다음을 통해 공유

디자인 2단계: Azure 가상 네트워크를 사용하여 커넥트ivity

  • 아티클

Azure VMware Solution 프라이빗 클라우드는 관리되는 Azure ExpressRoute 회로를 통해 Azure 가상 네트워크에 연결합니다. 자세한 내용은 ExpressRoute 회로 및 Azure VMware Solution 프라이빗 클라우드를 참조 하세요. 허브-스포크 Azure 네트워크(Azure Virtual WAN으로 빌드된 네트워크 포함)에서 프라이빗 클라우드의 관리 회로를 허브 네트워크(또는 Virtual WAN 허브)의 ExpressRoute 게이트웨이에 연결하면 프라이빗 클라우드와의 계층 3 연결이 제공됩니다. 그러나 리소스 간의 연결을 선택적으로 허용하거나 거부하도록 보안 정책을 적용하는 것이 요구 사항인 경우가 많습니다. 이 요구 사항은 다음 사이에 존재할 수 있습니다.

  • Azure VMware Solution 프라이빗 클라우드에서 실행되는 Azure 가상 네트워크 및 VM.
  • Azure 가상 네트워크 및 Azure VMware Solution 프라이빗 클라우드의 관리 엔드포인트.

Azure 가상 네트워크와 vSphere/NSX-T는 모두 네트워크 분할을 위한 네이티브 구문을 제공하지만 Azure 가상 네트워크에서 NVA(네트워크 가상 어플라이언스)로 배포된 방화벽 솔루션은 엔터프라이즈 규모 환경에서 선호되는 옵션인 경우가 많습니다. 이 문서에서는 방화벽 NVA와 같은 사용자 지정 다음 홉을 사용하여 프라이빗 클라우드와 Azure 가상 네트워크 간에 트래픽을 라우팅할 수 있는 가상 네트워크 구성에 중점을 둡니다.

이 디자인 단계에서 선택하는 방법은 온-프레미스 연결을 위해 디자인 1단계에서 선택한 옵션에 따라 달라집니다. 실제로 프라이빗 클라우드를 Azure 가상 네트워크에 연결하는 관리되는 ExpressRoute 회로는 온-프레미스 사이트와의 연결에서 역할을 할 수도 있습니다. 디자인 1단계에서 ExpressRoute 프라이빗 피어링을 통해 전송을 선택하는 경우입니다. 이 순서도는 Azure 가상 네트워크와의 연결 옵션을 선택하는 프로세스를 보여 줍니다.

Flowchart that shows the design decision making process for connectivity to Azure virtual networks.

Azure 가상 네트워크와의 연결에 대한 자세한 내용은 다음 섹션 중 하나를 참조하세요. 디자인 1단계에서 선택한 하이브리드 연결 옵션과 일치하는 섹션을 선택합니다.

ExpressRoute 개인 피어링을 통해 전송은 온-프레미스 트래픽에 사용됩니다.

온-프레미스 사이트와의 연결을 위해 ExpressRoute 프라이빗 피어링을 통한 전송을 사용하는 경우 트래픽은 허브 네트워크의 NVA(일반적으로 Azure Firewall 또는 타사 방화벽 솔루션)를 통해 라우팅됩니다. 온-프레미스 사이트의 트래픽은 ExpressRoute 게이트웨이(고객 소유 회로에 연결됨)를 통해 Azure 가상 네트워크에 들어가고 방화벽 NVA로 라우팅됩니다. 검사 후 트래픽은 관리되는 ExpressRoute 회로를 통해 프라이빗 클라우드로 전달됩니다(방화벽에 의해 삭제되지 않은 경우).

반대 방향으로 프라이빗 클라우드의 트래픽은 디자인 1단계(단일 가상 네트워크 또는 보조 가상 네트워크)에서 선택한 구현 옵션에 따라 허브 가상 네트워크 또는 보조 가상 네트워크로 들어갑니다. 그런 다음 관리 회로 및 방화벽 NVA에 연결된 ExpressRoute 게이트웨이를 통해 라우팅됩니다. 검사 후 트래픽은 고객 소유 ExpressRoute 회로를 통해 온-프레미스 대상으로 전달됩니다(방화벽에 의해 삭제되지 않은 경우).

