Azure VMware Solution에서 연결 활성화
소개
이 디자인 패턴에서 트래픽은 온-프레미스 데이터 센터에서 AVS(Azure VMware Solution) 프라이빗 클라우드로 Microsoft 백본을 통해 전용 경로를 가집니다. 이 연결은 AVS 전용 Expressroute 회로에 연결할 수 있는 고객 관리형 간 직접 경로를 제공하는 메커니즘인 Expressroute Global Reach를 통해 발생합니다. 또한 프라이빗 클라우드에는 이 트래픽이 Expressroute를 통과하지 않도록 NSX Edge에서 인터넷으로 분리된 별도의 중단이 있습니다.
온-프레미스 및 글로벌 리치를 지원하는 Azure VMware Solution에서 AVS 공용 IP를 사용하여 인터넷 연결을 위한 별도의 세그먼트를 제공합니다. 
중요하다
현재 Global Reach가 지원되지 않는 지역에 있는 경우 Azure에서 Expressroute 게이트웨이를 배포하여 온-프레미스에서 AVS 프라이빗 클라우드로 전송할 수 있습니다. 전이성 엔드투엔드(end-to-end)를 제공하려면 VNET(허브 가상 네트워크)의 가상 어플라이언스도 필요합니다. 트래픽 검사 & 기본 경로 광고섹션을 참조하세요.
고객 프로필
이 아키텍처는 다음 작업에 적합합니다.
- 짧은 대기 시간, 기본적으로 Azure VMware Solution SDDC(소프트웨어 정의 데이터 센터)에서 인터넷으로 송신합니다.
- Expressroute 또는 VPN을 통해 온-프레미스에서 Azure로 직접 트래픽을 전달합니다.
- HTTPS와 같은 SDDC의 워크로드에 대한 인바운드 L4/L7 서비스
이 디자인에서 다루는 AVS NSX 라우터를 통해 흐르는 트래픽은 다음과 같습니다.
- Azure 네이티브 가상 네트워크에 대한 Azure VMware Solution
- Azure VMware Solution을 인터넷으로 연결
- 온-프레미스 데이터 센터에 대한 Azure VMware Solution
아키텍처 구성 요소
다음을 사용하여 이 시나리오를 구현합니다.
- NSX 고급 부하 분산 장치
- 원본 및 대상 주소 변환(SNAT/DNAT) 모두에 대한 Azure VMware Solution의 인터넷 중단을 위한 공용 IP
메모
NSX Avi(Advanced Load Balancer)는 NSX 내에서 직접 인바운드 기능을 제공하지만, 이 기능은 Azure의 WAF 또는 App Gateway v2에서도 가능합니다.
주요 결정
이 문서에서는 온-프레미스 또는 AVS의 기본 경로 광고를 가정하고 권장합니다. 기본 경로가 Azure에서 시작되어야 하는 경우, 섹션 트래픽 검사 & 기본 경로 알림를 참조하세요.
고려 사항
- Azure Portal에서 NSX Edge까지 공용 IP를 사용하도록 설정합니다. 이렇게 하면 Azure VMware Solution에 대한 짧은 대기 시간 직접 연결과 아웃바운드 연결 수를 스케일링할 수 있습니다.
- NSX 방화벽의 규칙 생성을 적용합니다.
- NSX 고급 부하 분산 장치를 사용하여 트래픽을 워크로드에 균등하게 분산합니다.
- 홍수 방지(분산 및 게이트웨이)를 사용하도록 설정합니다.
NSX-T 또는 NVA를 사용하여 AVS에서 송신
| 교통 검사 범위 | 권장 솔루션 디자인 | 고려 사항 | 인터넷 중단 |
|---|---|---|---|
| - 인터넷 수신 - 인터넷 출구 - 온-프레미스 데이터 센터로의 트래픽 - Azure Virtual Network로 트래픽 - Azure VMware Solution 내의 트래픽 |
Azure VMware Solution에서 NSX-T 또는 타사 NVA 방화벽을 사용합니다.
