Virtual WAN 및 Global Reach가 있는 이중 지역 Azure VMware Solution 디자인 사용
이 문서에서는 두 지역에 Azure VMware Solution을 배포할 때 연결, 트래픽 흐름 및 고가용성을 위한 모범 사례를 간략하게 설명합니다. 라우팅 의도 및 Azure ExpressRoute Global Reach를 사용하는 보안 Azure Virtual WAN에 대한 지침을 제공합니다. 이 문서에서는 Azure VMware Solution 프라이빗 클라우드, 온-프레미스 사이트 및 Azure 네이티브 리소스에 대한 라우팅 의도 토폴로지를 사용하는 Virtual WAN에 대해 설명합니다.
라우팅 의도가 있는 보안 Virtual WAN의 구현 및 구성은 이 문서의 범위를 벗어납니다. 이 문서에서는 Virtual WAN에 대한 기본적인 이해와 라우팅 의도로 가상 WAN을 보호한다고 가정합니다.
두 지역에서 보안 Virtual WAN 및 Global Reach 사용
Virtual WAN 표준 SKU만 라우팅 의도로 보안 Virtual WAN을 지원합니다. 라우팅 의도로 보안 Virtual WAN을 사용하여 Azure Firewall, 비 Microsoft NVA(네트워크 가상 어플라이언스) 또는 SaaS(Software as a Service) 솔루션과 같은 보안 솔루션에 모든 인터넷 트래픽 및 개인 네트워크 트래픽을 보냅니다. 라우팅 의도를 사용하는 경우 보안 Virtual WAN 허브가 있어야 합니다.
이 시나리오의 허브에는 다음과 같은 구성이 있습니다.
이중 지역 네트워크에는 하나의 Virtual WAN과 두 개의 허브가 있습니다. 각 지역에는 하나의 허브가 있습니다.
각 허브에는 자체 Azure Firewall 인스턴스가 배포되어 Virtual WAN 허브를 보호합니다.
보안 Virtual WAN 허브에는 라우팅 의도가 활성화되어 있습니다.
이 시나리오에는 다음 구성 요소도 있습니다.
각 지역에는 자체 Azure VMware Solution 프라이빗 클라우드 및 Azure 가상 네트워크가 있습니다.
온-프레미스 사이트는 두 지역에 연결됩니다.
환경에 Global Reach 연결이 있습니다.
Global Reach는 Microsoft 백본을 통해 직접 논리 링크를 설정합니다. 이 링크는 Azure VMware Solution을 온-프레미스 또는 지역 Azure VMware Solution 프라이빗 클라우드에 연결합니다.
전역 도달률 연결은 허브 방화벽을 전송하지 않습니다. 따라서 사이트 간 Global Reach 트래픽은 검사되지 않습니다.
참고 항목
Global Reach 사이트 간의 보안을 강화하려면 Azure VMware Solution 환경의 NSX-T 또는 온-프레미스 방화벽 내에서 트래픽을 검사하는 것이 좋습니다.
다음 다이어그램은 이 시나리오의 예를 보여줍니다.
다음 표에서는 이전 다이어그램의 토폴로지 연결에 대해 설명합니다.
| Connection | 설명 |
|---|---|
| A | 온-프레미스에 대한 Azure VMware Solution 지역 1 Global Reach 연결 |
| B | Azure VMware Solution 지역 2 글로벌 도달률 연결을 온-프레미스로 다시 연결 |
| C | 두 프라이빗 클라우드의 관리 회로 간 Azure VMware Solution Global Reach 연결 |
| D | 로컬 지역 허브에 대한 Azure VMware Solution 프라이빗 클라우드 연결 |
| E | ExpressRoute를 통해 두 지역 허브에 온-프레미스 연결 |
| Interhub | 동일한 Virtual WAN에 배포된 두 허브 간의 인터허브 논리 연결 |
참고 항목
보안 Virtual WAN 허브를 사용하여 Azure VMware Solution을 구성하는 경우 허브 라우팅 기본 설정 옵션을 AS 경로 로 설정하여 허브에서 최적의 라우팅 결과를 보장합니다. 자세한 내용은 가상 허브 라우팅 기본 설정을 참조 하세요.
