다음을 통해 공유

Azure Virtual WAN 허브에서 네트워크 가상 어플라이언스를 만드는 방법

  • 아티클

이 문서에서는 Azure Virtual WAN 허브에 NVA(통합 네트워크 가상 어플라이언스) 를 배포하는 방법을 보여 줍니다.

배경

Virtual WAN 허브에 배포된 NVA는 일반적으로 세 가지 범주로 분할됩니다.

  • 연결 어플라이언스: 온-프레미스에서 VPN 및 SD-WAN 연결을 종료하는 데 사용됩니다. 연결 어플라이언스는 BGP(Border Gateway Protocol)를 사용하여 Virtual WAN 허브와 경로를 교환합니다.
  • NGFW(차세대 방화벽) 어플라이언스: 라우팅 의도와 함께 가상 WAN 허브를 트래버스하는 트래픽에 대한 범프 인 더 와이어 검사를 제공하는 데 사용됩니다.
  • 이중 역할 연결 및 방화벽 어플라이언스: 온-프레미스 디바이스를 Azure에 연결하고 라우팅 의도로 Virtual WAN 허브를 통과하는 트래픽을 검사하는 단일 디바이스입니다.

Virtual WAN 허브 및 해당 기능에 배포할 수 있는 NVA 목록은 Virtual WAN NVA 파트너를 참조하세요.

배포 메커니즘

네트워크 가상 어플라이언스는 몇 가지 다른 워크플로를 통해 배포할 수 있습니다. 네트워크 가상 어플라이언스 파트너는 서로 다른 배포 메커니즘을 지원합니다. 모든 Virtual WAN 통합 NVA 파트너는 Azure Marketplace 관리되는 애플리케이션 워크플로를 지원합니다. 다른 배포 방법에 대한 자세한 내용은 NVA 공급자의 설명서를 참조하세요.

  • Azure Marketplace 관리형 애플리케이션: 모든 Virtual WAN NVA 파트너는 Azure Managed Applications를 사용하여 Virtual WAN 허브에 통합 NVA를 배포합니다. Azure Managed Applications는 NVA 공급자가 만든 Azure Portal 환경을 통해 Virtual WAN 허브에 NVA를 배포하는 쉬운 방법을 제공합니다. Azure Portal 환경은 NVA를 배포하고 부팅하는 데 필요한 중요한 배포 및 구성 매개 변수를 수집합니다. Azure Managed Applications에 대한 자세한 내용은 관리되는 애플리케이션 설명서를 참조 하세요. Azure Managed Application을 통해 전체 배포 워크플로에 대한 공급자의 설명서를 참조하세요.
  • NVA 오케스트레이터 배포: 특정 NVA 파트너를 사용하면 NVA 오케스트레이션 또는 관리 소프트웨어에서 직접 허브에 NVA를 배포할 수 있습니다. NVA 오케스트레이션 소프트웨어에서 NVA 배포를 수행하려면 일반적으로 NVA 오케스트레이션 소프트웨어에 Azure 서비스 주체를 제공해야 합니다. Azure 서비스 주체는 NVA 오케스트레이션 소프트웨어에서 Azure API와 상호 작용하여 허브에서 NVA를 배포하고 관리하는 데 사용됩니다. 이 워크플로는 NVA 공급자의 구현과 관련이 있습니다. 자세한 내용은 공급자의 설명서를 참조하세요.
  • 기타 배포 메커니즘: NVA 파트너는 ARM 템플릿 및 Terraform과 같은 허브에 NVA를 배포하는 다른 메커니즘을 제공할 수도 있습니다. 지원되는 다른 배포 메커니즘에 대한 자세한 내용은 공급자의 설명서를 참조하세요.

필수 조건

다음 자습서에서는 하나 이상의 Virtual WAN 허브를 사용하여 Virtual WAN 리소스를 배포했다고 가정합니다. 또한 이 자습서에서는 Azure Marketplace 관리형 애플리케이션을 통해 NVA를 배포한다고 가정합니다.

필요한 권한

Virtual WAN 허브에 네트워크 가상 어플라이언스를 배포하려면 NVA를 만들고 관리하는 사용자 또는 서비스 주체에 최소한 다음 권한이 있어야 합니다.

  • Microsoft.Network/virtualHubs/NVA가 배포된 Virtual WAN 허브를 읽습니다.
  • Microsoft.Network/networkVirtualAppliances/NVA가 배포된 리소스 그룹을 통해 작성합니다.
  • Microsoft.Network/publicIpAddresses/인터넷 인바운드용 네트워크 가상 어플라이언스 사용 사례와 함께 배포된 공용 IP 주소 리소스를 통해 조인 합니다.

배포가 성공하려면 이러한 권한을 Azure Marketplace 관리형 애플리케이션에 부여해야 합니다. NVA 파트너가 개발한 배포 워크플로의 구현에 따라 다른 권한이 필요할 수 있습니다.

