Azure ExpressRoute의 작동 원리
Azure ExpressRoute 서비스의 용도와 사용할 수 있는 서비스에 대해 알아보았습니다. 이제 이 서비스의 작동 원리에 대한 학습을 시작할 준비가 되었습니다. 이 서비스가 Azure 및 온-프레미스 네트워크와 상호 작용하여 온-프레미스 데이터 센터와 Microsoft 클라우드 간에 안전하고 신뢰할 수 있는 연결을 만들도록 도와주는 방법을 살펴보겠습니다.
이 단원에서는 Azure 회로를 만들고 사용하여 온-프레미스 네트워크를 클라우드에 연결하는 방법을 알아봅니다. 회로를 만들기 위해 수행해야 하는 단계를 확인할 수 있습니다. 또한 온-프레미스 데이터 센터에서 Microsoft 클라우드로의 연결을 구성하기 위해 함께 작동하는 ExpressRoute 연결의 다른 구성 요소에 대해 알아봅니다.
ExpressRoute의 아키텍처
ExpressRoute는 모든 지역 및 위치에서 지원됩니다. ExpressRoute를 구현하려면 ExpressRoute 파트너와 함께 작업해야 합니다. 파트너는 파트너 제어 라우터를 통해 작동하는 권한 있는 인증된 연결인 ‘에지 서비스’를 제공합니다. 에지 서비스는 네트워크를 Microsoft 클라우드로 확장하는 역할을 담당합니다.
파트너는 Microsoft 에지 라우터를 통해 구현된 ExpressRoute 위치의 엔드포인트에 대한 연결을 설정합니다. 이 연결을 사용하면 엔드포인트를 통해 사용 가능한 가상 네트워크와 온-프레미스 네트워크를 피어링할 수 있습니다. 이 연결을 ‘회로’라고 합니다.
참고 항목
ExpressRoute의 컨텍스트에서 Microsoft Edge는 ExpressRoute 회로의 Microsoft 쪽에 있는 에지 라우터를 설명합니다.
회로는 ExpressRoute 공급자의 에지 라우터를 통해 Microsoft 에지 라우터에 데이터를 전송하기 위한 실제 연결을 제공합니다. 회로는 공용 인터넷이 아닌 프라이빗 네트워크를 통해 설정됩니다. 온-프레미스 네트워크는 ExpressRoute 공급자의 에지 라우터에 연결됩니다. Microsoft 에지 라우터는 Microsoft 클라우드에 대한 진입점을 제공합니다.
ExpressRoute의 필수 구성 요소
ExpressRoute를 사용하여 Microsoft 클라우드 서비스에 연결하려면 다음이 필요합니다.
- 온-프레미스 네트워크에서 Microsoft 클라우드로의 연결을 설정할 수 있는 ExpressRoute 연결 파트너 또는 클라우드 교환 공급자.
- 선택한 ExpressRoute 연결 파트너에 등록된 Azure 구독.
- ExpressRoute 회로를 요청하는 데 사용할 수 있는 활성 Microsoft Azure 계정.
- 활성 Office 365 구독(Microsoft 클라우드에 연결하고 Office 365 서비스에 액세스하려는 경우)
ExpressRoute는 Microsoft 클라우드에서 실행되는 네트워크와 온-프레미스 네트워크를 피어링하는 방식으로 작동합니다. 네트워크의 리소스는 Microsoft에서 호스트하는 리소스와 직접 통신할 수 있습니다. 이 피어링을 지원하기 위해 ExpressRoute에는 다양한 네트워크 및 라우팅 요구 사항이 있습니다.
- 라우팅 도메인에 대한 BGP 세션이 구성되었는지 확인합니다. 이 구성은 파트너에 따라 파트너 또는 사용자의 책임일 수 있습니다. 또한 각 ExpressRoute 회로에 대해 Microsoft는 Microsoft의 라우터와 피어링 라우터 간에 중복 BGP 세션을 요구합니다.
- 사용자나 공급자는 NAT 서비스를 사용하여 온-프레미스에서 사용되는 프라이빗 IP 주소를 공용 IP 주소로 변환해야 합니다. Microsoft는 Microsoft 피어링을 통한 공용 IP 주소를 제외한 모든 주소를 거부합니다.
