Azure Stack HCI에서 RAS 게이트웨이 설명 및 구현

  • 11분

회사에서 제공하는 금융 서비스를 활용하는 대부분의 고객은 자체 데이터 센터에 대한 안전하고 신뢰할 수 있는 연결이 필요합니다. 이 요구 사항을 수용하기 위해 RAS 게이트웨이에서 제공하는 기능을 살펴보기로 결정했습니다.

RAS 게이트웨이 설명

RAS 게이트웨이는 Microsoft Hyper-V 네트워크 가상화를 기반으로 하고 다중 테넌트 시나리오에 최적화된 소프트웨어 기반 BGP 지원 라우터입니다. RAS 게이트웨이는 내부 및 외부 물리적 네트워크와 IPsec(인터넷 프로토콜 보안) VPN(가상 사설망) 및 GRE 터널을 지원하는 프라이빗 및 퍼블릭 클라우드 간의 라우팅을 구현합니다.

RAS 게이트웨이는 다음과 같은 핵심 기능을 지원합니다.

  • S2S(사이트 간) IPsec VPN
  • S2S GRE 터널링
  • L3 전달
  • BGP를 사용한 동적 라우팅

S2S IPsec VPN

이 RAS 게이트웨이 기능은 암호화된 터널을 사용하여 인터넷을 통해 가상 네트워크 연결을 제공합니다. 다중 테넌트 시나리오에서 테넌트는 원격 위치에서 Azure Stack HCI 배포에 호스트되는 리소스에 액세스하고 관리할 수 있습니다. VPN 기능에는 IKEv2(Internet Key Exchange v2) 및 P2S(지점 및 사이트간) VPN에 대한 지원이 포함됩니다.

Diagram that shows S 2 S I P sec VPN with a multitenant gateway and tenants accessing and managing resources from remote locations.

S2S GRE 터널링

GRE는 암호화 오버헤드 없이 IP를 통해 가상 지점 간 링크 내에서 다양한 네트워크 계층 프로토콜을 캡슐화할 수 있는 경량 터널링 프로토콜입니다. GRE 터널링을 사용하면 다음 시나리오를 쉽게 구현할 수 있습니다.

  • 테넌트의 가상 네트워크에서 동일한 호스팅 환경 내의 실제 네트워크에 액세스합니다.

Diagram that shows S 2 S G R E tunneling with access from the tenant's virtual networks to a physical network within the same hosting environment.

  • 테넌트의 자체 온-프레미스 네트워크에서 MPLS(Multiprotocol Label Switching) 연결을 통한 고속 연결

Diagram that shows S 2 S G R E tunneling with high-speed connectivity over a M P L S connection from the tenant's own on-premises network.

  • VLAN 기반 격리와 통합

Diagram that shows S 2 S G R E tunneling integration with V LAN-based isolation.

  • IP 주소 공간이 겹치지 않는 하나 이상의 테넌트의 가상 네트워크에서 호스팅 공급자의 실제 네트워크 내의 공유 리소스에 액세스합니다.

Diagram that shows S 2 S G R E tunneling access from one or more tenants' virtual networks.

L3 전달

이 시나리오에서 게이트웨이는 Azure Stack HCI 가상화 환경과 데이터 센터의 물리적 인프라 간에 라우터 역할을 합니다. 각 테넌트는 물리적 네트워크와의 연결에 자체 VLAN 태그가 지정된 논리 네트워크를 사용합니다.

BGP를 사용한 동적 라우팅

동적 라우팅 프로토콜인 BGP는 라우터에서 수동 경로 구성의 필요성을 최소화합니다. RAS 게이트웨이와 같은 BGP 지원 라우터로 연결된 다중 사이트 환경에서 작동할 때 BGP를 사용하면 라우터가 경로를 자동으로 학습하고 (예: 새 연결을 설정한 결과 또는 네트워크 연결 문제에 대한 응답으로) 기존 네트워크 인프라에 반영하도록 구성을 업데이트할 수 있습니다. 다중 테넌트 모드의 RAS 게이트웨이에서 BGP는 테넌트의 VM 네트워크와 해당 원격 사이트 간의 네트워크 트래픽 라우팅을 관리하는 기능을 제공합니다.

참고

단일 테넌트 RAS 게이트웨이 배포 및 원격 액세스 서버 역할을 사용하여 LAN 라우터를 구현하는 경우 BGP를 사용할 수도 있습니다.

