CLI를 사용하여 VPN 게이트웨이 만들기

이 문서는 Azure CLI를 사용하여 Azure VPN Gateway를 만드는 데 도움이 됩니다. VPN 게이트웨이는 온-프레미스 네트워크에 대한 VPN 연결을 만들 때 사용됩니다. VPN 게이트웨이를 사용하여 가상 네트워크를 연결할 수도 있습니다. 이 문서의 일부 설정에 대한 자세한 내용은 VPN Gateway 만들기 - 포털을 참조하세요.

• 다이어그램의 왼쪽에는 이 문서의 단계를 사용하여 만든 가상 네트워크 및 VPN 게이트웨이가 표시됩니다.
• 나중에 다이어그램의 오른쪽에 표시된 것처럼 다양한 유형의 연결을 추가할 수 있습니다. 예를 들어 사이트 간 및 지점 및 사이트 간 연결을 만들 수 있습니다. 빌드할 수 있는 다양한 디자인 아키텍처를 보려면 VPN 게이트웨이 디자인을 참조하세요.

이 문서의 단계에서는 2세대 VpnGw2AZ SKU를 사용하여 가상 네트워크, 서브넷, 게이트웨이 서브넷 및 경로 기반 영역 중복 활성-활성 모드 VPN 게이트웨이(가상 네트워크 게이트웨이)를 만듭니다. 이 문서의 단계에서는 2세대 VpnGw2AZ SKU를 사용하여 가상 네트워크, 서브넷, 게이트웨이 서브넷 및 경로 기반 영역 중복 활성-활성 모드 VPN 게이트웨이(가상 네트워크 게이트웨이)를 만듭니다. 게이트웨이가 만들어지면 연결을 구성할 수 있습니다.

• 대신 기본 SKU를 사용하여 VPN 게이트웨이를 만들려면 기본 SKU VPN 게이트웨이 만들기를 참조하세요.
• 가능하면 활성-활성 모드 VPN Gateway를 만드는 것이 좋습니다. 활성-활성 모드 VPN 게이트웨이는 표준 모드 VPN 게이트웨이보다 더 나은 가용성과 성능을 제공합니다. 활성-활성 게이트웨이에 대한 자세한 내용은 활성-활성 모드 게이트웨이 정보를 참조 하세요.
• 가용성 영역 및 영역 중복 게이트웨이 에 대한 자세한 내용은 가용성 영역이란?

참고 항목

이 문서의 단계에서는 Azure 가용성 영역을 지원하는 SKU인 게이트웨이 SKU VpnGw2AZ를 사용합니다. 해당 지역에 대해 가용성 영역이 지원되지 않는 경우 대신 비 AZ SKU를 사용합니다. SKU에 대한 자세한 내용은 게이트웨이 SKU 정보를 참조하세요.

시작하기 전에

이러한 단계에는 Azure 구독이 필요합니다. Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

사전 요구 사항

• Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell의 Bash에 대한 빠른 시작을 참조하세요.

  

• CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.

  • 로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 로그인을 참조하세요.

  • 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI에서 확장 사용을 참조하세요.

  • az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.

• 이 문서에는 Azure CLI 버전 2.0.4 이상이 필요합니다. Azure Cloud Shell을 사용하는 경우 최신 버전이 이미 설치되어 있습니다.

리소스 그룹 만들기

az group create 명령을 사용하여 리소스 그룹을 만듭니다. 리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다.

az group create --name TestRG1 --location eastus

가상 네트워크 만들기

아직 가상 네트워크가 없으면 az network vnet create 명령을 사용하여 만듭니다. 가상 네트워크를 만들 때 지정한 주소 공간이 온-프레미스 네트워크에 있는 주소 공간과 겹치지 않도록 합니다. VPN 연결의 양쪽에 중복 주소 범위가 있는 경우 트래픽은 예상대로 라우팅되지 않습니다. 또한 이 가상 네트워크를 다른 가상 네트워크에 연결하려는 경우 주소 공간이 다른 가상 네트워크와 겹칠 수 없습니다. 이에 따라 네트워크 구성을 적절히 계획하도록 주의해야 합니다.

다음 예제에서는 'VNet1'이라는 가상 네트워크와 서브넷 'FrontEnd'를 만듭니다. 이 연습에서는 FrontEnd 서브넷이 사용되지 않습니다. 고유한 서브넷 이름을 대체할 수 있습니다.

az network vnet create \
  -n VNet1 \
  -g TestRG1 \
  -l eastus \
  --address-prefix 10.1.0.0/16 \
  --subnet-name FrontEnd \
  --subnet-prefix 10.1.0.0/24

게이트웨이 서브넷 추가

가상 네트워크 게이트웨이 리소스는 GatewaySubnet이라는 특정 서브넷에 배포됩니다. 게이트웨이 서브넷은 가상 네트워크를 구성할 때 지정하는 가상 네트워크 IP 주소 범위에 속합니다.

