다음을 통해 공유

vWAN에서 Azure VMware Solution에 대한 사이트 간 VPN 구성

  • 아티클

이 문서에서는 Microsoft Azure Virtual WAN 허브에서 VPN(IPsec IKEv1 및 IKEv2) 사이트 간 터널을 설정하는 방법을 알아봅니다. 해당 허브에는 Azure VMware Solution ExpressRoute 게이트웨이 및 사이트 간 VPN 게이트웨이가 포함됩니다. 이는 온-프레미스 VPN 디바이스를 Azure VMware Solution 엔드포인트와 연결합니다.

VPN 사이트 간 터널 아키텍처를 보여 주는 다이어그램.

필수 조건

온-프레미스 VPN 디바이스에서 종료되는 공용 IP 주소가 있어야 합니다.

Azure Virtual WAN 만들기

  1. 포털의 리소스 검색 표시줄에서 검색 상자에 Virtual WAN을 입력하고 Enter를 선택합니다.

  2. 결과에서 Virtual WAN을 선택합니다. Virtual WAN 페이지에서 + 만들기를 선택하여 WAN 만들기 페이지를 엽니다.

  3. WAN 만들기 페이지의 기본 사항 탭에서 필드를 입력합니다. 사용자 환경에 적용할 예제 값을 수정합니다.

    기본 탭이 선택된 WAN 만들기 창을 보여 주는 스크린샷

    • 구독: 사용할 구독을 선택합니다.
    • 리소스 그룹: 새로 만들거나 기존 항목을 사용합니다.
    • 리소스 그룹 위치: 드롭다운에서 리소스 위치를 선택합니다. WAN은 전역 리소스이며 특정 지역에 상주하지 않습니다. 그러나 사용자가 만든 WAN 리소스를 관리하고 찾으려면 지역을 선택해야 합니다.
    • 이름: 가상 WAN을 호출할 이름을 입력합니다.
    • 유형: 기본 또는 표준. 표준을 선택합니다. 기본을 선택하는 경우 기본 가상 WAN에는 기본 허브만 포함될 수 있습니다. 기본 허브는 사이트 간 연결에만 사용할 수 있습니다.

  4. 필드 작성을 완료한 후 페이지 하단에서 검토 + 만들기를 선택합니다.

  5. 유효성 검사를 통과하면 만들기를 클릭하여 Virtual WAN을 만듭니다.

가상 허브 만들기

가상 허브는 Azure Virtual WAN에서 만들고 사용하는 가상 네트워크입니다. 이는 지역에서 Virtual WAN 네트워크의 핵심입니다. 사이트 간 및 ExpressRoute에 대한 게이트웨이를 포함할 수 있습니다.

기존 허브에서도 게이트웨이를 만들 수 있습니다.

  1. 사용자가 만든 가상 WAN으로 이동합니다. Virtual WAN 왼쪽 창의 연결에서 허브를 선택합니다.

  2. Hubs 페이지에서 +새 Hub를 선택하여 가상 허브 만들기 페이지를 엽니다.

    스크린샷은 기본 탭이 선택된 가상 허브 만들기 창을 보여줍니다.

  3. 가상 허브 만들기 페이지의 기본 사항 탭에서 다음 필드를 완료합니다.

    • 지역: 가상 허브를 배포할 지역을 선택합니다.
    • 이름: 가상 허브에 지정할 이름입니다.
    • 허브 프라이빗 주소 공간: CIDR 표기법으로 된 허브의 주소 범위입니다. 허브를 만들기 위한 최소 주소 공간은 /24입니다.
    • 가상 허브 용량: 드롭다운에서 선택합니다. 자세한 내용은 가상 허브 설정을 참조하세요.
    • 허브 라우팅 기본 설정: 이 필드를 변경할 특정 필요가 없는 한 기본값인 ExpressRoute 로 설정을 그대로 둡니다. 자세한 내용은 가상 허브 라우팅 기본 설정을 참조하세요.

VPN 게이트웨이 만들기

  1. 가상 허브 만들기 페이지에서 사이트 간을 클릭하여 사이트 간 탭을 엽니다.

    사이트 간이 선택된 가상 허브 만들기 창을 보여 주는 스크린샷.

  2. 사이트 간 탭에서 다음 필드를 완료합니다.

    • 를 선택하여 사이트 간 VPN을 만듭니다.

    • AS 번호: AS 번호 필드는 편집할 수 없습니다.

