VNet-VNet VPN 연결 구성 - Azure Portal

이 문서는 Azure Portal에서 VNet-VNet 연결 유형을 사용하여 가상 네트워크를 연결하는 데 도움이 됩니다. 포털을 사용하여 VNet 간을 사용하여 가상 네트워크를 연결하는 경우 가상 네트워크는 다른 지역에 있을 수 있지만 동일한 구독에 있어야 합니다. 가상 네트워크가 다른 구독에 있는 경우 PowerShell 지침을 대신 사용합니다. 이 문서는 가상 네트워크 피어링에 적용되지 않습니다. 가상 네트워크 피어링에 대한 자세한 내용은 Virtual Network 피어링 문서를 참조하세요.

VNet 간 연결 정보

VNet 간 연결을 구성하는 것은 가상 네트워크를 연결하는 간단한 방법입니다. VNet 간 연결 유형을 사용하여 가상 네트워크를 다른 가상 네트워크에 연결하는 경우 온-프레미스 위치에 대한 사이트 간 IPsec 연결을 만드는 것과 비슷합니다. 두 연결 형식 모두 VPN 게이트웨이를 사용하여 IPsec/IKE를 통한 보안 터널을 제공하며 둘 다 동일한 방식으로 통신합니다. 그러나 로컬 네트워크 게이트웨이를 구성하는 방법이 다릅니다.

• VNet-VNet 연결을 설정할 때 로컬 네트워크 게이트웨이 주소 공간이 자동으로 생성되고 채워집니다. 그러나 이 구성에서는 로컬 네트워크 게이트웨이가 표시되지 않습니다. 즉, 수동으로 구성할 수 없습니다.

• 한 VNet의 주소 공간을 업데이트하면 다른 VNet이 자동으로 업데이트된 주소 공간으로 라우팅됩니다.

• 일반적으로 사이트 대 사이트 연결보다 VNet-VNet 연결을 만드는 것이 더 빠르고 쉽습니다.

• 로컬 네트워크 게이트웨이에 더 많은 주소 공간을 지정하거나 나중에 더 많은 연결을 추가하려는 경우 로컬 네트워크 게이트웨이를 조정해야 하는 경우 대신 사이트간 연결 단계를 사용하여 구성을 만듭니다.

• VNet-VNet 연결에는 지점 및 사이트 간의 클라이언트 풀 주소 공간이 포함되지 않습니다. 지점 및 사이트 간 클라이언트에 대한 전이적 라우팅이 필요한 경우 가상 네트워크 게이트웨이 간에 사이트 간 연결을 만들거나 가상 네트워크 피어링을 사용합니다.

VNet-VNet 연결을 만드는 이유

VNet 간 연결을 사용하여 가상 네트워크를 연결하는 이유는 다음과 같습니다.

• 지역 간 지리적 중복 및 지리적 상태

  • 인터넷 연결 엔드포인트로 이동하지 않고도 보안 연결을 통해 지역에서 복제 또는 동기화를 직접 설정할 수 있습니다.
  • Azure Traffic Manager 및 Azure Load Balancer를 사용하여 여러 Azure 지역 간의 지리적 중복을 통해 워크로드의 가용성을 높게 설정할 수 있습니다. 예를 들어 여러 Azure 지역에서 SQL Server Always On 가용성 그룹을 설정할 수 있습니다.

• 분리 또는 관리 경계를 가진 지역별 다중 계층 애플리케이션

  같은 지역 내에서 격리 또는 관리 요구 사항 때문에 여러 가상 네트워크가 서로 연결된 다중 계층 애플리케이션을 설정할 수 있습니다. VNet-VNet 통신을 다중 사이트 구성과 결합할 수 있습니다. 이렇게 구성하면 다음 다이어그램에 표시된 것처럼 프레미스 간 연결을 가상 네트워크 간 연결과 결합하는 네트워크 토폴로지를 설정할 수 있습니다.

  

VNet1 만들기 및 구성

VNet이 이미 있는 경우 설정이 VPN 게이트웨이 설계와 호환되는지 확인합니다. 다른 네트워크와 겹칠 수 있는 서브넷에 특히 주의합니다. 겹치는 서브넷에 있으면 연결이 제대로 작동하지 않습니다.

