게이트웨이 필수 가상 네트워크 통합 구성
게이트웨이 필요 가상 네트워크 통합은 다른 지역의 가상 네트워크 또는 클래식 가상 네트워크에 대한 연결을 지원합니다. 게이트웨이 필수 가상 네트워크 통합은 Windows 플랜인 경우에만 작동합니다. 지역 가상 네트워크 통합을 사용하여 가상 네트워크와 통합하는 것이 좋습니다.
게이트웨이 필요 가상 네트워크 통합:
- 앱이 한 번에 하나의 가상 네트워크에만 연결할 수 있습니다.
- App Service 요금제 내에서 최대 5개의 가상 네트워크를 통합할 수 있습니다.
- App Service 요금제에서 사용할 수 있는 총 개수에 영향을 주지 않고 App Service 요금제의 여러 앱에서 동일한 가상 네트워크를 사용할 수 있습니다. 동일한 App Service 요금제에서 동일한 가상 네트워크를 사용하는 앱이 6개 있는 경우 사용되는 가상 네트워크는 하나로 계산됩니다.
- 게이트웨이의 SLA는 전체 SLA에 영향을 줄 수 있습니다.
- 앱에서 가상 네트워크가 구성된 DNS를 사용할 수 있습니다.
- 앱에 연결하려면 먼저 SSTP 지점 및 사이트 간 VPN이 구성된 가상 네트워크 경로 기반 게이트웨이가 필요합니다.
다음에는 게이트웨이 필요 가상 네트워크 통합을 사용할 수 없습니다.
- ExpressRoute를 통해 연결된 가상 네트워크
- Linux 앱에서.
- Windows 컨테이너에서.
- 서비스 엔드포인트 보안 리소스에 액세스
- 네트워크로 보호된 Key Vault를 참조하는 앱 설정을 해결하려면.
- ExpressRoute와 지점 및 사이트 간 또는 사이트 간 VPN을 모두 지원하는 동시 존재 게이트웨이.
지역 가상 네트워크 통합은 위에서 언급한 제한 사항을 완화합니다.
Azure 가상 네트워크에서 게이트웨이 설정
게이트웨이를 만들려면,
VPN 게이트웨이 및 서브넷을 만듭니다. 경로 기반 VPN 종류를 선택합니다.
지점 및 사이트 간 주소를 설정합니다. 게이트웨이가 기본 SKU에 없으면 지점 및 사이트 간 구성에서 IKEV2를 사용하지 않도록 설정해야 하며 SSTP를 선택해야 합니다. 지점 및 사이트 간 주소 공간은 RFC 1918 주소 블록 10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16에 있어야 합니다.
게이트웨이 필요 가상 네트워크 통합에 사용할 게이트웨이를 만드는 경우 인증서를 업로드할 필요가 없습니다. 게이트웨이를 만드는 데 30분이 걸릴 수 있습니다. 게이트웨이가 만들어질 때까지는 앱을 가상 네트워크와 통합할 수 없습니다.
게이트웨이 필요 가상 네트워크 통합의 작동 방식
게이트웨이 필요 가상 네트워크 통합은 지점 및 사이트 간 VPN 기술을 기반으로 합니다. 지점 및 사이트 간 VPN은 앱을 호스트 하는 가상 머신의 네트워크 액세스를 제한합니다. 앱은 하이브리드 연결 또는 가상 네트워크 통합을 통해서만 트래픽을 인터넷으로 보내도록 제한됩니다. 앱이 포털을 통해 게이트웨이 필요 가상 네트워크 통합을 사용하도록 구성된 경우 사용자를 대신하여 자동으로 복잡한 협상이 관리되고 게이트웨이 및 애플리케이션 쪽에서 인증서가 만들어지고 할당됩니다. 따라서 앱을 호스트하는 데 사용되는 작업자는 선택한 가상 네트워크의 가상 네트워크 게이트웨이에 직접 연결할 수 있습니다.
온-프레미스 리소스에 액세스
앱은 사이트 간 연결이 있는 가상 네트워크와 통합되어 온-프레미스 리소스에 액세스할 수 있습니다. 게이트웨이 필요 가상 네트워크 통합을 사용하는 경우 지점 및 사이트 간 주소 블록을 사용하여 온-프레미스 VPN 게이트웨이 경로를 업데이트합니다. 사이트 간 VPN을 처음 설정하는 경우 이를 구성하는 데 사용되는 스크립트에서 경로를 올바르게 설정해야 합니다. 사이트 간 VPN을 만든 후에 지점 및 사이트 간 VPN을 추가하는 경우 해당 경로를 수동으로 업데이트해야 합니다. 이 작업을 수행하는 방법 관련 세부 정보는 게이트웨이마다 다르며 여기에 설명되어 있지 않습니다.
