Azure Portal(클래식)을 사용하여 사이트 간 연결 만들기
이 문서에서는 Azure Portal을 사용하여 온-프레미스 네트워크에서 VNet으로 사이트 간 VPN Gateway 연결을 만드는 방법을 보여줍니다. 이 문서의 단계는 클래식(레거시) 배포 모델에 적용되며 현재 배포 모델인 Resource Manager에는 적용되지 않습니다. 대신 이 문서의 Resource Manager 버전을 참조하세요.
Important
클래식 배포 모델(서비스 관리) 가상 네트워크에 대한 새 가상 네트워크 게이트웨이를 더 이상 만들 수 없습니다. Resource Manager 가상 네트워크에 대해서만 새 가상 네트워크 게이트웨이를 만들 수 있습니다.
사이트 간 VPN Gateway 연결은 IPsec/IKE(IKEv1 또는 IKEv2) VPN 터널을 통해 온-프레미스 네트워크를 Azure Virtual Network에 연결하는 데 사용됩니다. 이 연결 유형은 할당된 외부 연결 공용 IP 주소를 갖고 있는 온-프레미스에 있는 VPN 디바이스를 필요로 합니다. VPN Gateway에 대한 자세한 내용은 VPN Gateway 정보를 참조하세요.
참고 항목
이 문서는 클래식(레거시) 배포 모델 사용에 대해 설명합니다. 대신 최신 Azure 배포 모델을 사용하는 것이 좋습니다. Resource Manager 배포 모델은 최신 배포 모델로 클래식 배포 모델보다 더 많은 옵션과 기능 호환성을 제공합니다. 이러한 두 배포 모델 간의 차이점을 이해하려면 배포 모델 및 리소스 상태 이해를 참조하세요.
이 문서의 다른 버전을 사용하려면 왼쪽 창의 목차를 사용합니다.
시작하기 전에
구성을 시작하기 전에 다음 기준을 충족하는지 확인합니다.
- 클래식 배포 모델에서 작업할 것인지 확인합니다. Resource Manager 배포 모델에서 작업하려면 사이트 간 연결 만들기(Resource Manager)를 참조하세요. 클래식 모델이 레거시이므로 Resource Manager 배포 모델을 사용하는 것이 좋습니다.
- 호환되는 VPN 디바이스 및 이 디바이스를 구성할 수 있는 사람이 있는지 확인합니다. 호환되는 VPN 디바이스 및 디바이스 구성에 대한 자세한 내용은 VPN 디바이스 정보를 참조하세요.
- VPN 디바이스에 대한 외부 연결 공용 IPv4 주소가 있는지 확인합니다.
- 온-프레미스 네트워크에 있는 IP 주소 범위에 익숙하지 않은 경우 세부 정보를 제공할 수 있는 다른 사람의 도움을 받아야 합니다. 이 구성을 만들 때 Azure가 온-프레미스 위치에 라우팅할 IP 주소 범위 접두사를 지정해야 합니다. 온-프레미스 네트워크의 어떤 서브넷도 사용자가 연결하려는 가상 네트워크 서브넷과 중첩될 수 없습니다.
- 공유 키를 지정하고 VPN Gateway 연결을 만드는 데 PowerShell이 필요합니다. 클래식 배포 모델을 사용하는 경우에는 Azure Cloud Shell을 사용할 수 없습니다. 대신, 최신 버전의 Azure SM(서비스 관리) PowerShell cmdlet을 컴퓨터에 로컬로 설치해야 합니다. 이러한 cmdlet은 AzureRM 또는 Az cmdlet과 다릅니다. SM cmdlet을 설치하려면 서비스 관리 Cmdlet 설치를 참조하세요. Azure PowerShell에 대한 자세한 내용은 Azure PowerShell 설명서를 참조하세요.