이 섹션에서는 다음 값을 사용하여 VNet1을 만듭니다. 고유한 값을 사용하는 경우 주소 공간이 연결하려는 가상 네트워크와 겹치지 않도록 합니다.

• 가상 네트워크 설정
  • 이름: VNet1
  • 주소 공간: 10.1.0.0/16
  • 구독: 사용할 구독을 선택합니다.
  • 리소스 그룹: TestRG1
  • 위치: 미국 동부
  • 서브넷
    • 이름: FrontEnd
    • 주소 범위: 10.1.0.0/24

1. Azure Portal에 로그인합니다.

2. 포털 페이지 위쪽의 리소스, 서비스 및 문서 검색(G+/)에 가상 네트워크를 입력합니다. Marketplace 검색 결과에서 가상 네트워크를 선택하여 가상 네트워크 페이지를 엽니다.

3. 가상 네트워크 페이지에서 만들기를 선택하여 가상 네트워크 만들기 페이지를 엽니다.

4. 기본 탭에서 프로젝트 세부 정보 및 인스턴스 세부 정보에 대한 가상 네트워크 설정을 구성합니다. 입력한 값의 유효성이 검사되면 녹색 확인 표시가 나타납니다. 예제에 표시된 값은 필요한 설정에 따라 조정할 수 있습니다.

   

   • 구독: 나열된 구독이 올바른지 확인합니다. 드롭다운 상자를 사용하여 구독을 변경할 수 있습니다.
   • 리소스 그룹: 기존 리소스 그룹을 선택하거나 새로 만들기를 선택하여 새 리소스 그룹을 만듭니다. 리소스 그룹에 대한 자세한 내용은 Azure Resource Manager 개요를 참조하세요.
   • 이름: 가상 네트워크의 이름을 입력합니다.
   • 지역: 가상 네트워크의 위치를 선택합니다. 이 위치는 이 가상 네트워크에 배포하는 리소스가 상주하는 위치를 결정합니다.

5. 다음 또는 보안을 선택하여 보안 탭으로 이동합니다. 이 연습에서는 이 페이지의 모든 서비스를 기본값으로 유지합니다.

6. IP 주소를 선택하여 IP 주소 탭으로 이동합니다. IP 주소 탭에서 설정을 구성합니다.

   • IPv4 주소 공간: 기본적으로 주소 공간은 자동으로 만들어집니다. 주소 공간을 선택하여 자신의 값을 반영하도록 조정할 수 있습니다. 다른 주소 공간을 추가하고 자동으로 만들어진 기본값을 제거할 수도 있습니다. 예를 들어 시작 주소를 10.1.0.0으로 지정하고 주소 공간 크기를 /16으로 지정할 수 있습니다. 그런 다음, 추가를 선택하여 해당 주소 공간을 추가합니다.

   • + 서브넷 추가: 기본 주소 공간을 사용하는 경우 기본 서브넷이 자동으로 만들어집니다. 주소 공간을 변경하는 경우 해당 주소 공간 내에 새 서브넷을 추가합니다. + 서브넷 추가를 선택하면 서브넷 추가 창이 열립니다. 다음 설정을 구성하고, 페이지 하단의 추가를 선택하여 값을 추가합니다.

     • 서브넷 이름: 기본값을 사용하거나 이름을 지정할 수 있습니다. 예: FrontEnd.
     • 서브넷 주소 범위: 이 서브넷의 주소 범위입니다. 예를 들어 10.1.0.0 및 /24를 지정합니다.

7. IP 주소 페이지를 검토하고 필요하지 않은 주소 공간 또는 서브넷을 제거합니다.

8. 검토 + 만들기를 선택하여 가상 네트워크 설정의 유효성을 검사합니다.

9. 설정의 유효성을 검사한 후 만들기를 선택하여 가상 네트워크를 만듭니다.

게이트웨이 서브넷 만들기

가상 네트워크 게이트웨이에는 GatewaySubnet이라는 특정 서브넷이 필요합니다. 게이트웨이 서브넷은 가상 네트워크에 대한 IP 주소 범위의 일부이며 가상 네트워크 게이트웨이 리소스 및 서비스에서 사용하는 IP 주소를 포함합니다.

