다음을 통해 공유


VPN Gateway 구성 설정 정보

VPN Gateway 연결 아키텍처는 각각 구성 가능한 설정을 포함하는 여러 리소스의 구성에 의존합니다. 이 문서의 섹션에서는 가상 네트워크의 VPN 게이트웨이와 관련된 리소스와 설정을 설명합니다. VPN Gateway 토폴로지 및 디자인 문서에서 각 연결 솔루션에 대한 설명과 토폴로지 다이어그램을 찾을 수 있습니다.

이 문서의 값은 특히 VPN Gateway(-GatewayType Vpn을 사용하는 가상 네트워크 게이트웨이)에 적용됩니다. 다음 형식의 게이트웨이에 대한 정보를 찾고 있다면 다음 문서를 참조하세요.

게이트웨이 및 게이트웨이 유형

가상 네트워크 게이트웨이는 자동으로 구성되며 사용자가 만드는 게이트웨이 서브넷이라는 특정 서브넷에 배포되는 둘 이상의 Azure 관리 VM으로 구성됩니다. 게이트웨이 VM은 라우팅 테이블을 포함하며 특정 게이트웨이 서비스를 실행합니다. 가상 네트워크 게이트웨이를 만들면 게이트웨이 VM이 게이트웨이 서브넷(항상 이름이 GatewaySubnet으로 지정됨)에 자동으로 배포되고 지정한 설정으로 구성됩니다. 이 프로세스는 사용자가 선택한 게이트웨이 SKU에 따라 완료하는 데 45분 이상 걸릴 수 있습니다.

가상 네트워크 게이트웨이를 만들 때 지정하는 설정 중 하나는 게이트웨이 유형입니다. 게이트웨이 유형에 따라 가상 네트워크 게이트웨이가 사용되는 방식과 게이트웨이가 수행하는 작업이 결정됩니다. 가상 네트워크에는 두 개의 가상 네트워크 게이트웨이(하나의 VPN Gateway와 하나의 ExpressRoute 게이트웨이)가 있을 수 있습니다. 게이트웨이 유형 'Vpn'은 생성된 가상 네트워크 게이트웨이의 유형이 VPN 게이트웨이임을 지정합니다. 이를 통해 ExpressRoute 게이트웨이와 구분합니다.

게이트웨이 SKU 및 성능

게이트웨이 SKU, 성능, 지원되는 기능에 대한 최신 정보는 게이트웨이 SKU 정보 문서를 참조하세요.

VPN 유형

Azure는 VPN 게이트웨이에 정책 기반경로 기반이라는 두 가지 유형의 VPN을 지원합니다. 경로 기반 VPN Gateway는 정책 기반 VPN Gateway와 다른 플랫폼에 빌드됩니다. 이로 인해 게이트웨이 사양이 달라집니다. 다음 표는 각 VPN 유형을 지원하는 게이트웨이 SKU와 관련하여 지원되는 IKE 버전을 보여줍니다.

게이트웨이 VPN 유형 게이트웨이 SKU 지원되는 IKE 버전
정책 기반 게이트웨이 Basic IKEv1
경로 기반 게이트웨이 Basic IKEv2
경로 기반 게이트웨이 VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 및 IKEv2
경로 기반 게이트웨이 VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 및 IKEv2

대부분의 경우 경로 기반 VPN Gateway를 만듭니다. 지금까지는 기존 게이트웨이 SKU에서는 경로 기반 게이트웨이의 IKEv1을 지원하지 않았습니다. 이제 대부분의 현재 게이트웨이 SKU에서 IKEv1 및 IKEv2 모두 지원합니다.

  • 2023년 10월 1일을 기준으로 정책 기반 게이트웨이는 PowerShell 또는 CLI를 사용해서만 구성할 수 있으며 Azure Portal에서는 사용할 수 없습니다. 정책 기반 게이트웨이를 만들려면 PowerShell사용하여 기본 SKU VPN 게이트웨이 만들기를 참조하세요.

  • 정책 기반 게이트웨이가 이미 있는 경우 지점 및 사이트 간 경로와 같이 경로 기반 게이트웨이가 필요한 구성을 사용하지 않는 한 게이트웨이를 경로 기반으로 변경할 필요가 없습니다.

  • 정책 기반 게이트웨이를 경로 기반으로 변환할 수 없습니다. 기존 게이트웨이를 삭제한 후 경로 기반으로 새 게이트웨이를 만들어야 합니다.

활성-활성 모드 게이트웨이

Azure VPN Gateway는 활성-대기 또는 활성-활성으로 구성할 수 있습니다. 활성-활성 구성에서는 게이트웨이 VM의 두 인스턴스가 모두 온-프레미스 VPN 디바이스에 사이트 간 VPN 터널을 설정합니다. 활성-활성 모드 게이트웨이는 고가용성 게이트웨이 연결 디자인의 핵심 부분입니다. 자세한 내용은 다음 문서를 참조하세요.

게이트웨이 개인 IP

이 설정은 특정 ExpressRoute 프라이빗 피어링 구성에 사용됩니다. 자세한 내용은 ExpressRoute 개인 피어링을 통해 사이트 및 사이트 간의 VPN 연결 구성을 참조하세요.

연결 유형

각 연결에는 특정 가상 네트워크 게이트웨이 연결 유형이 필요합니다. New-AzVirtualNetworkGatewayConnection -Connection Type에 사용 가능한 PowerShell 값은 IPsec, Vnet2Vnet, ExpressRoute, VPNClient입니다.