HTTP에 NSX-T 고급 Load Balancer를 사용하거나 HTTP/S가 아닌 트래픽에 NSX-T 방화벽을 사용합니다. Azure VMware Solution, SNAT 및 DNAT용 인터넷 접속 공용 IP를 에서 사용합니다. |
Azure VMware Solution 전용 클라우드에서 0.0.0.0/0 경로를 공개하려면 이 옵션을 선택합니다.
Azure Portal에서 NSX Edge까지 공용 IP를 사용하도록 설정합니다. 이 옵션을 사용하면 Azure에 대한 짧은 대기 시간 연결과 아웃바운드 연결 수를 스케일링할 수 있습니다. |
Azure VMware Solution |
온-프레미스에서의 0.0.0.0/0 광고를 통해 Azure VMware Solution에서 아웃바운드하기
| 교통 검사 범위 | 권장 솔루션 디자인 | 고려 사항 | 인터넷 중단 |
|---|---|---|---|
| - 인터넷 수신 - 인터넷 송신 - 온프레미스 데이터 센터로 |
가상 어플라이언스 온-프레미스 HTTP/S 트래픽의 경우 Azure에서 NSX 고급 부하 분산 장치 또는 Application Gateway를 사용합니다. HTTP/S가 아닌 트래픽의 경우 NSX 분산 방화벽을 사용합니다. Azure VMware Solution에서 공용 IP를 사용하도록 설정합니다. |
온-프레미스 데이터 센터에서 0.0.0.0/0 경로를 광고하려면 이 옵션을 선택합니다. |
온-프레미스 |
중요하다
일부 기존 VMware 어플라이언스는 서비스 삽입을 사용하여 어플라이언스를 계층 0 라우터에 배치합니다. 계층 0 라우터는 Microsoft에서 프로비전 및 관리되며 최종 사용자가 사용할 수 없습니다. 모든 네트워크 어플라이언스 및 부하 분산 장치는 계층 1에 배치해야 합니다. 다음 섹션에서는 AVS의 파티 디바이스에서 기본 경로 전파에 대해 설명합니다.
AVS 시스템의 타사 NVA 통합
타사 어플라이언스와의 통합은 신중하게 고려할 수 있습니다. 이 디자인에서 타사 NVA는 하나 이상의 T-1 에지 라우터 뒤에 있습니다.
라이선스를 가져오고 디바이스에 기본 제공된 고가용성 기능을 구현하는 것은 사용자의 책임입니다.
이 구현을 선택할 때 제한 사항에 유의하세요. 예를 들어 가상 머신에는 최대 8개의 NIC(가상 네트워크 인터페이스 카드)로 제한됩니다. AVS에 NVA를 배치하는 방법에 대한 자세한 내용은 다음을 참조하세요. NSX-T 방화벽 패턴
메모
타사 NVA를 사용하는 경우 Microsoft는 모바일 최적화 네트워킹 사용을 지원하지 않습니다.
랜딩 존 고려 사항
이 섹션에서는 AVS를 Azure 랜딩 존과 통합하기 위한 모범 사례를 참조합니다.
Azure Route Server
ARS(Azure Route Server)는 AVS에서 학습된 경로를 동적으로 전파하고 분기 간 연결을 VPN Gateway에 제공하는 데 사용됩니다. ARS가 위치한 VNET과 피어링된 VNET도 동적으로 경로를 학습하므로, Azure의 AVS에서 허브 및 스포크 환경까지의 경로를 학습할 수 있습니다. Azure Route Server의 사용 사례는 다음과 같습니다.
동적 경로 전파:
- BGP(Border Gateway Protocol)를 통해 AVS에서 로컬 VNET으로의 특정 경로를 알아봅니다. 피어링된 VNET들은 경로 역시 학습할 수 있습니다.
- 타사 NVA 통합
- NVA와 ARS를 연결하여 각 AVS 세그먼트에 대해 UDR이 필요 없이 트래픽을 필터링하십시오.