    • 게이트웨이 배율 단위: 드롭다운에서 게이트웨이 배율 단위 값을 선택합니다. 배율 단위를 사용하여 사이트를 연결할 가상 허브에서 만들 VPN Gateway의 집계 처리량을 선택할 수 있습니다.

      1 배율 단위 = 500Mbps를 선택하는 경우 중복성을 위해 두 인스턴스가 생성되고 각각은 최대 500Mbps의 처리량을 갖게 됩니다. 예를 들어 5개의 분기가 있고 각각 10Mbps를 수행하는 경우 헤드 끝에서 총 50Mbps가 필요합니다. 허브에 대한 분기 수를 지원하는 데 필요한 용량을 평가한 후 Azure VPN Gateway의 집계 용량 계획을 수립해야 합니다.

    • 라우팅 기본 설정: Azure 라우팅 기본 설정을 사용하면 Azure와 인터넷 간의 트래픽 라우팅 방법을 선택할 수 있습니다. Microsoft 네트워크를 통해 또는 ISP 네트워크(공용 인터넷)를 통해 트래픽을 라우팅하도록 선택할 수 있습니다. 이러한 옵션을 각각 콜드 포테이토 라우팅 및 핫 포테이토 라우팅이라고도 합니다.

      Virtual WAN의 공용 IP 주소는 선택한 라우팅 옵션을 기반으로 서비스에서 할당합니다. Microsoft 네트워크 또는 ISP를 통한 라우팅 기본 설정에 대한 자세한 내용은 라우팅 기본 설정 문서를 참조하세요.

  3. 검토 + 만들기를 선택하여 유효한지 확인합니다.

  4. 만들기를 선택하여 허브 및 게이트웨이를 만듭니다. 이 작업은 최대 30분까지 걸릴 수 있습니다. 30분 후에 새로 고침을 선택하여 허브 페이지에서 허브를 봅니다. 리소스로 이동을 선택하여 리소스로 이동합니다.

사이트 간 VPN 만들기

  1. Azure Portal에서 이전에 만든 가상 WAN을 선택합니다.

  2. 가상 허브의 개요에서 연결>VPN(사이트 간)>새 VPN 사이트 만들기를 선택합니다.

    VPN(사이트 간) 및 새 VPN 사이트 만들기가 선택된, 가상 허브에 대한 개요 페이지의 스크린샷.

  3. 기본 탭에서 필수 필드를 입력합니다.

    기본 사항 탭이 열려 있는 VPN 사이트 만들기 페이지를 보여 주는 스크린샷

    • 지역 - 이전에는 위치라고 했습니다. 이 사이트 리소스를 만들려는 위치입니다.

    • 이름 - 온-프레미스 사이트를 참조할 때 사용하려는 이름입니다.

    • 디바이스 공급업체 - VPN 디바이스 공급업체의 이름입니다(예: Citrix, Cisco 또는 Barracuda). 이는 Azure 팀이 환경을 더 잘 이해하고 향후 최적화 가능성을 높이거나 문제를 해결하는 데 도움이 됩니다.

    • 프라이빗 주소 공간 - 온-프레미스 사이트에 있는 CIDR IP 주소 공간입니다. 이 주소 공간으로 향하는 트래픽은 로컬 사이트로 라우팅됩니다. CIDR 블록은 BGP를 사이트에 사용하지 않는 경우에만 필요합니다.

    참고 항목

    사이트를 만든 후 주소 공간을 편집하는 경우(예: 추가 주소 공간 추가) 구성 요소가 다시 생성되는 동안 유효 경로를 업데이트하는 데 8-10분이 걸릴 수 있습니다.

  4. 분기의 실제 링크에 대한 정보를 추가하려면 링크를 선택합니다. Virtual WAN 파트너 CPE 디바이스가 있는 경우 이 정보가 시스템에서 설정된 분기 정보 업로드의 일부로 Azure와 교환되는지 확인합니다.

    링크 및 공급자 이름을 지정하면 허브의 일부로 생성되는 게이트웨이의 수를 구분할 수 있습니다. BGP 및 ASN(익명 시스템 번호)은 조직 내에서 고유해야 합니다. BGP는 Azure VMware Solution과 온-프레미스 서버 모두가 터널을 통해 경로를 보급하도록 합니다. 사용하지 않도록 설정하면 보급되어야 하는 서브넷을 수동으로 유지 관리해야 합니다. 서브넷이 누락되면 HCX에서 서비스 메시를 구성하지 못합니다.

