Global Reach가 없는 단일 지역 Azure VMware Solution 디자인 사용
이 문서에서는 라우팅 의도로 보안 Azure Virtual WAN을 사용하는 경우 단일 지역의 Azure VMware Solution에 대한 모범 사례를 설명합니다. 라우팅 의도를 사용하여 보안 Virtual WAN에 대한 연결 및 트래픽 흐름 권장 사항을 제공합니다. 이 문서에서는 Azure ExpressRoute Global Reach를 사용하지 않는 경우 Azure VMware Solution 프라이빗 클라우드, 온-프레미스 사이트 및 Azure 네이티브 리소스의 디자인에 대한 토폴로지를 설명합니다. 라우팅 의도가 있는 보안 Virtual WAN의 구현 및 구성은 이 문서의 범위를 벗어납니다.
Global Reach를 지원하지 않는 지역을 사용하거나 허브 방화벽에서 Azure VMware Solution과 온-프레미스 간의 트래픽을 검사하기 위한 보안 요구 사항이 있는 경우 ExpressRoute 간 전이성을 사용하도록 설정하는 지원 티켓을 열어야 합니다. Virtual WAN은 기본적으로 ExpressRoute-ExpressRoute 전이성을 지원하지 않습니다. 자세한 내용은 라우팅 의도가 있는 ExpressRoute 회로 간의 전송 연결을 참조하세요.
Global Reach 없이 보안 Virtual WAN 사용
Virtual WAN 표준 SKU만 라우팅 의도로 보안 Virtual WAN을 지원합니다. 라우팅 의도로 보안 Virtual WAN을 사용하여 모든 인터넷 트래픽 및 개인 네트워크 트래픽(RFC 1918)을 Azure Firewall, 비 Microsoft NVA(네트워크 가상 어플라이언스) 또는 SaaS(Software as a Service) 솔루션과 같은 보안 솔루션으로 보냅니다.
이 시나리오의 허브에는 다음과 같은 구성이 있습니다.
단일 지역 네트워크에는 Virtual WAN 인스턴스와 하나의 허브가 있습니다.
허브에는 Azure Firewall 인스턴스가 배포되어 보안 Virtual WAN 허브가 됩니다.
보안 Virtual WAN 허브에는 라우팅 의도가 활성화되어 있습니다.
이 시나리오에는 다음 구성 요소도 있습니다.
단일 지역에는 자체 Azure VMware Solution 프라이빗 클라우드 및 Azure 가상 네트워크가 있습니다.
온-프레미스 사이트는 허브에 다시 연결합니다.
참고 항목
연결된 온-프레미스 리소스, 가상 네트워크 또는 Azure VMware Solution에서 비 RFC 1918 접두사를 사용하는 경우 라우팅 의도 기능의 프라이빗 트래픽 접두사 필드에 이러한 접두사를 지정합니다. 범위를 포함할 프라이빗 트래픽 접두사 필드에 요약된 경로를 입력합니다. 이 사양으로 인해 라우팅 문제가 발생할 수 있으므로 Virtual WAN에 보급하는 정확한 범위를 입력하지 마세요. 예를 들어 ExpressRoute 회로가 온-프레미스에서 192.0.2.0/24를 보급하는 경우 /23 클래스리스 CIDR(도메인 간 라우팅) 범위 이상(예: 192.0.2.0/23)을 입력합니다. 자세한 내용은 Virtual WAN 포털을 통해 라우팅 의도 및 정책 구성을 참조 하세요.
참고 항목
보안 Virtual WAN 허브를 사용하여 Azure VMware Solution을 구성하는 경우 허브 라우팅 기본 설정 옵션을 AS 경로 로 설정하여 허브에서 최적의 라우팅 결과를 보장합니다. 자세한 내용은 가상 허브 라우팅 기본 설정을 참조 하세요.
다음 다이어그램은 이 시나리오의 예를 보여줍니다.
다음 표에서는 이전 다이어그램의 토폴로지 연결에 대해 설명합니다.
| Connection | 설명 |
|---|---|
| D | 허브에 대한 Azure VMware Solution 프라이빗 클라우드 관리 ExpressRoute 연결 |
| E | 허브에 대한 온-프레미스 ExpressRoute 연결 |
Global Reach가 없는 단일 지역 Virtual WAN에 대한 트래픽 흐름
다음 섹션에서는 Azure VMware Solution, 온-프레미스, Azure 가상 네트워크 및 인터넷에 대한 트래픽 흐름 및 연결에 대해 설명합니다.
