Azure VMware Solution 네트워크 디자인 고려 사항
Azure VMware Solution은 사용자와 애플리케이션이 온-프레미스 및 Azure 기반 환경 또는 리소스에서 액세스할 수 있는 VMware 프라이빗 클라우드 환경을 제공합니다. Azure ExpressRoute 및 VPN(가상 사설망) 연결과 같은 네트워킹 서비스는 연결을 제공합니다.
Azure VMware Solution 환경을 설정하기 전에 검토해야 할 몇 가지 네트워킹 고려 사항이 있습니다. 이 문서에서는 Azure VMware Solution을 사용하여 네트워크를 구성할 때 발생할 수 있는 사용 사례에 대한 솔루션을 제공합니다.
AS-Path Prepend와의 Azure VMware Solution 호환성
Azure VMware Solution에는 중복 ExpressRoute 구성에 AS-Path Prepend를 사용하는 것과 관련된 고려 사항이 있습니다. 온-프레미스와 Azure 간에 둘 이상의 ExpressRoute 경로를 실행하는 경우 ExpressRoute GlobalReach를 통해 온-프레미스 위치로 가는 Azure VMware Solution의 트래픽에 영향을 주는 다음 지침을 고려하세요.
비대칭 라우팅으로 인해 Azure VMware Solution이 AS-Path Prepend를 관찰하지 못하고 ECMP(동일 비용 다중 경로) 라우팅을 사용하여 두 ExpressRoute 회로를 통해 환경으로 트래픽을 보낼 때 연결 문제가 발생할 수 있습니다. 이 동작으로 인해 기존 ExpressRoute 회로 뒤에 배치된 상태 저장 방화벽 검사 디바이스에 문제가 발생할 수 있습니다.
필수 조건
AS-Path Prepend의 경우 다음 필수 구성 요소를 고려합니다.
- 핵심은 Azure VMware Solution이 트래픽을 온-프레미스로 다시 라우팅하는 방법에 영향을 주려면 공용 ASN 번호를 앞에 추가해야 한다는 것입니다. 프라이빗 ASN을 사용하여 앞에 추가하면 Azure VMware Solution이 앞에 추가된 것을 무시하고 앞에서 언급한 ECMP 동작이 발생합니다. 프라이빗 BGP ASN 온-프레미스를 운영하는 경우에도 경로를 아웃바운드 앞에 추가할 때 공용 ASN을 활용하도록 온-프레미스 디바이스를 구성하여 Azure VMware Solution과의 호환성을 보장할 수 있습니다.
- Azure VMware Solution에서 공용 ASN을 적용한 후 프라이빗 ASN에 대한 트래픽 경로를 디자인합니다. Azure VMware Solution ExpressRoute 회로는 공용 ASN이 처리된 후 경로에 있는 프라이빗 ASN을 제거하지 않습니다.
- 두 회로 또는 모든 회로가 Azure ExpressRoute Global Reach를 통해 Azure VMware Solution에 연결됩니다.
- 두 개 이상의 회로에서 동일한 netblock이 보급되고 있습니다.
- AS-Path Prepend를 사용하여 Azure VMware 솔루션이 한 회로를 다른 회로보다 선호하도록 하려고 합니다.
- 2바이트 또는 4바이트 공용 ASN 번호를 사용합니다.
온-프레미스에서 VM 및 기본 경로 관리
Important
Azure VMware Solution 관리 VM(가상 머신)은 RFC1918 대상에 대한 온-프레미스의 기본 경로를 따르지 않습니다.
Azure에 보급된 기본 경로만 사용하여 온-프레미스 네트워크로 다시 라우팅하는 경우 개인 IP 주소가 있는 온-프레미스 대상으로 사용되는 vCenter Server 및 NSX Manager VM의 트래픽은 해당 경로를 따르지 않습니다.
온-프레미스에서 vCenter Server 및 NSX Manager에 연결하려면 트래픽이 해당 네트워크에 대한 반환 경로를 가질 수 있도록 특정 경로를 제공합니다. 예를 들어, RFC1918 요약(10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16)을 알립니다.
