새 ExpressRoute 회로로 마이그레이션
하나의 ExpressRoute 회로에서 다른 회로로 전환하려는 경우 서비스 중단을 최소화하면서 원활하게 전환하는 것이 좋습니다. 이 문서는 큰 중단이나 위험을 초래하지 않고 프로덕션 트래픽을 마이그레이션하는 단계를 수행하는 데 도움이 됩니다. 새 피어링 위치로 이동하든 동일한 피어링 위치로 이동하든 이 방법을 사용할 수 있습니다.
계층 3 서비스 공급자를 통해 ExpressRoute 회로가 있는 경우 Azure Portal의 구독 아래에 새 회로를 만듭니다. 서비스 공급자와 협력하여 트래픽을 새 회로로 원활하게 전환합니다. 서비스 공급자가 이전 회로의 프로비전을 해제한 후 Azure Portal에서 삭제합니다.
문서의 나머지 부분은 계층 2 서비스 공급자 또는 ExpressRoute Direct 포트를 통해 ExpressRoute 회로가 있는 경우에 적용됩니다.
원활한 ExpressRoute 회로 마이그레이션을 위한 단계
위 다이어그램은 회로 A라고 하는 기존 ExpressRoute 회로에서 회로 B라고 하는 새 ExpressRoute 회로로의 마이그레이션 프로세스를 보여 줍니다. 회로 B는 회로 A와 동일하거나 다른 피어링 위치에 있을 수 있습니다. 마이그레이션 프로세스 다음 단계로 구성됩니다.
격리된 회로 B 배포: 트래픽이 회로 A를 통해 계속 흐르는 동안 프로덕션 환경에 영향을 주지 않고 새 회로 B를 배포합니다.
회로 B를 통한 프로덕션 트래픽 흐름 차단: 완전히 테스트되고 유효성 검사될 때까지 트래픽이 회로 B를 사용하지 못하도록 합니다.
회로 B의 엔드투엔드 연결을 완료하고 유효성 검사: 회로 B가 필요한 모든 엔드포인트와 안정적이고 안전한 연결을 설정하고 유지할 수 있는지 유효성을 검사합니다.
트래픽 전환: 트래픽 흐름을 회로 A에서 회로 B로 리디렉션하고 회로 A를 통한 트래픽 흐름을 차단합니다.
회로 A 해제: 네트워크에서 회로 A를 제거하고 해당 리소스를 해제합니다.
새로운 회로를 격리하여 배포
기존 회로를 일대일로 교체하려면 표준 복원력 옵션을 선택하고 ExpressRoute를 사용하여 회로 만들기 가이드에 설명된 단계에 따라 원하는 피어링 위치에 새 ExpressRoute 회로(회로 B)를 만듭니다. 그런 다음 ExpressRoute 회로에 대한 피어링 구성의 단계에 따라 필요한 피어링 유형(프라이빗 및 Microsoft)을 구성합니다.
개인 피어링 프로덕션 트래픽이 테스트하고 유효성 검사하기 전에 회로 B를 사용하지 못하도록 방지하려면 프로덕션 배포가 있는 가상 네트워크 게이트웨이를 회로 B에 연결하지 마세요. 마찬가지로 Microsoft 피어링 프로덕션 트래픽이 회로 B를 사용하지 않도록 하려면 경로 필터를 회로 B에 연결하지 마세요.
새로 만들어진 회로를 통한 프로덕션 트래픽 흐름 차단
CE 디바이스의 새 피어링에 대한 경로 알림을 방지합니다.
Cisco IOS의 경우 route-map 및 prefix-list를 사용하여 BGP 피어링을 통해 보급되는 경로를 필터링할 수 있습니다. 다음 예에서는 이 목적을 위해 route-map 및 prefix-list를 만들고 적용하는 방법을 보여 줍니다.
route-map BLOCK ADVERTISEMENTS deny 10
match ip address prefix-list BLOCK-ALL-PREFIXES
ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32
router bgp <your_AS_number>
neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in
내보내기/가져오기 정책을 사용하여 Junos 디바이스의 새 피어링에서 보급되고 수신된 경로를 필터링합니다. 다음 예에서는 이 목적을 위해 내보내기/가져오기 정책을 구성하는 방법을 보여 줍니다.
user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES
term reject-all {
the reject;
}
protocols {
bgp {
group <your_group_name> {
neighbor <neighbor_IP_address> {
export [ BLOCK-ALL-ROUTES ];
import [ BLOCK-ALL-ROUTES ];
}
}
}
}
새로 만들어진 회로의 엔드투엔드 연결의 유효성을 검사합니다.
