PowerShell을 사용하여 VPN Gateway를 만듭니다.
이 문서는 PowerShell을 사용하여 Azure VPN Gateway를 만드는 데 도움이 됩니다. VPN 게이트웨이는 온-프레미스 네트워크에 대한 VPN 연결을 만들 때 사용됩니다. VPN 게이트웨이를 사용하여 가상 네트워크를 연결할 수도 있습니다. 이 문서의 일부 설정에 대한 자세한 내용은 VPN Gateway 만들기 - 포털을 참조하세요.
- 다이어그램의 왼쪽에는 이 문서의 단계를 사용하여 만든 가상 네트워크 및 VPN 게이트웨이가 표시됩니다.
- 나중에 다이어그램의 오른쪽에 표시된 것처럼 다양한 유형의 연결을 추가할 수 있습니다. 예를 들어 사이트 간 및 지점 및 사이트 간 연결을 만들 수 있습니다. 빌드할 수 있는 다양한 디자인 아키텍처를 보려면 VPN 게이트웨이 디자인을 참조하세요.
이 문서의 단계에서는 2세대 VpnGw2AZ SKU를 사용하여 가상 네트워크, 서브넷, 게이트웨이 서브넷 및 경로 기반 영역 중복 활성-활성 모드 VPN 게이트웨이(가상 네트워크 게이트웨이)를 만듭니다. 게이트웨이가 만들어지면 연결을 구성할 수 있습니다.
- 대신 기본 SKU를 사용하여 VPN 게이트웨이를 만들려면 기본 SKU VPN 게이트웨이 만들기를 참조하세요.
- 가능하면 활성-활성 모드 VPN Gateway를 만드는 것이 좋습니다. 활성-활성 모드 VPN 게이트웨이는 표준 모드 VPN 게이트웨이보다 더 나은 가용성과 성능을 제공합니다. 활성-활성 게이트웨이에 대한 자세한 내용은 활성-활성 모드 게이트웨이 정보를 참조 하세요.
- 가용성 영역 및 영역 중복 게이트웨이 에 대한 자세한 내용은 가용성 영역이란?
참고 항목
이 문서의 단계에서는 Azure 가용성 영역을 지원하는 SKU인 게이트웨이 SKU VpnGw2AZ를 사용합니다. 해당 지역에 대해 가용성 영역이 지원되지 않는 경우 대신 비 AZ SKU를 사용합니다. SKU에 대한 자세한 내용은 게이트웨이 SKU 정보를 참조하세요.
시작하기 전에
이러한 단계에는 Azure 구독이 필요합니다. Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.
이 문서에서는 PowerShell cmdlet을 사용합니다. cmdlet을 실행하려면 Azure Cloud Shell을 사용할 수 있습니다. Cloud Shell은 이 문서의 단계를 실행하는 데 무료로 사용할 수 있는 대화형 셸입니다. 공용 Azure 도구가 사전 설치되어 계정에서 사용하도록 구성되어 있습니다.
Cloud Shell을 열려면 코드 블록의 오른쪽 위 모서리에 있는 Cloudshell 열기를 선택하기만 하면 됩니다. 또한 https://shell.azure.com/powershell로 이동하여 별도의 브라우저 탭에서 Cloud Shell을 열 수도 있습니다. 복사를 선택하여 코드 블록을 복사하고 Cloud Shell에 붙여넣고 Enter 키를 선택하여 실행합니다.
또한 Azure PowerShell cmdlet을 컴퓨터에 로컬로 설치하고 실행할 수도 있습니다. PowerShell cmdlet은 자주 업데이트됩니다. 최신 버전을 설치하지 않은 경우 지침에 지정된 값이 실패할 수 있습니다. 컴퓨터에 설치된 Azure PowerShell 버전을 찾으려면 Get-Module -ListAvailable Az cmdlet을 사용하세요. 설치하거나 업데이트하려면 Azure PowerShell 모듈 설치를 참조하세요.