게이트웨이 서브넷을 만드는 경우 서브넷이 포함하는 IP 주소의 수를 지정합니다. 필요한 IP 주소의 수는 만들려는 VPN 게이트웨이 구성에 따라 다릅니다. 일부 구성에는 다른 구성보다 더 많은 IP 주소가 필요합니다. 게이트웨이 서브넷으로 /27 이상(/26, /25 등)을 지정하는 것이 가장 좋습니다.

1. 가상 네트워크 페이지의 왼쪽 창에서 서브넷을 선택하여 서브넷 페이지를 엽니다.
2. 페이지 맨 위에서 +게이트웨이 서브넷을 선택하여 서브넷 추가 창을 엽니다.
3. 이름이 GatewaySubnet으로 자동 입력됩니다. 필요한 경우 IP 주소 범위 값을 조정합니다. 예를 들어 10.1.255.0/27로 조정합니다.
4. 이 페이지에서 다른 값을 조정하지 마세요. 페이지 하단에서 저장을 선택하여 서브넷을 저장합니다.

Important

게이트웨이 서브넷의 NSG(네트워크 보안 그룹)는 지원되지 않습니다. 네트워크 보안 그룹을 이 서브넷에 연결하면 가상 네트워크 게이트웨이(VPN 및 ExpressRoute 게이트웨이)가 예상대로 작동하지 않을 수 있습니다. 네트워크 보안 그룹에 관한 자세한 내용은 네트워크 보안 그룹이란?을 참조하세요.

VNet1 VPN 게이트웨이 만들기

이 단계에서는 가상 네트워크에 대한 가상 네트워크 게이트웨이를 만듭니다. 종종 선택한 게이트웨이 SKU에 따라 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다. 게이트웨이 SKU 가격 책정은 가격 책정을 참조하세요.

다음 값을 사용하여 VPN 게이트웨이(가상 네트워크 게이트웨이)를 만듭니다.

• 이름: VNet1GW
• 게이트웨이 유형: VPN
• SKU: VpnGw2AZ
• 세대: 2세대
• 가상 네트워크: VNet1
• 게이트웨이 서브넷 주소 범위: 10.1.255.0/27
• 공용 IP 주소: 새로 만들기
• 공용 IP 주소 이름: VNet1GWpip1
• 공용 IP 주소 SKU: Standard
• 할당: Static
• 두 번째 공용 IP 주소 이름: VNet1GWpip2
• 활성-활성 모드 사용: 사용

1. 검색 리소스, 서비스 및 문서(G +/)에서 가상 네트워크 게이트웨이를 입력합니다. Marketplace 검색 결과에서 가상 네트워크 게이트웨이를 찾아 선택하여 가상 네트워크 게이트웨이 만들기 페이지를 엽니다.

2. 기본 탭에서 프로젝트 세부 정보 및 인스턴스 세부 정보에 대한 값을 입력합니다.

   

   • 구독: 드롭다운 목록에서 사용하려는 구독을 선택합니다.

   • 리소스 그룹: 이 값은 이 페이지에서 가상 네트워크를 선택하면 자동으로 채워집니다.

   • 이름: 만들고 있는 게이트웨이 개체의 이름입니다. 이는 게이트웨이 리소스를 배포할 게이트웨이 서브넷과 다릅니다.

   • 지역: 이 리소스를 만들려는 지역을 선택합니다. 게이트웨이에 대한 지역은 가상 네트워크와 동일해야 합니다.

   • 게이트웨이 유형: VPN을 선택합니다. VPN 게이트웨이는 가상 네트워크 게이트웨이 유형 VPN을 사용합니다.

   • SKU: 드롭다운 목록에서 사용하려는 기능을 지원하는 게이트웨이 SKU를 선택합니다.

     • 가능한 경우 AZ로 끝나는 SKU를 선택하는 것이 좋습니다. AZ SKU는 가용성 영역을 지원 합니다.
     • 기본 SKU를 포털에서 사용할 수 없습니다. 기본 SKU 게이트웨이를 구성하려면 PowerShell 또는 CLI를 사용해야 합니다.