인터넷 트래픽 검사를 위한 Azure VMware Solution에 대한 기본 경로
특정 배포에서는 Azure VMware Solution에서 인터넷으로 향하는 모든 송신 트래픽을 검사해야 합니다. Azure VMware Solution에서 NVA(네트워크 가상 어플라이언스)를 만들 수 있지만 이러한 어플라이언스가 Azure에 이미 존재하고 Azure VMware Solution에서 인터넷 트래픽을 검사하는 데 적용할 수 있는 사용 사례가 있습니다. 이 경우 Azure의 NVA에서 기본 경로를 삽입하여 Azure VMware Solution에서 트래픽을 끌어오고 공용 인터넷으로 나가기 전에 트래픽을 검사할 수 있습니다.
다음 다이어그램에서는 ExpressRoute를 통해 Azure VMware Solution 클라우드 및 온-프레미스 네트워크에 연결된 기본 허브 및 스포크 토폴로지를 설명합니다. 이 다이어그램에서는 Azure의 NVA가 기본 경로(0.0.0.0/0)를 시작하는 방법을 보여 줍니다. Azure 경로 서버는 ExpressRoute를 통해 경로를 Azure VMware Solution으로 전파합니다.
Important
NVA가 알리는 기본 경로는 온-프레미스 네트워크에 전파됩니다. Azure VMware Solution의 트래픽이 NVA를 통해 전송되도록 UDR(사용자 정의 경로)을 추가해야 합니다.
Azure VMware Solution과 온-프레미스 네트워크 간의 통신은 일반적으로 Azure VMware Solution에 대한 온-프레미스 환경 피어에 설명된 대로 ExpressRoute Global Reach를 통해 발생합니다.
Azure VMware Solution과 온-프레미스 네트워크 간의 연결
Azure VMware Solution과 타사 NVA를 통한 온-프레미스 네트워크 간의 연결에는 두 가지 주요 시나리오가 있습니다.
- 조직에는 NVA(일반적으로 방화벽)를 통해 Azure VMware Solution과 온-프레미스 네트워크 간에 트래픽을 보내야 하는 요구 사항이 있습니다.
- ExpressRoute Global Reach는 Azure VMware Solution의 ExpressRoute 회로와 온-프레미스 네트워크를 상호 연결하기 위해 특정 지역에서 사용할 수 없습니다.
이러한 시나리오에 대한 모든 요구 사항을 충족하기 위해 적용할 수 있는 두 가지 토폴로지인 슈퍼넷 및 전송 스포크 가상 네트워크가 있습니다.
Important
Azure VMware Solution과 온-프레미스 환경을 연결하는 기본 옵션은 직접 ExpressRoute Global Reach 연결입니다. 이 문서에 설명된 패턴은 환경에 복잡성을 추가합니다.
슈퍼넷 디자인 토폴로지
두 ExpressRoute 회로(Azure VMware Solution 및 온-프레미스)가 동일한 ExpressRoute 게이트웨이에서 종료되는 경우 게이트웨이가 패킷을 라우팅한다고 가정할 수 있습니다. 그러나 ExpressRoute 게이트웨이는 그렇게 하도록 디자인되지 않았습니다. 트래픽을 라우팅할 수 있는 NVA에 트래픽을 헤어핀해야 합니다.
네트워크 트래픽을 NVA에 헤어핀하기 위한 두 가지 요구 사항이 있습니다.
NVA는 Azure VMware Solution 및 온-프레미스 접두사에 대한 슈퍼넷을 알려야 합니다.
Azure VMware Solution과 온-프레미스 접두사를 모두 포함하는 슈퍼넷을 사용할 수 있습니다. 또는 Azure VMware Solution 및 온-프레미스에 개별 접두사를 사용할 수 있습니다(항상 ExpressRoute를 통해 보급되는 실제 접두사보다 덜 구체적임). 경로 서버에 보급된 모든 슈퍼넷 접두사는 Azure VMware Solution과 온-프레미스 모두에 전파됩니다.
Azure VMware Solution 및 온-프레미스에서 보급된 접두사와 정확히 일치하는 게이트웨이 서브넷의 UDR은 게이트웨이 서브넷에서 NVA로의 헤어핀 트래픽을 유발합니다.