- 피어된 VNET의 반환 트래픽은 방화벽의 로컬 인터페이스로 돌아가기 위해 UDR(사용자 정의 경로)이 필요합니다.
- Expressroute에서 VPN Gateway로 전송 메커니즘
- VPN Gateway는 사이트-사이트 형식이어야 하며 Active-Active에 구성되어야 합니다.
Azure Route Server를 사용하려면 다음을 수행해야 합니다.
분기 간 연결 활성화
> 1000개의 경로에 대해 경로 요약을 사용하거나 Azure Route Server의 자주 묻는 질문 에 언급된
NO_ADVERTISE BGP communities플래그를 사용하십시오.특정 비-정적 Azure ASN과 피어링하여 NVA를 설정하십시오. 예를 들어 ARS는 65515를 사용하므로 VNET의 다른 어플라이언스는 해당 ASN(자치 시스템 번호)을 사용할 수 없습니다.
IPV6에 대한 지원 없음
Azure NetApp Files와 통합
ANF(Azure NetApp Files)는 NFS 프로토콜을 통해 네트워크 연결 데이터 저장소를 제공합니다. ANF는 Azure VNET에 있으며 AVS의 워크로드에 연결합니다. Azure NetApp Files에서 지원되는 NFS 데이터 저장소를 사용하여 클러스터 크기를 조정하는 대신 스토리지를 확장할 수 있습니다.
- 표준 네트워크 기능을 사용하여 Azure NetApp Files 볼륨을 만들어 ExpressRoute FastPath를 통해 AVS 프라이빗 클라우드에서 최적화된 연결을 사용하도록 설정
- 위임된 서브넷에 ANF 배포
- 허브 & 스포크 배포는 최대 10Gbps 속도의 ER GW SKU를 지원합니다.
- 게이트웨이 포트 속도 제한을 우회하려면 울트라 & ErGw3AZ SKU가 필요합니다.
- 읽기 트래픽은 Expressroute를 통해 유입되고 기록 트래픽은 유출됩니다. Expressroute 회로를 통해 송신 트래픽은 게이트웨이를 우회하고 에지 라우터로 직접 이동합니다.
- 수신/송신 요금은 AVS에서 제거됩니다. 그러나 데이터가 피어링된 VNET을 가로지르면 송신 요금이 발생합니다.
- Azure Netapp Files에 전용 ExpressRoute 게이트웨이를 사용합니다. 공유/중앙 집중식 ExpressRoute 게이트웨이는 사용하지 않습니다.
- Azure NetApp Files와 Azure VMware Solution 간의 데이터 경로에 방화벽 또는 NVA를 배치하지 마세요.
- 현재 NFS v3만 지원됩니다.
예기치 않은 대기 시간이 표시되는 경우 AVS 프라이빗 클라우드 및 ANF 배포가 동일한 AZ(Azure 가용성 영역)에 고정되어 있는지 확인합니다. 고가용성을 위해 별도의 AZ에서 ANF 볼륨을 만들고 Cross Zone Replication을 활성화하십시오.
중요하다
Microsoft는 가능한 최대 포트 속도가 20Gbps인 보안 Azure VWAN 허브에 대한 Fastpath를 지원하지 않습니다. 더 큰 처리량이 필요한 경우 허브 & 스포크 VNET을 사용하는 것이 좋습니다.
Azure Netapp Files 데이터 저장소를 Azure VMware Solution 호스트에 연결하는 방법은 여기
온-프레미스에서 VPN 연결
Expressroute 회로를 사용하는 것이 권장되지만, Azure의 전송 허브 VNET을 통해 IPSEC를 사용하여 온-프레미스에서 AVS에 연결하는 것도 가능합니다. 이 시나리오에는 VPN 게이트웨이 및 Azure Route Server가 필요합니다. 앞에서 참조한 대로 Azure Route Server는 VPN Gateway와 AVS Expressroute 게이트웨이 간의 전이성을 가능하게 합니다.
