VPN Gateway 구성 설정 정보
VPN Gateway 연결 아키텍처는 각각 구성 가능한 설정을 포함하는 여러 리소스의 구성에 의존합니다. 이 문서의 섹션에서는 Resource Manager 배포 모델에서 생성된 가상 네트워크의 VPN 게이트웨이와 관련된 리소스 및 설정에 대해 설명합니다. VPN Gateway 토폴로지 및 디자인 문서에서 각 연결 솔루션에 대한 설명 및 토폴로지 다이어그램을 찾을 수 있습니다.
이 문서의 값은 VPN Gateway(-GatewayType Vpn을 사용하는 가상 네트워크 게이트웨이)에 특히 적용됩니다. 다음 유형의 게이트웨이에 대한 정보를 찾는 경우 다음 문서를 참조하세요.
- -GatewayType 'ExpressRoute'에 적용되는 값은 ExpressRoute에 대한 가상 네트워크 게이트웨이를 참조하세요.
- 영역 중복 게이트웨이에 대한 내용은 영역 중복 게이트웨이 정보를 참조하세요.
- 활성-활성 게이트웨이의 경우 고가용성 연결 정보를 참조하세요.
- Virtual WAN 게이트웨이에 대한 내용은 Virtual WAN 정보를 참조하세요.
게이트웨이 및 게이트웨이 유형
가상 네트워크 게이트웨이는 게이트웨이 서브넷이라고 하는 특정 서브넷에 자동으로 구성되고 배포되는 둘 이상의 Azure 관리형 VM으로 구성됩니다. 게이트웨이 VM은 라우팅 테이블을 포함하며 특정 게이트웨이 서비스를 실행합니다.
가상 네트워크 게이트웨이를 만들 때 게이트웨이 VM은 게이트웨이 서브넷(항상 GatwaySubnet)에 자동으로 배포되고 사용자가 지정한 설정으로 구성됩니다. 이 프로세스는 사용자가 선택한 게이트웨이 SKU에 따라 완료하는 데 45분 이상 걸릴 수 있습니다.
가상 네트워크 게이트웨이를 만들 때 지정하는 설정 중 하나는 게이트웨이 유형입니다. 게이트웨이 유형은 가상 네트워크 게이트웨이를 사용하는 방법과 게이트웨이가 수행하는 작업을 결정합니다. 가상 네트워크에는 두 개의 가상 네트워크 게이트웨이가 있을 수 있습니다. VPN 게이트웨이 1개와 ExpressRoute 게이트웨이 1개. 게이트웨이 유형 'Vpn'은 생성된 가상 네트워크 게이트웨이의 유형이 VPN 게이트웨이임을 지정합니다. 이렇게 하면 다른 게이트웨이 유형을 사용하는 ExpressRoute 게이트웨이와 구별됩니다.
가상 네트워크 게이트웨이를 만들 때 게이트웨이 유형이 구성에 정확한지 확인해야 합니다. -GatewayType에 사용 가능한 값은 다음과 같습니다.
- Vpn
- ExpressRoute
VPN Gateway에는 -GatewayTypeVpn이 필요합니다.
예시:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
게이트웨이 SKU 및 성능
게이트웨이 SKU, 성능, 지원되는 기능에 대한 최신 정보는 게이트웨이 SKU 정보 문서를 참조하세요.
VPN 유형
Azure 지원 VPN 게이트웨이에 대한 두 가지 VPN 유형인 정책 기반 및 경로 기반입니다. 경로 기반 VPN 게이트웨이는 정책 기반 VPN 게이트웨이와는 다른 플랫폼에 빌드됩니다. 이로 인해 다른 게이트웨이 사양이 생성됩니다.
대부분의 경우 경로 기반 VPN 게이트웨이를 만듭니다. 지금까지는 기존 게이트웨이 SKU에서는 경로 기반 게이트웨이의 IKEv1을 지원하지 않았습니다. 이제 대부분의 현재 게이트웨이 SKU에서 IKEv1 및 IKEv2 모두 지원합니다. 정책 기반 게이트웨이가 이미 있는 경우 게이트웨이를 경로 기반으로 업그레이드할 필요가 없습니다.
정책 기반 게이트웨이를 만들려면 PowerShell 또는 CLI를 사용합니다. 2023년 10월 1일 현재 Azure Portal을 통해 정책 기반 VPN Gateway를 만들 수 없으며 경로 기반 게이트웨이만 사용할 수 있습니다.
| 게이트웨이 VPN 유형 | 게이트웨이 SKU | 지원되는 IKE 버전 |
|---|---|---|
| 정책 기반 게이트웨이 | Basic | IKEv1 |
| 경로 기반 게이트웨이 | Basic | IKEv2 |
| 경로 기반 게이트웨이 | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 및 IKEv2 |
| 경로 기반 게이트웨이 | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 및 IKEv2 |
연결 유형
Resource Manager 배포 모델에서 각 구성이 작동하려면 특정 가상 네트워크 게이트웨이 연결 유형이 필요합니다. -ConnectionType 에 대해 사용 가능한 Resource Manager PowerShell 값은 다음과 같습니다.
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
다음 PowerShell 예제에서는 IPsec연결 유형이 필요한 S2S 연결을 만듭니다.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
연결 모드
연결 모드 속성은 IKEv2 연결을 사용하는 경로 기반 VPN 게이트웨이에만 적용됩니다. 연결 모드는 연결 시작 방향을 정의하고 초기 IKE 연결 설정에만 적용됩니다. 모든 당사자는 키 및 추가 메시지를 시작할 수 있습니다. InitiatorOnly는 Azure에서 연결을 시작해야 했음을 의미합니다. ResponderOnly는 온-프레미스 디바이스에서 연결을 시작해야 했음을 의미합니다. 기본 동작은 먼저 연결되는 것을 수락하고 전화를 거는 것입니다.
