것을 의미합니다. VNet 또는 분기와 관련된 특정 주소 접두사를 의미하지는 않습니다. VNet4 연결에서 ‘0.0.0.0/0’의 경로를 구성하고 VNet 4에서 NVA의 특정 IP로 사용할 다음 홉을 나타냅니다.

    • 연결: VNet 1, 2, 3을 모두 선택합니다. 즉, VNet 연결 1, 2, 3이 이 경로 테이블에 연결되고 이 경로 테이블에서 경로(전파를 통해 정적 및 동적)를 학습할 수 있습니다.

    • 전파: 연결은 경로를 경로 테이블에 전파합니다. VNet 1, 2, 3을 선택하면 VNet 1, 2, 3의 경로를 이 경로 테이블에 전파할 수 있습니다. 분기(VPN/ER/P2S)에 대한 옵션을 선택하지 않았는지 확인합니다. 이렇게 하면 온-프레미스 연결이 VNet 1, 2, 3에 직접 전달되지 않습니다.

  3. 기본 경로 테이블 DefaultRouteTable을 편집합니다.

    모든 VPN, Azure ExpressRoute, 사용자 VPN 연결은 기본 경로 테이블에 연결됩니다. 모든 VPN, ExpressRoute, 사용자 VPN 연결은 경로를 동일한 경로 테이블 집합으로 전파합니다.

    • 경로:

      • 다음 홉을 VNet 4 연결로 사용하여 VNet 1, 2, 3에 대해 집계된 경로 ‘10.1.0.0/16’을 추가합니다.

      • 다음 홉을 VNet 4 연결로 사용하여 경로 ‘0.0.0.0/0’을 추가합니다. ‘0.0.0.0/0’은 인터넷으로 트래픽을 보내는 것을 의미합니다. VNet 또는 분기와 관련된 특정 주소 접두사를 의미하지는 않습니다. VNet4 연결에 대한 이전 단계에서 다음 홉을 VNet 4에서 NVA의 특정 IP로 사용하여 이미 ‘0.0.0.0/0’에 대한 경로를 구성했습니다.

    • 연결: 분기(VPN/ER/P2S)에 대한 옵션을 선택했는지 확인합니다. 이렇게 하면 온-프레미스 분기 연결이 기본 경로 테이블에 연결됩니다. 모든 VPN, Azure ExpressRoute, 사용자 VPN 연결은 기본 경로 테이블에만 연결됩니다.

    • 전파 위치: 분기(VPN/ER/P2S)에 대한 옵션을 선택했는지 확인합니다. 이렇게 하면 온-프레미스 연결이 경로를 기본 경로 테이블에 전파합니다. 모든 VPN, ExpressRoute, 사용자 VPN 연결은 경로를 ‘동일한 경로 테이블 집합’으로 전파합니다.

고려 사항

  • 포털 사용자가 연결(VPN/ER/P2S/VNet)에 '기본 경로로 전파'를 사용하도록 설정해야 0.0.0.0/0 경로가 적용됩니다.

  • PS/CLI/REST 사용자가 'enableinternetsecurity' 플래그를 true로 설정해야 0.0.0.0/0 경로가 적용됩니다.

  • 다음 홉 IP를 사용하는 경로 중 하나가 공용 IP 주소 또는 0.0.0.0/0(인터넷)으로 표시되는 '경우' 가상 네트워크 연결은 스포크 VNet의 '동일한' 네트워크 가상 어플라이언스에 대한 '여러/고유한' 다음 홉 IP를 지원하지 않습니다.

  • 0.0.0.0/0이 가상 네트워크 연결에서 정적 경로로 구성된 경우 해당 경로는 스포크 자체 내의 리소스를 포함하여 모든 트래픽에 적용됩니다. 즉, 모든 트래픽이 정적 경로(NVA 개인 IP)의 다음 홉 IP 주소로 전달됩니다. 따라서 다음 홉 NVA IP 주소가 스포크 가상 네트워크 연결에 구성된 0.0.0.0/0 경로를 통한 배포에서 NVA와 동일한 Virtual Network 워크로드에 직접 액세스하려면(즉, 트래픽이 NVA를 통과하지 않도록) 스포크 가상 네트워크 연결에 /32 경로를 지정합니다. 예를 들어, 10.1.3.1에 직접 액세스하려면 스포크 가상 네트워크 연결에서 10.1.3.1/32 다음 홉 10.1.3.1을 지정합니다.

  • 라우팅을 단순화하고 Virtual WAN 허브 경로 테이블의 변경 내용을 줄이려면 "Virtual WAN 허브와 새로운 BGP 피어링" 옵션을 사용하는 것이 좋습니다.

다음 단계

  • Virtual WAN에 대한 자세한 내용은 FAQ를 참조하세요.
  • 가상 허브 라우팅에 대한 자세한 내용은 가상 허브 라우팅 정보를 참조하세요.