온-프레미스의 BGP 경로는 App Service에 자동으로 전파되지 않습니다. P2S VPN 클라이언트에 대한 사용자 지정 경로 보급 문서의 단계를 사용하여 지점 및 사이트 간 구성에서 수동으로 전파해야 합니다.
참고 항목
게이트웨이 필요 가상 네트워크 통합 기능은 ExpressRoute 게이트웨이가 있는 가상 네트워크와 앱을 통합하지 않습니다. ExpressRoute 게이트웨이가 공존 모드로 구성되어 있어도 가상 네트워크 통합은 작동하지 않습니다. ExpressRoute 연결을 통해 리소스에 액세스해야 하는 경우에는 지역 가상 네트워크 통합 기능 또는 가상 네트워크에서 실행되는 App Service Environment를 사용합니다.
피어링
피어링과 함께 게이트웨이 필요 가상 네트워크 통합을 사용하는 경우 몇 가지 추가 항목을 구성해야 합니다. 앱에서 작동하도록 피어링을 구성하려면,
- 앱이 연결되는 가상 네트워크에 피어링 연결을 추가합니다. 피어링 연결을 추가할 때 가상 네트워크 액세스 허용을 사용하도록 설정하고, 전달된 트래픽 허용 및 게이트 전송 허용을 선택하세요.
- 연결된 가상 네트워크에 피어링되는 가상 네트워크에서 피어링 연결을 추가합니다. 대상 가상 네트워크에 피어링 연결을 추가할 때 가상 네트워크 액세스 허용을 사용하도록 설정하고, 전달된 트래픽 허용 및 원격 게이트웨이 허용을 선택합니다.
- 포털에서 App Service 요금제>네트워킹>VNet 통합으로 이동합니다. 앱이 연결하는 가상 네트워크를 선택합니다. 라우팅 섹션에서 앱이 연결된 가상 네트워크와 피어링되는 가상 네트워크의 주소 범위를 추가합니다.
가상 네트워크 통합 관리
앱 수준에서 가상 네트워크에 연결하거나 연결을 끊습니다. 여러 앱의 가상 네트워크 통합에 영향을 줄 수 있는 작업은 App Service 요금제 수준에서 이루어집니다. 앱 >네트워킹>VNet 통합 포털에서 가상 네트워크 관련 세부 정보를 볼 수 있습니다. App Service 요금제>네트워킹>VNet 통합 포털의 App Service 요금제 수준에서 유사한 정보를 볼 수 있습니다.
가상 네트워크 통합 인스턴스의 앱 보기에서 할 수 있는 유일한 작업은 현재 연결된 가상 네트워크와 앱의 연결을 해제하는 것입니다. 가상 네트워크에서 앱의 연결을 끊으려면 연결 끊기를 선택합니다. 가상 네트워크와의 연결을 끊으면 앱이 다시 시작됩니다. 연결을 끊더라도 가상 네트워크는 변경되지 않습니다. 서브넷 또는 게이트웨이가 제거되지 않습니다. 그 후 가상 네트워크를 삭제하려면 먼저 가상 네트워크에서 앱의 연결을 끊고 게이트웨이 등의 리소스를 삭제합니다.
App Service 요금제 가상 네트워크 통합 UI에는 App Service 요금제의 앱에서 사용되는 모든 가상 네트워크 통합이 표시됩니다. 각 가상 네트워크에 대한 세부 정보를 보려면 관심 있는 가상 네트워크를 선택합니다. 여기서 게이트웨이 필요 가상 네트워크 통합에 대해 수행할 수 있는 작업은 다음 두 가지입니다.
- 네트워크 동기화: 네트워크 동기화 작업은 게이트웨이 필요 가상 네트워크 통합 기능에만 사용됩니다. 네트워크 동기화 작업을 수행하면 인증서와 네트워크 정보가 동기화됩니다. 가상 네트워크의 DNS를 추가하거나 변경하면 네트워크 동기화 작업을 수행해야 합니다. 이 작업은 이 가상 네트워크를 사용하는 모든 앱을 다시 시작합니다. 다른 구독에 속한 앱과 가상 네트워크를 사용하는 경우 이 작업은 작동하지 않습니다.
- 경로 추가: 경로를 추가하면 아웃바운드 트래픽이 가상 네트워크로 전송됩니다.