비공개 피어링
ExpressRoute 회로에 가상 네트워크 연결의 단계에 따라 새 회로를 테스트 가상 네트워크의 게이트웨이에 연결하고 개인 피어링 연결을 확인합니다. 가상 네트워크를 회로에 연결한 후 회로의 개인 피어링 경로 테이블을 검사하고 가상 네트워크의 주소 공간이 테이블에 포함되어 있는지 확인합니다. 다음 예에서는 Azure 관리 포털에서 ExpressRoute 회로의 개인 피어링에 대한 경로 테이블을 보여 줍니다.
다음 다이어그램에서는 ExpressRoute 개인 피어링을 통한 연결을 확인하기 위해 테스트 가상 네트워크에 구성된 테스트 VM과 온-프레미스에 위치한 테스트 디바이스를 보여 줍니다.
공지된 경로를 필터링하고 온-프레미스에서 테스트 디바이스의 특정 IP 주소를 허용하도록 적용한 경로 맵 또는 정책 구성을 수정합니다. 마찬가지로 Azure에서 테스트 가상 네트워크의 주소 공간을 허용합니다.
route-map BLOCK ADVERTISEMENTS permit 5
match ip address prefix-list PERMIT-ROUTE
route-map BLOCK ADVERTISEMENTS deny 10
match ip address prefix-list BLOCK-ALL-PREFIXES
ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32
ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32
Junos의 테스트 디바이스에 대해 특정 IP 접두사를 허용하려면 접두사 목록을 구성합니다. 그런 다음 이러한 접두사를 허용하고 다른 모든 것을 거부하도록 BGP 가져오기/내보내기 정책을 구성합니다.
user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS
term PERMIT-ROUTES {
from {
prefix-list PERMIT-ROUTE;
}
then accept;
}
term reject-all {
then reject;
}
user@router>show configuration policy-options prefix-list PERMIT-ROUTE
10.1.18.10/32;
10.17.1.0/24;
개인 피어링을 통한 엔드투엔드 연결을 확인합니다. 예를 들어, 온-프레미스 테스트 디바이스에서 Azure의 테스트 VM을 ping하고 결과를 확인할 수 있습니다. 단계별 세부 유효성 검사는 ExpressRoute 연결 유효성 검사을 참조하세요.
Microsoft 피어링
Microsoft 피어링을 확인하려면 프로덕션 트래픽에 영향을 주지 않도록 신중한 계획이 필요합니다. 두 회로 간의 라우팅 충돌을 방지하려면 회로 A에 사용된 것과 다른 회로 B의 Microsoft 피어링에 대해 고유한 접두사를 사용해야 합니다. 또한 Microsoft 피어링용 경로 필터 구성 단계에 따라 회로 B의 Microsoft 피어링을 회로 A에 연결된 경로 필터가 아닌 별도의 경로 필터에 연결해야 합니다. 또한 회로 A와 회로 B 간의 비대칭 라우팅을 방지하려면 두 회로에 대한 경로 필터에 온-프레미스 네트워크에 공지되는 공통 경로가 없는지 확인해야 합니다. 이를 달성하려면 다음 중 하나를 수행할 수 있습니다.
- 회로 A의 프로덕션 트래픽에서 사용되지 않는 회로 B를 테스트하기 위해 서비스 또는 Azure 지역을 선택합니다.
- 두 경로 필터 간의 중복을 최소화하고 회로 B를 통해 수신된 보다 구체적인 테스트 공용 엔드포인트만 허용합니다.
경로 필터를 연결한 후에는 CE 디바이스의 BGP 피어링을 통해 보급되고 수신되는 경로를 확인해야 합니다. 공지된 경로를 필터링하고 Microsoft 피어링의 온-프레미스 접두사 및 테스트를 위해 선택한 Microsoft 공용 엔드포인트의 특정 IP 주소만 허용하려면 적용한 경로 맵 또는 Junos 정책 구성을 수정해야 합니다.