ExpressRoute와 온프레미스 VPN 게이트웨이 간의 연결을 포함한 Azure VMware 솔루션 
교통 검사
앞에서 본 것처럼, 기본 경로 광고는 공용 IP를 사용하여 AVS에서 NSX Edge 옵션까지 진행되고 있지만, 온-프레미스에서 계속 기본 경로를 광고할 수도 있습니다. 이러한 엔드포인트 중 하나에 배치된 방화벽을 사용하여 온-프레미스에서 AVS로의 엔드 투 엔드 트래픽 필터링이 가능합니다.
Azure에서 타사 네트워크 가상 어플라이언스를 사용하여 트래픽 검사가 포함된 Azure VMware Solution 
Azure의 기본 경로 보급 알림은 허브 VNET 또는 Azure vWAN을 사용하는 경우 타사 NVA를 통해 가능합니다. 허브 및 스포크 배포에서는 BGP를 사용하지 않으므로 Azure Firewall을 사용할 수 없습니다. 그러나 타사 BGP 지원 디바이스를 사용할 수 있습니다. 이 시나리오는 다음 경우에 트래픽을 검사하는 데 사용됩니다.
- 온-프레미스에서 Azure로
- Azure에서 인터넷으로
- AVS에서 인터넷으로
- AVS에서 Azure로
허브 VNet의 타사 NVA는 AVS와 인터넷 간 및 AVS와 Azure VNet 간의 트래픽을 검사합니다.
| 교통 검사 요구 사항 | 권장 솔루션 디자인 | 고려 사항 | 인터넷 중단 |
|---|---|---|---|
| - 인터넷 유입 - 인터넷 송신 - 온-프레미스 데이터 센터 - Azure Virtual Network로 |
Azure Route Server를 사용하여 허브 가상 네트워크에서 타사 방화벽 솔루션을 사용합니다.
HTTP/S 트래픽의 경우 Azure Application Gateway를 사용합니다. HTTP/S가 아닌 트래픽의 경우 Azure에서 타사 방화벽 NVA를 사용합니다. 온-프레미스 타사 방화벽 NVA를 사용합니다. Azure Route Server를 사용하여 허브 가상 네트워크에 타사 방화벽 솔루션을 배포합니다. |
Azure 허브 가상 네트워크의 NVA에서 Azure VMware Solution으로 0.0.0.0/0 경로를 전파하려면 이 옵션을 선택합니다. |
애저 |
추가 정보
- Bastion + Jumpbox VM을 사용하여 vCenter에 액세스 - 온-프레미스에서 vCenter에 액세스하는 경우 온-프레미스 네트워크에서 /22 AVS 관리 네트워크로의 경로가 있어야 합니다. CLI에서
Test-NetConnection x.x.x.2 -port 443을 입력하여 경로의 유효성을 검사합니다. - DNS 고려 사항 - 프라이빗 엔드포인트를 사용하는 경우 여기에 설명된 지침을 따릅니다. Azure 프라이빗 엔드포인트 DNS 구성 | Microsoft Learn
다음 단계
- 온-프레미스 VPN에서 Azure VMware Solution으로 전송하는 방법에 대한 자세한 내용은 다음 VPN에서 ExR 전송 방법 문서를 참조하세요.
- 허브 및 스포크 네트워크에서 Azure VMware Solution에 대한 자세한 내용은 허브 및 스포크 아키텍처에서 Azure VMware Solution 통합을 참조하세요.
- VMware NSX-T Data Center 네트워크 세그먼트에 대한 자세한 내용은 Azure VMware Solution사용하여 NSX-T Data Center 네트워크 구성 요소 구성을 참조하세요.
- Azure Route Server에 대한 자세한 내용은 제품 개요 Azure Route Server란?을 참조하세요.
다음으로, Azure VMware Solution에 대한 연결을 설정하기 위한 다른 디자인 패턴을 관찰합니다.
다중 지역 네트워크 토폴로지