인스턴스에 할당된 개인 IP는 환경 변수인 WEBSITE_PRIVATE_IP를 통해 노출됩니다. 또한 Kudu 콘솔 UI에는 웹앱에 사용할 수 있는 환경 변수 목록이 표시됩니다. 이 IP는 가상 네트워크 게이트웨이에 구성된 지점 및 사이트 간 주소 풀의 주소 범위에서 오는 IP입니다. 이 IP는 웹앱이 Azure 가상 네트워크를 통해 리소스에 연결하는 데 사용됩니다.
참고 항목
WEBSITE_PRIVATE_IP 값은 변경 내용에 바인딩됩니다. 하지만 지점 및 사이트 간 주소 범위 내의 IP이므로 전체 주소 범위에서 액세스하도록 허용해야 합니다.
게이트웨이 필요 가상 네트워크 통합 라우팅
가상 네트워크에서 정의된 경로는 앱에서 가상 네트워크로 트래픽을 전송하는 데 사용됩니다. 아웃바운드 트래픽을 가상 네트워크에 추가로 보내려면 여기서 해당 주소 블록을 추가합니다. 이 기능은 게이트웨이 필요 가상 네트워크 통합에서만 작동합니다. 게이트웨이 필수 가상 네트워크 통합을 사용하는 경우 경로 테이블은 앱 트래픽에 영향을 주지 않습니다.
게이트웨이 필요 가상 네트워크 통합 인증서
필수 게이트웨이 가상 네트워크 통합을 사용하면, 연결 보안을 위해 필요한 인증서 교환이 있습니다. 인증서와 함께 네트워크를 설명하는 DNS 구성, 경로 및 다른 비슷한 항목이 있습니다.
인증서 또는 네트워크 정보가 변경되면 네트워크 동기화를 선택하세요. 네트워크 동기화를 선택하면 앱과 가상 네트워크 간의 연결이 잠시 중단됩니다. 앱이 다시 시작되지는 않지만, 연결 손실로 인해 사이트가 제대로 작동하지 않을 수 있습니다.
인증서 갱신
게이트웨이 필수 가상 네트워크 통합에서 사용하는 인증서의 수명은 8년입니다. 게이트웨이 필수 가상 네트워크 통합의 수명이 더 긴 앱이 있는 경우 인증서를 갱신해야 합니다. Azure Portal의 VNet 통합 페이지를 방문하여 인증서가 만료되었거나 만료까지 6개월 미만인지 확인할 수 있습니다.
포털에 거의 만료되었거나 만료된 인증서가 표시되면 인증서를 갱신할 수 있습니다. 인증서를 갱신하려면 가상 네트워크의 연결을 끊고 다시 연결해야 합니다. 다시 연결하면 앱과 가상 네트워크 간의 연결이 잠시 중단됩니다. 앱이 다시 시작되지는 않지만, 연결 손실로 인해 사이트가 제대로 작동하지 않을 수 있습니다.
가격 정보
다음은 게이트웨이 필요 가상 네트워크 통합 기능 사용과 관련된 세 가지 요금입니다.
- App Service 요금제 가격 책정 계층 청구: 앱은 기본, 표준, 프리미엄, 프리미엄 v2 또는 프리미엄 v3 App Service 요금제에 속해야 합니다. 가격 책정에 대한 자세한 내용은 App Service 가격 책정을 참조하세요.
- 데이터 전송 비용: 가상 네트워크가 동일한 데이터 센터에 있더라도 데이터 송신 요금이 있습니다. 이러한 요금은 데이터 전송 가격 정보에서 설명합니다.
- VPN 게이트웨이 비용: 지점 및 사이트 간 VPN에 필요한 가상 네트워크 게이트웨이 관련 비용이 발생합니다. 자세한 내용은 VPN 게이트웨이 가격 책정을 참조하세요.
문제 해결
특정 호스트와 포트에 앱이 도달하지 못하도록 방해할 만한 요소는 많이 있습니다. 대부분의 경우 다음 중 하나입니다.
- 중간에 방화벽이 있음. 중간에 방화벽이 있으면 TCP 시간 제한에 도달합니다. 이 경우 TCP 시간 제한은 21초입니다. tcpping 도구를 사용하여 연결을 테스트합니다. 방화벽 뒤에 있는 많은 항목으로 인해 TCP 시간 초과가 발생할 수 있지만 이 부분에서 시작하세요.
- DNS에 액세스할 수 없음. DNS 시간 제한은 DNS 서버당 3초입니다. DNS 서버가 2개 있으면 제한 시간은 6초입니다. DNS가 작동하는지 확인하려면 nameresolver를 사용합니다. nslookup은 가상 네트워크가 구성된 DNS를 사용하지 않으므로 사용할 수 없습니다. 액세스할 수 없는 경우 DNS에 대한 액세스를 차단하는 방화벽 또는 NSG가 있거나 DNS가 다운되었을 수 있습니다.