리소스 그룹 만들기
New-AzResourceGroup 명령을 사용하여 Azure 리소스 그룹을 만듭니다 . 리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다. PowerShell을 로컬로 실행하는 경우 상승된 권한으로 PowerShell 콘솔을 열고 Connect-AzAccount 명령을 사용하여 Azure에 연결합니다.
New-AzResourceGroup -Name TestRG1 -Location EastUS
가상 네트워크 만들기
가상 네트워크가 아직 없는 경우 New-AzVirtualNetwork를 사용하여 만듭니다. 가상 네트워크를 만들 때 지정한 주소 공간이 온-프레미스 네트워크에 있는 주소 공간과 겹치지 않도록 합니다. VPN 연결의 양쪽에 중복 주소 범위가 있는 경우 트래픽은 예상대로 라우팅되지 않습니다. 또한 이 가상 네트워크를 다른 가상 네트워크에 연결하려는 경우 주소 공간이 다른 가상 네트워크와 겹칠 수 없습니다. 이에 따라 네트워크 구성을 적절히 계획하도록 주의해야 합니다.
다음 예제에서는 EastUS 위치에 VNet1이라는 가상 네트워크를 만듭니다.
$virtualnetwork = New-AzVirtualNetwork `
-ResourceGroupName TestRG1 `
-Location EastUS `
-Name VNet1 `
-AddressPrefix 10.1.0.0/16
New-AzVirtualNetworkSubnetConfig cmdlet을 사용하여 서브넷 구성을 만듭니다. 이 연습에서는 FrontEnd 서브넷이 사용되지 않습니다. 고유한 서브넷 이름을 대체할 수 있습니다.
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name FrontEnd `
-AddressPrefix 10.1.0.0/24 `
-VirtualNetwork $virtualnetwork
Set-AzVirtualNetwork cmdlet을 사용하여 가상 네트워크에 대한 서브넷 구성을 설정합니다.
$virtualnetwork | Set-AzVirtualNetwork
게이트웨이 서브넷 추가
가상 네트워크 게이트웨이 리소스는 GatewaySubnet이라는 특정 서브넷에 배포됩니다. 게이트웨이 서브넷은 가상 네트워크를 구성할 때 지정하는 가상 네트워크 IP 주소 범위에 속합니다.
GatewaySubnet이라는 서브넷이 없는 경우 VPN 게이트웨이를 만들 때 실패합니다. /27(이상)을 사용하는 게이트웨이 서브넷을 만드는 것이 좋습니다. 예를 들어 /27 또는 /26입니다. 자세한 내용은 VPN Gateway 설정 - 게이트웨이 서브넷을 참조하세요.
Important
게이트웨이 서브넷의 NSG(네트워크 보안 그룹)는 지원되지 않습니다. 네트워크 보안 그룹을 이 서브넷에 연결하면 가상 네트워크 게이트웨이(VPN 및 ExpressRoute 게이트웨이)가 예상대로 작동하지 않을 수 있습니다. 네트워크 보안 그룹에 관한 자세한 내용은 네트워크 보안 그룹이란?을 참조하세요.
가상 네트워크에 대한 변수를 설정합니다.
$vnet = Get-AzVirtualNetwork -ResourceGroupName TestRG1 -Name VNet1
Add-AzVirtualNetworkSubnetConfig cmdlet을 사용하여 게이트웨이 서브넷을 만듭니다.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27 -VirtualNetwork $vnet
Set-AzVirtualNetwork cmdlet을 사용하여 가상 네트워크에 대한 서브넷 구성을 설정합니다.
