다음을 통해 공유

Azure VNG를 사용하여 원격 네트워크 연결 시뮬레이션

  • 아티클

조직에서는 전역 보안 액세스 클라이언트를 설치할 수 있는 개별 디바이스뿐만 아니라 전체 네트워크로 Microsoft Entra 인터넷 액세스 기능을 확장하고자 할 수도 있습니다. 이 문서에서는 이러한 기능을 클라우드에서 호스트되는 Azure 가상 네트워크로 확장하는 방법을 보여줍니다. 고객의 온-프레미스 네트워크 장비에 유사한 원칙이 적용될 수 있습니다.

필수 조건

이 프로세스의 단계를 완료하려면 다음 필수 구성 요소가 있어야 합니다.

가상 네트워크의 구성 요소

Azure에서 이 기능을 빌드하면 조직에서 Microsoft Entra 인터넷 액세스가 보다 광범위한 구현에서 작동하는 방식을 이해할 수 있습니다. Azure에서 만드는 리소스는 다음과 같은 방식으로 온-프레미스 개념에 해당합니다.

고객의 네트워크를 시뮬레이션하는 Microsoft Entra Internet Access에 연결된 Azure의 가상 네트워크를 보여 주는 다이어그램.

Azure 리소스 기존 온-프레미스 구성 요소
가상 네트워크 온-프레미스 IP 주소 공간
가상 네트워크 게이트웨이 귀하의 온프레미스 라우터, 고객 구내 장비(CPE)라고도 함
로컬 네트워크 게이트웨이 라우터(Azure 가상 네트워크 게이트웨이)가 IPsec 터널을 연결하는 대상인 Microsoft 게이트웨이
Connection 가상 네트워크 게이트웨이와 로컬 네트워크 게이트웨이 간에 만든 IPsec VPN 터널
가상 머신 온-프레미스 네트워크의 클라이언트 디바이스

이 문서에서는 다음 기본값을 사용합니다. 사용자마다의 요구 사항에 따라 이 설정은 자유롭게 구성할 수 있습니다.

  • 구독: Visual Studio Enterprise
  • 리소스 그룹 이름: Network_Simulation
  • 지역: 미국 동부

고수준 단계

Azure 가상 네트워크와의 원격 네트워크 연결을 시뮬레이션하는 단계는 Azure Portal 및 Microsoft Entra 관리 센터에서 완료됩니다. 탭 사이를 쉽게 전환할 수 있도록 여러 탭을 열어 두는 것이 도움이 될 수 있습니다.

가상 리소스를 만들기 전에 다음 섹션 전체에서 사용할 리소스 그룹 및 가상 네트워크가 필요합니다. 테스트 리소스 그룹 및 가상 네트워크가 이미 구성된 경우 3단계에서 시작할 수 있습니다.

  1. 리소스 그룹 만들기(Azure Portal)
  2. 가상 네트워크 만들기(Azure Portal)
  3. 가상 네트워크 게이트웨이 만들기(Azure Portal)
  4. 디바이스 링크가 있는 원격 네트워크 만들기(Microsoft Entra 관리 센터)
  5. 로컬 네트워크 게이트웨이 만들기(Azure Portal)
  6. S2S(사이트 대 사이트) VPN 연결 만들기(Azure Portal)
  7. 연결 확인(둘 다)

리소스 그룹 만들기

필요한 리소스가 들어 있는 리소스 그룹을 만듭니다.

  1. 리소스를 만들 수 있는 권한을 통해 Azure Portal에 로그인합니다.
  2. 리소스 그룹 찾기.
  3. 만들기를 선택합니다.
  4. 구독, 지역을 선택한 다음, 자신의 리소스 그룹에 이름을 붙입니다.
  5. 검토 + 만들기를 선택합니다.
  6. 세부 정보를 확인하고 만들기를 선택합니다.

리소스 그룹 만들기 필드의 스크린샷.

가상 네트워크 만들기

새 리소스 그룹 내에 가상 네트워크를 만듭니다.

  1. Azure Portal에서 Virtual Networks를 찾습니다.
  2. 만들기를 선택합니다.
  3. 방금 만든 리소스 그룹을 선택합니다.
  4. 네트워크에 가상 네트워크 이름을 제공합니다.
  5. 다른 필드는 기본값을 그대로 둡니다.
  6. 검토 + 만들기를 선택합니다.
  7. 만들기를 선택합니다.

가상 네트워크 필드 만들기의 스크린샷.

가상 네트워크 게이트웨이 만들기

새 리소스 그룹 내에 가상 네트워크 게이트웨이를 만듭니다.