이중 지역 보안 Virtual WAN 트래픽 흐름
다음 섹션에서는 Global Reach를 사용할 때 Azure VMware Solution, 온-프레미스, Azure 가상 네트워크 및 인터넷에 대한 트래픽 흐름 및 연결에 대해 설명합니다.
Azure VMware Solution 프라이빗 클라우드 지역 간 연결 및 트래픽 흐름
다음 다이어그램은 두 지역의 두 Azure VMware Solution 프라이빗 클라우드에 대한 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 1 | Azure VMware Solution 클라우드 지역 1 | 가상 네트워크 1 | 예, 허브 1 방화벽을 통해 |
| 2 | Azure VMware Solution 클라우드 지역 1 | 온-프레미스 | 아니요, 트래픽이 방화벽을 우회하고 Global Reach 연결 A를 전송합니다. |
| 3 | Azure VMware Solution 클라우드 지역 1 | 가상 네트워크 2 | 예, 허브 2 방화벽을 통해 |
| 4 | Azure VMware Solution 클라우드 지역 1 | Azure VMware Solution 클라우드 지역 2 | 아니요, 트래픽이 방화벽을 우회하고 Global Reach 연결 C를 전송합니다. |
| 5 | Azure VMware Solution 클라우드 지역 2 | 가상 네트워크 1 | 예, 허브 1 방화벽을 통해 |
| 6 | Azure VMware Solution 클라우드 지역 2 | 가상 네트워크 2 | 예, 허브 2 방화벽을 통해 |
| 7 | Azure VMware Solution 클라우드 지역 2 | 온-프레미스 | 아니요, 트래픽이 방화벽을 우회하고 Global Reach 연결 B를 전송합니다. |
각 Azure VMware Solution 프라이빗 클라우드는 ExpressRoute 연결 D를 통해 로컬 지역 허브에 연결합니다.
각 Azure VMware Solution 클라우드 지역은 ExpressRoute Global Reach를 통해 온-프레미스 네트워크에 다시 연결합니다. 각 Azure VMware Solution 클라우드 지역에는 자체 Global Reach 연결(연결 A 및 B)이 있습니다. 또한 Azure VMware Solution 프라이빗 클라우드는 Global Reach 연결 C를 통해 서로 직접 연결됩니다. Global Reach 트래픽은 허브 방화벽을 전송하지 않습니다.
세 가지 Global Reach 연결을 모두 구성합니다. Global Reach 사이트 간의 연결 문제를 방지하려면 이 단계를 수행해야 합니다.
온-프레미스 연결 및 트래픽 흐름
다음 다이어그램은 온-프레미스 사이트의 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 2 | 온-프레미스 | Azure VMware Solution 클라우드 지역 1 | 아니요, 트래픽이 방화벽을 우회하고 Global Reach 연결 A를 전송합니다. |
| 7 | 온-프레미스 | Azure VMware Solution 클라우드 지역 2 | 아니요, 트래픽이 방화벽을 우회하고 Global Reach 연결 B를 전송합니다. |
| 8 | 온-프레미스 | 가상 네트워크 1 | 예, 허브 1 방화벽을 통해 |
| 9 | 온-프레미스 | 가상 네트워크 2 | 예, 허브 2 방화벽을 통해 |
온-프레미스 사이트는 ExpressRoute 연결 E를 통해 지역 1 및 지역 2 허브 모두에 연결합니다.
온-프레미스 시스템은 Global Reach 연결 A를 통해 Azure VMware Solution 클라우드 지역 1과, Global Reach 연결 B를 통해 Azure VMware Solution 클라우드 지역 2와 통신할 수 있습니다.
세 가지 Global Reach 연결을 모두 구성합니다. Global Reach 사이트 간의 연결 문제를 방지하려면 이 단계를 수행해야 합니다.
