지점 및 사이트 간 연결을 포함하여 VPN 연결 보호

  • 7분

VPN Gateway 연결에 사용할 수 있는 다양한 구성이 있다는 사실을 꼭 기억하시기 바랍니다. 그 중에서 필요에 맞는 최상의 구성을 결정해야 합니다. 아래 섹션에서는 다음과 같은 VPN Gateway 연결에 대한 디자인 정보 및 토폴로지 다이어그램을 볼 수 있습니다. 다이어그램 및 설명을 사용하여 요구 사항에 맞게 연결 토폴로지를 선택하도록 도울 수 있습니다. 다이어그램은 주요 기준 토폴로지를 보여 주지만 다이어그램을 지침으로 사용하여 더 복잡한 구성을 빌드할 수 있습니다.

사이트 간 VPN

S2S(사이트 간) VPN 게이트웨이 연결은 IPsec/IKE(IKEv1 또는 IKEv2) VPN 터널을 통한 연결입니다. S2S 연결은 프레미스 간 및 하이브리드 구성에 사용될 수 있습니다. S2S 연결에는 공용 IP 주소가 할당된 온-프레미스에 있는 VPN 디바이스가 필요합니다.

인터넷 프로토콜 보안 터널을 통한 사이트 간 가상 사설망 게이트웨이 연결의 예를 보여 주는 다이어그램.

하나의 공용 IP를 사용하여 활성-대기 모드에서, 또는 두 개의 공용 IP를 사용하여 활성-활성 모드에서 VPN Gateway를 구성할 수 있습니다. 활성-대기 모드에서는 하나의 IPsec 터널이 활성 상태이고 다른 터널은 대기 상태입니다. 이 설정에서는 트래픽이 활성 터널을 통해 전달되고, 터널에 문제가 발생하는 경우 트래픽이 대기 터널로 전환됩니다. 두 IPsec 터널이 동시에 활성 상태로서 데이터가 두 터널을 동시에 통과하는 활성-활성 모드에서 VPN Gateway를 설정할 것을 권장합니다. 활성-활성 모드는 고객이 더 높은 처리량을 경험한다는 또 다른 장점이 있습니다.

가상 네트워크 게이트웨이에서 일반적으로 여러 온-프레미스 사이트에 연결하는 둘 이상의 VPN 연결을 만들 수 있습니다. 여러 연결을 사용하는 경우 경로 기반 VPN 유형(클래식 VNet을 사용하는 경우 동적 게이트웨이)을 사용해야 합니다. 각 가상 네트워크가 하나의 VPN Gateway만 사용할 수 있으므로 게이트웨이를 통한 모든 연결은 사용 가능한 대역폭을 공유합니다. 이러한 유형의 연결을 "다중 사이트" 연결이라고도 합니다.

여러 사이트 가상 사설망 연결 지점의 예를 보여 주는 다이어그램.

지점 및 사이트 간 VPN(가상 사설망)

P2S(지점 및 사이트 간 연결) VPN 게이트웨이 연결을 통해 개별 클라이언트 컴퓨터에서 가상 네트워크로 보안 연결을 만들 수 있습니다. P2S 연결은 클라이언트 컴퓨터에서 시작하여 설정됩니다. 이 솔루션은 집 또는 회의실과 같은 원격 위치에서 Azure VNet에 연결하려는 재택 근무자에게 유용합니다. 또한 P2S VPN은 VNet에 연결해야 하는 클라이언트가 몇 개만 있는 경우 S2S VPN 대신 사용할 수 있는 유용한 솔루션입니다.

S2S 연결과 달리 P2S 연결은 온-프레미스 공용 IP 주소 또는 VPN 디바이스가 필요하지 않습니다. P2S 연결과 S2S 연결에 대한 구성 요구 사항이 모두 충족될 경우 동일한 VPN Gateway를 통해 두 연결을 함께 사용할 수 있습니다.

지점 간 가상 사설망 연결의 예를 보여 주는 다이어그램.

VNet 간 연결(인터넷 프로토콜 보안/인터넷 키 교환 VPN(가상 사설망) 터널)

가상 네트워크를 다른 가상 네트워크에 연결(VNet-VNet)하는 것은 VNet을 온-프레미스 사이트 위치에 연결하는 것과 유사합니다. 두 연결 유형 모두 VPN 게이트웨이를 사용하여 IPsec/IKE를 통한 보안 터널을 제공합니다. VNet 간 통신을 다중 사이트 연결 구성과 통합할 수도 있습니다. 이렇게 하면 프레미스 간 연결을 가상 네트워크 간 연결과 결합하는 네트워크 토폴로지를 설정할 수 있습니다.

연결할 VNet의 상태는 다음과 같습니다.

  • 동일하거나 다른 지역에 위치
  • 동일하거나 다른 구독에 위치
  • 동일하거나 다른 배포 모델

가상 네트워크를 다른 가상 네트워크에 연결하는 방법을 보여 주는 다이어그램. 가상 네트워크를 온-프레미스 사이트 위치에 연결하는 것과 유사합니다.

배포 모델 간의 연결

Azure에는 현재 클래식 및 Resource Manager 등 두 개의 배포 모델이 있습니다. 일정 기간 동안 Azure를 사용한 경우 Azure VM 및 인스턴스 역할이 클래식 VNet에서 실행되고 있을 것입니다. 이후의 VM 및 역할 인스턴스는 Resource Manager에서 만들 VNet에서 실행되고 있을 것입니다. VNet 간의 연결을 만들어 어떤 VNet의 리소스가 다른 리소스와 서로 직접 통신하도록 할 수 있습니다.

VNet 피어링

가상 네트워크가 특정 요구 사항을 충족하면 VNet 피어링을 사용하여 연결을 만들 수 있습니다. VNet 피어링은 가상 네트워크 게이트웨이를 사용하지 않습니다.

사이트 간 및 ExpressRoute 공존 연결

ExpressRoute는 공용 인터넷을 경유하지 않는 WAN에서 Microsoft 서비스(Azure 포함)로의 직접 프라이빗 연결입니다. 사이트 간 VPN 트래픽은 공용 인터넷을 통해 암호화되어 이동합니다. 하나의 가상 네트워크에 대해 사이트 간 VPN과 ExpressRoute 연결을 구성하면 여러 가지 이점을 얻을 수 있습니다.

사이트 간 VPN을 ExpressRoute에 대한 보안 장애 조치(failover) 경로로 구성하거나 사이트 간 VPN을 사용하여 사용자 네트워크의 일부가 아니지만 ExpressRoute를 통해 연결된 사이트에 연결할 수 있습니다. 이 구성에는 동일한 가상 네트워크에 대한 두 개의 가상 네트워크 게이트웨이가 필요합니다. 하나는 'VPN' 게이트웨이 유형을 사용하고 다른 하나는 'ExpressRoute' 게이트웨이 유형을 사용합니다.