Azure VMware Solution 이중 지역 배포에 대한 네트워크 고려 사항

이 문서에서는 재해 복구를 위해 Azure VMware Solution 프라이빗 클라우드가 두 Azure 지역에 배포될 때 네트워크 연결을 구성하는 방법을 설명합니다. 부분 또는 전체 지역 중단이 있는 경우, 이 네트워크 토폴로지를 통해 생존한 구성 요소(프라이빗 클라우드, Azure 전용 리소스 및 온-프레미스 사이트)가 서로 및 인터넷과의 연결을 유지할 수 있습니다.

이중 지역 시나리오

이 문서에서는 다음 그림 1에 표시된 일반적인 이중 지역 시나리오에 중점을 둡니다.

• Azure 허브 및 스포크 네트워크는 각 지역에 존재합니다.
• Azure ExpressRoute에 대해 (각 회로가 두 지역의 허브 가상 네트워크에 연결된) 두 개의 서로 다른 피어링 위치에서 두 개의 회로로 이루어진 재해에 강한 구성이 배포되었습니다. 다음 섹션에서 제공하는 지침은 대체 VPN 연결 구성된 경우에 동일하게 유지됩니다.
• Azure VMware Solution 프라이빗 클라우드는 각 지역에 배포되었습니다.

이 문서에서 다루는 이중 지역 시나리오를 보여 주는 그림 1의

그림 1: 글로벌 Virtual Network 피어링이 서로 다른 지역에 있는 두 가상 네트워크를 연결하는 방법을 보여 주는 이중 지역 시나리오

메모

그림 1의 참조 시나리오에서 두 지역 허브 가상 네트워크는 글로벌 VNet 피어링을 통해 연결됩니다. 꼭 필요한 것은 아니지만 두 지역의 Azure 가상 네트워크 간 트래픽이 ExpressRoute 연결을 통해 라우팅될 수 있으므로 이 구성을 사용하는 것이 좋습니다. VNet 피어링에서는 ExpressRoute meet-me 에지 라우터를 통해 트래픽을 고정할 필요가 없으므로 대기 시간을 최소화하고 처리량을 최대화합니다.

이중 지역 통신 패턴

다음 섹션에서는 참조 이중 지역 시나리오에서 다음 통신 패턴을 사용하도록 설정하는 데 필요한 Azure VMware Solution 네트워크 구성에 대해 설명합니다.

• Azure VMware Solution 간 연결(Azure VMware Solution 지역 간 연결섹션에 설명되어 있음)
• ExpressRoute를 통해 연결된 온프레미스 사이트로의 Azure VMware Solution(하이브리드 연결은 섹션 에서 설명됨)
• Azure VMware Solution에서 Azure Virtual Network로의 연결에 대한 내용은 Azure Virtual Network 연결 섹션 에서 설명되어 있습니다 ().
• Azure VMware Solution to Internet(인터넷 연결섹션에서 설명).

Azure VMware Solution 지역 간 연결

여러 Azure VMware Solution 프라이빗 클라우드가 있는 경우 이러한 클라우드 간의 계층 3 연결은 데이터 복제 지원과 같은 작업에 대한 요구 사항인 경우가 많습니다.

Azure VMware Solution은 기본적으로 서로 다른 Azure 지역에 배포된 두 프라이빗 클라우드 간의 직접 연결을 지원합니다. 프라이빗 클라우드는 플랫폼에서 관리하고 전용 ExpressRoute meet-me 위치에서 종료되는 ExpressRoute 회로를 통해 자체 지역의 Azure 네트워크에 연결합니다. 이 문서 전체에서 이러한 회로는 Azure VMware Solution 관리 회로라고 합니다. Azure VMware Solution 관리 회로는 고객이 온-프레미스 사이트를 Azure에 연결하기 위해 배포하는 일반 회로와 혼동해서는 안 됩니다. 고객이 배포하는 일반 회로는 고객 관리 회로 입니다(그림 2 참조).

프라이빗 클라우드 간의 직접 연결은 다음 다이어그램의 녹색 선에 표시된 것처럼 Azure VMware Solution 관리 회로 간의 ExpressRoute Global Reach 연결을 기반으로 합니다. 자세한 내용은 자습서: 온-프레미스 환경을 Azure VMware Solution에 피어링하기를 참조하세요. 이 문서에서는 고객 관리 회로와 Azure VMware Solution 관리 회로를 연결하는 절차를 설명합니다. 두 개의 Azure VMware Solution 관리 회로 연결에도 동일한 절차가 적용됩니다.