  1. Azure Portal에서 가상 네트워크 게이트웨이로 이동합니다.

  2. 만들기를 선택합니다.

  3. 가상 네트워크 게이트웨이에 이름을 제공하고 적절한 지역을 선택합니다.

  4. 이전 섹션에서 만든 가상 네트워크를 선택합니다.

    가상 네트워크 게이트웨이에 대한 구성 설정을 보여 주는 Azure Portal의 스크린샷.

  5. 공용 IP 주소를 만든 다음 설명이 포함된 이름을 붙입니다.

    • OPTIONAL: 보조 IPsec 터널을 원하는 경우 SECOND PUBLIC IP ADDRESS 섹션에서 다른 공용 IP 주소를 만들고 이름을 지정합니다. 두 번째 IPsec 터널을 만드는 경우 원격 네트워크 만들기 단계에서 두 개의 디바이스 링크를 만들어야 합니다.
    • 두 번째 공용 IP 주소가 필요하지 않은 경우 활성-활성 모드사용 안 함으로 설정합니다.
    • 이 문서의 샘플에서는 단일 IPsec 터널을 사용합니다.

  6. 가용성 영역을 선택합니다.

  7. BGP 구성을 사용으로 설정합니다.

  8. ASN(자율 시스템 번호)에 적당한 값을 설정합니다. 사용할 수 없는 예약된 값은 유효한 ASN 값 목록을 참조하세요.

    가상 네트워크 게이트웨이를 만들기 위한 IP 주소 필드의 스크린샷.

  9. 그 밖의 설정은 모두 기본값으로 유지하거나 비워 둡니다.

  10. 검토 + 만들기를 선택합니다. 설정을 확인합니다.

  11. 만들기를 선택합니다.

참고

가상 네트워크 게이트웨이를 배포하고 만드는 데 몇 분 정도 걸릴 수 있습니다. 만드는 동안 다음 섹션을 시작할 수 있지만 다음 단계를 완료하려면 가상 네트워크 게이트웨이의 공용 IP 주소가 필요합니다.

이러한 IP 주소를 보려면 배포 후 가상 네트워크 게이트웨이의 구성 페이지로 이동합니다.

가상 네트워크 게이트웨이의 공용 IP 주소를 찾는 방법을 보여 주는 스크린샷.

원격 네트워크 만들기

원격 네트워크를 만드는 프로세스는 Microsoft Entra 관리 센터에서 완료됩니다. 정보를 입력하는 두 개의 탭 집합이 있습니다.

프로세스에 사용되는 두 탭 집합의 스크린샷.

다음 단계에서는 전역 보안 액세스를 사용하여 원격 네트워크를 만드는 데 필요한 기본 정보를 제공합니다. 이 프로세스는 두 개의 개별 문서에서 자세히 설명합니다. 쉽게 혼선을 줄 수 있는 몇 가지 세부 정보가 있으므로 자세한 내용은 다음 문서를 검토하세요.

영역 중복성

전역 보안 액세스를 위한 원격 네트워크를 만들기 전에 잠시 시간을 내어 중복성에 대한 두 가지 옵션을 검토합니다. 원격 네트워크는 중복성을 사용하거나 사용하지 않고 만들 수 있습니다. 두 가지 방법으로 중복성을 추가할 수 있습니다.

  • Microsoft Entra 관리 센터에서 디바이스 링크를 만드는 동안 영역 중복성을 선택합니다.
    • 이 시나리오에서는 원격 네트워크를 만드는 동안 선택한 동일한 데이터 센터 지역 내의 다른 가용성 영역에 다른 게이트웨이를 만듭니다.
    • 이 시나리오에서는 가상 네트워크 게이트웨이에 하나의 공용 IP 주소만 필요합니다.
    • 라우터의 동일한 공용 IP 주소에서 IPsec 터널이 서로 다른 가용성 영역 내의 Microsoft 게이트웨이 각각에 대해 두 개 만들어집니다.
  • Azure Portal에서 보조 공용 IP 주소를 만들고 Microsoft Entra 관리 센터에서 서로 다른 공용 IP 주소가 있는 두 개의 디바이스 링크를 만듭니다.
    • Microsoft Entra 관리 센터에서 원격 네트워크에 디바이스 링크를 추가할 때 중복성 없음을 선택할 수 있습니다.
    • 이 시나리오에서는 가상 네트워크 게이트웨이에 기본 및 보조 공용 IP 주소가 필요합니다.

이 문서에서는 영역 중복 경로를 선택합니다.