이 연습에 대한 샘플 구성 값
이 문서의 예제에서는 다음 값을 사용합니다. 이러한 값을 사용하여 테스트 환경을 만들거나 이 값을 참조하여 이 문서의 예제를 보다 정확하게 이해할 수 있습니다. 일반적으로 주소 공간에 대해 IP 주소 값을 사용할 때 라우팅을 유발할 수 있는 주소 공간 겹침을 방지하기 위해 네트워크 관리자와 조정하고자 합니다. 이 경우 작동하는 연결을 만들려면 IP 주소 값을 사용자 고유한 값으로 바꿉니다.
- 리소스 그룹: TestRG1
- VNet 이름: TestVNet1
- 주소 공간: 10.11.0.0/16
- 서브넷 이름: FrontEnd
- 서브넷 주소 범위: 10.11.0.0/24
- 게이트웨이 서브넷: 10.11.255.0/27
- 지역: (미국) 미국 동부
- 로컬 사이트 이름: Site2
- 클라이언트 주소 공간: 온-프레미스 사이트에 있는 주소 공간입니다.
가상 네트워크 만들기
S2S 연결에 사용할 가상 네트워크를 만들 때 지정한 주소 공간이 연결하려는 로컬 사이트의 클라이언트 주소 공간과 겹치지 않는지 확인해야 합니다. 겹치는 서브넷에 있으면 연결이 제대로 작동하지 않습니다.
VNet이 이미 있는 경우 설정이 VPN 게이트웨이 설계와 호환되는지 확인합니다. 다른 네트워크와 겹칠 수 있는 서브넷에 특히 주의합니다.
가상 네트워크가 아직 없는 경우 만듭니다. 스크린샷은 예제로 제공됩니다. 사용자 고유의 값으로 대체해야 합니다.
가상 네트워크를 만들려면
- 브라우저에서 Azure Portal로 이동하고 필요한 경우 Azure 계정으로 로그인합니다.
- +리소스 만들기를 선택합니다. 마켓플레이스 검색 필드에 ‘Virtual Network’를 입력합니다. 반환된 목록에서 Virtual Network를 찾아서 선택하여 Virtual Network 페이지를 엽니다.
- Virtual Network 페이지의 만들기 단추 아래에 "Resource Manager를 사용하여 배포(클래식으로 변경)"가 표시됩니다. Resource Manager는 VNet을 만들기 위한 기본값입니다. Resource Manager VNet을 만들지 않으려고 합니다. 클래식 VNet을 만들려면 (클래식으로 변경)을 선택합니다. 그런 다음, 개요 탭을 선택하고 만들기를 선택합니다.
- 가상 네트워크 만들기(클래식) 페이지의 기본 사항 탭에서 예제 값으로 VNet 설정을 구성합니다.
- 검토 + 만들기를 선택하여 VNet의 유효성을 검사합니다.
- 유효성 검사가 실행됩니다. VNet의 유효성을 검사한 후 만들기를 선택합니다.
DNS 설정은 이 구성의 필요한 일부가 아니지만 VM 간 이름 확인을 원하는 경우 DNS가 필요합니다. 값을 지정하더라도 새 DNS 서버를 만들지 않습니다. 지정한 DNS 서버는 연결 중인 리소스에 대한 이름을 확인할 수 있는 DNS 서버 IP 주소여야 합니다.
가상 네트워크를 만든 후에 DNS 서버의 IP 주소를 추가하여 이름 확인을 처리할 수 있습니다. 가상 네트워크의 설정을 열고, DNS 서버를 선택하고, 이름 확인에 사용할 DNS 서버의 IP 주소를 추가합니다.
- 포털에서 가상 네트워크를 찾습니다.
- 가상 네트워크의 페이지의 설정 섹션에서 DNS 서버를 선택합니다.
- DNS 서버를 추가합니다.
- 설정을 저장하려면 페이지 맨 위에서 저장을 선택합니다.
사이트 및 게이트웨이 구성
사이트 구성
로컬 사이트는 일반적으로 온-프레미스 위치를 가리킵니다. VPN 디바이스의 IP 주소를 포함하며 여기에서 VPN 디바이스에 대한 VPN 게이트웨이를 통해 라우팅되는 연결 및 IP 주소 범위를 만듭니다.
