테넌트 사용자를 위한 Azure Stack Hub VPN 빠른 경로
Azure Stack Hub VPN 빠른 경로 기능은 무엇인가요?
Azure Stack Hub는 VPN 빠른 경로 기능의 일부로 이 문서에 설명된 세 가지 새로운 SKU를 소개합니다. 이전에는 S2S 터널이 HighPerformance SKU를 사용하여 최대 대역폭 200Mbps로 제한되었습니다. 새로운 SKU를 사용하면 더 높은 네트워크 처리량이 필요한 고객 시나리오를 사용할 수 있습니다. 각 SKU의 처리량 값은 단방향 값이므로 트래픽을 보내거나 받을 때 지정된 처리량을 지원합니다.
Azure Stack 연산자가 Azure Stack Hub 스탬프에서 VPN Fast Path 기능을 사용하도록 설정하면 테넌트 사용자는 새 SKU를 사용하여 가상 네트워크 게이트웨이를 만들 수 있습니다. 가상 네트워크 게이트웨이 및 새 SKU 중 하나와의 연결을 다시 만들어 기존 설정을 조정할 수 있습니다.
VPN 빠른 경로를 사용하는 경우 사용할 수 있는 새 가상 네트워크 게이트웨이 SKU
3개의 새로운 SKU 외에도 전체 Azure Stack Hub VPN 용량이 증가하여 더 많은 VPN 연결을 허용합니다.
다음 표에서는 VPN 빠른 경로가 사용하도록 설정된 경우 각 SKU에 대한 새 처리량을 보여 줍니다.
SKU | 최대 VPN 연결 처리량 |
---|---|
기본 | 100Mbps Tx/Rx |
Standard | 100Mbps Tx/Rx |
고성능 | 200Mbps Tx/Rx |
VpnGwy1 | 650Mbps Tx/Rx |
VpnGwy2 | 1000Mbps Tx/Rx |
VpnGwy3 | 1250Mbps Tx/Rx |
새 SKU를 사용하는 가상 네트워크 게이트웨이 만들기
VPN 빠른 경로를 사용하면 테넌트 사용자가 Azure Stack Hub 포털 또는 PowerShell을 사용하여 새 SKU를 사용하여 가상 네트워크 게이트웨이를 만들 수 있습니다.
Azure Stack Hub 포털을 사용하여 새 SKU를 사용하여 가상 네트워크 게이트웨이 만들기
Azure Stack Hub 포털을 사용하여 가상 네트워크 게이트웨이를 만드는 경우 드롭다운 목록을 사용하여 SKU를 선택할 수 있습니다. 새 VPN 빠른 경로 SKU(VpnGwy1, VpnGwy2, VpnGwy3)는 URL에 쿼리 매개 변수 "?azurestacknewvpnskus=true"를 추가하고 새로 고침한 후에만 표시됩니다.
다음 URL 예제에서는 Azure Stack Hub 사용자 포털에 새 가상 네트워크 게이트웨이 SKU를 표시합니다.
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
운영자가 이러한 리소스를 만들기 전에 Azure Stack Hub 스탬프에서 VPN Fast Path를 사용하도록 설정해야 합니다.
PowerShell을 사용하여 새 SKU를 사용하여 가상 네트워크 게이트웨이 만들기
다음 예제에서는 AzureRM 모듈을 사용합니다.
# Create PIP
$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic
# Gateway configuration. VNET is assumed to exist
$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id
# Create virtual network gateway VPNGw3 SKU
$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here
# Create local network gateway - remote VPN device endpoint configuration
$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix
# Create VPN Connection on the virtual network gateway
$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key
레거시 가상 네트워크 게이트웨이 업그레이드
가상 네트워크 게이트웨이를 다시 만들지 않고는 SKU를 업데이트할 수 없으므로 가상 네트워크 게이트웨이와 연결된 모든 연결을 삭제해야 합니다. 새 SKU를 사용하여 가상 네트워크 게이트웨이를 만든 후 로컬 네트워크 게이트웨이 리소스를 다시 사용할 수 있습니다. 로컬 네트워크 게이트웨이 리소스는 온-프레미스 디바이스의 주소 공간 및 IP 주소를 정의하고 해당 구성을 유지합니다.
가상 네트워크 게이트웨이 SKU를 업그레이드하려면 다음 단계를 수행합니다.