이 토폴로지는 시간이 지남에 따라 변경되는 대규모 네트워크에 대해 높은 관리 오버헤드를 초래합니다. 다음 제한 사항을 고려합니다.
- Azure VMware Solution에서 워크로드 세그먼트가 만들어질 때마다 Azure VMware Solution의 트래픽이 NVA를 통해 전송되도록 UDR을 추가해야 할 수 있습니다.
- 온-프레미스 환경에 변경되는 경로가 많은 경우 슈퍼넷의 BGP(Border Gateway Protocol) 및 UDR 구성을 업데이트해야 할 수 있습니다.
- 단일 ExpressRoute 게이트웨이가 네트워크 트래픽을 양방향으로 처리하기 때문에 성능이 제한될 수 있습니다.
- 400 UDR의 Azure Virtual Network 제한이 있습니다.
다음 다이어그램은 NVA가 온-프레미스 및 Azure VMware Solution의 네트워크를 포함하는 더 일반적이고 덜 구체적인 접두사를 보급해야 하는 방법을 보여 줍니다. 이 접근 방식에 주의하세요. NVA는 더 넓은 범위(예: 전체 10.0.0.0/8 네트워크)를 보급하기 때문에 잠재적으로 트래픽을 끌어들일 수 없습니다.
전송 스포크 가상 네트워크 토폴로지
참고 항목
이전에 설명한 제한으로 인해 덜 구체적인 보급 접두사를 사용할 수 없는 경우 두 개의 개별 가상 네트워크를 사용하는 대체 디자인을 구현할 수 있습니다.
이 토폴로지에서는 트래픽을 ExpressRoute 게이트웨이로 끌어들이기 위해 덜 구체적인 경로를 전파하는 대신 별도의 가상 네트워크에 있는 두 개의 서로 다른 NVA가 서로 간에 경로를 교환할 수 있습니다. 가상 네트워크는 BGP 및 Azure 경로 서버를 통해 이러한 경로를 각각의 ExpressRoute 회로로 전파할 수 있습니다. 각 NVA는 각 ExpressRoute 회로에 전파되는 접두사를 완전히 제어할 수 있습니다.
다음 다이어그램은 단일 0.0.0.0/0 경로가 Azure VMware Solution에 보급되는 방식을 보여 줍니다. 또한 개별 Azure VMware Solution 접두사가 온-프레미스 네트워크에 어떻게 전파되는지 보여 줍니다.
Important
NVA 간에는 VXLAN 또는 IPsec과 같은 캡슐화 프로토콜이 필요합니다. NVA 네트워크 어댑터(NIC)가 NVA를 다음 홉으로 사용하여 Azure 경로 서버에서 경로를 학습하고 라우팅 루프를 만들기 때문에 캡슐화가 필요합니다.
오버레이 사용에 대한 대안이 있습니다. Azure 경로 서버에서 경로를 학습하지 않는 NVA의 보조 NIC를 적용합니다. 그런 다음 Azure가 해당 NIC를 통해 원격 환경으로 트래픽을 라우팅할 수 있도록 UDR을 구성합니다. 자세한 내용은 Azure VMware Solution에 대한 엔터프라이즈급 네트워크 토폴로지 및 연결을 참조하세요.
이 토폴로지에는 복잡한 초기 설정이 필요합니다. 그런 다음 토폴로지는 최소한의 관리 오버헤드로 예상대로 작동합니다. 설정 복잡성은 다음과 같습니다.
- Azure Route Server, ExpressRoute 게이트웨이 및 다른 NVA를 포함하는 다른 전송 가상 네트워크를 추가하기 위한 추가 비용이 있습니다. NVA는 처리량 요구 사항을 충족하기 위해 큰 VM 크기를 사용해야 할 수도 있습니다.
- IPsec 또는 VXLAN 터널링은 두 NVA 사이에 필요하며 이는 NVA가 데이터 경로에도 있음을 의미합니다. 사용 중인 NVA 형식에 따라 해당 NVA에서 사용자 지정 및 복잡한 구성이 발생할 수 있습니다.
다음 단계
Azure VMware Solution에 대한 네트워크 디자인 고려 사항에 대해 학습한 후 다음 문서를 살펴보는 것이 좋습니다.