가상 네트워크에 ExpressRoute 회로 연결

  • 5분

ExpressRoute 회로는 연결 공급자를 통한 온-프레미스 인프라와 Microsoft 클라우드 서비스 간의 논리적 연결을 나타냅니다. 여러 ExpressRoute 회로를 주문할 수 있습니다. 각 회로는 동일하거나 다른 지역에 있을 수 있으며 서로 다른 연결 공급자를 통해 귀사에 연결할 수 있습니다. ExpressRoute 회로는 물리적 엔터티에 매핑되지 않습니다. 회로는 서비스 키(S 키)라고 하는 표준 GUID를 통해 고유하게 식별됩니다.

이전 연습에서는 ExpressRoute 게이트웨이와 ExpressRoute 회로를 만들었습니다. 그런 다음 ExpressRoute 회로의 피어링을 구성하는 방법을 알아보았습니다. 이제 ExpressRoute 회로와 Azure 가상 네트워크 간의 연결을 만드는 방법을 알아봅니다.

ExpressRoute 회로에 가상 네트워크 연결

  • 활성화된 ExpressRoute 회로가 있어야 합니다.
  • 회로에 구성된 Azure 프라이빗 피어링이 있는지 확인합니다.
  • Azure 개인 피어링이 구성되고 엔드투엔드 연결을 위해 네트워크와 Microsoft 간에 BGP 피어링이 설정되어 있는지 확인합니다.
  • 가상 네트워크 및 가상 네트워크 게이트웨이를 만들어서 완전히 프로비전해야 합니다. ExpressRoute의 가상 네트워크 게이트웨이는 GatewayType으로 VPN이 아닌 'ExpressRoute'를 사용합니다.
  • 최대 10개의 가상 네트워크를 표준 ExpressRoute 회로에 연결할 수 있습니다. 표준 ExpressRoute 회로를 사용하는 경우 모든 가상 네트워크는 동일한 지역에 있어야 합니다.
  • 단일 VNet을 최대 16개의 ExpressRoute 회로에 연결할 수 있습니다. 다음 프로세스에 따라 연결하려는 각 ExpressRoute 회로의 새 연결 개체를 만듭니다. ExpressRoute 회로는 동일한 구독, 서로 다른 구독 또는 두 가지가 혼합된 상태로 존재할 수 있습니다.
  • ExpressRoute 프리미엄 추가 기능을 사용하도록 설정하면 ExpressRoute 회로의 지정학적 지역 외부에서 가상 네트워크를 연결할 수 있습니다. 또한 프리미엄 추가 항목을 사용하면 선택한 대역폭에 따라 10개가 넘는 가상 네트워크를 ExpressRoute 회로에 연결할 수도 있습니다.
  • ExpressRoute 회로에서 대상 ExpressRoute 가상 네트워크 게이트웨이로의 연결을 만들려면 로컬 또는 피어링된 가상 네트워크에서 보급된 주소 공간의 수가 200개보다 작거나 같아야 합니다. 연결이 성공적으로 만들어지면 로컬 또는 피어링된 가상 네트워크에 최대 1,000개의 추가 주소 공간을 추가할 수 있습니다.

ExpressRoute 배포에 VPN 추가

이 섹션은 ExpressRoute 프라이빗 연결을 통해 온-프레미스 네트워크와 Azure VNet(가상 네트워크) 간에 암호화된 보안 연결을 구성하는 데 도움이 됩니다. Microsoft 피어링을 사용하여 선택한 온-프레미스 네트워크와 Azure VNet 간에 사이트 간 IPsec/IKE VPN 터널을 설정할 수 있습니다. ExpressRoute를 통해 보안 터널을 구성하면 기밀성, 재생 방지, 신뢰성 및 무결성이 보장된 데이터 교환이 가능합니다.

참고

Microsoft 피어링을 통해 사이트 간 VPN을 설정하면 VPN Gateway 및 VPN 송신에 대한 요금이 청구됩니다.

고가용성 및 중복성을 위해 ExpressRoute 회로의 두 MSEE-PE 쌍을 통해 여러 터널을 구성하고 터널 간에 부하 분산을 사용하도록 설정할 수 있습니다.

VPN 게이트웨이를 사용하거나 Azure Marketplace를 통해 사용할 수 있는 적절한 NVA(네트워크 가상 어플라이언스)를 사용하여 Microsoft 피어링을 통한 VPN 터널을 종료할 수 있습니다. 기본 Microsoft 피어링에 경로 교환을 노출하지 않고 암호화된 터널을 통해 경로를 정적으로 또는 동적으로 교환할 수 있습니다. 이 섹션에서는 BGP(Microsoft 피어링을 만드는 데 사용되는 BGP 세션과 다름)를 사용하여 암호화된 터널을 통해 동적으로 접두사를 교환합니다.

중요

온-프레미스 측의 경우 일반적으로 Microsoft 피어링은 DMZ에서 종료되고 프라이빗 피어링은 핵심 네트워크 영역에서 종료됩니다. 두 영역은 방화벽을 사용하여 분리됩니다. ExpressRoute를 통해 보안 터널링을 사용하기 위해 배타적으로 Microsoft 피어링을 구성하는 경우 Microsoft 피어링을 통해 보급되는 주요 공용 IP만을 필터링해야 합니다.

단계

  • ExpressRoute 회로에 Microsoft 피어링을 구성합니다.
  • Microsoft 피어링을 통해 온-프레미스 네트워크에 선택한 Azure 지역 공용 접두사를 보급합니다.
  • VPN Gateway를 구성하고 IPsec 터널을 설정합니다.
  • 온-프레미스 VPN 디바이스를 구성합니다.
  • 사이트 간 IPsec/IKE 연결을 만듭니다.
  • (선택 사항) 온-프레미스 VPN 디바이스에서 방화벽/필터링을 구성합니다.
  • ExpressRoute 회로를 통해 IPsec 통신을 테스트하고 유효성을 검사합니다.