   • 세대: 드롭다운에서 Generation2를 선택합니다.

   • 가상 네트워크: 드롭다운 목록에서 이 게이트웨이를 추가하려는 가상 네트워크를 선택합니다. 사용하려는 가상 네트워크가 표시되지 않는 경우 이전 설정에서 올바른 구독 및 지역을 선택했는지 확인합니다.

   • 게이트웨이 서브넷 주소 범위 또는 서브넷: VPN Gateway를 만들려면 게이트웨이 서브넷이 필요합니다.

     현재 이 필드에는 가상 네트워크 주소 공간에 따라, 그리고 가상 네트워크에 대한 GatewaySubnet이라는 서브넷을 이미 만들었는지 여부에 따라 다양한 설정 옵션이 표시될 수 있습니다.

     게이트웨이 서브넷이 없고 이 페이지에 게이트웨이 서브넷을 만드는 옵션이 표시되지 않는 경우 가상 네트워크로 돌아가 게이트웨이 서브넷을 만듭니다. 그런 다음, 이 페이지로 돌아가서 VPN Gateway를 구성합니다.

3. 공용 IP 주소에 대한 값을 지정합니다. 이러한 설정은 VPN 게이트웨이에 연결할 공용 IP 주소 개체를 지정합니다. 공용 IP 주소는 VPN Gateway 생성 시 각 공용 IP 주소 개체에 할당됩니다. 할당된 공용 IP 주소는 게이트웨이를 삭제하고 다시 만드는 경우에만 변경됩니다. IP 주소는 VPN Gateway의 크기 조정, 다시 설정 또는 기타 내부 유지 관리/업그레이드 시에는 변경되지 않습니다.

   

   • 공용 IP 주소 유형: 이 옵션이 나타나면 Standard를 선택합니다.

   • 공용 IP 주소: 새로 만들기를 선택한 상태로 둡니다.

   • 공용 IP 주소 이름: 텍스트 상자에 공용 IP 주소 인스턴스의 이름을 입력합니다.

   • 공용 IP 주소 SKU: 설정이 표준 SKU로 자동으로 선택됩니다.

   • 할당: 할당은 일반적으로 자동으로 선택되며 Static이 됩니다.

   • 가용성 영역: 이 설정은 가용성 영역을 지원하는 지역의 AZ 게이트웨이 SKU에 사용할 수 있습니다. 영역을 지정하려는 경우가 아니면 영역 중복을 선택합니다.

   • 활성-활성 모드 사용: 활성-활성 모드 게이트웨이의 이점을 활용하려면 [사용]을 선택하는 것이 좋습니다. 사이트 및 사이트 간의 연결에 이 게이트웨이를 사용하려는 경우 다음 사항을 고려합니다.

     • 사용하려는 활성-활성 디자인을 확인합니다. 활성-활성 모드를 활용하려면 온-프레미스 VPN 디바이스와의 연결을 특별히 구성해야 합니다.
     • 일부 VPN 디바이스는 활성-활성 모드를 지원하지 않습니다. 확실하지 않은 경우 VPN 디바이스 공급업체에 문의하세요. 활성-활성 모드를 지원하지 않는 VPN 디바이스를 사용하는 경우 이 설정에 대해 [사용 안 함]을 선택할 수 있습니다.

   • 두 번째 공용 IP 주소: 새로 만들기를 선택합니다. 활성-활성 모드 사용 설정에 대해 [사용]을 선택한 경우에만 사용할 수 있습니다.

   • 공용 IP 주소 이름: 텍스트 상자에 공용 IP 주소 인스턴스의 이름을 입력합니다.

   • 공용 IP 주소 SKU: 설정이 표준 SKU로 자동으로 선택됩니다.

   • 가용성 영역: 영역을 지정하려는 경우가 아니면 영역 중복을 선택합니다.

   • BGP 구성: 이 설정이 구성에 특별히 필요한 경우를 제외하고는 사용 안 함을 선택합니다. 이 설정이 필요한 경우 기본 ASN은 65515이며, 이 값은 변경 가능합니다.