$vnet | Set-AzVirtualNetwork
공용 IP 주소 요청
VPN Gateway에는 공용 IP 주소가 있어야 합니다. VPN 게이트웨이에 대한 연결을 만들 때 사용자가 지정한 IP 주소입니다. 활성-활성 모드 게이트웨이의 경우 각 게이트웨이 인스턴스에는 자체 공용 IP 주소 리소스가 있습니다. 먼저 IP 주소 리소스를 요청하고, 가상 네트워크 게이트웨이를 만들 때 참조합니다. 또한 AZ로 끝나는 게이트웨이 SKU의 경우 영역 설정도 지정해야 합니다. 이 예제에서는 세 개의 지역 영역을 모두 지정하기 때문에 영역 중복 구성을 지정합니다.
VPN Gateway를 만들 때 IP 주소가 리소스에 할당됩니다. 게이트웨이를 삭제하고 다시 만드는 경우에만 공용 IP 주소가 변경됩니다. VPN Gateway의 크기 조정, 다시 설정 또는 기타 내부 유지 관리/업그레이드 시에는 변경되지 않습니다.
다음 예제를 사용하여 각 게이트웨이 인스턴스에 대한 고정 공용 IP 주소를 요청합니다.
$gw1pip1 = New-AzPublicIpAddress -Name "VNet1GWpip1" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3
활성-활성 게이트웨이(권장)를 만들려면 두 번째 공용 IP 주소를 요청합니다.
$gw1pip2 = New-AzPublicIpAddress -Name "VNet1GWpip2" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3
게이트웨이 IP 주소 구성 만들기
게이트웨이 구성은 사용할 공용 IP 주소 및 서브넷을 정의합니다. 다음 예제를 사용하여 게이트웨이 구성을 만듭니다.
$vnet = Get-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig1 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip1.Id
$gwipconfig2 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig2 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip2.Id
VPN 게이트웨이 만들기
종종 선택한 게이트웨이 SKU에 따라 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다. 게이트웨이가 만들어지면 가상 네트워크와 온-프레미스 위치 간에 연결을 만들 수 있습니다. 또는 가상 네트워크와 다른 가상 네트워크 간에 연결을 만듭니다.
New-AzVirtualNetworkGateway cmdlet을 사용하여 VPN 게이트웨이를 만듭니다. 예제에서는 공용 IP 주소가 모두 참조되고 게이트웨이는 스위치를 사용하여 EnableActiveActiveFeature 활성-활성으로 구성됩니다. 이 예제에서는 선택적 -Debug 스위치를 추가합니다. 다른 SKU 를 사용하여 게이트웨이를 만들려면 게이트웨이 SKU 정보에서 구성 요구 사항에 가장 적합한 SKU를 확인하세요.
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location "East US" -IpConfigurations $gwipconfig1,$gwipconfig2 -GatewayType "Vpn" -VpnType RouteBased `
-GatewaySku VpnGw2AZ -VpnGatewayGeneration Generation2 -EnableActiveActiveFeature -Debug
VPN 게이트웨이 보기
Get-AzVirtualNetworkGateway cmdlet을 사용하여 VPN 게이트웨이를 볼 수 있습니다.
Get-AzVirtualNetworkGateway -Name Vnet1GW -ResourceGroup TestRG1
게이트웨이 IP 주소 보기
각 VPN 게이트웨이 인스턴스에는 공용 IP 주소 리소스가 할당됩니다. 리소스와 연결된 IP 주소를 보려면 Get-AzPublicIpAddress cmdlet을 사용합니다. 각 게이트웨이 인스턴스에 대해 반복합니다. 활성-활성 게이트웨이에는 각 인스턴스에 할당된 다른 공용 IP 주소가 있습니다.
Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
리소스 정리
만든 리소스가 더 이상 필요하지 않으면 Remove-AzResourceGroup 명령을 사용하여 리소스 그룹을 삭제합니다. 이렇게 하면 리소스 그룹과 여기에 포함된 모든 리소스가 삭제됩니다.
Remove-AzResourceGroup -Name TestRG1
다음 단계
게이트웨이가 만들어지면 연결을 구성할 수 있습니다.