Azure VPN Gateway 탐색
온-프레미스 환경과 Azure를 통합하려면 암호화된 연결을 만드는 기능이 필요합니다. 인터넷 또는 전용 링크를 통해 연결할 수 있습니다. 여기에서는 온-프레미스 환경에서 들어오는 연결에 대한 엔드포인트를 제공하는 Azure VPN Gateway를 살펴보겠습니다.
Azure 가상 네트워크를 설정하고 Azure에서 사이트 및 Azure 가상 네트워크 간에 모든 데이터 전송이 암호화되었는지 확인해야 합니다. 지역과 구독 간에 가상 네트워크를 연결하는 방법도 알아야 합니다.
VPN 게이트웨이란?
Azure 가상 네트워크 게이트웨이는 인터넷을 통해 온-프레미스 위치에서 Azure로 들어오는 연결에 대한 엔드포인트를 제공합니다. VPN 게이트웨이는 암호화된 연결에 대한 엔드포인트가 될 수 있는 특정 유형의 가상 네트워크 게이트웨이입니다. 다른 지역의 Azure 데이터 센터를 연결하는 Microsoft의 전용 네트워크를 통해 Azure 가상 네트워크 간에 암호화된 트래픽을 보낼 수도 있습니다. 이 구성을 사용하면 다른 지역의 가상 머신 및 서비스를 안전하게 연결할 수 있습니다.
각 가상 네트워크에는 하나의 VPN Gateway만이 있을 수 있습니다. 해당 VPN Gateway에 대한 모든 연결은 사용 가능한 네트워크 대역폭을 공유합니다.
각 가상 네트워크 게이트웨이 내에는 두 개 이상의 VM(가상 머신)이 있습니다. 이러한 VM은 게이트웨이 서브넷이라는 지정된 특별한 서브넷에 배포되었습니다. 이러한 VM에는 특정 게이트웨이 서비스와 함께 다른 네트워크 연결에 대한 라우팅 테이블이 포함됩니다. 이러한 VM 및 게이트웨이 서브넷은 강화된 네트워크 디바이스와 비슷합니다. 이러한 VM을 직접 구성할 필요는 없으며 게이트웨이 서브넷에 추가 리소스를 배포하지 않아야 합니다.
가상 네트워크 게이트웨이 생성을 완료하는 데 시간이 걸릴 수 있으므로 적절하게 계획해야 합니다. 가상 네트워크 게이트웨이를 만들 때 프로비전 프로세스는 게이트웨이 VM을 생성하고 게이트웨이 서브넷에 배포합니다. 이러한 VM에는 게이트웨이를 구성하는 설정이 있습니다.
키 설정은 게이트웨이 형식입니다. 게이트웨이 형식은 게이트웨이가 작동하는 방식을 결정합니다. VPN 게이트웨이의 경우 게이트웨이 형식은 "vpn"입니다. VPN 게이트웨이에 대한 옵션은 다음과 같습니다.
IPsec/IKE VPN 터널링을 통해 VPN 게이트웨이를 다른 VPN 게이트웨이에 연결하는 네트워크 간 연결.
교차 프레미스 IPsec/IKE VPN 터널링은 사이트 간 연결을 만드는 전용 VPN 디바이스를 통해 온-프레미스 네트워크를 Azure에 연결합니다.
Azure의 리소스에 클라이언트 컴퓨터를 연결하기 위한 IKEv2 또는 SSTP를 통한 지점 및 사이트 간 연결.
이제 VPN 게이트웨이를 계획하기 위해 고려해야 할 요인을 살펴보겠습니다.
VPN 게이트웨이 계획
VPN 게이트웨이를 계획할 때 고려해야 할 세 가지 아키텍처가 있습니다.
- 인터넷을 통한 지점 및 사이트 간 연결
- 인터넷을 통한 사이트 간 연결
- Azure ExpressRoute와 같은 전용 네트워크를 통한 사이트 간 연결
계획 요소
계획 프로세스 동안 처리해야 하는 요소는 다음과 같습니다.
- 처리량 - Mbps 또는 Gbps
- 백본 - 인터넷 또는 프라이빗?
- 공용(정적) IP 주소의 가용성
- VPN 디바이스 호환성
- 여러 클라이언트 연결 또는 사이트 간 연결?
- VPN Gateway 형식
- Azure VPN Gateway SKU
다음 표에서는 이러한 계획 문제 중 일부를 요약합니다. 나머지 문제는 나중에 설명합니다.
| 지점 및 사이트 간 연결 | 사이트 간 연결 | ExpressRoute | |
|---|---|---|---|
| Azure 지원 서비스 | Cloud 서비스 및 VM | Cloud 서비스 및 VM | 지원되는 모든 서비스 |
| 일반적인 대역폭 | VPN Gateway SKU에 따름 | VPN Gateway SKU에 따름 | ExpressRoute 대역폭 옵션을 참조하세요. |
| 지원되는 프로토콜 | SSTP 및 IPsec | IPsec | 직접 연결, VLAN |
| 라우팅 | RouteBased(동적) | PolicyBased(정적) 및 RouteBased | BGP |
| 연결 복원력 | 활성-수동 | 활성-수동 또는 활성-활성 | 활성-활성 |
| 사용 사례 | 테스트 및 프로토타입 | 개발, 테스트 및 소규모 프로덕션 | 엔터프라이즈/중요 업무용 |
게이트웨이 SKU
올바른 SKU를 선택해야 합니다. 잘못된 SKU를 사용하여 VPN 게이트웨이를 설정한 경우 중지하고 게이트웨이를 다시 빌드해야 하며, 이 경우 시간이 걸릴 수 있습니다. 처리량을 비롯한 게이트웨이 SKU에 대한 최신 정보는 VPN Gateway란? - 게이트웨이 SKU를 참조하세요.