Azure VMware Solution 프라이빗 클라우드 연결 및 트래픽 흐름
다음 다이어그램은 Azure VMware Solution 프라이빗 클라우드에 대한 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 1 | Azure VMware Solution 클라우드 | 가상 네트워크 | 예 |
| 2 | Azure VMware Solution 클라우드 | 온-프레미스 | 예 |
Azure VMware Solution 프라이빗 클라우드에는 허브(연결 D)에 대한 ExpressRoute 연결이 있습니다.
보안 허브에서 ExpressRoute-ExpressRoute 전이성을 사용하도록 설정하고 라우팅 의도를 사용하도록 설정하면 보안 허브는 D 연결을 통해 기본 RFC 1918 주소(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)를 Azure VMware Solution에 보냅니다. 기본 RFC 1918 주소 외에도 Azure VMware Solution은 허브에 연결하는 S2S VPN, P2S VPN 및 SD-WAN과 같은 Azure 가상 네트워크 및 분기 네트워크에서 보다 구체적인 경로를 알아봅니다. Azure VMware Solution은 온-프레미스 네트워크에서 특정 경로를 학습하지 않습니다. 트래픽을 온-프레미스 네트워크로 다시 라우팅하기 위해 Azure VMware Solution은 연결 D에서 학습하는 기본 RFC 1918 주소를 사용합니다. 이 트래픽은 허브 방화벽을 통해 전송됩니다. 허브 방화벽은 온-프레미스 네트워크에 대한 특정 경로를 사용하여 연결 E를 통해 대상으로 트래픽을 라우팅합니다. Azure VMware Solution에서 가상 네트워크로 이동하는 트래픽은 허브 방화벽을 전송합니다.
온-프레미스 연결 및 트래픽 흐름
다음 다이어그램은 온-프레미스 연결에 대한 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 3 | 온-프레미스 | Azure VMware Solution 클라우드 | 예 |
| 4 | 온-프레미스 | 가상 네트워크 | 예 |
온-프레미스 사이트는 ExpressRoute 연결 E를 통해 허브에 연결합니다.
보안 허브에서 ExpressRoute에서 ExpressRoute 전이성을 사용하도록 설정하고 라우팅 의도를 사용하도록 설정하면 보안 허브는 연결 E를 통해 기본 RFC 1918 주소를 온-프레미스로 보냅니다. 기본 RFC 1918 주소 외에도 온-프레미스는 허브에 연결하는 Azure 가상 네트워크 및 분기 네트워크에서 보다 구체적인 경로를 알아봅니다. 온-프레미스는 Azure VMware Solution 네트워크에서 특정 경로를 학습하지 않습니다. Azure VMware Solution 네트워크로 트래픽을 다시 라우팅하기 위해 Azure VMware Solution은 연결 E에서 학습하는 기본 RFC 1918 주소를 사용합니다. 이 트래픽은 허브 방화벽을 통해 전송됩니다. 허브 방화벽은 Azure VMware Solution 네트워크에 대한 특정 경로를 사용하여 연결 D를 통해 대상으로 트래픽을 라우팅합니다. 온-프레미스에서 가상 네트워크로 이동하는 트래픽은 허브 방화벽을 전송합니다.
허브에서 ExpressRoute-ExpressRoute 전이성을 사용하도록 설정하면 기본 RFC 1918 주소가 온-프레미스 네트워크에 전송됩니다. 따라서 정확한 RFC 1918 접두사를 Azure로 다시 보급해서는 안 됩니다. 동일한 정확한 경로를 보급하면 Azure 내에서 라우팅 문제가 발생합니다. 대신 온-프레미스 네트워크에 대해 더 구체적인 경로를 Azure로 다시 보급해야 합니다.
참고 항목
온-프레미스에서 Azure로 기본 RFC 1918 주소를 보급하고 이 방법을 계속하려면 각 RFC 1918 범위를 두 개의 동일한 하위 범위로 분할하고 이러한 하위 범위를 Azure로 다시 보급해야 합니다. 하위 범위는 10.0.0.0/9입니다. 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 및 192.168.128.0/17.
Azure 가상 네트워크 연결 및 트래픽 흐름
다음 다이어그램은 Azure 가상 네트워크 연결에 대한 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 5 | 가상 네트워크 | Azure VMware Solution 클라우드 | 예 |
| 6 | 가상 네트워크 | 온-프레미스 | 예 |
이 시나리오에서는 가상 네트워크가 허브에 직접 피어링됩니다. 이 다이어그램은 가상 네트워크의 Azure 네이티브 리소스가 경로를 학습하는 방법을 보여 줍니다. 라우팅 의도가 설정된 보안 허브는 피어링된 가상 네트워크에 기본 RFC 1918 주소를 보냅니다. 가상 네트워크의 Azure 네이티브 리소스는 가상 네트워크 외부에서 특정 경로를 학습하지 않습니다. 라우팅 의도를 사용하도록 설정하면 가상 네트워크의 모든 리소스에 기본 RFC 1918 주소가 있으며 허브 방화벽을 다음 홉으로 사용합니다. 가상 네트워크를 들어오고 나가는 모든 트래픽은 허브 방화벽을 전송합니다.