로컬 BGP 주소는 가상 네트워크 게이트웨이와 연결된 가상 네트워크의 주소 공간 외부에 있는 프라이빗 IP 주소여야 합니다. 예를 들어 가상 네트워크의 주소 공간이 10.1.0.0/16인 경우 10.2.0.0을 로컬 BGP 주소로 사용할 수 있습니다.

사용할 수 없는 예약된 값은 유효한 BGP 주소 목록을 참조하세요.

  1. Microsoft Entra 관리 센터글로벌 보안 액세스 관리자로 로그인합니다.
  2. 전역 보안 액세스>연결>원격 네트워크로 이동합니다.
  3. 원격 네트워크 만들기 단추를 선택하고 기본 탭에서 다음 세부 정보를 제공합니다.
    • 이름
    • 지역

원격 네트워크를 만들기 위한 기본 탭의 스크린샷.

  1. 연결 탭에서 링크 추가를 선택합니다.

  2. 링크 추가 - 일반 탭에서 다음 세부 정보를 입력합니다.

    • 링크 이름: CPE(Customer Premises Equipment)의 이름입니다.
    • 디바이스 유형: 드롭다운 목록에서 디바이스 옵션을 선택합니다.
    • 디바이스 IP 주소: CPE(고객 프레미스 장비) 디바이스의 공용 IP 주소입니다.
    • 디바이스 BGP 주소: CPE의 BGP IP 주소를 입력합니다.
      • 이 주소는 CPE에서 로컬 BGP IP 주소로 입력됩니다.
    • 디바이스 ASN: CPE의 ASN(자치 시스템 번호)을 제공합니다.
      • 두 네트워크 게이트웨이 간의 BGP 지원 연결을 사용하려면 두 게이트웨이의 ASN이 서로 달라야 합니다.
      • 자세한 내용은 원격 네트워크 구성 문서의 유효한 ASN 섹션을 참조하세요.
    • 중복: IPSec 터널에 대해 중복 없음 또는 영역 중복 중 하나를 선택합니다.
    • 영역 중복 로컬 BGP 주소: 이 선택적 필드는 영역 중복을 선택하는 경우에만 표시됩니다.
      • CPE가 상주하는 온-프레미스 네트워크의 일부가 아니며디바이스 BGP 주소와 다른 BGP IP 주소를 입력합니다.
    • 대역폭 용량(Mbps): 터널 대역폭을 지정합니다. 사용 가능한 옵션은 250, 500, 750 및 1,000Mbps입니다.
    • 로컬 BGP 주소: CPE가 상주하는 온-프레미스 네트워크의 일부가 아닌 BGP IP 주소를 입력합니다.
      • 예를 들어 온-프레미스 네트워크가 10.1.0.0/16인 경우 10.2.0.4를 로컬 BGP 주소로 사용할 수 있습니다.
      • 이 주소는 CPE에서 피어 BGP IP 주소로 입력됩니다.
      • 사용할 수 없는 예약된 값은 유효한 BGP 주소 목록을 참조하세요.

    각 필드의 예가 포함된 링크 추가 - 일반 탭의 스크린샷.

  3. 링크 추가 - 세부 정보 탭에서 이전에 다른 선택을 하지 않은 한 기본값을 선택한 상태로 두고 다음 단추를 선택합니다.

  4. 링크 추가 - 보안 탭에서 PSK(미리 공유한 키)를 입력하고 저장 단추를 선택합니다. 기본 원격 네트워크 만들기 탭 집합으로 돌아갑니다.

  5. 트래픽 프로필 탭에서 적절한 트래픽 전달 프로필을 선택합니다.

  6. 검토 + 만들기 단추를 선택합니다.

  7. 모든 항목이 올바르게 표시되면 원격 네트워크 만들기 단추를 선택합니다.

연결 구성 보기

원격 네트워크를 만들고 디바이스 링크를 추가한 후에는 Microsoft Entra 관리 센터에서 구성 세부 정보를 사용할 수 있습니다. 다음 단계를 완료하려면 이 구성의 몇 가지 세부 정보가 필요합니다.

  1. 전역 보안 액세스>연결>원격 네트워크로 이동합니다.

  2. 테이블 오른쪽의 마지막 열에서 만든 원격 네트워크에 대한 구성 보기를 선택합니다. 구성은 JSON Blob으로 표시됩니다.

  3. Microsoft의 공용 IP 주소인 endpoint, asn, 및 bgpAddress(을)를 열리는 창에서 찾아 저장합니다.

    • 이러한 세부 정보는 다음 단계에서 연결을 설정하는 데 사용됩니다.
    • 이러한 세부 정보를 보는 방법에 대한 자세한 내용은 고객 프레미스 장비 구성을 참조하세요.

