Azure Portal을 사용하여 사이트 간 연결 및 ExpressRoute 공존 연결 구성

• Azure Portal
• PowerShell - Resource Manager
• PowerShell - 클래식

이 문서에서는 공존하는 ExpressRoute 및 사이트 간 VPN 연결을 구성합니다. 두 연결을 모두 구성하면 보안 장애 조치(failover) 경로 제공 또는 ExpressRoute를 통해 연결되지 않은 사이트에 연결하는 등의 몇 가지 이점이 있습니다. 이 가이드는 Resource Manager 배포 모델에 적용됩니다.

공존 연결의 장점

• 보안 장애 조치 경로: 사이트 및 사이트 간의 VPN을 ExpressRoute의 백업으로 구성합니다.
• 추가 사이트에 연결: 사이트간 VPN을 사용하여 ExpressRoute를 통해 연결되지 않은 사이트에 연결합니다.

이 문서에서는 두 시나리오를 모두 구성하는 단계를 설명합니다. 일반적으로 새 게이트웨이 또는 게이트웨이 연결을 추가할 때 가동 중지 시간을 발생시키지 않고 먼저 게이트웨이를 구성할 수 있습니다.

참고 항목

• ExpressRoute 연결을 통해 사이트 및 사이트 간의 VPN을 만들려면 Microsoft 피어링을 통해 사이트 및 사이트를 참조하세요.
• ExpressRoute가 이미 있는 경우 ExpressRoute를 만들기 위한 필수 구성 요소인 가상 네트워크 또는 게이트웨이 서브넷을 만들 필요가 없습니다.
• 암호화된 ExpressRoute 게이트웨이의 경우 MSS(최대 세그먼트 크기) 클램핑은 Azure VPN Gateway를 통해 수행되어 TCP 패킷 크기를 1,250바이트로 고정합니다.

제한 사항 및 제한 사항

• 경로 기반 VPN 게이트웨이만 지원됩니다. 경로 기반 VPN 게이트웨이를 사용합니다. 여러 정책 기반 VPN 디바이스에 연결에 설명된 대로 '정책 기반 트래픽 선택기'에 대해 구성된 VPN 연결이 있는 경로 기반 VPN 게이트웨이를 사용할 수도 있습니다.
• ExpressRoute-VPN Gateway 공존 구성은 기본 SKU에서 지원되지 않습니다.
• BGP 통신: ExpressRoute 및 VPN 게이트웨이는 모두 BGP를 통해 통신해야 합니다. 게이트웨이 서브넷의 UDR이 게이트웨이 서브넷 범위 자체에 대한 경로를 포함하지 않는지 확인합니다. 이렇게 하면 BGP 트래픽을 방해합니다.
• 전송 라우팅: ExpressRoute와 VPN 간의 전송 라우팅의 경우 Azure VPN Gateway의 ASN을 65515로 설정해야 합니다. Azure VPN Gateway는 BGP 라우팅 프로토콜을 지원합니다. 함께 작동하려면 Azure VPN 게이트웨이의 ASN을 기본값인 65515로 유지합니다. ASN을 65515로 변경하는 경우 설정이 적용되도록 VPN 게이트웨이를 다시 설정합니다.
• 게이트웨이 서브넷 크기: 게이트웨이 서브넷은 /27 또는 더 짧은 접두사(예: /26 또는 /25)이거나 ExpressRoute 가상 네트워크 게이트웨이를 추가할 때 오류 메시지를 수신해야 합니다.

구성 디자인

사이트 및 사이트 간의 VPN을 ExpressRoute의 장애 조치(failover) 경로로 구성

사이트 및 사이트 간의 VPN 연결을 ExpressRoute에 대한 백업으로 설정할 수 있습니다. 이 설정은 Azure 프라이빗 피어링 경로에 연결된 가상 네트워크에만 적용됩니다. Azure Microsoft 피어링을 통해 액세스할 수 있는 서비스에 대한 VPN 기반 장애 조치(failover) 솔루션은 없습니다. ExpressRoute 회로는 기본 링크로 유지되며, ExpressRoute 회로가 실패하는 경우에만 사이트 및 사이트 간의 VPN 경로를 통해 데이터가 흐릅니다. 비대칭 라우팅을 방지하려면 ExpressRoute를 통해 수신된 경로에 대해 더 높은 로컬 기본 설정을 통해 사이트간 VPN보다 ExpressRoute 회로를 선호하도록 로컬 네트워크를 구성합니다.