인터넷 연결
이 섹션에서는 가상 네트워크의 Azure 네이티브 리소스 및 단일 지역의 Azure VMware Solution 프라이빗 클라우드에 대한 인터넷 연결을 제공하는 방법을 설명합니다. 자세한 내용은 인터넷 연결 디자인 고려 사항을 참조하세요. 다음 옵션을 사용하여 Azure VMware Solution에 인터넷 연결을 제공할 수 있습니다.
- 옵션 1: Azure 호스팅 인터넷 서비스
- 옵션 2: Azure VMware Solution 관리형 SNAT(원본 네트워크 주소 변환)
- 옵션 3: NSX-T 데이터 센터 에지에 대한 Azure 공용 IPv4 주소
라우팅 의도가 있는 단일 지역 보안 Virtual WAN 디자인은 모든 옵션을 지원하지만 옵션 1을 사용하는 것이 좋습니다. 이 문서의 뒷부분에 있는 시나리오에서는 옵션 1을 사용하여 인터넷 연결을 제공합니다. 옵션 1은 검사, 배포 및 관리가 쉽기 때문에 보안 Virtual WAN에서 가장 잘 작동합니다.
보안 허브에서 라우팅 의도를 사용하도록 설정하면 모든 피어링된 가상 네트워크에 RFC 1918을 보급합니다. 그러나 다운스트림 리소스에 대한 인터넷 연결에 대한 기본 경로 0.0.0.0/0을 보급할 수도 있습니다. 라우팅 의도를 사용하는 경우 허브 방화벽에서 기본 경로를 생성할 수 있습니다. 이 기본 경로는 가상 네트워크 및 Azure VMware Solution에 보급됩니다.
Azure VMware Solution 및 가상 네트워크 인터넷 연결
인터넷 트래픽에 라우팅 의도를 사용하도록 설정하면 기본적으로 보안 Virtual WAN 허브는 ExpressRoute 회로에서 기본 경로를 보급하지 않습니다. 기본 경로가 Virtual WAN에서 Azure VMware Solution으로 전파되도록 하려면 Azure VMware Solution ExpressRoute 회로에서 기본 경로 전파를 사용하도록 설정해야 합니다. 자세한 내용은 엔드포인트에 대한 Advertise 기본 경로 0.0.0.0/0을 참조하세요.
다음 다이어그램에서는 가상 네트워크 및 Azure VMware Solution 인터넷 연결에 대한 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 7 | 가상 네트워크 | 인터넷 | 예 |
| 8 | Azure VMware Solution 클라우드 | 인터넷 | 예 |
기본 경로 전파를 사용하도록 설정한 후 연결 D 는 허브에서 기본 경로 0.0.0.0/0을 보급합니다. 온-프레미스 ExpressRoute 회로에 대해 이 설정을 사용하도록 설정하지 마세요. 온-프레미스 장비에서 BGP(Border Gateway Protocol) 필터를 구현하는 것이 좋습니다. BGP 필터는 리소스가 실수로 기본 경로를 학습하지 못하도록 하고, 추가적인 예방 조치를 추가하며, 구성이 온-프레미스 인터넷 연결에 영향을 주지 않도록 하는 데 도움이 됩니다.
인터넷 액세스에 라우팅 의도를 사용하도록 설정하면 보안 Virtual WAN 허브에서 생성하는 기본 경로가 허브 피어링된 가상 네트워크 연결에 자동으로 보급됩니다. 가상 네트워크의 가상 머신 NIC에서 0.0.0.0/0 다음 홉은 허브 방화벽입니다. 다음 홉을 찾으려면 NIC에서 유효 경로를 선택합니다.
Global Reach 없이 VMware HCX MON(Mobility Optimized Networking) 사용
HCX 네트워크 확장을 사용하는 경우 MON(HCX Mobility Optimized Networking)을 사용하도록 설정할 수 있습니다. MON은 특정 시나리오에서 최적의 트래픽 라우팅을 제공하여 확장된 네트워크의 온-프레미스 기반 리소스와 클라우드 기반 리소스 간에 네트워크가 겹치거나 반복되지 않도록 합니다.
Azure VMware Solution에서 트래픽 송신
특정 확장 네트워크 및 가상 머신에 대해 MON을 사용하도록 설정하면 트래픽 흐름이 변경됩니다. MON을 구현한 후에는 가상 머신의 송신 트래픽이 온-프레미스로 다시 반복되지 않습니다. 대신 네트워크 확장 IPSec 터널을 무시합니다. 가상 머신에 대한 트래픽은 Azure VMware Solution NSX-T 계층-1 게이트웨이에서 종료되고, NSX-T 계층-0 게이트웨이로 이동하고, Virtual WAN으로 이동합니다.