다른 지역의 Azure VMware Solution 프라이빗 클라우드가 프라이빗 클라우드의 관리되는 ExpressRoute 회로 간의 Global Reach 연결을 통해 서로 직접 연결되어 있음을 보여 주는 그림 2의 다이어그램. Azure VMware Solution을 사용할 수 있는 각 Azure 지역에는 Azure VMware Solution 관리 회로의 Azure VMware Solution 쪽을 종료하는 네트워크 인프라가 있습니다. 그림에서 전용 ExpressRoute meet-me 위치라고 합니다.

그림 2: 이 참조 시나리오는 다른 지역의 Azure VMware Solution 프라이빗 클라우드를 보여 줍니다. Global Reach 연결은 관리되는 ExpressRoute 회로 간에 클라우드를 직접 연결합니다.

하이브리드 연결

Azure VMware Solution 프라이빗 클라우드를 온-프레미스 사이트에 연결하는 데 권장되는 옵션은 ExpressRoute Global Reach입니다. 고객 관리 ExpressRoute 회로와 Azure VMware Solution 관리 ExpressRoute 회로 간에 글로벌 도달률 연결을 설정할 수 있습니다. 글로벌 리치 연결은 전이적이지 않으므로, 다음 그림 3 (주황색 선으로 표시됨)과 같이 재해 복원력을 위해 각 고객 관리 회로와 연결된 각 Azure VMware Solution 관리 회로의 풀 메시가 필요합니다.

고객 관리 ExpressRoute 회로와 Azure VMware Solution 관리 ExpressRoute 회로 간에 Global Reach 연결을 설정할 수 있는 방법을 보여 주는 그림 3의 다이어그램.

그림 3: 이 참조 시나리오는 고객 관리 ExpressRoute 회로와 Azure VMware Solution ExpressRoute 회로 간의 Global Reach 연결을 보여 줍니다.

Azure Virtual Network 연결 상태

Azure Virtual Network는 ExpressRoute 게이트웨이와 Azure VMware Solution 관리 회로 간의 연결을 통해 Azure VMware Solution 프라이빗 클라우드에 연결할 수 있습니다. 이 연결은 고객 관리 ExpressRoute 회로를 통해 Azure Virtual Network를 온-프레미스 사이트에 연결할 수 있는 것과 정확히 동일합니다. 구성 지침은 수동으로 프라이빗 클라우드에 연결하기를 참조하세요.

이중 지역 시나리오에서는 그림 4(노란색 선으로 표시됨)와 같이 두 지역 허브 가상 네트워크와 프라이빗 클라우드 간의 ExpressRoute 연결을 위해 전체 메시 구성을 사용하는 것이 좋습니다.

각 지역의 Azure 네이티브 리소스가 Azure VMware Solution 프라이빗 클라우드에 직접 L3 연결되었음을 보여 주는 그림 4의

각 허브 가상 네트워크의 ExpressRoute 게이트웨이를 각 Azure VMware Solution 프라이빗 클라우드의 관리되는 ExpressRoute 회로에 연결한 결과로 각 지역의 Azure 네이티브 리소스가 Azure VMware Solution 프라이빗 클라우드에 직접 L3 연결되었음을 보여 주는 그림 4의 다이어그램. (이전 다이어그램에 표시된 두 허브 가상 네트워크 간의 글로벌 가상 네트워크 피어링 연결은 명확성을 위해 생략되었습니다.)

그림 4: 이 참조 시나리오는 Azure VMware Solution 프라이빗 클라우드에 직접 L3 연결이 있는 각 지역의 Azure 네이티브 리소스를 보여 줍니다.

인터넷 연결

여러 지역에 Azure VMware Solution 프라이빗 클라우드를 배포할 때 인터넷 연결에 대한 기본 옵션으로 관리되는 원본 네트워크 주소 변환(SNAT) 또는 공용 IP 사용을 권장합니다. (NSX-T) 다음 그림 5와 같이 배포 시 Azure Portal(또는 PowerShell, CLI 또는 ARM/Bicep 템플릿을 통해)을 통해 두 옵션을 구성할 수 있습니다.

그림 5의

그림 5: 이 스크린샷은 Azure Portal의 인터넷 연결에 대한 Azure VMware Solution 네이티브 옵션을 강조 표시합니다.