Azure 가상 네트워크 연결 및 트래픽 흐름
다음 다이어그램은 가상 네트워크에 대한 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 1 | 가상 네트워크 1 | Azure VMware Solution 클라우드 지역 1 | 예, 허브 1 방화벽을 통해 |
| 3 | 가상 네트워크 2 | Azure VMware Solution 클라우드 지역 1 | 예, 허브 2 방화벽을 통해 |
| 5 | 가상 네트워크 1 | Azure VMware Solution 클라우드 지역 2 | 예, 허브 1 방화벽을 통해 |
| 6 | 가상 네트워크 2 | Azure VMware Solution 클라우드 지역 2 | 예, 허브 2 방화벽을 통해 |
| 8 | 가상 네트워크 1 | 온-프레미스 | 예, 허브 1 방화벽을 통해 |
| 9 | 가상 네트워크 2 | 온-프레미스 | 예, 허브 2 방화벽을 통해 |
| 10 | 가상 네트워크 1 | 가상 네트워크 2 | 예, 허브 1 방화벽을 통해. 트래픽은 인터허브 연결을 통해 이동하고 허브 2 방화벽을 통해 검사됩니다. |
두 가상 네트워크는 로컬 지역 허브에 직접 피어됩니다.
라우팅 의도가 있는 보안 허브는 프라이빗 트래픽 접두사로 추가된 다른 접두사와 함께 피어링된 가상 네트워크에 기본 RFC 1918 주소(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)를 보냅니다. 자세한 내용은 라우팅 의도 개인 주소 접두사를 참조 하세요.
이 시나리오에는 라우팅 의도가 활성화되어 있으므로 가상 네트워크 1 및 가상 네트워크 2의 모든 리소스는 기본 RFC 1918 주소를 소유하고 로컬 지역 허브 방화벽을 다음 홉으로 사용합니다. 가상 네트워크로 들어오고 나가는 모든 트래픽은 허브 방화벽을 전송합니다.
인터넷 연결
이 섹션에서는 가상 네트워크의 Azure 네이티브 리소스와 두 지역의 Azure VMware Solution 프라이빗 클라우드에 대한 인터넷 연결을 제공하는 방법을 설명합니다. 자세한 내용은 인터넷 연결 디자인 고려 사항을 참조하세요. 다음 옵션을 사용하여 Azure VMware Solution에 인터넷 연결을 제공할 수 있습니다.
- 옵션 1: Azure 호스팅 인터넷 서비스
- 옵션 2: VMware Solution 관리형 SNAT(원본 네트워크 주소 변환)
- 옵션 3: NSX-T 데이터 센터 에지에 대한 Azure 공용 IPv4 주소
라우팅 의도가 있는 이중 지역 Virtual WAN 디자인은 모든 옵션을 지원하지만 옵션 1을 사용하는 것이 좋습니다. 이 문서의 뒷부분에 있는 시나리오에서는 옵션 1을 사용하여 인터넷 연결을 제공합니다. 옵션 1은 검사, 배포 및 관리가 쉽기 때문에 보안 Virtual WAN에서 가장 잘 작동합니다.
라우팅 의도를 사용하는 경우 허브 방화벽에서 기본 경로를 생성할 수 있습니다. 이 기본 경로는 가상 네트워크 및 Azure VMware Solution 프라이빗 클라우드에 보급됩니다.
Azure VMware Solution 및 가상 네트워크 인터넷 연결
다음 다이어그램은 Azure VMware Solution 인스턴스 및 가상 네트워크에 대한 인터넷 연결을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? | 인터넷 중단 |
|---|---|---|---|---|
| 11 | Azure VMware Solution 클라우드 지역 1 | 인터넷 | 예, 허브 1 방화벽을 통해 | 허브 1 방화벽을 통해 |
| 12 | Azure VMware Solution 클라우드 지역 2 | 인터넷 | 예, 허브 2 방화벽을 통해 | 허브 2 방화벽을 통해 |
| 15 | 가상 네트워크 1 | 인터넷 | 예, 허브 1 방화벽을 통해 | 허브 1 방화벽을 통해 |
| 16 | 가상 네트워크 2 | 인터넷 | 예, 허브 2 방화벽을 통해 | 허브 2 방화벽을 통해 |
다음 트래픽 흐름은 로컬 지역 허브에 영향을 주는 중단이 있는 경우에만 활성화됩니다. 예를 들어 Azure VMware Solution의 로컬 지역 허브에서 중단이 발생하는 경우 인터넷 트래픽은 인터넷 연결을 위해 지역 간 허브로 라우팅됩니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? | 인터넷 중단 |
|---|---|---|---|---|
| 13 | Azure VMware Solution 클라우드 지역 1 | 인터넷 | 예, Global Reach 연결 C를 통한 트래픽 전송 및 허브 2 방화벽이 이를 검사합니다. | 허브 2 방화벽을 통해 |
| 14 | Azure VMware Solution 클라우드 지역 2 | 인터넷 | 예, Global Reach 연결 C를 통한 트래픽 전송 및 허브 1 방화벽이 이를 검사합니다. | 허브 1 방화벽을 통해 |
Azure VMware Solution 프라이빗 클라우드는 로컬 지역 허브와 지역 간 허브 모두에서 기본 인터넷 연결 경로를 학습하므로 인터넷 연결 중복성을 달성할 수 있습니다. Azure VMware Solution 프라이빗 클라우드는 기본 인터넷 액세스 연결을 위해 로컬 지역 허브의 우선 순위를 지정합니다. 지역 간 허브는 로컬 지역 허브가 실패하는 경우 인터넷 백업 역할을 합니다. 이 설정은 아웃바운드 트래픽에 대해서만 인터넷 액세스 중복성을 제공합니다. Azure VMware Solution 워크로드에 대한 인바운드 인터넷 트래픽의 경우 지역 고가용성을 위해 Azure Front Door 또는 Azure Traffic Manager를 사용하는 것이 좋습니다.