라우팅 정보는 RAS 게이트웨이(및 소프트웨어 부하 분산 멀티플렉서와 같은 기타 SDN 구성 요소)에서 내부 BGP 피어링을 사용하여 실제 네트워크에 보급됩니다. 그러나 SDN 인프라가 소프트웨어 부하 분산 멀티플렉서 및 RAS 게이트웨이에서 보급한 네트워크에 대한 경로를 수신하는 데 사용하는 라우터에 BGP 피어를 만들어야 합니다. BGP 피어링은 한 가지 방법으로만 수행되어야 합니다(소프트웨어 부하 분산 멀티플렉서 또는 RAS 게이트웨이에서 외부 BGP 피어로).

참고

자체 ASN을 사용하고 SDN 구성 요소(소프트웨어 부하 분산 멀티플렉서 및 RAS 게이트웨이)에 할당된 ASN의 피어링을 허용하도록 BGP 라우터 피어를 구성해야 합니다.

RAS 게이트웨이 및 게이트웨이 연결 구현

게이트웨이 연결 및 가상 테넌트 게이트웨이를 만들기 전에 SDN RAS 게이트웨이를 구현해야 합니다. 또한 IPsec 연결을 사용하려면 SDN 소프트웨어 Load Balancer를 구현해야 합니다. RAS 게이트웨이 인프라는 게이트웨이 풀과 BGP 경로 리플렉터로 구성됩니다.

게이트웨이 풀 설명

게이트웨이 풀은 물리적 네트워크와 가상 네트워크 간에 네트워크 트래픽을 라우팅하는 SDN 관리 VM 그룹입니다. 풀에는 다음과 같은 속성이 있습니다.

  • 각 풀은 M+N 중복입니다. 즉, M 활성 게이트웨이 VM은 N 대기 게이트웨이 VM에 의해 백업됩니다. M+N 중복성은 고가용성 RAS 게이트웨이 배포를 구현할 때 추가적인 유연성을 제공합니다.
  • 풀은 S2S, L3 및 GRE와 같은 개별 게이트웨이 함수의 조합을 수행할 수 있습니다.
  • 다중 테넌트 RAS 게이트웨이 배포에서 게이트웨이 풀은 전체 배포에 대해 단일 공용 IP 주소를 할당할 수 있는 SDN SLB 뒤에 배포됩니다.
  • 게이트웨이 VM을 추가하거나 제거하여 풀의 크기를 수평으로 조정할 수 있습니다. 게이트웨이를 제거하거나 추가해도 풀에서 제공하는 서비스가 중단되지는 않습니다.
  • 다음을 비롯한 다양한 기준에 따라 풀을 정의할 수 있습니다.
    • S2S, L3 또는 GRE와 같은 연결 형식
    • 용량
    • 중복 수준
    • 테넌트 분리

예를 들어 높은 처리량과 낮은 처리량 IKEv2 S2S 연결을 모두 지원하는 게이트웨이 풀을 만들거나 지정된 테넌트에서만 사용할 수 있는 게이트웨이 풀을 만들 수 있습니다.

참고

게이트웨이 풀에 테넌트 가상 게이트웨이를 추가할 수 있습니다. 네트워크 컨트롤러는 새 가상 게이트웨이를 배포할 때 사용할 가장 적합한 RAS 게이트웨이 VM을 자동으로 결정합니다.

Diagram that shows Multitenant R A S Gateway deployment with the gateway pools deployed behind an S D N S L B.

게이트웨이 풀 구현

모든 Azure Stack HCI SDN RAS 게이트웨이 VM은 DefaultAll이라는 게이트웨이 풀에 있습니다. 추가 게이트웨이 풀을 만들고 여기에 RAS 게이트웨이 VM을 할당하려면 'New-NetworkControllerGatewayPool' PowerShell cmdlet을 사용하면 됩니다.

게이트웨이 연결 구현 및 관리

Windows Admin Center는 IPSec, GRE 및 L3 연결을 비롯한 게이트웨이 연결의 프로비전 및 관리를 용이하게 합니다.

IPsec 게이트웨이 연결 만들기

Windows Admin Center를 사용하여 IPsec 게이트웨이 연결을 만들려면 다음 단계를 수행합니다.

