Azure 가상 네트워크의 라우팅 기능 확인

10분

가상 네트워크 내에서 트래픽 흐름을 제어하려면 사용자 지정 경로의 목적과 이점에 대해 알고 있어야 합니다. 또한 NVA(네트워크 가상 어플라이언스)를 통해 트래픽 흐름을 전달하도록 경로를 구성하는 방법도 알아야 합니다.

Azure 라우팅

Azure의 네트워크 트래픽은 Azure 서브넷, 가상 네트워크, 온-프레미스 네트워크 간에 자동으로 라우팅됩니다. 시스템 경로가 이 라우팅을 제어합니다. 시스템 경로는 기본적으로 가상 네트워크의 각 서브넷에 할당됩니다. 시스템 경로를 사용하면 가상 네트워크에 배포되는 모든 Azure 가상 머신이 해당 네트워크에 있는 다른 모든 가상 머신과 통신할 수 있습니다. 이 가상 머신은 하이브리드 네트워크 또는 인터넷을 통해 온-프레미스에서도 액세스할 수 있습니다.

시스템 경로를 만들거나 삭제할 수는 없지만, 사용자 지정 경로를 추가하여 시스템 경로를 재정의하면 다음 홉으로의 트래픽 흐름을 제어할 수 있습니다.

모든 서브넷에는 다음과 같은 기본 시스템 경로가 있습니다.

주소 접두사	다음 홉 유형
가상 네트워크에서 고유한 접두사	가상 네트워크
0.0.0.0/0	인터넷
10.0.0.0/8	없음
172.16.0.0/12	없음
192.168.0.0/16	없음
100.64.0.0/10	없음

다음 홉 유형 열은 각 주소 접두사로 전송된 트래픽이 사용하는 네트워크 경로를 보여줍니다. 경로는 다음 홉 유형 중 하나일 수 있습니다.

가상 네트워크: 주소 접두사에 경로가 만들어집니다. 접두사는 가상 네트워크 수준에서 만든 각 주소 범위를 나타냅니다. 여러 개의 주소 범위를 지정하면, 각 주소 범위에 대해 여러 경로가 생성됩니다.
인터넷: 기본 시스템 경로 0.0.0.0/0은 사용자 지정 경로를 사용하여 Azure의 기본 경로를 재정의하지 않는 한, 모든 주소 범위를 인터넷으로 라우팅합니다.
없음: 이 홉 유형으로 라우팅된 트래픽은 모두 삭제되고 서브넷 외부에서 라우팅되지 않습니다. 기본적으로 다음 IPv4 프라이빗 주소 접두사가 생성됩니다. 즉, 10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16입니다. 공유 주소 공간에 대한 접두사 100.64.0.0/10도 추가됩니다. 주소 범위는 전역적으로 라우팅할 수 없습니다.

아래 다이어그램은 시스템 경로에 대한 개요 및 서브넷과 인터넷 간의 기본적인 트래픽 흐름을 보여줍니다. 두 서브넷과 인터넷 간에 트래픽이 자유롭게 흐르는 것을 다이어그램에서 확인할 수 있습니다.

서브넷과 인터넷 간 트래픽 흐름의 다이어그램.

Azure 내에는 다른 시스템 경로가 있습니다. 다음 기능을 사용하도록 설정하면 Azure가 이러한 경로를 만듭니다.

가상 네트워크 피어링
서비스 체이닝
가상 네트워크 게이트웨이
가상 네트워크 서비스 엔드포인트

가상 네트워크 피어링 및 서비스 체이닝

가상 네트워크 피어링과 서비스 체이닝을 사용하면 Azure 내의 가상 네트워크를 서로 연결할 수 있습니다. 이 연결을 사용하면 가상 머신이 동일한 지역 내에서 또는 여러 지역에 걸쳐 서로 통신할 수 있습니다. 또한 이 통신으로 기본 경로 테이블 내에 추가 경로가 생성됩니다. 서비스 체이닝을 사용하면 피어링 네트워크 간에 사용자 정의 경로를 만들어 경로를 재정의할 수 있습니다.

