Virtual WAN 및 Global Reach가 있는 단일 지역 Azure VMware Solution 디자인 사용
이 문서에서는 라우팅 의도로 보안 Azure Virtual WAN을 사용하는 경우 단일 지역의 Azure VMware Solution에 대한 모범 사례를 설명합니다. 라우팅 의도 및 Azure ExpressRoute Global Reach를 사용하여 보안 Virtual WAN에 대한 연결 및 트래픽 흐름 권장 사항을 제공합니다. 이 문서에서는 Azure VMware Solution 프라이빗 클라우드, 온-프레미스 사이트 및 Azure 네이티브 리소스의 디자인에 대한 토폴로지를 설명합니다. 라우팅 의도가 있는 보안 Virtual WAN의 구현 및 구성은 이 문서의 범위를 벗어납니다.
단일 지역에서 보안 Virtual WAN 사용
Virtual WAN 표준 SKU만 라우팅 의도로 보안 Virtual WAN을 지원합니다. 라우팅 의도로 보안 Virtual WAN을 사용하여 Azure Firewall, 비 Microsoft NVA(네트워크 가상 어플라이언스) 또는 SaaS(Software as a Service) 솔루션과 같은 보안 솔루션에 모든 인터넷 트래픽 및 개인 네트워크 트래픽을 보냅니다. 라우팅 의도를 사용하는 경우 보안 Virtual WAN 허브가 있어야 합니다.
참고 항목
보안 Virtual WAN 허브를 사용하여 Azure VMware Solution을 구성하는 경우 허브 라우팅 기본 설정 옵션을 AS 경로 로 설정하여 허브에서 최적의 라우팅 결과를 보장합니다. 자세한 내용은 가상 허브 라우팅 기본 설정을 참조 하세요.
이 시나리오의 허브에는 다음과 같은 구성이 있습니다.
단일 지역 네트워크에는 Virtual WAN 인스턴스와 하나의 허브가 있습니다.
허브에는 Azure Firewall 인스턴스가 배포되어 보안 Virtual WAN 허브가 됩니다.
보안 Virtual WAN 허브에는 라우팅 의도가 활성화되어 있습니다.
이 시나리오에는 다음 구성 요소도 있습니다.
단일 지역에는 자체 Azure VMware Solution 프라이빗 클라우드 및 Azure 가상 네트워크가 있습니다.
온-프레미스 사이트는 허브에 다시 연결합니다.
환경에 Global Reach 연결이 있습니다.
Global Reach는 Azure VMware Solution을 온-프레미스에 연결하는 Microsoft 백본을 통해 직접 논리 링크를 설정합니다.
전역 도달률 연결은 허브 방화벽을 전송하지 않습니다. 따라서 온-프레미스와 Azure VMware Solution 간에 양방향으로 진행되는 Global Reach 트래픽은 검사되지 않습니다.
참고 항목
Global Reach 사이트 간의 보안을 강화하려면 Azure VMware Solution 환경의 NSX-T 또는 온-프레미스 방화벽 내에서 트래픽을 검사하는 것이 좋습니다.
다음 다이어그램은 이 시나리오의 예를 보여줍니다.
다음 표에서는 이전 다이어그램의 토폴로지 연결에 대해 설명합니다.
| Connection | 설명 |
|---|---|
| D | 허브에 대한 Azure VMware Solution 프라이빗 클라우드 관리 ExpressRoute 연결 |
| A | 온-프레미스에 대한 Azure VMware Solution Global Reach 연결 |
| E | 허브에 대한 온-프레미스 ExpressRoute 연결 |
단일 지역 보안 Virtual WAN 트래픽 흐름
다음 섹션에서는 Azure VMware Solution, 온-프레미스, Azure 가상 네트워크 및 인터넷에 대한 트래픽 흐름 및 연결에 대해 설명합니다.
Azure VMware Solution 프라이빗 클라우드 연결 및 트래픽 흐름
다음 다이어그램은 Azure VMware Solution 프라이빗 클라우드의 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 1 | Azure VMware Solution 클라우드 | 가상 네트워크 | 예 |
| 2 | Azure VMware Solution 클라우드 | 온-프레미스 | 아니요 |
Azure VMware Solution 프라이빗 클라우드는 ExpressRoute 연결 D를 통해 허브에 연결합니다. Azure VMware Solution 클라우드 지역은 ExpressRoute Global Reach 연결 A를 통해 온-프레미스에 대한 연결을 설정합니다. Global Reach를 통해 이동하는 트래픽은 허브 방화벽을 전송하지 않습니다.
시나리오의 경우 온-프레미스와 Azure VMware Solution 간의 연결 문제를 방지하도록 Global Reach를 구성합니다.