  1. Windows Admin Center에서 Azure Stack HCI 클러스터에 연결합니다.
  2. 도구 창의 네트워킹 섹션에서 게이트웨이 연결을 선택합니다.
  3. 게이트웨이 연결 페이지에서 인벤토리 탭을 선택한 다음, 새로 만들기를 선택합니다.
  4. 새 게이트웨이 연결 만들기 창에서 다음 작업을 수행합니다.
    1. 이름 상자에 연결의 이름을 입력합니다.
    2. 가상 네트워크 드롭다운 목록에서 게이트웨이가 연결을 제공할 가상 네트워크를 선택합니다.
    3. 연결 유형 드롭다운 목록에서 IPSEC를 선택합니다.
    4. 게이트웨이 풀 드롭다운 목록에서 대상 RAS 게이트웨이 풀을 선택합니다.
    5. 게이트웨이 서브넷 드롭다운 목록에서 게이트웨이 연결을 호스트할 가상 네트워크의 전용 서브넷을 선택합니다.
    6. 최대 허용 인바운드 대역폭(KBPS) 상자에서 프로비전 중에 선택한 게이트웨이의 총 용량을 나타내는 값을 제공합니다.
    7. 최대 허용 아웃바운드 대역폭(KBPS) 상자에서 프로비전 중에 선택한 게이트웨이의 총 용량을 나타내는 값을 제공합니다.
    8. 대상 IP 상자에 원격 게이트웨이의 IP 주소를 입력합니다.
    9. 해당 메트릭 및 대상 서브넷 접두사를 포함하여 연결에 경로를 추가합니다.
    10. 원격 게이트웨이에 구성된 비밀과 일치하는 IPsec 공유 비밀을 입력한 다음, 만들기를 선택합니다.

Screenshot of the Gateway connections pane in Windows Admin Center depicting the creation of a new I P S E C gateway connection.

GRE 게이트웨이 연결 만들기

대부분의 경우 Windows Admin Center를 사용하여 GRE 게이트웨이 연결을 만드는 것은 IPsec 게이트웨이 연결을 만드는 것과 동일한 단계 시퀀스가 포함됩니다. 주요 차이점은 연결 형식 드롭다운 목록에서 대신 GRE 옵션을 선택한 다음, 원격 게이트웨이에 구성된 키와 일치하는 GRE 키를 사용한다는 것입니다(IPsec 공유 비밀 대신).

Screenshot of the Create New Gateway Connection pane in Windows Admin Center, depicting the creation of a new G R E gateway connection.

L3 게이트웨이 연결 만들기

Windows Admin Center를 사용하여 L3 게이트웨이 연결을 만드는 프로세스도 이전의 두 절차와 크게 다르지 않습니다. 그러나 연결 유형 드롭다운 목록에서 L3 옵션을 선택하는 것 외에도 다음을 비롯한 추가 설정을 지정해야 합니다.

  1. L3 논리 네트워크에 대한 네트워크입니다. 가상 네트워크에 연결해야 하는 실제 네트워크를 나타냅니다. 먼저 이 네트워크를 SDN 논리 네트워크로 만들어야 합니다.
  2. L3 논리 네트워크L3 논리 서브넷. 이 서브넷에 VLAN ID를 할당해야 합니다.
  3. L3 IP 주소/서브넷 마스크에 해당하는 CIDR 형식의 IP 주소입니다. 이 IP 주소는 게이트웨이 인터페이스에서 구성됩니다.
  4. 가상 네트워크에서 발생한 트래픽이 게이트웨이에 도달한 후 실제 네트워크에서 다음 홉으로 사용되는 L3 논리 서브넷L3 피어 IP 주소입니다.

Screenshot of the Create New Gateway Connections pane in Windows Admin Center, depicting the creation of a new L3 gateway connection.

게이트웨이 연결 수정 및 삭제

IPsec, GRE 및 L3 연결에 대한 여러 연결 설정을 변경할 수 있습니다. 이러한 설정은 다음과 같습니다.

  • IPsec 연결의 경우:
    • 허용되는 최대 인바운드 및 아웃바운드 대역폭
    • 대상 IP 주소
    • 대상 접두사 및 경로 메트릭
    • IPsec 미리 공유된 키
  • GRE 연결의 경우:
    • 허용되는 최대 인바운드 및 아웃바운드 대역폭
    • 대상 IP 주소, 대상 접두사 및 경로 메트릭
    • GRE 키
  • L3 연결의 경우:
    • 허용되는 최대 인바운드 대역폭 및 아웃바운드 대역폭, 대상 접두사 및 경로 메트릭
    • L3 논리 네트워크, L3 논리 서브넷, L3 IP 주소 및 L3 피어 IP

Windows Admin Center를 사용하면 사용자가 만든 게이트웨이 연결을 삭제할 수도 있습니다. 게이트웨이 연결 페이지의 인벤토리 탭에서 이 작업을 수행할 수 있습니다.