- Microsoft 클라우드로 트래픽을 라우팅하기 위해 네트워크에서 여러 IP 주소 블록을 예약합니다. 이 블록은 IP 주소 공간에서 하나의 /29 서브넷 또는 두 개의 /30 서브넷으로 구성합니다. 이러한 서브넷 중 하나는 Microsoft 클라우드에 대한 기본 링크를 구성하는 데 사용되고 다른 하나는 보조 링크를 구현합니다. 서브넷의 첫 번째 주소는 BGP 피어의 끝을 나타내고 두 번째 주소는 Microsoft의 BGP 피어 IP입니다.
ExpressRoute는 두 가지 피어링 스키마를 지원합니다.
- 프라이빗 피어링을 사용하여 Azure 가상 네트워크 내에 배포된 Azure IaaS 및 PaaS 서비스에 연결합니다. 액세스하는 리소스는 모두 프라이빗 IP 주소를 사용하는 하나 이상의 Azure 가상 네트워크에 있어야 합니다. 프라이빗 피어링을 사용하는 공용 IP 주소를 통해서는 리소스에 액세스할 수 없습니다.
- Microsoft 피어링을 사용하여 Azure PaaS 서비스, Office 365 서비스 및 Dynamics 365에 연결합니다.
참고 항목
또한 Azure Portal을 사용하여 공용 피어링을 구성할 수 있습니다. 이 피어링 형식을 통해 Azure 서비스에 의해 노출된 공용 주소에 연결할 수 있습니다. 그러나 이 피어링은 더 이상 사용되지 않으며 새로운 회로에 사용할 수 없습니다. 이 모듈에서는 공용 피어링에 대해 설명하지 않습니다.
ExpressRoute 회로 및 피어링 만들기
ExpressRoute를 통해 Azure에 대한 연결을 설정하는 프로세스는 여러 단계로 구성됩니다. 이 단계의 대부분은 Azure Portal을 사용하여 수행하거나 PowerShell 또는 Azure CLI를 사용하여 명령줄에서 수행할 수 있습니다. 이 섹션에서는 Azure Portal을 사용하는 프로세스에 대해 설명합니다. PowerShell 및 CLI 지침은 이 모듈의 끝부분에 있는 “자세한 정보” 섹션을 참조하세요.
회로 만들기
Azure Portal을 사용하는 경우 + 리소스 만들기를 선택하고 ExpressRoute를 검색합니다. ExpressRoute 회로 만들기 페이지에서 다음 필드를 입력해야 합니다.
기본 사항 탭
| 속성 | 값 |
|---|---|
| 구독 | ExpressRoute 공급자에 등록한 구독입니다. |
| 리소스 그룹 | 회로를 만들 Azure 리소스 그룹입니다. |
| 지역 | 회로를 만들 Azure 위치입니다. |
| 이름 | 회로의 의미 있는 이름으로, 공백이나 특수 문자를 사용할 수 없습니다. |
구성 탭
| 속성 | 값 |
|---|---|
| 포트 유형 | 서비스 공급자 를 통해 연결하는 경우 공급자를 선택하거나 Microsoft에 직접 연결하는 경우 직접을 선택합니다. |
| 새로 만들기 또는 클래식에서 가져오기 | 새 회로를 만들거나 가져오기를 선택하여 기존 회로를 클래식 모델에서 Resource Manager로 이동합니다. |
| 공급자 | 구독을 등록한 ExpressRoute 공급자입니다. |
| 피어링 위치 | 회로를 만들 위치로 ExpressRoute 공급자가 사용하도록 설정합니다. |
| 대역폭 | 50Mbps에서 최대 10Gbps까지 대역폭을 선택합니다. 낮은 값으로 시작합니다. 나중에 서비스 중단 없이 늘릴 수 있습니다. 그러나 처음에 너무 높게 설정하는 경우 대역폭을 줄일 수 없습니다. |
| SKU | 같은 대도시에 있는 1개 또는 2개 Azure 지역의 Azure 리소스에 연결해야 하는 경우 로컬(사용 가능한 경우)을 선택합니다. 최대 10개의 가상 네트워크가 있고 동일한 지리적 지역의 리소스에만 연결해야 하는 경우에는 표준을 선택합니다. 그 이외의 경우 10개 이상의 가상 네트워크와 글로벌 연결을 Azure 리소스에 연결하는 프리미엄을 선택합니다. |
| 청구 모델 | 사용량과 관계없이 정액 요금을 지급하려면 무제한을 선택합니다. 회로에 들어오고 나가는 트래픽의 양에 따라 지불하려면 데이터 요금을 선택합니다. |
| 클래식 작업 허용 | 예를 선택하면 클래식 가상 네트워크가 회로에 연결될 수 있습니다. 그렇지 않은 경우 아니요를 선택합니다. |
회로 만들기는 몇 분 정도 걸릴 수 있습니다. 회로가 프로비저닝된 후 Azure Portal을 사용하여 속성을 볼 수 있습니다. 회로 상태가 활성화 상태임을 확인할 수 있습니다. 즉, Microsoft 쪽 회로에서 연결을 허용할 준비가 되었다는 의미입니다. 공급자 상태는 공급자가 네트워크에 연결하기 위해 회로의 측면을 구성하지 않았기 때문에 처음에는 프로비전되지 않음으로 설정됩니다.