    Important

    기본적으로 Azure는 Azure VPN 게이트웨이에서 Azure BGP IP 주소로 자동으로 게이트웨이 서브넷 접두사 범위에서 개인 IP 주소를 할당합니다. 온-프레미스 VPN 디바이스에서 BGP IP로 APIPA 주소(169.254.0.1 ~ 169.254.255.254)를 사용하는 경우 사용자 지정 Azure APIPA BGP 주소가 필요합니다. 해당 로컬 네트워크 게이트웨이 리소스(온-프레미스 네트워크)에 BGP 피어 IP로 APIPA 주소가 있으면 Azure VPN Gateway에서 사용자 지정 APIPA 주소를 선택합니다. 로컬 네트워크 게이트웨이에서 APIPA가 아닌 일반 IP 주소를 사용하는 경우 Azure VPN Gateway는 게이트웨이 서브넷 범위에서 개인 IP 주소로 돌아갑니다.

    링크 탭이 열려 있는 VPN 사이트 만들기 페이지를 보여 주는 스크린샷.

  5. 검토 + 만들기를 선택합니다.

  6. 원하는 가상 허브로 이동하고 Hub 연결을 선택 취소하여 VPN 사이트를 허브에 연결합니다.

    이 허브에 대한 연결을 보여 주는 스크린샷.

(선택 사항)정책 기반 VPN 사이트 간 터널 만들기

Important

이 단계는 선택 사항이며 정책 기반 VPN에만 적용됩니다.

정책 기반 VPN을 설정하려면 허브 범위를 포함하여 온-프레미스 및 Azure VMware Solution 네트워크를 지정해야 합니다. 해당 범위는 정책 기반 VPN 터널 온-프레미스 엔드포인트의 암호화 도메인을 지정합니다. 정책 기반 트래픽 선택기 표시기 사용 설정이 필요한 쪽은 Azure VMware Solution 쪽뿐입니다.

  1. Azure Portal에서 Virtual WAN 허브 사이트로 이동하고 연결에서 VPN(사이트 간)을 선택합니다.

  2. 사용자 지정 IPsec 정책을 설정할 VPN 사이트를 선택합니다.

  3. VPN 사이트 이름을 선택하고 맨 오른쪽에 있는 자세히(...)를 선택한 다음, VPN 연결 편집을 선택합니다.

    기존 VPN 사이트의 바로 가기 메뉴를 보여 주는 스크린샷.

    • IPSec(인터넷 프로토콜 보안), 사용자 지정을 선택합니다.

    • 정책 기반 트래픽 선택기를 사용하고 사용을 선택합니다.

    • IKE 1단계IKE 2단계(ipsec)에 대한 세부 정보를 지정합니다.

  4. IPsec 설정을 기본값에서 사용자 지정으로 변경하고 IPsec 정책을 사용자 지정합니다. 그런 다음 저장을 선택합니다.

    기존 VPN 사이트를 보여 주는 스크린샷.

    정책 기반 암호화 도메인에 속하는 트래픽 선택기 또는 서브넷은 다음과 같아야 합니다.

    • Virtual WAN 허브 /24

    • Azure VMware Solution 프라이빗 클라우드 /22

    • 연결된 Azure 가상 네트워크(있는 경우)

허브에 VPN 사이트 연결

  1. VPN 사이트 이름을 선택하고 VPN 사이트 연결을 선택합니다.

  2. 미리 공유한 키 필드에서 온-프레미스 엔드포인트에 대해 이전에 정의한 키를 입력합니다.

    이전에 정의한 키가 없는 경우 이 필드를 비워둘 수 있습니다. 자동으로 키가 생성됩니다.

    미리 공유한 키 및 관련 설정에 대해 준비된 Virtual HUB의 연결된 사이트 창을 보여 주는 스크린샷.

  3. 허브에 방화벽을 배포 중이고 다음 홉인 경우, 기본 경로 전파 옵션을 사용으로 설정합니다.

    사용하도록 설정하면 Virtual WAN 허브는 허브에 방화벽을 배포할 때 허브에서 기본 경로를 이미 학습한 경우나 연결된 다른 사이트에서 강제로 터널링을 사용한 경우에만 연결에 전파합니다. 기본 경로는 Virtual WAN 허브에서 시작되지 않습니다.

  4. 연결을 선택합니다. 몇 분 후에 사이트에 연결 및 연결 상태가 표시됩니다.

    사이트 간 연결 및 연결 상태를 보여 주는 스크린샷.