워크플로
Azure에서 가상 프라이빗 네트워킹을 사용하여 클라우드 연결 전략을 설계할 때 다음과 같은 워크플로를 적용해야 합니다.
연결 토폴로지를 설계하면서 연결된 모든 네트워크의 주소 공간을 나열합니다.
Azure 가상 네트워크를 만듭니다.
가상 네트워크의 VPN Gateway를 만듭니다.
필요에 따라 온-프레미스 네트워크 또는 기타 가상 네트워크에 대한 연결을 만들고 구성합니다.
필요한 경우 Azure VPN 게이트웨이에 대한 지점 및 사이트 간 연결을 만들고 구성합니다.
설계 고려 사항
가상 네트워크를 연결하기 위해 VPN 게이트웨이를 설계할 때 다음과 같은 요인을 고려해야 합니다.
서브넷이 겹칠 수 없습니다.
한 위치의 서브넷은 다른 위치에 동일한 주소 공간을 포함하지 않아야 합니다.
IP 주소는 고유해야 함
다른 위치에 동일한 IP 주소를 가진 두 호스트가 있을 수 없습니다. 해당하는 두 호스트 간에 트래픽을 라우팅할 수 없고 네트워크 간 연결에 실패하기 때문입니다.
VPN 게이트웨이에는 GatewaySubnet이라는 게이트 서브넷이 필요함
게이트웨이가 작동하려면 이 이름이 있어야 하며 다른 리소스를 포함하지 않아야 합니다.
Azure 가상 네트워크 만들기
VPN 게이트웨이를 만들기 전에 Azure 가상 네트워크를 만들어야 합니다.
VPN 게이트웨이 만들기
생성하는 VPN 게이트웨이 형식은 아키텍처에 따라 달라집니다. 옵션은 다음과 같습니다.
경로 기반
경로 기반 VPN 디바이스는 임의(와일드 카드) 트래픽 선택기를 사용하며, 라우팅/전달 테이블이 서로 다른 IPsec 터널에 트래픽을 전달하도록 합니다. 경로 기반 연결은 일반적으로 각 IPsec 터널이 네트워크 인터페이스 또는 VTI(가상 터널 인터페이스)로 모델링되는 라우터 플랫폼에 빌드됩니다.
정책 기반
정책 기반 VPN 디바이스는 두 네트워크의 접두사 조합을 사용하여 트래픽이 IPsec 터널을 통해 암호화/암호 해독되는 방법을 정의합니다. 정책 기반 연결은 일반적으로 패킷 필터링을 수행하는 방화벽 디바이스에 빌드됩니다. IPsec 터널 암호화 및 암호 해독이 패킷 필터링 및 처리 엔진에 추가됩니다.
VPN 게이트웨이 설정
수행해야 하는 단계는 설치하는 VPN 게이트웨이의 형식에 따라 다릅니다. 예를 들어 Azure Portal을 사용하여 지점 및 사이트 간 VPN 게이트웨이를 만들려면 다음 단계를 수행합니다.
가상 네트워크를 만듭니다.
게이트웨이 서브넷을 추가합니다.
DNS 서버를 지정합니다(선택 사항).
가상 네트워크 게이트웨이를 만듭니다.
인증서를 생성합니다.
클라이언트 주소 풀을 추가합니다.
터널 형식을 구성합니다.
인증 유형을 구성합니다.
루트 인증서 공용 인증서 데이터를 업로드합니다.
내보낸 클라이언트 인증서를 설치합니다.
VPN 클라이언트 구성 패키지를 생성 및 설치합니다.
Azure에 연결
여러 옵션을 사용한 각 구성 경로 및 Azure VPN 게이트웨이를 통한 여러 구성 경로가 있으므로 이 과정에서 모든 설정을 다룰 수 없습니다. 자세한 내용은 추가 리소스 섹션을 참조하세요.
게이트웨이 구성
게이트웨이가 만들어지면 구성을 진행해야 합니다. 이름, 위치, DNS 서버 등과 같은 몇 가지 구성 설정을 제공해야 합니다. 연습에서 이러한 설정에 대해 더 자세히 알아보겠습니다.
Azure VPN 게이트웨이는 지점 및 사이트 간, 사이트 간 또는 네트워크 간 연결을 가능하게 하는 Azure 가상 네트워크의 구성 요소입니다. Azure VPN 게이트웨이를 사용하면 개별 클라이언트 컴퓨터가 Azure의 리소스에 연결하거나, Azure로 온-프레미스 네트워크를 확장하거나, 다른 지역 및 구독의 가상 네트워크 간 연결을 용이하게 할 수 있습니다.