Virtual Network 피어링 또는 게이트웨이 계획 및 구현
가상 네트워크는 Azure 공용 네트워크의 격리된 가상 부분입니다. 기본적으로 트래픽은 두 가상 네트워크 간에 라우팅할 수 없습니다. 그러나 단일 지역 내에서 또는 두 지역에 걸쳐 가상 네트워크를 연결하여 트래픽을 라우팅할 수 있습니다.
가상 네트워크 연결 유형
가상 네트워크 피어링. 가상 네트워크 피어링이 2개의 Azure 가상 네트워크를 연결합니다. 가상 네트워크가 피어링되면 연결성을 위해 하나로 표시됩니다. 피어링된 가상 네트워크에 있는 가상 머신 간의 트래픽은 Microsoft 백본 인프라를 통해, 개인 IP 주소만을 통해 라우팅됩니다. 공용 인터넷은 관여하지 않습니다. Azure 지역(글로벌 피어링)에서 가상 네트워크를 피어링할 수도 있습니다.
VPN 게이트웨이 VPN Gateway는 퍼블릭 인터넷을 통해 Azure 가상 네트워크와 온-프레미스 위치 간의 트래픽을 전송하는 데 사용되는 특정 유형의 가상 네트워크 게이트웨이입니다. 또한 VPN 게이트웨이를 사용하여 Azure 가상 네트워크 간에 트래픽을 전송할 수 있습니다. VPN Gateway는 각 가상 네트워크당 최대 하나만 사용할 수 있습니다. 모든 경계 가상 네트워크에서 Azure DDoS(Distributed Denial of Service) 보호 표준을 사용하도록 설정해야 합니다.
가상 네트워크 피어링에서는 대기 시간이 짧고 대역폭이 높은 연결을 제공합니다. 경로에 게이트웨이가 없고 추가 홉이 없으므로 짧은 대기 시간 연결을 보장합니다. 지역 간 데이터 복제 및 데이터베이스 장애 조치(failover)와 같은 시나리오에서 유용합니다. 트래픽은 비공개이며 Microsoft 백본에 남아 있으므로 엄격한 데이터 정책이 있고 인터넷을 통해 트래픽을 보내지 않으려면 가상 네트워크 피어링을 고려합니다.
VPN Gateway는 제한된 대역폭 연결을 제공하며 암호화가 필요하지만 대역폭 제한을 허용할 수 있는 시나리오에서 유용합니다. 이러한 시나리오에서는 고객도 대기 시간을 구분하지 않습니다.
게이트웨이 전송
가상 네트워크 피어링 및 VPN 게이트웨이는 게이트웨이 전송을 통해 공존할 수 있습니다.
게이트웨이 전송을 사용하면 연결을 위한 새 게이트웨이를 만드는 대신 피어링된 가상 네트워크의 게이트웨이를 사용하여 온-프레미스에 연결할 수 있습니다. Azure에서 워크로드를 늘리면 성장을 따라잡기 위해 지역 및 가상 네트워크에서 네트워크를 확장해야 합니다. 게이트웨이 전송을 사용하면 피어된 모든 가상 네트워크와 ExpressRoute 또는 VPN 게이트웨이를 공유할 수 있으며 한 곳에서 연결을 관리할 수 있습니다. 공유를 사용하면 비용을 절감하고 관리 오버헤드를 줄일 수 있습니다.
가상 네트워크 피어링에서 게이트웨이 전송을 사용하도록 설정하면 VPN 게이트웨이, 네트워크 가상 어플라이언스 및 기타 공유 서비스를 포함하는 전송 가상 네트워크를 만들 수 있습니다. 조직이 새 애플리케이션 또는 사업부를 통해 성장하고 새 가상 네트워크를 스핀업할 때 피어링을 사용하여 전송 가상 네트워크에 연결할 수 있습니다. 이렇게 하면 네트워크에 복잡성이 추가되지 않고 여러 게이트웨이 및 기타 어플라이언스를 관리하는 관리 오버헤드가 줄어듭니다.
연결 구성
가상 네트워크 피어링 및 VPN 게이트웨이는 모두 다음 연결 유형을 지원합니다.
- 다양한 지역의 가상 네트워크
- 다양한 Microsoft Entra 테넌트의 가상 네트워크.
- 다양한 Azure 구독의 가상 네트워크
- Azure 배포 모델(Resource Manager 및 클래식)을 혼합하여 사용하는 가상 네트워크입니다.
가상 네트워크 피어링 및 VPN Gateway 비교
| 항목 | 가상 네트워크 피어링 | VPN Gateway |
|---|---|---|
| 제한 | 가상 네트워크당 최대 500개의 가상 네트워크 피어링 | 가상 네트워크당 하나의 VPN 게이트웨이 게이트웨이당 최대 터널 수는 게이트웨이 SKU에 따라 달라집니다. |
| 가격 책정 모델 | 수신/송신 | 시간별 + 송신 |
| 암호화 | 소프트웨어 수준 암호화를 사용하는 것이 좋습니다. | 사용자 지정 IPsec/IKE 정책은 새 연결 또는 기존 연결에 적용할 수 있습니다. |
| 대역폭 제한 사항 | 대역폭 제한이 없습니다. | SKU에 따라 다릅니다. |
| 프라이빗인가요? | 예. Microsoft 백본 및 프라이빗을 통해 라우팅됩니다. 공용 인터넷은 관여하지 않습니다. | 공용 IP가 포함되지만 Microsoft 글로벌 네트워크가 사용하도록 설정된 경우 Microsoft 백본을 통해 라우팅됩니다. |
| 전이적 관계 | 피어링 연결은 전이적이지 않습니다. 허브 가상 네트워크의 NVA 또는 게이트웨이를 사용하여 전이적 네트워킹을 수행할 수 있습니다. | 가상 네트워크가 VPN 게이트웨이를 통해 연결되고 가상 네트워크 연결에서 BGP를 사용하도록 설정하면 전이성이 작동합니다. |
| 초기 설치 시간 | 빠름 | 최대 30분 |
| 일반적인 시나리오 | 데이터 복제, 데이터베이스 장애 조치(failover) 및 대규모 데이터의 빈번한 백업이 필요한 기타 시나리오 | 대기 시간이 중요하지 않고 전체에서 길 필요가 없는 암호화 관련 시나리오 |