단일 가상 네트워크 및 보조 가상 네트워크 옵션에는 대상(Azure 가상 네트워크 또는 온-프레미스 사이트)에 관계없이 프라이빗 클라우드의 모든 트래픽이 허브 네트워크의 방화벽 NVA로 전달되도록 하는 라우팅 구성이 포함됩니다. 프라이빗 클라우드에서 실행되는 가상 머신과 Azure 리소스 간의 연결을 허용하거나 삭제하는 방화벽 규칙을 방화벽 정책에 추가해야 합니다.

ExpressRoute Global Reach는 온-프레미스 트래픽에 사용됩니다.

온-프레미스 사이트와의 연결에 ExpressRoute Global Reach를 사용하는 경우 허브 네트워크와 프라이빗 클라우드 간의 ExpressRoute 게이트웨이 연결은 Azure 리소스로 향하는 트래픽만 전달합니다. 방화벽 디바이스를 통해 이 트래픽을 라우팅하려면 다음 구성을 구현해야 합니다.

  • 기존 허브-스포크 네트워크에서는 NVA를 통해 도달해야 하는 Azure의 모든 대상(IP 접두사)에 대해 허브 가상 네트워크의 GatewaySubnet에 UDR(사용자 정의 경로)을 추가해야 합니다. UDR의 다음 홉 IP 주소는 방화벽의 VIP(Azure Firewall을 사용하는 경우 방화벽의 개인 IP 주소)입니다.
  • 허브 통합 NVA(Azure Firewall 또는 타사 보안 솔루션)가 있는 Virtual WAN을 기반으로 하는 허브-스포크 네트워크에서는 Virtual WAN 허브의 기본 경로 테이블에 사용자 지정 정적 경로를 추가해야 합니다. Azure VMware Solution의 NVA를 통해 도달해야 하는 각 IP 접두사에 UDR이 필요합니다. 이러한 UDR에 대한 다음 홉은 방화벽 또는 NVA의 VIP여야 합니다. 또는 보안 Virtual WAN 허브에서 Virtual WAN 라우팅 의도 및 라우팅 정책을 활성화하고 구성할 수 있습니다.

IPSec VPN은 온-프레미스 트래픽에 사용됩니다.

온-프레미스 사이트와의 연결에 IPSec VPN을 사용하는 경우 방화벽 NVA를 통해 프라이빗 클라우드와 Azure 가상 네트워크의 리소스 간에 연결을 라우팅하도록 추가 라우팅을 구성해야 합니다.

  • 기존 허브-스포크 네트워크에서는 NVA를 통해 도달해야 하는 Azure의 모든 대상(IP 접두사)에 대해 허브 네트워크의 GatewaySubnet에 UDR을 추가해야 합니다. UDR의 다음 홉 IP 주소는 방화벽의 VIP(Azure Firewall을 사용하는 경우 방화벽의 개인 IP 주소)입니다.
  • 허브 통합 NVA(Azure Firewall 또는 타사 보안 솔루션)를 사용하여 Virtual WAN을 기반으로 하는 허브-스포크 네트워크에서는 Azure VMware Solution의 NVA를 통해 도달해야 하는 각 대상 집합(IP 접두사)에 대해 Virtual WAN 허브의 기본 경로 테이블에 사용자 지정 정적 경로를 추가해야 합니다. 각 UDR에 대해 다음 홉은 방화벽 또는 NVA의 VIP여야 합니다. 또는 보안 Virtual WAN 허브에서 Virtual WAN 라우팅 의도 및 라우팅 정책을 활성화하고 구성할 수 있습니다.

다음 단계

인바운드 인터넷 연결에 대해 알아봅니다.

인바운드 인터넷 연결