    보기 구성 창의 스크린샷.

다음 다이어그램은 이러한 구성 세부 정보의 주요 세부 정보를 시뮬레이션된 원격 네트워크의 상관 관계 역할에 연결합니다. 다이어그램의 텍스트 설명은 이미지를 따릅니다.

원격 네트워크 구성 및 세부 정보가 네트워크와 상관되는 위치의 다이어그램

다이어그램의 가운데에는 가상 네트워크에 연결된 가상 머신이 포함된 리소스 그룹이 표시됩니다. 그런 다음, 가상 네트워크 게이트웨이는 사이트-사이트 중복 VPN 연결을 통해 로컬 네트워크 게이트웨이에 연결합니다.

연결 세부 정보의 스크린샷에는 두 개의 섹션이 강조 표시됩니다. localConfigurations 아래의 첫 번째 강조 표시된 섹션에는 로컬 네트워크 게이트웨이인 전역 보안 액세스 게이트웨이의 세부 정보가 포함되어 있습니다.

로컬 네트워크 게이트웨이 1

  • 공용 IP 주소/엔드포인트: 120.x.x.76
  • ASN: 65476
  • BGP IP 주소/bgpAddress: 192.168.1.1

로컬 네트워크 게이트웨이 2

  • 공용 IP 주소/엔드포인트: 4.x.x.193
  • ASN: 65476
  • BGP IP 주소/bgpAddress: 192.168.1.2

peerConfiguration 아래의 두 번째 강조 표시된 섹션에는 로컬 라우터 장비인 가상 네트워크 게이트웨이의 세부 정보가 포함되어 있습니다.

Virtual Network Gateway

  • 공용 IP 주소/엔드포인트: 20.x.x.1
  • ASN: 65533
  • BGP IP 주소/bgpAddress: 10.1.1.1

또 다른 주석은 리소스 그룹에서 만든 가상 네트워크를 가리킵니다. 가상 네트워크의 주소 공간은 10.2.0.0/16입니다. 로컬 BGP 주소와 피어 BGP 주소는 동일한 주소 공간에 있을 수 없습니다.

로컬 네트워크 게이트웨이 만들기

이 단계는 Azure Portal에서 완료됩니다. 이 단계를 완료하려면 이전 단계의 몇 가지 세부 정보가 필요합니다.

Microsoft Entra 관리 센터에 디바이스 링크를 만들 때 중복도 없음을 선택했다면 로컬 네트워크 게이트웨이를 하나만 만들어야 합니다.

영역 중복을 선택한 경우라면 로컬 네트워크 게이트웨이를 두 개 만들어야 합니다. endpoint, asnbgpAddress 두 세트가 디바이스 링크의 localConfigurations에 있습니다. 이 정보는 Microsoft Entra 관리 센터에서 해당 원격 네트워크에 대한 보기 구성 세부 정보에 제공됩니다.

  1. Azure Portal에서 로컬 네트워크 게이트웨이로 이동합니다.

  2. 만들기를 선택합니다.

  3. 이전에 만든 리소스 그룹을 선택합니다.

  4. 적절한 지역을 선택합니다.

  5. 로컬 네트워크 게이트웨이에 이름을 붙입니다.

  6. 엔드포인트의 경우 IP 주소를 선택한 다음 Microsoft Entra 관리 센터에서 제공하는 endpoint IP 주소를 제공합니다.

  7. 다음: 고급을 선택합니다.

  8. BGP 구성로 설정합니다.

  9. 보기 구성 세부 정보의 localConfigurations 섹션에서 ASN(자치 시스템 번호)를 입력합니다.

  10. 보기 구성 세부 정보의 localConfigurations 섹션에서 BGP 피어 IP 주소를 입력합니다.

    로컬 네트워크 게이트웨이 프로세스의 ASN 및 BGP 필드 스크린샷

  11. 검토 + 만들기를 선택하고 설정을 확인합니다.

  12. 만들기를 선택합니다.

영역 중복성을 사용한 경우 다음 단계를 반복하여 두 번째 값 집합이 있는 다른 로컬 네트워크 게이트웨이를 만듭니다.

구성으로 이동하여 로컬 네트워크 게이트웨이의 세부 정보를 검토합니다.

로컬 네트워크 게이트웨이에 대한 구성 설정을 보여 주는 Azure Portal의 스크린샷

S2S(사이트 간) VPN 연결 만들기

이 단계는 Azure Portal에서 완료됩니다. 두 번째 게이트웨이를 만든 경우 여기서 두 개의 연결을 만들어야 합니다. 각각 기본 및 보조 게이트웨이용입니다. 이 단계에서는 명시하지 않는 한 모든 설정을 기본값으로 설정합니다.