다음 다이어그램에서는 피어링이 구성된 두 개의 가상 네트워크를 보여줍니다. 사용자 정의 경로는 NVA 또는 Azure VPN 게이트웨이를 통해 트래픽을 라우팅하도록 구성됩니다.

사용자 정의 경로를 사용하는 가상 네트워크 피어링의 다이어그램.

가상 네트워크 게이트웨이

가상 네트워크 게이트웨이를 사용하여 인터넷을 통해 Azure와 온-프레미스 간에 암호화된 트래픽을 전송하고, Azure 네트워크 간에 암호화된 트래픽을 전송합니다. 가상 네트워크 게이트웨이는 라우팅 테이블 및 게이트웨이 서비스를 포함합니다.

가상 네트워크 게이트웨이 구조의 다이어그램.

가상 네트워크 서비스 엔드포인트

가상 네트워크 엔드포인트는 Azure 리소스에 대한 직접 연결을 제공하여 Azure의 프라이빗 주소 공간을 확장합니다. 이 연결은 트래픽 흐름을 제한하며, Azure 가상 머신이 프라이빗 주소 공간에서 직접 스토리지 계정에 액세스하도록 허용하고 퍼블릭 가상 머신에서의 액세스를 거부합니다. 서비스 엔드포인트를 사용하도록 설정하면, Azure는 이 트래픽을 리디렉션할 경로를 경로 테이블에 만듭니다.

사용자 지정 경로

시스템 경로를 사용하면 환경을 신속하게 실행할 수 있습니다. 하지만 네트워크 내에서 트래픽 흐름을 더 긴밀하게 제어할 수 있는 시나리오가 많이 있습니다. 예를 들어 NVA 또는 방화벽을 통해 트래픽을 라우팅할 수 있습니다. 이 제어는 사용자 지정 경로에서 가능합니다.

사용자 지정 경로를 구현하는 두 가지 옵션이 있습니다. 즉, 사용자 정의 경로를 만들거나, BGP(Border Gateway Protocol)를 사용하여 Azure와 온-프레미스 네트워크 간의 경로를 교환할 수 있습니다.

사용자 정의 경로

방화벽이나 NVA를 통해 트래픽을 라우팅할 수 있도록 사용자 정의 경로를 사용하여 기본 시스템 경로를 재정의할 수 있습니다.

예를 들어 두 개의 서브넷이 포함된 네트워크가 있으며, 방화벽으로 사용할 가상 머신을 경계 네트워크에 추가하려고 합니다. 트래픽이 방화벽을 통과하고 서브넷 간에 직접 이동하지 않도록 사용자 정의 경로를 만들 수 있습니다.

사용자 정의 경로를 만들 때 다음 홉 유형을 지정할 수 있습니다.

가상 어플라이언스: 가상 어플라이언스는 일반적으로 네트워크에 들어오거나 나가는 트래픽을 분석 또는 필터링하는 데 사용되는 방화벽 디바이스입니다. IP 전달이 활성화될 수 있도록 가상 머신에 연결된 NIC(네트워크 인터페이스 카드)의 프라이빗 IP 주소를 지정할 수 있습니다. 또는 내부 부하 분산 장치의 프라이빗 IP 주소를 제공할 수 있습니다.
가상 네트워크 게이트웨이: 특정 주소의 경로를 가상 네트워크 게이트웨이로 라우팅하려는 경우를 나타내는 데 사용합니다. 가상 네트워크 게이트웨이는 다음 홉 유형의 VPN으로 지정됩니다.
가상 네트워크: 다음 홉 유형을 사용하여 가상 네트워크 내의 기본 시스템 경로를 재정의합니다.
인터넷: 인터넷으로 라우팅되는 지정된 주소 접두사로 트래픽을 라우팅하는 데 사용합니다.
없음: 지정된 주소 접두사로 보낸 트래픽을 삭제하는 데 사용합니다.