그림 5에서 강조 표시된 두 옵션 모두 각 프라이빗 클라우드에 자체 지역에서 직접 인터넷 연결을 제공합니다. 사용할 네이티브 인터넷 연결 옵션을 결정할 때 다음 사항들을 고려해야 합니다.

• 관리되는 SNAT는 기본 및 아웃바운드 전용 요구 사항(낮은 볼륨의 아웃바운드 연결 및 SNAT 풀에 대한 세분화된 제어 필요 없음)이 있는 시나리오에서 사용해야 합니다.
• 아웃바운드 연결이 많은 시나리오 또는 NAT IP 주소에 대한 세부적인 제어가 필요한 경우 NSX-T 에지까지의 공용 IP를 선호해야 합니다. 예를 들어, Azure VMware Solution의 VM들이 어떤 IP 주소 뒤에서 SNAT를 사용하는지를 보여줍니다. NSX-T 에지까지의 공용 IP는 DNAT를 통한 인바운드 연결도 지원합니다. 인바운드 인터넷 연결은 이 문서에서 다루지 않습니다.

초기 배포 후 프라이빗 클라우드의 인터넷 연결 구성을 변경할 수 있습니다. 그러나 구성이 업데이트되는 동안 프라이빗 클라우드는 인터넷, Azure Virtual Network 및 온-프레미스 사이트에 대한 연결을 끊습니다. 이전 그림 5의 네이티브 인터넷 연결 옵션 중 하나를 사용하는 경우 이중 지역 시나리오에서 추가 구성이 필요하지 않습니다(토폴로지는 그림 4에 표시된 것과 동일하게 유지됨). Azure VMware Solution의 인터넷 연결에 대한 자세한 내용은인터넷 연결 디자인 고려 사항을 참조하세요.

Azure 네이티브 인터넷 중단

Azure VMware Solution을 채택하기 전에 Azure Virtual Network에서 보안 인터넷 에지가 빌드된 경우 Azure VMware Solution 프라이빗 클라우드에 대한 인터넷 액세스에 사용해야 할 수 있습니다. 이러한 방식으로 보안 인터넷 에지를 사용하는 것은 네트워크 보안 정책, 비용 최적화 등을 중앙 집중식으로 관리하는 데 필요합니다. Azure Virtual Network의 인터넷 보안 에지는 Azure Firewall 또는 타사 방화벽 및 Azure Marketplace에서 사용할 수 있는 NVA(프록시 네트워크 가상 어플라이언스)를 사용하여 구현할 수 있습니다.

Azure VMware Solution 가상 머신에서 내보낸 인터넷 지향 트래픽은 기본 경로를 생성하고 경계 게이트웨이 프로토콜(BGP)을 통해 프라이빗 클라우드의 관리되는 ExpressRoute 회로에 발신하여 Azure VNet에 유인할 수 있습니다. 이 인터넷 연결 옵션은 다음 그림 6과 같이 배포 시 Azure Portal(또는 PowerShell, CLI 또는 ARM/Bicep 템플릿을 통해)을 통해 구성할 수 있습니다. 자세한 내용은 인터넷 액세스를 사용하지 않도록 설정하거나 기본 경로사용하도록 설정합니다.

그림 6의

그림 6: 이 스크린샷은 Virtual Network에서 인터넷 에지를 통해 인터넷 연결을 사용하도록 설정하기 위해 선택해야 하는 Azure VMware Solution 구성을 강조 표시합니다.

인터넷 에지 NVA는 BGP를 지원하는 경우 기본 경로를 생성할 수 있습니다. 그렇지 않은 경우 다른 BGP 지원 NVA를 배포해야 합니다. 단일 지역에서 Azure VMware Solution에 대한 인터넷 아웃바운드 연결을 구현하는 방법에 대한 자세한 내용은 Azure NVA사용하여 Azure VMware Solution에 대한 인터넷 연결 구현을 참조하세요. 이 문서에서 설명하는 이중 지역 시나리오에서는 두 지역에 동일한 구성을 적용해야 합니다.