Microsoft 365 엔드포인트에 대한 연결을 테스트하려면 Microsoft 365용 ExpressRoute 구현 – 테스트 절차 빌드의 단계를 따릅니다. Azure 퍼블릭 엔드포인트의 경우 온-프레미스의 경로 추적과 같은 기본 연결 테스트로 시작하고 요청이 ExpressRoute 엔드포인트를 통과하는지 확인할 수 있습니다. ExpressRoute 엔드포인트를 넘어서는 ICMP 메시지는 Microsoft 네트워크를 통해 억제됩니다. 기본 핑 테스트 외에도 애플리케이션 수준에서 연결성을 테스트할 수도 있습니다. 예를 들어, 웹 서버를 실행하는 Azure 퍼블릭 IP가 있는 Azure VM이 있는 경우 ExpressRoute 연결을 통해 온-프레미스 네트워크에서 웹 서버 공용 IP에 액세스해 볼 수 있습니다. 이는 HTTP 요청과 같은 더 복잡한 트래픽이 Azure 서비스에 도달할 수 있는지 확인하는 데 도움이 됩니다.
프로덕션 트래픽 전환
비공개 피어링
- 연결된 테스트 가상 네트워크 게이트웨이에서 회로 B의 연결을 끊습니다.
- Cisco 경로 맵 또는 Junos 정책에 적용한 모든 예외를 제거합니다.
- ExpressRoute 회로에 가상 네트워크 연결의 단계를 따르고 회로 B를 프로덕션 가상 네트워크 게이트웨이에 연결합니다.
- CE에서는 CE의 회로 B 인터페이스에 적용된 경로 맵이나 정책을 제거할 때 회로 A, 회로 B를 통해 현재 보급하고 있는 모든 경로를 보급할 준비가 되었는지 확인합니다. 여기에는 회로 B의 인터페이스가 적절한 VRF 또는 라우팅 인스턴스(있는 경우)와 연결되어 있는지 확인하는 것도 포함됩니다.
- 회로 B 인터페이스에서 경로 맵이나 정책을 제거합니다. 회로 A 인터페이스에 경로 맵이나 정책을 적용하여 회로 A에 대한 경로 알림을 차단합니다. 이렇게 하면 회로 B에 대한 트래픽 흐름이 전환됩니다.
- 회로 B를 통한 트래픽 흐름을 확인합니다. 확인에 실패하면 이전 단계에서 수행한 경로 맵 또는 방화벽 연결을 취소하고 회로 A를 통해 트래픽 흐름을 다시 전환합니다.
- 회로 B를 통한 트래픽 흐름 확인에 성공하면 회로 A를 삭제합니다.
Microsoft 피어링
- 연결한 테스트 Azure 경로 필터에서 회로 B를 제거합니다.
- 경로 맵 또는 정책에 적용한 예외를 제거합니다.
- CE에서는 회로 B의 인터페이스가 적절한 VRF 또는 라우팅 인스턴스와 연결되어 있는지 확인합니다.
- Microsoft 피어링을 통해 알려진 접두사의 유효성을 검사하고 유효성 검사합니다.
- 현재 회로 A에 연결된 Azure 경로 필터에 회로 B Microsoft 피어링을 연결합니다.
- 회로 B 인터페이스에서 경로 맵 또는 내보내기/가져오기 정책을 제거합니다. 회로 A 인터페이스에 경로 맵 또는 내보내기/가져오기 정책을 적용하여 회로 A를 통한 경로 알림을 차단합니다. 그러면 회로 B를 통한 트래픽 흐름이 전환됩니다.
- 회로 B를 통한 트래픽 흐름을 확인합니다. 확인에 실패하면 이전 단계에서 수행한 경로 맵 또는 정책 연결을 실행 취소하고 회로 A를 통해 트래픽 흐름을 다시 전환합니다.
- 회로 B를 통한 트래픽 흐름 확인에 성공하면 회로 A를 삭제합니다.
다음 단계
라우터 구성에 대한 자세한 내용은 라우팅 설정 및 관리를 위한 라우터 구성 샘플을 참조하세요.