VNet에 대한 페이지의 설정에서 사이트 간 연결을 선택합니다.
사이트 간 연결 페이지에서 + 추가를 선택합니다.
VPN 연결 및 게이트웨이 구성 페이지에서 연결 형식으로 사이트 간을 선택한 상태로 둡니다. 이 연습에서는 예제 값과 고유한 값을 조합하여 사용해야 합니다.
VPN Gateway IP 주소: 온-프레미스 네트워크에 대한 VPN 디바이스의 공용 IP 주소입니다. VPN 디바이스에는 IPv4 공용 IP 주소가 필요합니다. 연결하려는 VPN 디바이스에 유효한 공용 IP 주소를 지정합니다. Azure에서 연결할 수 있어야 합니다. VPN 디바이스의 IP 주소를 모르는 경우 항상 자리 표시자 값을 넣고(반드시 유효한 공용 IP 주소 형식으로) 나중에 변경할 수 있습니다.
클라이언트 주소 공간: 이 게이트웨이를 통해 로컬 온-프레미스 네트워크에 라우팅할 IP 주소 범위를 나열합니다. 주소 공간 범위를 여러 개 추가할 수 있습니다. 여기에서 지정한 범위가 자체 가상 네트워크가 연결된 다른 네트워크의 범위 또는 가상 네트워크 자체의 주소 범위와 겹치지 않도록 합니다.
페이지 맨 아래에서 검토 + 만들기를 선택하지 않습니다. 대신, 다음: 게이트웨이>를 선택합니다.
가상 네트워크 게이트웨이 구성
게이트웨이 페이지에서 다음 값을 선택합니다.
크기: 가상 네트워크 게이트웨이를 만드는 데 사용하는 게이트웨이 SKU입니다. 클래식 VPN 게이트웨이는 이전(레거시) 게이트웨이 SKU를 사용합니다. 레거시 게이트웨이 SKU에 대한 자세한 내용은 가상 네트워크 게이트웨이 SKU(이전 SKU) 작업을 참조하세요. 이 연습에서는 표준을 선택할 수 있습니다.
게이트웨이 서브넷: 지정하는 게이트웨이 서브넷의 크기는 만들려는 VPN Gateway 구성에 따라 달라집니다. 게이트웨이 서브넷을 /29만큼 작게 만들 수 있지만 /27 또는 /28을 사용하는 것이 좋습니다. 이렇게 하면 더 많은 주소를 포함하는 큰 서브넷이 만들어집니다. 더 큰 게이트웨이 서브넷을 사용하면 향후 구성을 수용할 수 있을 만큼 충분한 IP 주소를 확보할 수 있습니다.
페이지 맨 아래에서 검토 + 만들기를 선택하여 설정의 유효성을 검사합니다. 만들기를 선택하여 배포합니다. 선택한 게이트웨이 SKU에 따라 가상 네트워크 게이트웨이를 만드는 데 최대 45분까지 걸릴 수 있습니다.
VPN 디바이스 구성
온-프레미스 네트워크에 대한 사이트 간 연결에는 VPN 디바이스가 필요합니다. 이 단계에서는 VPN 디바이스를 구성합니다. VPN 디바이스를 구성할 때 다음 값이 필요합니다.
- 공유 키. 사이트 간 VPN 연결을 만들 때 지정하는 것과 동일한 공유 키입니다. 이 예제에서는 기본적인 공유 키를 사용합니다. 실제로 사용할 키는 좀 더 복잡하게 생성하는 것이 좋습니다.
- 가상 네트워크 게이트웨이의 공용 IP 주소입니다. Azure Portal, PowerShell 또는 CLI를 사용하여 공용 IP 주소를 볼 수 있습니다.
사용하고 있는 VPN 디바이스에 따라 VPN 디바이스 구성 스크립트를 다운로드할 수 있습니다. 자세한 내용은 VPN 디바이스 구성 스크립트 다운로드를 참조하세요.
다음 링크는 추가 구성 정보를 제공합니다.
호환되는 VPN 디바이스에 대한 내용은 VPN 디바이스 정보를 참조하세요.