연결 모드

연결 모드 속성은 IKEv2 연결을 사용하는 경로 기반 VPN 게이트웨이에만 적용됩니다. 연결 모드는 연결 시작 방향을 정의하고 초기 IKE 연결 설정에만 적용됩니다. 모든 당사자는 키 및 추가 메시지를 시작할 수 있습니다. InitiatorOnly는 Azure에서 연결을 시작해야 했음을 의미합니다. ResponderOnly는 온-프레미스 디바이스에서 연결을 시작해야 했음을 의미합니다. 기본 동작은 먼저 연결되는 것을 수락하고 전화를 거는 것입니다.

게이트웨이 서브넷

VPN Gateway를 만들기 전에 게이트웨이 서브넷을 만들어야 합니다. 게이트웨이 서브넷은 가상 네트워크 게이트웨이 VM 및 서비스에서 사용하는 IP 주소를 포함합니다. 가상 네트워크 게이트웨이 만들 때 게이트웨이 VM은 게이트웨이 서브넷에 배포되고 필수 VPN Gateway 설정으로 구성됩니다. 게이트웨이 서브넷에 다른 항목(예: 추가 VM)을 배포하지 마세요. 게이트웨이 서브넷이 제대로 작동하려면 이름을 'GatewaySubnet'으로 지정해야 합니다. 게이트웨이 서브넷 이름을 'GatewaySubnet'으로 지정하면 Azure는 이 서브넷이 가상 네트워크 게이트웨이 VM 및 서비스를 배포해야 하는 서브넷임을 알 수 있습니다.

게이트웨이 서브넷을 만드는 경우 서브넷이 포함하는 IP 주소의 수를 지정합니다. 게이트웨이 서브넷의 IP 주소는 게이트웨이 VM 및 게이트웨이 서비스에 할당됩니다. 일부 구성에는 다른 구성보다 더 많은 IP 주소가 필요합니다.

게이트웨이 서브넷 크기를 계획하는 경우 생성하려는 구성에 대한 설명서를 참조하세요. 예를 들어 ExpressRoute/VPN Gateway 공존 구성을 사용하려면 다른 대부분의 구성보다 큰 게이트웨이 서브넷이 필요합니다. 게이트웨이 서브넷을 /29(기본 SKU에만 적용 가능)로 만들 수 있지만 다른 모든 SKU에는 크기가 /27 이상인 게이트웨이 서브넷(/27, /26, /25 등)이 필요합니다. 서브넷에 향후 구성을 수용할 수 있는 충분한 IP 주소가 있도록 /27보다 큰 게이트웨이 서브넷을 만들 수 있습니다.

다음 PowerShell 예에서는 GatewaySubnet이라는 게이트웨이 서브넷을 보여줍니다. CIDR 표기법이 /27을 지정하는 것을 확인할 수 있으며 이는 이번에 존재하는 대부분의 구성에 대한 충분한 IP 주소를 허용합니다.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

고려 사항:

  • GatewaySubnet의 0.0.0.0/0 대상과 NSG를 사용하는 사용자 정의 경로는 지원되지 않습니다. 이 구성을 사용하는 게이트웨이는 생성되지 않도록 차단됩니다. 게이트웨이가 제대로 작동하려면 관리 컨트롤러에 대한 액세스 권한이 필요합니다. 게이트웨이의 가용성을 보장하려면 GatewaySubnet에서 BGP 경로 전파를 "사용"으로 설정해야 합니다. BGP 경로 전파를 사용하지 않도록 설정하면 게이트웨이가 작동하지 않습니다.

  • 사용자 정의 경로가 게이트웨이 서브넷 범위 또는 게이트웨이 공용 IP 범위와 겹치는 경우 진단, 데이터 경로 및 제어 경로가 영향을 받을 수 있습니다.

로컬 네트워크 게이트웨이

로컬 네트워크 게이트웨이는 가상 네트워크 게이트웨이와 다릅니다. VPN Gateway 사이트 간 아키텍처를 사용하는 경우 로컬 네트워크 게이트웨이는 일반적으로 온-프레미스 네트워크와 해당 VPN 디바이스를 나타냅니다.

로컬 네트워크 게이트웨이를 구성할 때 온-프레미스 VPN 디바이스의 이름, 공용 IP 주소 또는 FQDN(정규화된 도메인 이름) 및 온-프레미스 위치에 있는 주소 접두사를 지정합니다. Azure는 네트워크 트래픽에 대상 주소 접두사를 보고 로컬 네트워크 게이트웨이에 대해 지정한 구성을 참조하며 그에 따라 패킷을 라우팅합니다. VPN 디바이스에서 BGP(Border Gateway Protocol)를 사용하는 경우 VPN 디바이스의 BGP 피어 IP 주소와 온-프레미스 네트워크의 ASN(자율 시스템 번호)을 제공합니다. VPN Gateway 연결을 사용하는 VNet-VNet 구성에 대해서도 로컬 네트워크 게이트웨이를 지정합니다.

다음 PowerShell 예제에서는 새 로컬 네트워크 게이트웨이 만듭니다.

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

로컬 네트워크 게이트웨이 설정을 수정해야 하는 경우도 있습니다. 예를 들어 주소 범위를 추가 또는 수정할 경우 또는 VPN 디바이스의 IP 주소가 변경될 때가 여기에 해당합니다. 자세한 내용은 로컬 네트워크 게이트웨이 설정 수정을 참조하세요.

REST API, PowerShell cmdlet 및 CLI

VPN Gateway를 구성하기 위해 REST API, PowerShell cmdlet 또는 Azure CLI를 사용할 경우 기술 리소스 및 특정 구문 요구 사항에 대해서는 다음 페이지를 참조하세요.

다음 단계

사용 가능한 연결 구성에 대한 자세한 내용은 VPN Gateway 정보 를 참조하세요.