이중 지역 시나리오의 주요 고려 사항은 각 지역에서 시작된 기본 경로가 ExpressRoute를 통해 동일한 지역의 Azure VMware Solution 프라이빗 클라우드로만 전파되어야 한다는 것입니다. 이 전파를 통해 Azure VMware Solution 워크로드가 로컬(지역 내) 인터넷 경유를 통해 인터넷에 액세스할 수 있게 합니다. 그러나 그림 4에 표시된 토폴로지를 사용하는 경우 각 Azure VMware Solution 프라이빗 클라우드는 지역 간 ExpressRoute 연결을 통해 원격 지역에서 동일한 비용의 기본 경로를 받습니다. 빨간색 파선은 그림 7에서 원치 않는 지역 간 기본 경로 전파를 나타냅니다.

기본 경로의 지역 간 전파를 방지하기 위해 ExpressRoute 게이트웨이와 Azure VMware Solution 관리 ExpressRoute 회로 간의 지역 간 연결을 제거해야 하는 그림 7의 다이어그램.

그림 7: 이 참조 시나리오는 기본 경로의 지역 간 전파를 방지하기 위해 제거해야 하는 Azure VMware Solution에서 관리하는 ExpressRoute 게이트웨이와 ExpressRoute 회로 간의 지역 간 연결을 보여 줍니다.

Azure VMware Solution 지역 간 ExpressRoute 연결을 제거하면 각 프라이빗 클라우드에서 인터넷 바인딩된 연결을 로컬 지역의 Azure 인터넷 에지에 전달하는 기본 경로를 삽입하는 목표를 달성합니다.

지역 간 ExpressRoute 연결(그림 7의 빨간색 파선)을 제거하면 Global Reach를 통해 기본 경로의 지역 간 전파가 계속 발생합니다. 그러나 Global Reach를 통해 전파된 경로는 로컬에서 시작된 경로보다 더 긴 AS 경로를 가지며 BGP 경로 선택 프로세스에 의해 삭제됩니다.

"덜 선호되는 기본 경로를 통한 'Global Reach'의 지역 간 전파는 로컬 인터넷 에지의 장애에 대한 복원력을 제공합니다." 지역의 인터넷 에지가 오프라인 상태가 되면 기본 경로의 시작이 중지됩니다. 이 경우 원격 지역에서 학습된 덜 선호되는 기본 경로가 Azure VMware Solution 프라이빗 클라우드에 설치되므로, 인터넷 기반 트래픽은 원격 지역의 브레이크아웃을 통해 라우팅됩니다.

다음 그림 8에서는 Azure VNet에서 인터넷 중단이 있는 이중 지역 배포에 권장되는 토폴로지입니다.

그림 8의 다이어그램은 Azure Virtual Network의 인터넷 엣지를 통해 인터넷으로의 아웃바운드 액세스를 사용하는 이중 지역 Azure VMware Solution 배포에 권장되는 토폴로지를 보여 줍니다. 기본 경로의 원치 않는 지역 간 전파를 방지하기 위해 ExpressRoute 게이트웨이와 Azure VMware Solution 관리 회로 간의 지역 간 연결을 설정해서는 안 됩니다.

그림 8: 이 참조 시나리오는 Azure Virtual Network에서 인터넷 엣지를 통해 인터넷 아웃바운드 액세스가 가능한 이중 지역 배포 환경에 권장되는 토폴로지를 보여줍니다.

Azure에서 기본 경로를 시작하는 경우 Azure의 인터넷 에지를 통해 온-프레미스 사이트에 인터넷 액세스를 제공해야 하는 요구 사항이 없는 한 온-프레미스 사이트로 전파되지 않도록 특별히 주의해야 합니다. 고객 관리 ExpressRoute 회로를 종료하는 고객 운영 디바이스는 그림 9와 같이 Azure에서 받은 기본 경로를 필터링하도록 구성해야 합니다. 이 구성은 온-프레미스 사이트에 대한 인터넷 액세스를 방해하지 않도록 하는 데 필요합니다.

그림 9: 이 참조 시나리오는 고객이 관리하는 ExpressRoute 회선을 종료하고 Azure Network Virtual Appliances의 기본 경로를 필터링하는 Border Gateway Protocol 스피커를 보여 줍니다.

다음 단계

• Azure VMware Solution 네트워크 기능에 대한 자세한 내용은 Azure VMware Solution 네트워킹 및 상호 연결 개념참조하세요.

• Azure VMware Solution의 인터넷 연결에 대한 자세한 내용은인터넷 연결 디자인 고려 사항을 참조하세요.

  Azure VMware Solution에 대한 예제 아키텍처