VPN 디바이스를 구성하기 전에 알려진 디바이스 호환성 문제를 확인합니다.
디바이스 구성 설정에 대한 링크는 확인된 VPN 디바이스를 참조하세요. 당사는 최선을 다하여 디바이스 구성 링크를 제공하고 있지만, 최신 구성 정보는 항상 디바이스 제조업체에 문의하는 것이 가장 좋습니다.
목록에는 테스트한 버전이 표시됩니다. VPN 디바이스의 OS 버전이 목록에 없어도 여전히 호환될 수 있습니다. 디바이스 제조업체에 문의하세요.
VPN 디바이스 구성에 대한 기본 정보는 파트너 VPN 디바이스 구성의 개요를 참조하세요.
디바이스 구성 샘플을 편집하는 방법에 대한 정보는 샘플 편집을 참조하세요.
암호화 요구 사항은 암호화 요구 사항 및 Azure VPN Gateway 정보를 참조하세요.
구성을 완료하는 데 필요한 매개 변수에 대한 자세한 내용은 기본 IPsec/IKE 매개 변수를 참조하세요. 정보에는 IKE 버전, DH(Diffie-Hellman) 그룹, 인증 방법, 암호화 및 해시 알고리즘, SA(보안 연결) 수명, PFS( 완전 순방향 비밀성) 및 DPD(데드 피어 감지)가 포함됩니다.
IPsec/IKE 정책 구성 단계는 S2S VPN 및 VNet 간 연결에 대한 사용자 지정 IPsec/IKE 연결 정책 구성을 참조하세요.
여러 정책 기반 VPN 디바이스를 연결하려면 여러 온-프레미스 정책 기반 VPN 디바이스에 VPN Gateway 연결을 참조하세요.
값 검색
Azure Portal에서 클래식 VNet을 만드는 경우 볼 수 있는 이름은 PowerShell에 사용한 전체 이름이 아닙니다. 예를 들어 포털에 TestVNet1이라는 이름으로 표시되는 VNet은 네트워크 구성 파일에서 훨씬 더 긴 이름이 있을 수 있습니다. 리소스 그룹 "ClassicRG" 이름에 있는 VNet의 경우 그룹 ClassicRG TestVNet1처럼 보일 수 있습니다. 연결을 만드는 경우 네트워크 구성 파일에 있는 값을 사용하는 것이 중요합니다.
다음 단계에서는 연결에 필요한 값을 확보하기 위해 Azure 계정에 연결하고 네트워크 구성 파일을 다운로드하여 살펴봅니다.
최신 버전의 Azure SM(서비스 관리) PowerShell cmdlet을 다운로드하여 설치합니다. 대부분의 사용자는 로컬로 설치된 Resource Manager 모듈이 있지만 서비스 관리 모듈은 없습니다. 서비스 관리 모듈은 레거시이며 별도로 설치해야 합니다. 자세한 내용은 서비스 관리 cmdlet 설치를 참조하세요.
상승된 권한으로 PowerShell 콘솔을 열고 계정에 연결합니다. 연결에 도움이 되도록 다음 예제를 사용합니다. PowerShell 서비스 관리 모듈을 사용하여 이러한 명령을 로컬로 실행해야 합니다. 계정에 연결합니다. 연결에 도움이 되도록 다음 예제를 사용합니다.
Add-AzureAccount
계정에 대한 구독을 확인합니다.
Get-AzureSubscription
둘 이상의 구독이 있는 경우 사용할 구독을 선택합니다.
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
컴퓨터에 디렉터리를 만듭니다. 예: C:\AzureVNet
네트워크 구성 파일을 디렉터리로 내보냅니다. 이 예제에서는 네트워크 구성 파일을 C:\AzureNet으로 내보냅니다.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
텍스트 편집기에서 파일을 열고 VNet과 사이트의 이름을 확인합니다. 이러한 이름은 연결을 만들 때 사용하는 이름입니다.
VNet 이름은 VirtualNetworkSite name =으로 나열됩니다.