   • Key Vault 액세스 사용: 구성에 이 설정이 특별히 필요하지 않은 경우 사용 안 함으로 선택합니다.

4. 검토 + 만들기를 선택하여 유효성 검사를 실행합니다.

5. 유효성 검사를 통과하면 만들기를 선택하여 VPN 게이트웨이를 배포합니다.

게이트웨이에서 완전히 만들고 배포하는 데 45분 이상 걸릴 수 있습니다. 배포 상태는 게이트웨이에 대한 개요 페이지에서 확인할 수 있습니다. 게이트웨이를 만든 후 포털에서 가상 네트워크를 살펴보면 게이트웨이에 할당된 IP 주소를 볼 수 있습니다. 게이트웨이가 연결된 디바이스로 표시됩니다.

Important

게이트웨이 서브넷의 NSG(네트워크 보안 그룹)는 지원되지 않습니다. 네트워크 보안 그룹을 이 서브넷에 연결하면 가상 네트워크 게이트웨이(VPN 및 ExpressRoute 게이트웨이)가 예상대로 작동하지 않을 수 있습니다. 네트워크 보안 그룹에 관한 자세한 내용은 네트워크 보안 그룹이란?을 참조하세요.

VNet4 만들기 및 구성

VNet1을 구성한 후 이전 단계를 반복하고 값을 VNet4 값으로 대체하여 VNet4 및 VNet4 게이트웨이를 만듭니다. VNet1에 대한 가상 네트워크 게이트웨이 만들기가 완료될 때까지 기다릴 필요 없이 VNet4를 구성할 수 있습니다. 고유한 값을 사용하는 경우 주소 공간이 연결하려는 가상 네트워크와 겹치지 않도록 합니다.

다음 예제 값을 사용하여 VNet4 및 VNet4 게이트웨이를 구성할 수 있습니다.

• 가상 네트워크 설정
  • 이름: VNet4
  • 주소 공간: 10.41.0.0/16
  • 구독: 사용할 구독을 선택합니다.
  • 리소스 그룹: TestRG4
  • 위치: 미국 서부 2
  • 서브넷
    • 이름: FrontEnd
    • 주소 범위: 10.41.0.0/24

게이트웨이 서브넷을 추가합니다.

• 이름: GatewaySubnet
• 게이트웨이 서브넷 주소 범위: 10.41.255.0/27

VNet4 VPN 게이트웨이 구성

다음 예제 값을 사용하여 VNet4 VPN 게이트웨이를 구성할 수 있습니다.

• 가상 네트워크 게이트웨이 설정
  • 이름: VNet4GW
  • 리소스 그룹: 미국 서부 2
  • 세대: 2세대
  • 게이트웨이 유형: VPN을 선택합니다.
  • VPN 유형: 경로 기반을 선택합니다.
  • SKU: VpnGw2AZ
  • 세대: Generation2
  • 가상 네트워크: VNet4
  • 공용 IP 주소 이름: VNet4GWpip1
  • 공용 IP 주소 SKU: Standard
  • 할당: Static
  • 두 번째 공용 IP 주소 이름: VNet4GWpip2
  • 활성-활성 모드 사용: 사용

연결 구성

VNet1 및 VNet4 모두에 대해 VPN 게이트웨이를 완료했을 때 가상 네트워크 게이트웨이 연결을 만들 수 있습니다.

동일한 구독의 가상 네트워크는 다른 리소스 그룹에 있더라도 포털을 사용하여 연결할 수 있습니다. 그러나 가상 네트워크가 서로 다른 구독에 있는 경우 PowerShell을 사용하여 연결해야 합니다.

양방향 또는 단일 방향 연결을 만들 수 있습니다. 이 연습에서는 양방향 연결을 지정합니다. 양방향 연결 값은 트래픽이 양방향으로 흐를 수 있도록 두 개의 별도 연결을 만듭니다.

1. 포털에서 VNet1GW로 이동합니다.

2. 가상 네트워크 게이트웨이 페이지의 왼쪽 창에서 연결을 선택하여 연결 페이지를 엽니다. 그런 다음+ 추가를 선택하여 연결 만들기 페이지를 엽니다.

