Azure VPN(가상 사설망) 설명

  • 5분

VPN(가상 사설망)은 다른 네트워크 내에서 암호화된 터널을 사용합니다. 일반적으로 VPN은 둘 이상의 신뢰할 수 있는 사설망을 신뢰할 수 없는 네트워크(일반적으로 공용 인터넷)를 통해 서로 연결하기 위해 배포됩니다. 신뢰할 수 없는 네트워크를 통해 이동하는 동안 도청이나 기타 공격을 방지하기 위해 트래픽이 암호화됩니다. VPN을 사용하면 네트워크에서 중요한 정보를 안전하게 보안을 유지하며 공유할 수 있습니다.

VPN 게이트웨이

VPN Gateway는 가상 네트워크 게이트웨이의 유형입니다. Azure VPN Gateway 인스턴스는 가상 네트워크의 전용 서브넷에 배포되며 다음과 같은 연결을 사용합니다.

  • 사이트 간 연결을 통해 온-프레미스 데이터 센터를 가상 네트워크에 연결합니다.
  • 지점 및 사이트 간 연결을 통해 개별 디바이스를 가상 네트워크에 연결합니다.
  • 네트워크 간 연결을 통해 가상 네트워크를 다른 가상 네트워크에 연결합니다.

모든 데이터 전송은 인터넷을 통과할 때 프라이빗 터널 내부에서 암호화됩니다. 각 Azure 가상 네트워크에는 한 개의 VPN Gateway만 배포할 수 있습니다. 하지만 하나의 게이트웨이를 사용하여 다른 가상 네트워크 또는 온-프레미스 데이터 센터를 포함한 여러 위치에 연결할 수 있습니다.

VPN 게이트웨이를 설정할 때 정책 기반 또는 경로 기반으로 VPN 유형을 지정해야 합니다. 이 두 유형 간의 주요 차이점은 암호화가 필요한 트래픽을 결정하는 방법입니다. Azure에서는 VPN 유형에 관계없이 미리 공유된 키를 인증 방법으로 사용합니다.

  • 정책 기반 VPN Gateway는 각 터널을 통해 암호화되어야 하는 패킷의 IP 주소를 정적으로 지정합니다. 이러한 유형의 디바이스는 해당 IP 주소 세트에 대해 모든 데이터 패킷을 평가하여 해당 패킷이 전송될 터널을 선택합니다.
  • 경로 기반 게이트웨이에서는 IPSec 터널이 네트워크 인터페이스 또는 가상 터널 인터페이스로 모델링됩니다. IP 라우팅(고정 경로 또는 동적 라우팅 프로토콜)에 따라 각 패킷을 전송할 때 사용할 터널 인터페이스 중 하나가 결정됩니다. 경로 기반 VPN은 온-프레미스 디바이스에서 애용되는 방법입니다. 토폴로지 변경(예: 새 서브넷 생성)에 대한 복원력이 더 좋습니다.

다음과 같은 유형의 연결이 필요한 경우 경로 기반 VPN Gateway를 사용하세요.

  • 가상 네트워크 간 연결
  • 지점 및 사이트 간 연결
  • 다중 사이트 연결
  • Azure ExpressRoute 게이트웨이와 동시 사용

고가용성 시나리오

정보를 안전하게 유지하기 위해 VPN을 구성하는 경우 고가용성 및 내결함성 VPN 구성인지도 확인해야 합니다. VPN 게이트웨이의 복원력을 최대화하는 몇 가지 방법이 있습니다.

활성/대기

Azure에서 VPN Gateway 리소스가 하나만 표시되는 경우에도, 기본적으로 VPN Gateway는 활성-대기 구성 상태에 있는 두 인스턴스로 배포됩니다. 계획된 유지 관리 또는 계획되지 않은 중단이 활성 인스턴스에 영향을 줄 경우 대기 인스턴스는 사용자 개입 없이 자동으로 연결 역할을 수행합니다. 이러한 장애 조치(failover) 중에는 연결이 중단되지만, 일반적으로 계획된 유지 관리의 경우 몇 초 이내, 계획되지 않은 중단의 경우 90초 이내에 연결이 복원됩니다.

활성/활성

BGP 라우팅 프로토콜에 대한 지원이 도입되면서 활성/활성 구성에서 VPN 게이트웨이를 배포할 수도 있습니다. 이 구성에서는 각 인스턴스에 고유한 공용 IP 주소를 할당합니다. 그런 다음, 온-프레미스 디바이스에서 각 IP 주소로 연결되는 별도의 터널을 만듭니다. 온-프레미스에 추가 VPN 디바이스를 배포하여 가용성을 높일 수 있습니다.

ExpressRoute 장애 조치(failover)

또 다른 고가용성 옵션은 VPN 게이트웨이를 ExpressRoute 연결의 보안 장애 조치(failover) 경로로 구성하는 것입니다. ExpressRoute 회로에는 복원력이 기본 제공됩니다. 하지만 연결을 제공하는 케이블에 영향을 미치는 물리적 문제나 전체 ExpressRoute 위치에 영향을 주는 정전 등을 피할 수는 없습니다. ExpressRoute 회로의 중단과 관련된 위험이 있는 고가용성 시나리오에서는 인터넷을 대체 연결 방법으로 사용하는 VPN 게이트웨이를 프로비저닝할 수도 있습니다. 이러한 방식으로 가상 네트워크에 항상 연결되어 있는지 확인할 수 있습니다.

영역 중복 게이트웨이

가용성 영역을 지원하는 지역에서는 VPN 게이트웨이 및 ExpressRoute 게이트웨이를 영역 중복 구성으로 배포할 수 있습니다. 이 구성은 가상 네트워크 게이트웨이에 복원력, 확장성 및 고가용성을 제공합니다. Azure 가용성 영역에서 게이트웨이를 배포하면 Azure에 대한 온-프레미스 네트워크 연결을 영역 수준 오류로부터 보호하면서 지역 내에서 물리적 및 논리적으로 게이트웨이를 구분합니다. 이러한 게이트웨이에는 다른 게이트웨이 SKU(Stock Keeping Unit)가 필요하며 기본 공용 IP 주소 대신 표준 공용 IP 주소를 사용합니다.