    연결 상태: VPN 사이트를 Azure 허브의 VPN 게이트웨이에 연결하는 연결에 대한 Azure 리소스의 상태입니다. 이 컨트롤 플레인 작업이 성공적이면 Azure VPN 게이트웨이와 온-프레미스 VPN 디바이스가 연결을 설정합니다.

    연결 상태: 허브에 있는 Azure의 VPN 게이트웨이와 VPN 사이트 사이의 실제 연결(데이터 경로) 상태입니다. 다음과 같은 상태가 표시될 수 있습니다.

    • 알 수 없음: 일반적으로 백 엔드 시스템이 다른 상태로 전환 작업 중인 경우 표시됩니다.
    • 연결 중: Azure VPN 게이트웨이가 실제 온-프레미스 VPN 사이트에 연결하는 중입니다.
    • 연결됨: Azure VPN 게이트웨이와 온-프레미스 VPN 사이트 사이에 연결이 설정되었습니다.
    • 연결 끊김: 일반적으로 어떤 이유로든(온-프레미스 또는 Azure에서) 연결이 끊긴 경우 표시됩니다.

  5. VPN 구성 파일을 다운로드하고 온-프레미스 엔드포인트에 적용합니다.

    1. VPN(사이트 간) 페이지의 위쪽 근처에서 VPN Config 다운로드를 선택합니다. Azure는 'microsoft-network-[location]' 리소스 그룹에 스토리지 계정을 만듭니다. 여기서 location은 WAN의 위치입니다. VPN 디바이스에 구성을 적용한 후에는 이 스토리지 계정을 삭제할 수 있습니다.

    2. 만들어지면 링크를 선택하여 다운로드합니다.

    3. 온-프레미스 VPN 디바이스에 구성을 적용합니다.

    구성 파일에 대한 자세한 내용은 VPN 디바이스 구성 파일 정보를 참조하세요.

  6. Virtual WAN 허브에서 Azure VMware Solution ExpressRoute를 패치합니다.

    Important

    플랫폼을 패치하려면 먼저 프라이빗 클라우드를 만들어야 합니다.

    Important

    또한 Virtual WAN 허브의 일부로 구성된 ExpressRoute 게이트웨이가 있어야 합니다.

    1. Azure Portal에서 Azure VMware Solution 프라이빗 클라우드로 이동합니다.

    2. 관리에서 연결을 선택합니다.

    3. ExpressRoute 탭을 선택한 다음 + 권한 부여 키 요청을 선택합니다.

      ExpressRoute 권한 부여 키를 요청하기 위한 선택 사항을 보여 주는 스크린샷.

    4. 권한 부여 키 이름을 입력한 다음 만들기를 선택합니다.

      키를 만드는 데 30초 정도 걸릴 수 있습니다. 키가 생성되면 프라이빗 클라우드에 대한 권한 부여 키 목록에 표시됩니다.

      ExpressRoute Global Reach 권한 부여 키를 보여 주는 스크린샷.

    5. 권한 부여 키와 ExpressRoute ID를 복사합니다. 피어링을 완료하는 데 필요합니다. 권한 부여 키는 일정 시간 후에 사라지기 때문에 표시되는 즉시 복사합니다.

  7. Virtual WAN 허브에서 Azure VMware Solution과 VPN 게이트웨이를 함께 연결합니다. 이전 단계의 권한 부여 키 및 ExpressRoute ID(피어 회로 URI)를 사용하게 됩니다.

    1. ExpressRoute 게이트웨이를 선택하고 권한 부여 키 사용을 선택합니다.

      권한 부여 키 사용이 선택된 프라이빗 클라우드의 ExpressRoute 페이지 스크린샷.

    2. 권한 부여 키 필드에 권한 부여 키를 붙여넣습니다.

    3. ExpressRoute ID를 피어 회로 URI 필드에 붙여넣습니다.

    4. 이 ExpressRoute 회로를 자동으로 허브와 연결합니다 확인란을 선택합니다.

    5. 추가를 선택하여 링크를 설정합니다.

  8. NSX-T 데이터 센터 세그먼트를 만들고 네트워크에서 VM을 프로비전하여 연결을 테스트합니다. 온-프레미스 및 Azure VMware Solution 엔드포인트를 모두 ping합니다.

    참고 항목

    ExpressRoute 회로 뒤의 클라이언트, 예를 들어 앞서 만든 VNet의 VM에서의 연결을 테스트 하기 전에 5분 정도 기다립니다.