3. 연결 만들기 페이지에서 연결 값을 입력합니다.

   

   • 연결 형식: 드롭다운에서 VNet-VNet을 선택합니다.
   • 양방향 연결 설정: 양방향으로 트래픽 흐름을 설정하려면 이 값을 선택합니다. 이 설정을 선택하지 않고 나중에 반대 방향으로 연결을 추가하려는 경우 다른 가상 네트워크 게이트웨이에서 시작되는 새 연결을 만들어야 합니다.
   • 첫 번째 연결 이름: VNet1-VNet4
   • 두 번째 연결 이름: VNet4-VNet1
   • 지역: 미국 동부(VNet1GW의 지역)

4. 페이지 아래쪽에서 다음: 설정>을 클릭하여 설정 페이지로 이동합니다.

5. 설정 페이지에서 다음 값을 지정합니다.

   • 첫 번째 가상 네트워크 게이트웨이: 드롭다운에서 VNet1GW를 선택합니다.
   • 두 번째 가상 네트워크 게이트웨이: 드롭다운에서 VNet4GW를 선택합니다.
   • 공유 키(PSK): 이 필드에서 연결의 공유 키를 입력합니다. 이 키를 생성하거나 직접 만들 수 있습니다. 사이트 간 연결에 사용되는 키는 온-프레미스 디바이스 및 가상 네트워크 게이트웨이 연결에서 사용하는 키와 동일합니다. 개념은 비슷하지만, 여기서는 VPN 디바이스에 연결하지 않고 다른 가상 네트워크 게이트웨이를 연결합니다. 공유 키를 지정할 때 중요한 점은 연결의 양쪽에 대해 정확히 동일하다는 것입니다.
   • IKE 프로토콜: IKEv2

6. 이 연습에서는 나머지 설정을 기본값으로 그대로 둘 수 있습니다.

7. 검토 + 만들기를 선택한 다음, 만들기를 선택하여 연결의 유효성을 검사하고 만듭니다.

연결 확인

1. Azure Portal에서 가상 네트워크 게이트웨이를 찾습니다. 예를 들어 VNet1GW입니다.

2. 가상 네트워크 게이트웨이 페이지에서 연결을 선택하여 가상 네트워크 게이트웨이에 대한 연결 페이지를 봅니다. 연결이 설정되면 상태 값이 연결됨으로 변경됩니다.

3. 이름 열 아래에서 연결 중 하나를 선택하여 자세한 정보를 확인합니다. 데이터 흐름이 시작되면 데이터 입력 및 데이터 출력 값이 보입니다.

연결 추가

다른 VNet 간 연결을 만들거나 온-프레미스 위치에 대한 IPsec 사이트 간 연결을 만들 수 있습니다.

• 추가 연결을 만들기 전에, 가상 네트워크에 대한 주소 공간이 연결하려는 주소 공간과 겹치지 않는지 확인합니다.

• 새 연결을 구성할 때 만들려는 연결 유형과 일치하도록 연결 유형을 조정해야 합니다. 사이트 대 사이트 연결을 추가하는 경우 연결을 만들려면 먼저 로컬 네트워크 게이트웨이를 만들어야 합니다.

• 공유 키를 사용하는 연결을 구성할 때는 연결의 양쪽에 대해 공유 키가 정확히 동일한지 확인합니다.

더 많은 연결을 만들려면 다음 단계를 수행합니다.

1. Azure Portal에서 연결을 만들려는 VPN 게이트웨이로 이동합니다.
2. 왼쪽 창에서 연결을 선택합니다. 기존 연결을 봅니다.
3. 새 연결을 만듭니다.

VNet 간 FAQ

VNet 간 질문과 대답은 VPN Gateway FAQ를 참조하세요.

다음 단계

• 가상 네트워크에서 리소스에 대한 네트워크 트래픽을 제한하는 방법에 대한 자세한 내용은 네트워크 보안을 참조하세요.

• Azure에서 트래픽을 Azure, 온-프레미스 및 인터넷 리소스간에 라우팅하는 방법에 대한 정보는 가상 네트워크 트래픽 라우팅을 참조하세요.