Azure Managed Application에 사용 권한 할당

Azure Marketplace 관리형 애플리케이션을 통해 배포되는 네트워크 가상 어플라이언스는 관리되는 리소스 그룹이라고 하는 Azure 테넌트에서 특수 리소스 그룹에 배포됩니다. 구독에서 관리되는 애플리케이션을 만들면 해당 및 별도의 관리되는 리소스 그룹이 구독에 만들어집니다. 관리되는 애플리케이션에서 만든 모든 Azure 리소스(네트워크 가상 어플라이언스 포함)는 관리되는 리소스 그룹에 배포됩니다.

Azure Marketplace는 관리되는 리소스 그룹에 리소스 배포를 수행하는 자사 서비스 주체를 소유합니다. 이 자사 보안 주체는 관리되는 리소스 그룹에서 리소스를 만들 수 있는 권한이 있지만 관리되는 리소스 그룹 외부에서 Azure 리소스를 읽거나 업데이트하거나 만들 수 있는 권한이 없습니다.

충분한 수준의 권한으로 NVA 배포를 수행하려면 가상 WAN 허브 및 네트워크 가상 어플라이언스에서 사용하려는 공용 IP 주소에 대한 권한이 있는 사용자 할당 관리 ID를 사용하여 관리되는 애플리케이션을 배포하여 Azure Marketplace 배포 서비스 주체에 추가 권한을 부여합니다. 이 사용자 할당 관리 ID는 관리되는 리소스 그룹의 리소스 초기 배포에만 사용되며 해당 관리되는 애플리케이션 배포의 컨텍스트에서만 사용됩니다.

참고 항목

사용자 할당 시스템 ID만 Azure Managed Applications에 할당하여 Virtual WAN Hub에 네트워크 가상 어플라이언스를 배포할 수 있습니다. 시스템 할당 ID는 지원되지 않습니다.

  1. 새 사용자 할당 ID를 만듭니다. 새 사용자 할당 ID를 만드는 단계는 관리 ID 설명서를 참조 하세요. 기존 사용자 할당 ID를 사용할 수도 있습니다.
  2. NVA 공급자에 필요한 사용 권한과 함께 필요한 사용 권한 섹션에 설명된 사용 권한을 최소한 사용자 할당 ID에 할당합니다. 사용자 할당 ID에 필요한 권한의 상위 집합이 포함된 네트워크 기여자 같은 기본 제공 Azure 역할을 제공할 수도 있습니다.

또는 다음 샘플 정의를 사용하여 사용자 지정 역할을 만들고 사용자 할당 관리 ID에 사용자 지정 역할을 할당할 수도 있습니다.

{  
"Name": "Virtual WAN NVA Operator", 
  "IsCustom": true,
  "Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
  "Actions": [
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.Network/publicIPAddresses/join",
    "Microsoft.Network/networkVirtualAppliances/*",
    "Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"    
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
    "/subscriptions/{subscription where Public IP used for NVA is deployed}",
  ]
}

NVA 배포

다음 섹션에서는 Azure Marketplace 관리되는 애플리케이션을 사용하여 Virtual WAN 허브에 네트워크 가상 어플라이언스를 배포하는 데 필요한 단계를 설명합니다.

  1. Virtual WAN 허브로 이동하고 타사 공급자에서 네트워크 가상 어플라이언스를 선택합니다.

Virtual WAN 허브에서 NVA 메뉴로 이동하는 방법을 보여 주는 스크린샷.

  1. 네트워크 가상 어플라이언스 만들기를 선택합니다.

NVA를 만드는 방법을 보여 주는 스크린샷

  1. NVA 공급업체를 선택합니다. 이 예제에서는 "fortinet-ngfw"를 선택하고 만들기를 선택합니다. 이 시점에서 NVA 파트너의 Azure Marketplace 관리형 애플리케이션으로 리디렉션됩니다.

NVA 공급업체를 선택하는 방법을 보여 주는 스크린샷

  1. 관리되는 애플리케이션 만들기 환경에 따라 NVA를 배포하고 공급자의 설명서를 참조합니다. 이전 섹션에서 만든 사용자 할당 시스템 ID가 관리되는 애플리케이션 만들기 워크플로의 일부로 선택되어 있는지 확인합니다.

일반적인 배포 오류

권한 오류

참고 항목

LinkedAuthorizationFailed와 연결된 오류 메시지는 누락된 권한 하나만 표시합니다. 따라서 서비스 주체, 관리 ID 또는 사용자에게 할당된 권한을 업데이트한 후 다른 누락된 권한이 표시될 수 있습니다.

  • LinkedAuthorizationFailed 오류 코드가 포함된 오류 메시지가 표시되면 관리되는 애플리케이션 배포의 일부로 제공된 사용자 할당 ID에 적절한 권한이 할당되지 않았습니다. 누락된 정확한 권한은 오류 메시지에 설명되어 있습니다. 다음 예제에서는 사용자 할당 관리 ID에 NVA를 배포하려는 Virtual WAN 허브에 대한 READ 권한이 있는지 다시 확인합니다.
The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials

다음 단계