가상 네트워크 피어링을 위한 VPN 게이트웨이 전송 구성
이 문서는 가상 네트워크 피어링을 위한 게이트웨이 전송을 구성하는 데 유용합니다. 가상 네트워크 피어링은 두 Azure 가상 네트워크를 원활하게 연결하여 연결 목적을 위해 두 개의 가상 네트워크를 하나로 병합합니다. 게이트웨이 전송은 하나의 가상 네트워크가 크로스-프레미스 또는 VNet 대 VNet 연결에 대한 피어링된 가상 네트워크에서 VPN 게이트웨이를 사용할 수 있도록 하는 피어링 속성입니다.
다음 다이어그램은 가상 네트워크 피어링을 통한 게이트웨이 전송의 작동 방식을 보여 줍니다. 다이어그램에서 피어링된 가상 네트워크는 게이트웨이 전송을 통해 Hub-RM에서 Azure VPN 게이트웨이를 사용할 수 있습니다. S2S, P2S 및 VNet 대 VNet 연결을 포함한 VPN 게이트웨이에서 가능한 연결은 세 개의 가상 네트워크 모두에 적용됩니다.
전송 옵션은 기본 SKU를 제외한 모든 VPN Gateway SKU와 함께 사용할 수 있습니다.
허브 및 스포크 네트워크 아키텍처에서 스포크 가상 네트워크는 게이트웨이 전송을 통해 모든 스포크 가상 네트워크에서 VPN 게이트웨이를 배포하는 대신 허브에서 VPN 게이트웨이를 공유할 수 있습니다. 게이트웨이에 연결된 가상 네트워크 또는 온-프레미스 네트워크에 대한 경로는 게이트웨이 전송을 사용하여 피어링된 가상 네트워크에 대한 라우팅 테이블에 전파됩니다.
VPN 게이트웨이에서 자동 경로 전파를 비활성화할 수 있습니다. “BGP 경로 전파를 사용하지 않도록 설정” 옵션을 선택한 라우팅 테이블을 만들고, 경로 테이블을 서브넷에 연결하여 해당 서브넷에 대한 경로 배포를 방지합니다. 자세한 내용은 Virtual Network 라우팅 테이블을 참조하세요.
참고 항목
네트워크의 토폴로지를 변경하고 Windows VPN 클라이언트를 사용하는 경우, 변경 내용을 클라이언트에 적용하기 위해 Windows 클라이언트용 VPN 클라이언트 패키지를 다운로드하여 다시 설치해야 합니다.
필수 조건
이 문서에는 다음 VNet 및 권한이 필요합니다.
가상 네트워크
VNet | 구성 단계 | 가상 네트워크 게이트웨이 |
---|---|---|
허브-RM | Resource Manager | 예 |
Spoke-RM | Resource Manager | 아니요 |
사용 권한
가상 네트워크 피어링을 만드는 데 사용하는 계정에는 필요한 역할 또는 권한이 있어야 합니다. 아래 예에서 허브-RM 및 스포크-클래식이라는 두 개의 가상 네트워크를 피어링하는 경우 계정에 각 가상 네트워크에 대해 다음 역할 또는 권한이 있어야 합니다.
VNet | 배포 모델 | 역할 | 사용 권한 |
---|---|---|---|
허브-RM | Resource Manager | 네트워크 기여자 | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
Spoke-RM | Resource Manager | 네트워크 기여자 | Microsoft.Network/virtualNetworks/peer |
기본 제공 역할 및 사용자 지정 역할에 특정 권한 할당(Resource Manager만 해당)에 대해 자세히 알아보세요.
피어링을 추가하고 전송을 사용하도록 설정하려면
Azure Portal에서 허브-RM에서 가상 네트워크 피어링을 만들거나 업데이트합니다. Hub-RM 가상 네트워크로 이동합니다. 피어링을 선택한 다음 + 추가를 선택하여 피어링 추가를 엽니다.
