Azure Stack HCI 시나리오에서 Azure 네트워크 어댑터를 구현

  • 7분

Contoso 환경의 하이브리드 특성이 증가한다는 현실을 감안하면, 앞으로 Azure Stack HCI 워크로드와 Azure VM 간의 직접 연결을 자주 설정해야 합니다. Contoso는 핵심 Azure 인프라 구성 요소를 호스트하는 허브 가상 네트워크에 ExpressRoute 회로를 이미 프로비전했지만, Azure Stack HCI 클러스터를 호스트하는 온-프레미스 데이터 센터에서 직접 액세스할 수 없는 격리된 가상 네트워크가 여러 개 존재합니다. 또한 ExpressRoute 연결을 사용할 수 없는 원격 위치에 Azure Stack HCI 클러스터를 배포할 것으로 예상됩니다. Azure 네트워크 어댑터의 기능을 탐색하여 이를 해결 방법으로 사용할 수 있는지 결정하기로 했습니다.

Azure 네트워크 어댑터 개요

Azure 네트워크 어댑터를 사용하면 Windows 서버에서 Azure 가상 네트워크로 이어지는 P2S(지점 및 사이트 간) VPN(가상 사설망) 연결을 쉽게 설정할 수 있습니다. 이 방법은 SSTP(Secure Socket Tunneling Protocol)를 사용하여 로컬로 설치된 소프트웨어를 사용하는 Azure 가상 네트워크 게이트웨이에 인터넷을 통해 연결되는 암호화된 가상 터널을 만듭니다. Azure 네트워크 어댑터에는 로컬 VPN 디바이스가 필요하지 않습니다.

VPN 연결이 설정되면 Azure 네트워크 어댑터를 호스트하는 서버의 기본 네트워크 인터페이스는 사용자가 P2S VPN 클라이언트에 할당한 범위에서 IP 주소를 할당받습니다. 이와 동시에 VPN 클라이언트 소프트웨어가 로컬 라우팅 구성을 업데이트하므로 Azure 가상 네트워크의 IP 주소 공간을 대상으로 하는 트래픽은 VPN 연결을 통해 라우팅됩니다. 결과적으로 서버는 사실상 해당 가상 네트워크의 노드가 되며, 이 노드에 연결된 모든 Azure VM과 통신할 수 있습니다.

P2S VPN은 암호화된 터널을 설정할 때 인증서 기반 인증을 사용합니다. 이러한 용도로 자체 서명된 인증서를 사용할 수 있지만 프로덕션 환경에서는 외부 또는 내부 CA(인증 기관)에서 발급한 인증서를 사용해야 합니다. 이 인증서는 AD CS(Active Directory 인증서 서비스)를 사용하면 얻을 수 있습니다.

Azure 네트워크 어댑터 구성 요소

Azure 네트워크 어댑터는 로컬 설치 소프트웨어를 사용하여 대상 Azure 가상 네트워크의 전용 게이트웨이 서브넷에 있는 Azure 가상 네트워크 게이트웨이를 연결합니다. 추가 온-프레미스 인프라는 존재하지 않습니다. Azure 네트워크 어댑터는 Windows Server 운영 체제에서 기본으로 제공하는 VPN 기능을 사용합니다.

The diagram depicts how Azure Network Adapter uses locally installed software to connect to an Azure virtual network gateway, which resides in the dedicated Gateway subnet of the target Azure virtual network. There is no additional on-premises infrastructure. Azure Network Adapter uses the VPN capabilities built into the Windows Server operating system.

Azure Stack HCI에 대한 Azure 네트워크 어댑터 지원

Azure Stack HCI 클러스터에서 실행되는 모든 Windows Server VM에서 Azure 네트워크 어댑터를 설정할 수 있습니다. 여러 서버가 동일한 Azure 가상 네트워크 게이트웨이에 연결할 수 있지만 각 서버는 자체 클라이언트 인증서를 사용해야 합니다.

Azure Stack HCI 시나리오에서 Azure 네트워크 어댑터를 구현

Azure 네트워크 어댑터를 평가하는 다음 단계로 Azure Stack HCI 시나리오에서 이를 구현하기로 합니다. Azure 네트워크 어댑터는 Windows Admin Center 전용 기능입니다. Azure Portal과 Azure PowerShell에서 제공하는 설치 프로세스를 사용하여 Azure 가상 네트워크에 대한 P2S VPN 연결을 구현할 수 있지만 Windows Admin Center를 이용하면 설치 프로세스를 간소화할 수 있습니다. 대상 가상 네트워크를 호스트하는 Azure 구독 및 지역, 가상 네트워크 이름, 게이트웨이 서브넷의 IP 주소 범위, 가상 네트워크 게이트웨이 SKU, VPN 클라이언트에 할당된 IP 주소 범위 및 인증 인증서 세부 정보를 포함한 필수 정보를 묻는 인터페이스가 제공됩니다. 자체 서명된 옵션을 선택하면 Windows Admin Center에서 자동으로 루트 및 클라이언트 인증서를 생성합니다.

The screenshot depicts the Windows Admin Center interface that prompts you for the required information, including the Azure subscription and region hosting the target virtual network, the virtual network name, the IP address range of the Gateway subnet, the virtual network gateway SKU, the IP address range allocated to VPN clients, and the authentication certificate details. If you select the self-signed option, Windows Admin Center will automatically generate the root and client certificates for you.

참고 항목

Azure 기반 서비스를 동반하는 다른 기능에서처럼 사용자는 먼저 Azure에서 Windows Admin Center를 온보딩해야 합니다.

Windows Admin Center 기반 설정을 시작하려면 대상 Azure 가상 네트워크가 있어야 한다는 사실을 명심하세요. 또한 Windows Admin Center 인터페이스에서 제공되는 SKU가 아닌 SKU를 사용하고 싶다면, Azure 가상 네트워크 게이트웨이를 미리 프로비전해야 합니다.

참고

Azure 가상 네트워크 게이트웨이 프로비저닝은 30분 정도 걸립니다.

지식 점검

1.

Contoso용 Azure Stack HCI 하이브리드 기능 평가의 일환으로 Windows Server 2019를 실행하는 Azure Stack HCI VM에서 Azure 네트워크 어댑터의 설정을 테스트할 계획입니다. 설치를 테스트하는 첫 번째 단계는 무엇인가요?