Azure VMware Solution으로의 수신 트래픽
특정 확장 네트워크 및 가상 머신에 대해 MON을 사용하도록 설정하면 다음과 같은 변경 내용이 도입됩니다. Azure VMware Solution NSX-T에서 MON은 /32 호스트 경로를 Virtual WAN에 다시 삽입합니다. Virtual WAN은 이 /32 경로를 온-프레미스, 가상 네트워크 및 분기 네트워크로 다시 보급합니다. 이 /32 호스트 경로는 트래픽이 MON 지원 가상 머신으로 이동하면 온-프레미스, 가상 네트워크 및 분기 네트워크의 트래픽이 네트워크 확장 IPSec 터널을 사용하지 않도록 합니다. 원본 네트워크의 트래픽은 /32 경로를 학습하므로 MON 지원 가상 머신으로 바로 이동합니다.
Global Reach가 없는 보안 Virtual WAN에 대한 HCX MON 제한 사항
보안 허브에서 ExpressRoute-ExpressRoute 전이성을 사용하도록 설정하고 라우팅 의도를 사용하도록 설정하면 보안 허브는 기본 RFC 1918 주소를 온-프레미스 및 Azure VMware Solution 모두에 보냅니다. 기본 RFC 1918 주소 외에도 온-프레미스 및 Azure VMware Solution은 허브에 연결하는 Azure 가상 네트워크 및 분기 네트워크에서 더 구체적인 경로를 알아봅니다.
그러나 온-프레미스 네트워크는 Azure VMware Solution에서 특정 경로를 학습하지 않으며 Azure VMware Solution은 온-프레미스 네트워크에서 특정 경로를 학습하지 않습니다. 대신 두 환경 모두 기본 RFC 1918 주소를 사용하여 허브 방화벽을 통해 서로 다시 라우팅할 수 있습니다. 따라서 MON 호스트 경로와 같은 보다 구체적인 경로는 Azure VMware Solution ExpressRoute에서 온-프레미스 기반 ExpressRoute 회로로 보급하지 않습니다. 그 반대의 경우도 마찬가지입니다. 특정 경로를 학습할 수 없는 경우 비대칭 트래픽 흐름이 발생합니다. 트래픽은 NSX-T 계층 0 게이트웨이를 통해 Azure VMware Solution을 송신하지만 온-프레미스에서 트래픽을 반환하면 네트워크 확장 IPSec 터널을 통해 반환됩니다.
트래픽 비대칭 수정
트래픽 비대칭을 수정하려면 MON 정책 경로를 조정해야 합니다. MON 정책 경로는 L2 확장을 통해 온-프레미스 게이트웨이로 돌아가는 트래픽을 결정합니다. 또한 Azure VMware Solution NSX 계층 0 게이트웨이를 통과하는 트래픽을 결정합니다.
대상 IP가 일치하고 MON 정책 구성에서 허용하도록 설정하면 두 가지 작업이 발생합니다. 먼저 시스템은 패킷을 식별합니다. 둘째, 시스템은 네트워크 확장 어플라이언스를 통해 온-프레미스 게이트웨이로 패킷을 보냅니다.
대상 IP가 일치하지 않거나 MON 정책에서 거부하도록 설정한 경우 시스템은 라우팅을 위해 Azure VMware Solution Tier-0 게이트웨이로 패킷을 보냅니다.
다음 표에서는 HCX 정책 경로에 대해 설명합니다.
| 네트워크 | 피어로 리디렉션 | 참고 항목 |
|---|---|---|
| Azure 가상 네트워크 주소 공간 | 거부 | 모든 가상 네트워크의 주소 범위를 명시적으로 포함합니다. Azure용 트래픽은 Azure VMware Solution을 통해 아웃바운드로 전달되며 온-프레미스 네트워크로 돌아가지 않습니다. |
| 기본 RFC 1918 주소 공간 | 허용 | 기본 RFC 1918 주소를 추가합니다. 이 구성은 이전 조건과 일치하지 않는 트래픽이 온-프레미스 네트워크로 다시 라우팅되도록 합니다. 온-프레미스 설정에서 RFC 1918의 일부가 아닌 주소를 사용하는 경우 해당 범위를 명시적으로 포함해야 합니다. |
| 0.0.0.0/0 주소 공간 | 거부 | RFC 1918에서 다루지 않는 주소(예: 인터넷 라우팅 가능 IP 또는 지정된 항목과 일치하지 않는 트래픽)는 Azure VMware Solution을 통해 직접 종료되고 온-프레미스 네트워크로 다시 리디렉션되지 않습니다. |