피어링 추가 페이지에서 원격 가상 네트워크 요약 값을 구성합니다.
- 피어링 링크 이름: 링크의 이름을 지정합니다. 예: SpokeRMToHubRM
- 가상 네트워크 배포 모델: Resource Manager
- 리소스 ID를 알고 있음: 비워 둡니다. 피어링하려는 가상 네트워크 또는 구독에 대한 읽기 권한이 없는 경우에만 이 옵션을 선택해야 합니다.
- 구독: 사용할 구독을 선택합니다.
- 가상 네트워크: 스포크-RM
피어링 추가 페이지에서 원격 가상 네트워크 피어링 설정 값을 구성합니다.
- 'Spoke-RM'이 'Hub-RM'에 액세스하도록 허용: 선택된 기본값을 그대로 둡니다.
- 'Spoke-RM'이 'Hub-RM'에서 전달된 트래픽을 수신하도록 허용: 확인란을 선택합니다.
- 피어링된 가상 네트워크의 게이트웨이 또는 경로 서버가 트래픽을 'Hub-RM'으로 전달하도록 허용: 기본값을 선택하지 않은 상태로 둡니다.
- 'Hub-RM' 원격 게이트웨이 또는 경로 서버를 사용하려면 'SpokeRM' 사용하도록 설정: 확인란을 선택합니다.
피어링 추가 페이지에서 로컬 가상 네트워크 요약 값을 구성합니다.
- 피어링 링크 이름: 링크의 이름을 지정합니다. 예: HubRMToSpokeRM
피어링 추가 페이지에서 로컬 가상 네트워크 피어링 설정 값을 구성합니다.
- 'Hub-RM'이 피어링된 가상 네트워크에 액세스하도록 허용: 기본값인 선택된 상태를 유지합니다.
- 'Hub-RM'이 피어링된 가상 네트워크에서 전달된 트래픽을 수신하도록 허용: 확인란을 선택합니다.
- 피어링된 가상 네트워크로 트래픽을 전달하도록 'Hub-RM'의 게이트웨이 또는 경로 서버 허용: 확인란을 선택합니다.
- 피어링된 가상 네트워크의 원격 게이트웨이 또는 경로 서버를 사용하려면 'Hub-RM' 사용하도록 설정: 기본값을 선택하지 않은 상태로 둡니다.
추가를 선택하여 피어링을 만듭니다.
두 가상 네트워크 모두에서 피어링 상태가 연결됨인지 확인합니다.
전송에 대한 기존 피어링을 수정하려면
기존 피어링이 이미 있는 경우 전송을 위해 피어링을 수정할 수 있습니다.
가상 네트워크로 이동합니다. 피어링을 선택하고 수정할 피어링을 선택합니다. 예를 들어 Spoke-RM VNet에서 SpokeRMtoHubRM 피어링을 선택합니다.
VNet 피어링 업데이트
'Hub-RM' 원격 게이트웨이 또는 경로 서버를 사용하려면 'Spoke-RM' 사용하도록 설정: 확인란을 선택합니다.
피어링 설정을 저장합니다.
PowerShell 샘플
PowerShell을 사용하여 피어링을 만들거나 업데이트할 수도 있습니다. 변수를 사용자의 가상 네트워크 및 리소스 그룹의 이름으로 바꿉니다.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
다음 단계
- 프로덕션 환경에 사용하기 위한 가상 네트워크 피어링을 만들기 전에 가상 네트워크 피어링 제약 조건 및 동작 및 가상 네트워크 피어링 설정에 대해 자세히 알아봅니다.
- 가상 네트워크 피어링 및 게이트웨이 전송을 통해 허브 및 스포크 네트워크 토폴로지를 만드는 방법을 알아봅니다.
- 동일한 배포 모델로 가상 네트워크 피어링을 만듭니다.
- 다른 배포 모델로 가상 네트워크 피어링을 만듭니다.