서비스 키 필드의 값을 공급자에 전송하여 연결을 구성할 수 있도록 합니다. 이 구성에는 며칠이 걸릴 수 있습니다. 이 페이지를 다시 방문하여 공급자 상태를 확인할 수 있습니다.
피어링 구성 만들기
공급자 상태가 프로비저닝됨으로 보고된 후 피어링에 대한 라우팅을 구성할 수 있습니다. 이 단계는 계층 2 연결을 제공하는 서비스 공급자를 사용하여 만든 회로에만 적용됩니다. 계층 3에서 작동하는 모든 회로의 경우 공급자가 대신 라우팅을 구성할 수 있습니다.
앞에 표시된 ExpressRoute 회로 페이지에는 각 피어링과 해당 속성이 나열됩니다. 피어링을 선택하여 이러한 속성을 구성할 수 있습니다.
프라이빗 피어링 구성
개인 피어링을 사용하여 Azure에서 실행되는 가상 네트워크에 네트워크를 연결합니다. 프라이빗 피어링을 구성하려면 다음 정보를 제공해야 합니다.
- 피어 ASN: 사용자 쪽 피어링의 ASN(자치 시스템 번호)입니다. 이 ASN은 공용이거나 프라이빗일 수 있고 16비트이거나 32비트일 수 있습니다.
- 서브넷: 피어링 서브넷에 IPv4 또는 IPv6를 사용할지 아니면 둘 다를 사용할지 선택합니다.
- 기본 서브넷: 네트워크에 만든 기본 /30 서브넷의 주소 범위입니다. 사용자는 이 서브넷의 첫 번째 IP 주소를 라우터에 사용합니다. Microsoft는 두 번째 IP 주소를 라우터에 사용합니다.
- 보조 서브넷: 보조 /30 서브넷의 주소 범위입니다. 이 서브넷은 Microsoft에 대한 보조 링크를 제공합니다. 처음 두 주소는 사용자 라우터 및 Microsoft 라우터의 IP 주소를 저장하는 데 사용됩니다.
- IPv4 피어링 사용: 이 옵션을 사용하면 개인 피어링 BGP 세션을 사용하거나 사용하지 않도록 설정할 수 있습니다.
- VLAN ID: 피어링을 설정할 VLAN의 ID입니다. 기본 및 보조 링크 둘 다 이 VLAN ID를 사용합니다.
- 공유 키: 이 키는 회로를 통해 전달되는 메시지를 인코딩하는 데 사용되는 MD5 해시(선택 사항)입니다.
Microsoft 피어링 구성
Microsoft 피어링을 사용하여 Office 365 및 연결된 서비스에 연결합니다. Microsoft 피어링을 구성하려면 피어 ASN, 기본 서브넷 주소 범위, 보조 서브넷 주소 범위, 서브넷 IP 버전, VLAN ID, 공유 키(선택 사항)와 같이 개인 피어링에 대해 설명된 많은 정보를 제공합니다. 또한 다음 정보를 제공해야 합니다.
- 보급된 퍼블릭 접두사: BGP 세션을 통해 사용하는 주소 접두사 목록입니다. 이러한 접두사는 사용자에 등록해야 하며 공용 주소 범위에 대한 접두사여야 합니다.
- 고객 ASN: 피어 ASN에 등록되지 않은 접두사를 보급하는 경우 사용할 선택적 클라이언트 측 자치 시스템 번호입니다.
- 라우팅 레지스트리 이름: 이 이름은 고객 ASN 및 퍼블릭 접두사가 등록된 레지스트리를 식별합니다.
ExpressRoute 회로에 가상 네트워크 연결
ExpressRoute 회로가 설정되면 Azure 프라이빗 피어링이 회로에 대해 구성됩니다. 네트워크와 Microsoft 간의 BGP 세션이 활성화되어 있으므로 온-프레미스 네트워크에서 Azure로 연결을 사용하도록 설정할 수 있습니다.