사이트 이름은 LocalNetworkSiteRef name =으로 나열됩니다.
연결 만들기
참고 항목
클래식 배포 모델의 경우 Azure Portal 또는 Azure Cloud Shell을 통해 이 단계를 수행할 수 없습니다. 데스크톱에서 로컬로 Azure PowerShell cmdlet의 SM(서비스 관리) 버전을 사용해야 합니다.
이 단계에서는 이전 단계의 값을 사용하여 공유 키를 설정하고 연결을 만듭니다. 설정한 키는 VPN 디바이스 구성에 사용된 동일한 키여야 합니다.
공유 키를 설정하고 연결을 만듭니다.
- -VNetName 값과 -LocalNetworkSiteName 값을 변경합니다. 공백이 포함된 이름을 지정할 때는 값을 작은따옴표로 묶습니다.
- '-SharedKey'는 사용자가 생성하고 지정하는 값입니다. 이 예제에서는 'abc123'을 사용했지만 좀 더 복잡한 항목을 생성할 수 있습니다. 중요한 점은 여기에서 지정한 값이 VPN 디바이스를 구성하는 경우 지정한 것과 동일한 값이어야 한다는 것입니다.
Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' ` -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
연결이 생성된 경우 결과는 상태: 성공입니다.
연결 확인
Azure Portal에서 연결로 이동하여 클래식 VNet VPN Gateway의 연결 상태를 볼 수 있습니다. 다음 단계에서는 연결로 이동하고 확인하는 한 가지 방법을 보여 줍니다.
- Azure Portal에서 클래식 VNet(가상 네트워크)으로 이동합니다.
- 가상 네트워크 페이지에서 보려는 연결 유형을 클릭합니다. 예를 들어 여러 사이트 간 연결이 있습니다.
- 사이트 간 연결 페이지의 이름 아래에서 보려는 사이트 연결을 선택합니다.
- 속성 페이지에서 연결에 대한 정보를 확인합니다.
연결에 문제가 있는 경우 왼쪽 창의 목차에서 문제 해결 섹션을 참조하세요.
VPN 게이트웨이를 다시 설정하는 방법
Azure VPN Gateway 재설정은 하나 이상의 사이트 간 VPN 터널에서 크로스-프레미스 VPN 연결이 손실되는 경우에 유용합니다. 이 상황에서 온-프레미스 VPN 디바이스는 모두 올바르게 작동하지만 Azure VPN Gateway와 IPsec 터널을 설정할 수 없습니다.
클래식 게이트웨이를 초기화하는 cmdlet은 Reset-AzureVNetGateway입니다. 서비스 관리를 위한 Azure PowerShell cmdlet은 데스크톱에 로컬로 설치해야 합니다. Azure Cloud Shell을 사용할 수 없습니다. 다시 설정을 수행하기 전에 최신 버전의 SM(Service Management) PowerShell cmdlet이 있는지 확인합니다.
이 명령을 사용하는 경우 가상 네트워크의 전체 이름을 사용하고 있는지 확인합니다. 포털을 사용하여 만든 클래식 Vnet에는 PowerShell에 필요한 긴 이름이 있습니다. Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml
을 사용하면 긴 이름을 볼 수 있습니다.
다음 예제에서는 “Group TestRG1 TestVNet1”(포털에서는 간단히 “TestVNet1”으로 표시)이라는 가상 네트워크에 대한 게이트웨이를 초기화합니다.
Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'
결과:
Error :
HttpStatusCode : OK
Id : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status : Successful
RequestId : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode : OK
게이트웨이 SKU의 크기를 조정하는 방법
클래식 배포 모델에 대한 게이트웨이 크기를 조정하려면 서비스 관리 PowerShell cmdlet을 사용해야 합니다. 다음 명령을 사용합니다.
Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance
다음 단계
- 연결이 완료되면 가상 네트워크에 가상 머신을 추가할 수 있습니다. 자세한 내용은 Virtual Machines를 참조하세요.
- 강제 터널링에 대한 내용은 강제 터널링 정보를 참조하세요.