참고 항목

ExpressRoute Microsoft 피어링을 사용하도록 설정한 경우 ExpressRoute 연결에서 Azure VPN 게이트웨이의 공용 IP 주소를 받을 수 있습니다. 사이트 및 사이트 간의 VPN 연결을 백업으로 설정하려면 VPN 연결이 인터넷으로 라우팅되도록 온-프레미스 네트워크를 구성합니다.

참고 항목

두 경로가 모두 동일한 경우 사이트 간 VPN보다 ExpressRoute 회로가 선호되지만 Azure는 가장 긴 접두사 일치를 사용하여 패킷의 대상으로 향하는 경로를 선택합니다.

ExpressRoute를 통해 연결되지 않은 사이트에 연결하도록 사이트간 VPN 구성

일부 사이트는 사이트간 VPN을 통해 Azure에 직접 연결하고 다른 사이트는 ExpressRoute를 통해 연결되도록 네트워크를 구성할 수 있습니다.

사용할 단계 선택

두 가지 절차 중에서 선택할 수 있습니다. 선택하는 구성 절차는 연결하려는 기존 가상 네트워크가 있는지 또는 새 가상 네트워크를 만들어야 하는지에 따라 달라집니다.

• VNet이 없어서 만들어야 합니다.

  가상 네트워크가 아직 없는 경우 새 가상 네트워크를 만들고 연결을 공존하여 Resource Manager 배포 모델을 사용하여 새 가상 네트워크를 만들고 새 ExpressRoute 및 사이트 간의 VPN 연결을 설정하려면 다음 단계를 수행합니다.

• 이미 Resource Manager 배포 모델 VNet이 있습니다.

  기존 사이트 및 사이트 간의 VPN 연결 또는 ExpressRoute 연결이 있는 가상 네트워크가 이미 있고 게이트웨이 서브넷 접두사는 /28 이상(/29, /30 등)인 경우 기존 게이트웨이를 삭제해야 합니다. 게이트웨이를 삭제하고 새 ExpressRoute 및 사이트 간의 VPN 연결을 만들도록 기존 가상 네트워크에 대한 공존 연결을 구성하려면 다음 단계를 수행합니다.

  게이트웨이를 삭제하고 다시 만들면 크로스-프레미스 연결에 대한 가동 중지 시간이 발생합니다. 그러나 VM 및 서비스는 이렇게 하도록 구성된 경우 이 프로세스 중에 부하 분산 장치를 통해 통신할 수 있습니다.

새 가상 네트워크 및 공존 연결을 만들려면 다음을 수행합니다.

이 절차에서는 가상 네트워크를 만들고 사이트 및 ExpressRoute 연결을 공존하는 구성을 안내합니다.

1. Azure Portal에 로그인합니다.

2. 화면의 왼쪽 상단에서 + 리소스 만들기를 선택하고 가상 네트워크를 검색합니다.

3. 만들기를 선택하여 가상 네트워크 구성을 시작합니다.

   

4. 기본 탭에서 가상 네트워크를 저장할 새 리소스 그룹을 선택하거나 만듭니다. 이름을 입력하고 가상 네트워크를 배포할 지역을 선택합니다. 다음: IP 주소 >를 선택하여 주소 공간과 서브넷을 구성합니다.

   

5. IP 주소 탭에서 가상 네트워크 주소 공간을 구성합니다 . 게이트웨이 서브넷을 포함하여 만들려는 서브넷을 정의합니다. 검토 + 만들기를 선택한 다음 만들기를 선택하여 가상 네트워크를 배포합니다. 가상 네트워크 만들기에 대한 자세한 내용은 가상 네트워크 만들기를 참조하세요. 서브넷을 만드는 방법에 대한 자세한 내용은 서브넷 만들기를 참조하세요.

   Important

   게이트웨이 서브넷은 /27 또는 더 짧은 접두사(예: /26 또는 /25)여야 합니다.