게이트웨이 서브넷
VPN Gateway를 만들기 전에 게이트웨이 서브넷을 만들어야 합니다. 게이트웨이 서브넷은 가상 네트워크 게이트웨이 VM 및 서비스에서 사용하는 IP 주소를 포함합니다. 가상 네트워크 게이트웨이 만들 때 게이트웨이 VM은 게이트웨이 서브넷에 배포되고 필수 VPN Gateway 설정으로 구성됩니다. 게이트웨이 서브넷에 다른 항목(예: 더 많은 VM)을 배포하지 마세요. 게이트웨이 서브넷이 제대로 작동하려면 이름을 'GatewaySubnet'으로 지정해야 합니다. 게이트웨이 서브넷 이름을 'GatewaySubnet'으로 지정하면 Azure는 이 서브넷이 가상 네트워크 게이트웨이 VM 및 서비스를 배포해야 하는 서브넷임을 알 수 있습니다.
게이트웨이 서브넷을 만드는 경우 서브넷이 포함하는 IP 주소의 수를 지정합니다. 게이트웨이 서브넷의 IP 주소는 게이트웨이 VM 및 게이트웨이 서비스에 할당됩니다. 일부 구성에는 다른 구성보다 더 많은 IP 주소가 필요합니다.
게이트웨이 서브넷 크기를 계획하는 경우 생성하려는 구성에 대한 설명서를 참조하세요. 예를 들어 ExpressRoute/VPN Gateway 공존 구성을 사용하려면 다른 대부분의 구성보다 큰 게이트웨이 서브넷이 필요합니다. 게이트웨이 서브넷을 /29(기본 SKU에만 적용 가능)로 만들 수 있지만 다른 모든 SKU에는 크기가 /27 이상인 게이트웨이 서브넷(/27, /26, /25 등)이 필요합니다. 서브넷에 향후 구성을 수용할 수 있는 충분한 IP 주소가 있도록 /27보다 큰 게이트웨이 서브넷을 만들 수 있습니다.
다음 Resource Manager PowerShell 예제에서는 이름이 GatewaySubnet인 게이트웨이 서브넷을 보여 줍니다. CIDR 표기법이 /27을 지정하는 것을 확인할 수 있으며 이는 이번에 존재하는 대부분의 구성에 대한 충분한 IP 주소를 허용합니다.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
고려 사항:
GatewaySubnet의 0.0.0.0/0 대상과 NSG를 사용하는 사용자 정의 경로는 지원되지 않습니다. 이 구성을 사용하는 게이트웨이는 생성되지 않도록 차단됩니다. 게이트웨이가 제대로 작동하려면 관리 컨트롤러에 대한 액세스 권한이 필요합니다. 게이트웨이의 가용성을 보장하려면 GatewaySubnet에서 BGP 경로 전파를 "사용"으로 설정해야 합니다. BGP 경로 전파를 사용하지 않도록 설정하면 게이트웨이가 작동하지 않습니다.
사용자 정의 경로가 게이트웨이 서브넷 범위 또는 게이트웨이 공용 IP 범위와 겹치는 경우 진단, 데이터 경로 및 제어 경로가 영향을 받을 수 있습니다.
로컬 네트워크 게이트웨이
로컬 네트워크 게이트웨이는 가상 네트워크 게이트웨이와 다릅니다. VPN 게이트웨이 사이트 간 아키텍처를 사용하는 경우 로컬 네트워크 게이트웨이는 일반적으로 온-프레미스 네트워크 및 해당 VPN 디바이스를 나타냅니다. 클래식 배포 모델에서 로컬 네트워크 게이트웨이를 로컬 사이트라고 합니다.
로컬 네트워크 게이트웨이를 구성할 때 온-프레미스 VPN 디바이스의 이름, 공용 IP 주소 또는 FQDN(정규화된 도메인 이름) 및 온-프레미스 위치에 있는 주소 접두사를 지정합니다. Azure는 네트워크 트래픽에 대한 대상 주소 접두사를 살펴보고, 로컬 네트워크 게이트웨이에 대해 지정한 구성을 참조하고, 그에 따라 패킷을 라우팅합니다. VPN 디바이스에서 BGP(Border Gateway Protocol)를 사용하는 경우 VPN 디바이스의 BGP 피어 IP 주소와 온-프레미스 네트워크의 ASN(자율 시스템 번호)을 제공합니다. VPN Gateway 연결을 사용하는 VNet-VNet 구성에 대해서도 로컬 네트워크 게이트웨이를 지정합니다.
다음 PowerShell 예제에서는 새 로컬 네트워크 게이트웨이 만듭니다.
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
로컬 네트워크 게이트웨이 설정을 수정해야 하는 경우도 있습니다. 예를 들어 주소 범위를 추가 또는 수정할 경우 또는 VPN 디바이스의 IP 주소가 변경될 때가 여기에 해당합니다. 자세한 내용은 로컬 네트워크 게이트웨이 설정 수정을 참조하세요.
REST API, PowerShell cmdlet 및 CLI
VPN Gateway 구성에 REST API, PowerShell cmdlet 또는 Azure CLI를 사용하는 경우 기술 리소스 및 특정 구문 요구 사항은 다음 페이지를 참조하세요.
| 클래식 | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| 지원되지 않음 | Azure CLI |
다음 단계
사용 가능한 연결 구성에 대한 자세한 내용은 VPN Gateway 정보 를 참조하세요.