GatewaySubnet이라는 서브넷이 없는 경우 VPN 게이트웨이를 만들 때 실패합니다. /27(이상)을 사용하는 게이트웨이 서브넷을 만드는 것이 좋습니다. 예를 들어 /27 또는 /26입니다. 자세한 내용은 VPN Gateway 설정 - 게이트웨이 서브넷을 참조하세요.

Important

게이트웨이 서브넷의 NSG는 지원되지 않습니다. 네트워크 보안 그룹을 이 서브넷에 연결하면 가상 네트워크 게이트웨이(VPN 및 ExpressRoute 게이트웨이)가 예상대로 작동하지 않을 수 있습니다. 네트워크 보안 그룹에 대한 자세한 내용은 네트워크 보안 그룹이란?을 참조하세요.

다음 예제를 사용하여 게이트웨이 서브넷을 추가합니다.

az network vnet subnet create \
  --vnet-name VNet1 \
  -n GatewaySubnet \
  -g TestRG1 \
  --address-prefix 10.1.255.0/27 

공용 IP 주소 요청

VPN Gateway에는 공용 IP 주소가 있어야 합니다. VPN 게이트웨이에 대한 연결을 만들 때 사용자가 지정한 IP 주소입니다. 활성-활성 모드 게이트웨이의 경우 각 게이트웨이 인스턴스에는 자체 공용 IP 주소 리소스가 있습니다. 먼저 IP 주소 리소스를 요청하고, 가상 네트워크 게이트웨이를 만들 때 참조합니다. 또한 AZ로 끝나는 게이트웨이 SKU의 경우 영역 설정도 지정해야 합니다. 이 예제에서는 세 개의 지역 영역을 모두 지정하기 때문에 영역 중복 구성을 지정합니다.

VPN Gateway를 만들 때 IP 주소가 리소스에 할당됩니다. 게이트웨이를 삭제하고 다시 만드는 경우에만 공용 IP 주소가 변경됩니다. VPN Gateway의 크기 조정, 다시 설정 또는 기타 내부 유지 관리/업그레이드 시에는 변경되지 않습니다.

az network public-ip create 명령을 사용하여 공용 IP 주소를 요청합니다.

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

활성-활성 게이트웨이(권장)를 만들려면 두 번째 공용 IP 주소를 요청합니다.

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

VPN 게이트웨이 만들기

종종 선택한 게이트웨이 SKU에 따라 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다. 게이트웨이가 만들어지면 가상 네트워크와 온-프레미스 위치 간에 연결을 만들 수 있습니다. 또는 가상 네트워크와 다른 가상 네트워크 간에 연결을 만듭니다.

az network vnet-gateway create 명령을 사용하여 VPN Gateway를 만듭니다. --no-wait 매개 변수를 사용하여 이 명령을 실행하면 피드백 또는 출력이 보이지 않습니다. --no-wait 매개 변수는 백그라운드에서 게이트웨이를 만드는 것을 허용합니다. VPN 게이트웨이가 즉시 만들어진다는 것을 의미하지는 않습니다. 다른 SKU 를 사용하여 게이트웨이를 만들려면 게이트웨이 SKU 정보에서 구성 요구 사항에 가장 적합한 SKU를 확인하세요.

활성-활성 모드 게이트웨이

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

활성 대기 모드 게이트웨이

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

VPN 게이트웨이를 만드는 데에는 45분 이상이 걸릴 수 있습니다.

VPN 게이트웨이 보기

az network vnet-gateway show \
  -n VNet1GW \
  -g TestRG1

게이트웨이 IP 주소 보기

각 VPN 게이트웨이 인스턴스에는 공용 IP 주소 리소스가 할당됩니다. 리소스와 연결된 IP 주소를 보려면 다음 명령을 사용합니다. 각 게이트웨이 인스턴스에 대해 반복합니다.

az network public-ip show -g TestRG1 -n VNet1GWpip1

리소스 정리

만든 리소스가 더 이상 필요하지 않으면 az group delete 명령을 사용하여 리소스 그룹을 삭제합니다. 이렇게 하면 리소스 그룹과 여기에 포함된 모든 리소스가 삭제됩니다.

az group delete --name TestRG1 --yes

다음 단계

게이트웨이가 만들어지면 연결을 구성할 수 있습니다.

• 사이트 간 연결 만들기
• 다른 가상 네트워크에 대한 연결 만들기
• 지점 및 사이트 간 연결 만들기