Azure VMware Solution 프라이빗 클라우드는 로컬 지역 허브에서 연결 D를 통해 기본 기본 경로 ∞ 0.0.0.0/0을 받습니다. 또한 Azure VMware Solution 프라이빗 클라우드는 지역 간 허브에서 시작되고 Global Reach 연결 C를 통해 보급되는 백업 기본 경로인 0.0.0.0/0을 받습니다. 그러나 온-프레미스 ExpressRoute 연결 E에서 기본 경로 전파를 사용하도록 설정하면 지역 간 인터넷 트래픽도 이 경로를 통해 전달됩니다.
예를 들어 Azure VMware 프라이빗 클라우드 1에서 허브 2로 가는 지역 간 인터넷 트래픽은 글로벌 도달률 연결 C에서 연결 D로, 글로벌 도달률 연결 A에서 연결 E로의 동등한 비용 다중 경로(ECMP) 라우팅을 통해 분산됩니다. 마찬가지로 허브 2에서 프라이빗 클라우드 지역 1로 가는 반환 트래픽은 ECMP를 통해 동일한 경로를 트래버스합니다. 세 가지 Global Reach 연결을 모두 구성합니다. Global Reach 사이트 간의 연결 문제를 방지하려면 이 단계를 수행해야 합니다.
인터넷 트래픽에 라우팅 의도를 사용하도록 설정하면 기본적으로 보안 Virtual WAN 허브는 ExpressRoute 회로에서 기본 경로를 보급하지 않습니다. 기본 경로가 Virtual WAN에서 Azure VMware Solution으로 전파되도록 하려면 Azure VMware Solution ExpressRoute 회로에서 기본 경로 전파를 사용하도록 설정해야 합니다. 자세한 내용은 엔드포인트에 대한 Advertise 기본 경로 0.0.0.0/0을 참조하세요.
온-프레미스 ExpressRoute 회로에 대해 이 설정을 사용하도록 설정하지 마세요. 연결 D는 기본 경로 "∞ 0.0.0.0/0"을 Azure VMware Solution 프라이빗 클라우드에 보급하지만 기본 경로는 Global Reach 연결 A 및 Global Reach 연결 B를 통해 온-프레미스로 보급됩니다. 따라서 기본 경로 학습을 제외하려면 온-프레미스 장비에 BGP(Border Gateway Protocol) 필터를 구현하는 것이 좋습니다. 이 단계는 구성이 온-프레미스 인터넷 연결에 영향을 주지 않도록 하는 데 도움이 됩니다.
각 가상 네트워크는 로컬 지역 허브 방화벽을 통해 인터넷으로 송신됩니다. 인터넷 액세스에 라우팅 의도를 사용하도록 설정하면 보안 Virtual WAN 허브가 생성하는 기본 경로가 허브 피어링된 가상 네트워크 연결에 자동으로 보급됩니다. 그러나 이 기본 경로는 인터허브 링크를 통해 지역 허브에 보급되지 않습니다. 따라서 가상 네트워크는 인터넷 액세스를 위해 로컬 지역 허브를 사용하고 지역 간 허브에 대한 백업 인터넷 연결이 없습니다.