온-프레미스 연결 및 트래픽 흐름
다음 다이어그램에서는 ExpressRoute 연결 E를 통해 허브에 연결된 온-프레미스 사이트를 보여 줍니다. 온-프레미스 시스템은 Global Reach 연결 A를 통해 Azure VMware Solution과 통신할 수 있습니다.
시나리오의 경우 온-프레미스와 Azure VMware Solution 간의 연결 문제를 방지하도록 Global Reach를 구성합니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 3 | 온-프레미스 | Azure VMware Solution 클라우드 | 아니요 |
| 4 | 온-프레미스 | 가상 네트워크 | 예 |
Azure 가상 네트워크 연결 및 트래픽 흐름
라우팅 의도가 설정된 보안 허브는 프라이빗 트래픽 접두사로 추가된 다른 접두사와 함께 피어링된 가상 네트워크에 기본 RFC 1918 주소(10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16)를 보냅니다. 자세한 내용은 라우팅 의도 개인 주소 접두사를 참조 하세요. 이 시나리오는 라우팅 의도를 사용하도록 설정했기 때문에 가상 네트워크의 모든 리소스는 기본 RFC 1918 주소를 소유하고 허브 방화벽을 다음 홉으로 사용합니다. 가상 네트워크에 들어오고 나가는 모든 트래픽은 허브 방화벽을 전송합니다.
다음 다이어그램에서는 가상 네트워크가 허브에 직접 피어링하는 방법을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 5 | 가상 네트워크 | Azure VMware Solution 클라우드 | 예 |
| 6 | 가상 네트워크 | Azure VMware Solution 클라우드 | 예 |
인터넷 연결
이 섹션에서는 가상 네트워크 및 Azure VMware Solution 프라이빗 클라우드에서 Azure 네이티브 리소스에 인터넷 연결을 제공하는 방법을 설명합니다. 자세한 내용은 인터넷 연결 디자인 고려 사항을 참조하세요. 다음 옵션을 사용하여 Azure VMware Solution에 인터넷 연결을 제공할 수 있습니다.
- 옵션 1: Azure 호스팅 인터넷 서비스
- 옵션 2: Azure VMware Solution 관리형 SNAT(원본 네트워크 주소 변환)
- 옵션 3: NSX-T 데이터 센터 에지에 대한 Azure 공용 IPv4 주소
라우팅 의도가 있는 단일 지역 보안 Virtual WAN 디자인은 모든 옵션을 지원하지만 옵션 1을 사용하는 것이 좋습니다. 이 문서의 뒷부분에 있는 시나리오에서는 옵션 1을 사용하여 인터넷 연결을 제공합니다. 옵션 1은 검사, 배포 및 관리가 쉽기 때문에 보안 Virtual WAN에서 가장 잘 작동합니다.
라우팅 의도를 사용하는 경우 허브 방화벽에서 기본 경로를 생성할 수 있습니다. 이 기본 경로는 가상 네트워크 및 Azure VMware Solution에 보급됩니다.
Azure VMware Solution 및 가상 네트워크 인터넷 연결
인터넷 트래픽에 라우팅 의도를 사용하도록 설정하면 기본적으로 보안 Virtual WAN 허브는 ExpressRoute 회로에서 기본 경로를 보급하지 않습니다. 기본 경로가 Virtual WAN에서 Azure VMware Solution으로 전파되도록 하려면 Azure VMware Solution ExpressRoute 회로에서 기본 경로 전파를 사용하도록 설정해야 합니다. 자세한 내용은 엔드포인트에 대한 Advertise 기본 경로 0.0.0.0/0을 참조하세요.
기본 경로 전파를 사용하도록 설정한 후 연결 D 는 허브에서 기본 경로 0.0.0.0/0을 보급합니다. 온-프레미스 ExpressRoute 회로에 대해 이 설정을 사용하도록 설정하지 마세요. 연결 D 는 기본 경로 0.0.0.0/0을 Azure VMware Solution에 보급하지만 전역 도달률(연결 A)은 온-프레미스에 대한 기본 경로도 보급합니다. 따라서 기본 경로를 학습하지 않도록 온-프레미스 장비에 BGP(Border Gateway Protocol) 필터를 구현하는 것이 좋습니다. 이 단계는 구성이 온-프레미스 인터넷 연결에 영향을 주지 않도록 하는 데 도움이 됩니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 7 | Azure VMware Solution 클라우드 | 인터넷 | 예 |
| 8 | 가상 네트워크 | 인터넷 | 예 |
인터넷 액세스에 라우팅 의도를 사용하도록 설정하면 보안 Virtual WAN 허브에서 생성하는 기본 경로가 허브 피어링된 가상 네트워크 연결에 자동으로 보급됩니다. 가상 네트워크의 가상 머신 NIC(네트워크 인터페이스 카드)에서 0.0.0.0/0 다음 홉은 허브 방화벽입니다. 다음 홉을 찾으려면 NIC에서 유효 경로를 선택합니다.