프라이빗 회로에 연결하려면 먼저 Azure 가상 네트워크 중 하나에서 서브넷을 사용하여 Azure 가상 네트워크 게이트웨이를 만들어야 합니다. 가상 네트워크 게이트웨이는 온-프레미스 네트워크에서 들어오는 네트워크 트래픽에 대한 진입점을 제공합니다. 이 게이트웨이는 가상 네트워크를 통해 들어오는 트래픽을 Azure 리소스로 보냅니다.
온-프레미스 네트워크에서 라우팅되는 트래픽을 제어하는 네트워크 보안 그룹 및 방화벽 규칙을 구성할 수 있습니다. 온-프레미스 네트워크에서 권한이 없는 주소의 요청을 차단할 수도 있습니다.
참고
가상 네트워크 게이트웨이는 VPN이 아닌 ExpressRoute 유형을 사용하여 만들어야 합니다.
최대 10개의 가상 네트워크를 ExpressRoute 회로에 연결할 수 있지만 이러한 가상 네트워크는 표준 SKU를 사용할 때 ExpressRoute 회로와 동일한 지역에 있어야 합니다. 필요한 경우 단일 가상 네트워크를 4개의 ExpressRoute 회로와 연결할 수 있습니다. ExpressRoute 회로는 가상 네트워크에 대한 동일한 구독 또는 서로 다른 구독으로 존재할 수 있습니다.
Azure Portal을 사용하는 경우 다음과 같이 가상 네트워크 게이트웨이에 피어링을 연결합니다.
- 회로에 대한 ExpressRoute 회로 페이지에서 연결을 선택합니다.
- 연결 페이지에서 추가를 선택합니다.
- 연결 추가 페이지에서 연결에 이름을 지정하고 가상 네트워크 게이트웨이를 선택합니다. 작업이 완료되면 온-프레미스 네트워크가 가상 네트워크 게이트웨이를 통해 Azure의 가상 네트워크에 연결됩니다. 연결은 ExpressRoute 연결을 통해 설정됩니다.
ExpressRoute를 사용한 고가용성 및 장애 조치(failover)
각 ExpressRoute 회로에는 연결 공급자와 두 개의 서로 다른 Microsoft 에지 라우터 간 연결이 두 개 있습니다. 이 구성은 자동으로 수행됩니다. 단일 위치 내에서 일정 수준의 가용성을 제공합니다.
고가용성을 제공하고 지역 가동 중단으로부터 보호하도록 도와주도록 다른 피어링 위치에 ExpressRoute 회로를 설정하는 것이 좋습니다. 예를 들어 미국 동부 및 미국 중부 지역에 회로를 만들고 이러한 회로를 가상 네트워크에 연결할 수 있습니다. 이렇게 하면 하나의 ExpressRoute 회로가 중단되어도 리소스에 대한 연결이 끊기지 않고 다른 ExpressRoute 회로에 대한 연결로 장애 조치(failover)할 수 있습니다.
또한 다양한 공급자에 걸쳐 여러 회로를 만들면 작동 중단이 승인된 단일 공급자의 모든 회로에 영향을 주는 경우에도 네트워크를 계속 사용할 수 있습니다. 연결 가중치 속성을 설정하여 다른 회로에 비해 한 회로를 선호하도록 할 수 있습니다.
ExpressRoute Direct 및 FastPath
Microsoft는 또한 ExpressRoute Direct라는 초고속 옵션을 제공합니다. 이 서비스를 통해 이중 100Gbps 연결이 가능합니다. 이 서비스는 빈번한 대규모 데이터 수집이 관련된 시나리오에 적합합니다. 또한 금융, 정부, 소매점 등 고도의 확장성이 필요한 시나리오에 적합합니다.
Microsoft에 구독을 등록하여 ExpressRoute Direct를 활성화할 수 있습니다. 자세한 내용은 이 모듈의 끝부분에 있는 “자세한 정보” 섹션에서 ExpressRoute 문서를 참조하세요.
ExpressRoute Direct는 FastPath를 지원합니다. FastPath가 사용하도록 설정되면 대상으로 지정된 가상 머신에 직접 네트워크 트래픽을 보냅니다. 트래픽은 가상 네트워크 게이트웨이를 우회하므로 Azure 가상 네트워크와 온-프레미스 네트워크 간의 성능이 향상됩니다.
FastPath는 가상 네트워크 피어링을 지원합니다(가상 네트워크가 함께 연결된 경우). 또한 게이트웨이 서브넷에서 사용자 정의 경로를 지원합니다.