  1. Azure Portal에서 연결로 이동합니다.
  2. 만들기를 선택하세요.
  3. 이전에 만든 리소스 그룹을 선택합니다.
  4. 연결 형식에서 사이트 간(IPsec)을 선택합니다.
  5. 해당 연결에 이름을 붙인 다음, 적절한 지역을 선택합니다.
  6. 다음: 설정을 선택합니다.
  7. 이전에 만들어 둔 가상 네트워크 게이트웨이로컬 네트워크 게이트웨이를 선택합니다.
  8. 이전 단계에서 디바이스 링크를 만들 때 입력한 것과 동일한 공유 키(PSK)를 입력합니다.
  9. BGP 사용 확인란을 선택합니다.
  10. 검토 + 만들기를 선택합니다. 설정을 확인합니다.
  11. 만들기를 선택합니다.

이 단계를 반복하여 두 번째 로컬 네트워크 게이트웨이에 대한 연결을 하나 더 만듭니다.

사이트 간 연결에 대한 구성 설정을 보여주는 Azure 포털의 스크린샷.

연결 확인

연결을 확인하려면 트래픽 흐름을 시뮬레이션해야 합니다. 한 가지 방법은 트래픽을 시작하는 VM(가상 머신)을 만드는 것입니다.

가상 머신을 사용하여 트래픽 시뮬레이션

이 단계에서는 VM을 만들고 Microsoft 서비스에 대한 트래픽을 시작합니다. 명시하지 않는 한 모든 설정을 기본값으로 설정합니다.

  1. Azure Portal에서 가상 머신으로 이동합니다.
  2. 만들기>Azure Virtual Machine을 선택합니다.
  3. 이전에 만든 리소스 그룹을 선택합니다.
  4. 가상 머신 이름을 입력합니다.
  5. 사용하려는 이미지를 선택합니다. 이 예제의 경우 Windows 11 Pro, 버전 22H2 - x64 Gen2를 선택했습니다.
  6. 이 테스트의 Azure Spot 할인으로 실행을 선택합니다.
  7. VM에 사용자 이름암호를 입력합니다.
  8. 페이지 맨 아래에 다중 테넌트 호스팅 권한이 있는 적격 Windows 10/11 라이선스가 있는지 확인합니다.
  9. 네트워킹 탭으로 이동합니다.
  10. 이전에 만들어 둔 가상 네트워크를 선택합니다.
  11. 관리 탭으로 이동합니다.
  12. Microsoft Entra ID를 사용하여 로그인 확인란을 선택합니다.
  13. 검토 + 만들기를 선택합니다. 설정을 확인합니다.
  14. 만들기를 선택합니다.

네트워크 보안 그룹에 대한 원격 액세스를 특정 네트워크 또는 IP로만 잠그도록 선택할 수 있습니다.

연결 상태 확인

이전 단계에서 원격 네트워크와 연결을 만든 다음, 연결을 설정하는 데 몇 분 정도 걸릴 수 있습니다. Azure Portal에서 VPN 터널이 연결되어 있고 BGP 피어링이 성공적인지 확인할 수 있습니다.

  1. Azure Portal에서 이전에 만들어 둔 가상 네트워크 게이트웨이를 찾은 다음 연결을 선택합니다.
  2. 구성이 제대로 적용되면 각 연결에 상태연결됨으로 표시되어야 합니다.
  3. 모니터링 섹션에서 BGP 피어로 이동하여 BGP 피어링이 성공적인지 확인합니다. Microsoft에서 제공하는 피어 주소를 찾아보십시오. 구성이 제대로 적용되면 상태연결됨으로 표시되어야 합니다.

가상 네트워크 게이트웨이에 대한 연결 상태를 찾는 방법을 보여 주는 스크린샷.

만들어 둔 가상 머신을 사용하여 트래픽이 Microsoft 서버로 흐르는지 확인할 수 있습니다. SharePoint나 Exchange Online에서 리소스로 검색하면 가상 네트워크 게이트웨이에서 트래픽이 발생합니다. 이 트래픽은 가상 네트워크 게이트웨이의 메트릭을 검색하거나 VPN 게이트웨이용 패킷 캡처를 구성하여 확인할 수 있습니다.

이 문서를 사용하여 Microsoft Entra Internet Access를 테스트하는 경우 완료된 후 새 리소스 그룹을 삭제하여 관련된 모든 Azure 리소스를 정리합니다.

다음 단계