사용자 정의 경로를 사용하여 가상 네트워크 피어링을 나타내는 다음 홉 유형(VirtualNetworkServiceEndpoint)을 지정할 수 없습니다.

사용자 정의 경로의 서비스 태그

명시적 IP 범위 대신 사용자 정의 경로의 주소 접두사로 서비스 태그를 지정할 수 있습니다. 서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함된 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 사용자 정의 경로를 자주 업데이트하는 데 따른 복잡성을 최소화하고 만들어야 하는 경로 수를 줄입니다.

Border Gateway Protocol

온-프레미스 네트워크의 네트워크 게이트웨이는 BGP를 사용하여 Azure의 가상 네트워크 게이트웨이와 경로를 교환할 수 있습니다. BGP는 일반적으로 두 개 이상의 네트워크 간에 라우팅 정보를 교환하는 데 사용되는 표준 라우팅 프로토콜입니다. BGP는 다양한 호스트 게이트웨이 같은 인터넷의 자치 시스템 간에 데이터와 정보를 전송하는 데 사용됩니다.

일반적으로 Azure ExpressRoute를 통해 Azure 데이터 센터에 연결된 경우 BGP를 사용하여 온-프레미스 경로를 Azure에 알립니다. VPN 사이트 간 연결을 사용하여 Azure 가상 네트워크에 연결하는 경우에도 BGP를 구성할 수 있습니다.

다음 다이어그램에서는 Azure VPN Gateway와 온-프레미스 네트워크 간에 데이터를 전달할 수 있는 경로가 포함된 토폴로지를 보여줍니다.

Border Gateway Protocol 사용 예제를 보여 주는 다이어그램

연결 경로가 중단된 경우 패킷을 전송하기 위해 라우터가 연결을 빠르게 변경할 수 있으므로 BGP는 네트워크 안정성을 제공합니다.

경로 선택 및 우선 순위

경로 테이블에서 여러 개의 경로를 사용할 수 있는 경우, Azure는 일치하는 가장 긴 접두사의 경로를 사용합니다. 예를 들어 하나의 메시지를 IP 주소 10.0.0.2로 전송하는데 접두사가 10.0.0.0/16 및 10.0.0.0/24인 두 경로를 사용할 수 있습니다. Azure는 10.0.0.0/24가 더 확실하기 때문에 이 접두사 경로를 선택합니다.

경로 접두사가 길수록 해당 접두사를 통해 사용할 수 있는 IP 주소 목록은 더 짧습니다. 더 긴 접두사를 사용하면 라우팅 알고리즘에서 원하는 주소를 보다 신속하게 선택할 수 있습니다.

동일한 주소 접두사를 사용하여 여러 사용자 정의 경로를 구성할 수 없습니다.

여러 경로의 주소 접두사가 동일한 경우, Azure는 해당 유형에 따라 다음 우선 순위로 경로를 선택합니다.

사용자 정의 경로
BGP 경로
시스템 경로

지식 점검

가상 네트워크에서 사용자 지정 경로를 사용하는 이유는 무엇인가요?

가상 네트워크 내의 트래픽 부하를 분산할 수 있습니다.

RDP 또는 SSH를 사용하여 Azure 가상 머신을 연결할 수 있습니다.

Azure 가상 네트워크 내의 트래픽 흐름을 제어할 수 있습니다.

Azure에 호스트된 다른 가상 네트워크의 리소스에 연결할 수 있습니다.

가상 네트워크 피어링을 사용할 수 있는 이유는 무엇인가요?

동일한 지역이나 서로 다른 지역에 있는 가상 네트워크를 연결합니다.

여러 가상 네트워크의 모든 리소스에 공용 IP 주소를 할당할 수 있습니다.

부하 분산 장치가 가상 네트워크 간의 트래픽 흐름을 제어할 수 있습니다.

각 가상 네트워크에서 보고서를 실행하는 것과 반대로, 사용자 지정 보고서를 실행하여 모든 가상 네트워크에서 실행 중인 리소스를 검색하고 확인할 수 있습니다.

작업을 확인하기 전에 모든 질문에 대답해야 합니다.