   

6. 사이트 및 사이트 간의 VPN 게이트웨이 및 로컬 네트워크 게이트웨이를 만듭니다. VPN 게이트웨이 구성에 대한 자세한 내용은 사이트 및 사이트 간의 연결을 사용하여 가상 네트워크 구성을 참조하세요. GatewaySku는 VpnGw1, VpnGw2, VpnGw3, Standard 및 HighPerformance VPN 게이트웨이에 대해서만 지원됩니다. ExpressRoute-VPN Gateway 공존 구성은 기본 SKU에서 지원되지 않습니다. VpnType은 RouteBased여야 합니다.

7. 새 Azure VPN Gateway에 연결할 로컬 VPN 디바이스를 구성합니다. VPN 디바이스 구성에 대한 자세한 내용은 VPN 디바이스 구성을 참조하세요.

8. 기존 ExpressRoute 회로에 연결하는 경우 8단계와 9단계를 건너뛰고 10단계로 이동합니다. ExpressRoute 회로를 구성합니다. ExpressRoute 회로를 구성하는 방법에 대한 자세한 내용은 ExpressRoute 회로 만들기를 참조하세요.

9. ExpressRoute 회로를 통해 Azure 프라이빗 피어링을 구성합니다. ExpressRoute 회로를 통해 Azure 프라이빗 피어링을 구성하는 방법에 대한 자세한 내용은 피어링 구성을 참조 하세요.

10. + 리소스 만들기를 선택하고 가상 네트워크 게이트웨이를 검색합니다. 다음으로 만들기를 선택합니다.

11. 게이트웨이를 배포할 ExpressRoute 게이트웨이 유형, 적절한 SKU 및 가상 네트워크를 선택합니다.

    

12. ExpressRoute 게이트웨이를 ExpressRoute 회로에 연결합니다. 이 단계가 완료되면 ExpressRoute를 통해 온-프레미스 네트워크와 Azure 간에 연결이 설정됩니다. 링크 작업에 대한 자세한 내용은 Vnet을 ExpressRoute에 연결을 참조하세요.

기존 가상 네트워크에 대한 공존 연결을 구성하려면

가상 네트워크 게이트웨이가 하나만 있는 가상 네트워크(예: 사이트 간 VPN 게이트웨이)가 있고 다른 유형의 다른 게이트웨이(예: ExpressRoute 게이트웨이)를 추가하려는 경우 게이트웨이 서브넷 크기를 확인합니다. 게이트웨이 서브넷이 /27 이상이면 다음 단계를 건너뛰고 이전 섹션의 단계에 따라 사이트 간 VPN 게이트웨이 또는 ExpressRoute 게이트웨이를 추가할 수 있습니다. 게이트웨이 서브넷이 /28 또는 /29인 경우 우선 가상 네트워크 게이트웨이를 삭제하고 게이트웨이 서브넷 크기를 늘려야 합니다. 이 섹션에서 단계별 수행 방법을 보여줍니다.

1. 기존 ExpressRoute 또는 사이트 간 VPN 게이트웨이를 삭제합니다.

2. /27 이하의 접두사를 사용하여 GatewaySubnet을 삭제하고 다시 만듭니다.

3. 사이트 및 사이트 간의 연결을 사용하여 가상 네트워크를 구성한 다음 ExpressRoute 게이트웨이를 구성합니다.

4. ExpressRoute 게이트웨이가 배포되면 가상 네트워크를 ExpressRoute 회로에 연결할 수 있습니다.

VPN Gateway에 지점 및 사이트 간 구성을 추가하려면

Azure 인증서 인증을 사용하여 지점 및 사이트 간의 VPN 연결을 구성하는 지침에 따라 공존 집합에 지점 및 사이트 간의 구성을 추가할 수 있습니다.

ExpressRoute와 Azure VPN 간의 전송 라우팅을 사용하도록 설정하려면 다음을 수행합니다.

ExpressRoute에 연결된 로컬 네트워크와 사이트 간 VPN 연결에 연결된 다른 로컬 네트워크 간에 연결을 사용하도록 설정하려면 Azure Route Server를 설정해야 합니다.

다음 단계

ExpressRoute에 대한 자세한 내용은 ExpressRoute FAQ를 참조하세요.