해당 항목이 문제에 응답하지 않는 경우 먼저 다음과 같은 사항을 확인합니다.
- 지점과 사이트 간 주소 범위가 RFC 1918 범위(10.0.0.0-10.255.255.255 / 172.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)에 있나요?
- 게이트웨이가 포털에서 실행되고 있나요? 게이트웨이가 다운되어 있으면 다시 가동시킵니다.
- 인증서가 동기화된 것으로 표시되거나 네트워크 구성이 변경된 것으로 의심되나요? 인증서가 동기화되지 않았거나 ASP와 동기화되지 않은 가상 네트워크 구성이 변경된 것으로 의심되는 경우 네트워크 동기화를 선택합니다.
- VPN을 통하는 경우 온-프레미스 게이트웨이가 Azure로 트래픽을 다시 라우팅하도록 구성되어 있나요? 가상 네트워크의 엔드포인트에 연결할 수 있지만 온-프레미스에는 연결할 수 없는 경우 경로를 확인하세요.
- 지점과 사이트 간 및 ExpressRoute를 모두 지원하는 공존 게이트웨이를 사용하려고 하나요? 공존 게이트웨이는 가상 네트워크 통합에서 지원되지 않습니다.
특정 호스트:포트 조합에 대한 액세스를 차단하는 문제를 확인할 수 없기 때문에 네트워킹 문제를 디버깅하는 것은 어렵습니다. 몇 가지 원인은 다음과 같습니다.
- 지점과 사이트 간 IP 범위에서 애플리케이션 포트에 대한 액세스를 차단하는 방화벽이 호스트에서 실행 중입니다. 보통 서브넷을 넘어갈 때는 공용 액세스 권한이 필요합니다.
- 대상 호스트가 다운되었습니다.
- 애플리케이션이 다운되었습니다.
- IP 또는 호스트 이름이 잘못되었습니다.
- 애플리케이션이 예상치 않은 다른 포트를 수신 대기 중입니다. 엔드포인트 호스트에서 "netstat -aon"을 사용하여 프로세스 ID를 수신 대기 포트와 일치시킬 수 있습니다.
- 네트워크 보안 그룹이 지점과 사이트 간 IP 범위에서 애플리케이션 호스트 및 포트에 대한 액세스를 차단하도록 구성되어 있습니다.
앱이 실제로 사용하는 주소를 알 수 없습니다. 지점과 사이트 간 주소 범위의 주소일 수 있으므로 전체 주소 범위의 액세스를 허용해야 합니다.
더 많은 디버그 단계에는 다음이 포함됩니다.
- 가상 네트워크의 VM에 연결하고 이 위치에서 리소스 호스트:포트에 연결하려고 시도합니다. TCP 액세스를 테스트하려면 test-netconnection PowerShell 명령을 사용합니다. 구문은 다음과 같습니다.
Test-NetConnection hostname [optional: -Port]
- VM에서 애플리케이션을 실행하고, tcpping을 사용하여 앱에서 콘솔의 해당 호스트와 포트에 대한 액세스를 테스트합니다.
온-프레미스 리소스
앱에서 온-프레미스 리소스에 연결할 수 없으면 가상 네트워크에서 리소스에 연결할 수 있는지 확인합니다. test-netconnection PowerShell 명령을 사용하여 TCP 액세스를 확인합니다. VM이 온-프레미스 리소스에 연결할 수 없는 경우 VPN 또는 ExpressRoute 연결이 제대로 구성되어 있지 않을 수 있습니다.
가상 네트워크에서 호스트되는 VM에서 온-프레미스 시스템에 연결할 수 있지만 앱에서는 연결할 수 없는 경우 다음과 같은 이유 중 하나 때문일 수 있습니다.
- 온-프레미스 게이트웨이의 서브넷 또는 지점과 사이트 간 주소 범위에 사용자의 경로가 구성되어 있지 않습니다.
- 네트워크 보안 그룹에서 지점과 사이트 간 IP 범위에 대한 액세스를 차단하고 있습니다.
- 온-프레미스 방화벽에서 지점과 사이트 간 IP 범위의 트래픽을 차단하고 있습니다.
- 지역 가상 네트워크 통합 기능을 사용하여 비 RFC 1918 주소에 연결하려고 합니다.
자세한 내용은 가상 네트워크 통합 문제 해결 가이드를 참조하세요.