- 기존 가상 네트워크 게이트웨이에서 모든 연결을 삭제합니다. 미리 공유된 키와 BGP 플래그를 사용하도록 설정되었는지 여부를 기록해 둡니다.
- 레거시 SKU를 사용하여 기존 가상 네트워크 게이트웨이를 삭제합니다. 동일한 가상 네트워크에 두 개의 가상 네트워크 게이트웨이를 만들 수 없으므로 기존 게이트웨이를 삭제해야 합니다.
- 새 SKU를 사용하여 새 가상 네트워크 게이트웨이 리소스를 만듭니다. VPN 빠른 경로로 사용하도록 설정된 새 SKU 중 하나를 선택할 수 있습니다.
- 새 가상 네트워크 게이트웨이와 기존 로컬 네트워크 게이트웨이 간에 새 연결을 만듭니다. 사용자 지정 IP 초 정책을 사용하는 경우 PowerShell을 통해 연결을 만듭니다. 1단계에서 적어 둔 미리 공유된 키 및 BGP 플래그를 사용합니다.
- 새 SKU로 이동하려는 다른 연결에 대해 4단계를 반복합니다. 이 단계는 다중 사이트 시나리오와 관련이 있습니다.
VPN 연결 토폴로지
VPN 게이트웨이에는 다양한 구성을 사용할 수 있습니다. 요구 사항에 가장 적합한 구성을 결정합니다. 다음 섹션에서는 다음 VPN 게이트웨이 시나리오에 대한 정보 및 토폴로지 다이어그램을 볼 수 있습니다.
- 사이트 간 연결
- 사이트-다중 사이트 연결
- Azure Stack Hub 스탬프 간의 사이트 간 또는 사이트 간 연결
다음 섹션의 다이어그램 및 설명은 요구 사항에 맞게 연결 토폴로지 선택 시 도움이 될 수 있습니다. 다이어그램은 기본 기준 토폴로지이지만 다이어그램을 가이드로 사용하여 더 복잡한 구성을 빌드할 수 있습니다.
사이트 간 연결
S2S(사이트 대 사이트) VPN 게이트웨이 연결은 IPsec/IKE(IKEv2) VPN 터널을 통해 연결됩니다. 이 유형의 연결에는 온-프레미스에 있고 공용 IP 주소가 할당된 VPN 디바이스가 필요합니다.
사이트-다중 사이트 연결
사이트-다중 사이트 토폴로지는 사이트-사이트 토폴로지의 변형입니다. 가상 네트워크 게이트웨이에서 일반적으로 여러 온-프레미스 사이트에 연결하는 둘 이상의 VPN 연결을 만듭니다.
Azure Stack Hub 스탬프 간의 사이트 간 또는 사이트 간 연결
두 Azure Stack Hub 배포 간에 하나의 사이트 간 VPN 연결만 만들 수 있습니다. 이 제한은 동일한 IP 주소에 대한 단일 VPN 연결만 허용하는 플랫폼의 제한 때문입니다. Azure Stack Hub는 Azure Stack Hub 시스템의 모든 VPN 게이트웨이에 대해 단일 공용 IP가 있는 다중 테넌트 게이트웨이를 사용하므로 두 Azure Stack Hub 시스템 간에 하나의 VPN 연결만 있을 수 있습니다. 이 제한 사항은 단일 IP 주소를 사용하는 모든 VPN 게이트웨이에 둘 이상의 사이트-사이트 VPN 연결을 연결하는 데에도 적용됩니다. Azure Stack Hub는 동일한 IP 주소를 사용하여 둘 이상의 로컬 네트워크 게이트웨이 리소스를 만들 수 없습니다.
다음 다이어그램에서는 스탬프 간에 메시 토폴로지를 만들어야 하는 경우 여러 Azure Stack Hub 스탬프를 상호 연결하는 방법을 보여 줍니다. 이 시나리오에는 3개의 Azure Stack Hub 스탬프가 있으며, 각 스탬프에는 2개의 연결과 2개의 로컬 네트워크 게이트웨이가 있는 1개의 가상 네트워크 게이트웨이가 있습니다. 새 SKU를 사용하면 사용자는 최대 1,250Mbps Tx/Rx의 VPN 연결 처리량을 사용하여 스탬프 간에 네트워크와 워크로드를 연결하여 각 스탬프의 게이트웨이 풀 용량의 50%를 할당할 수 있습니다. 각 스탬프의 남은 용량은 다른 사용 사례에 필요한 더 많은 VPN 연결에 사용할 수 있습니다.