Azure VPN 옵션 구현

완료됨

Contoso 데이터 센터는 원격 연결을 지원하므로 사용자가 원격으로 작업할 수 있습니다. 또한 일부 지점은 사이트 간 VPN을 통해 본사 데이터 센터에 연결됩니다. 리드 시스템 엔지니어는 현재 사용 시나리오를 지속적으로 지원할 수 있는 VPN 솔루션을 구현해야 합니다.

VPN 게이트웨이 설계

Azure 게이트웨이를 사용하면 다음과 같은 다양한 유형의 VPN 연결을 구현하여 조직의 요구 사항을 처리할 수 있습니다.

• S2S
• 다중 사이트
• P2S
• VNet 간

사이트 간

IPsec(인터넷 프로토콜 보안)/IKE(Internet Key Exchange)를 통해 S2S 연결을 구현합니다. S2S 연결은 크로스-프레미스 및 하이브리드 구성을 지원하는 데 사용합니다. S2S 연결을 구현하려면 다음 다이어그램에 표시된 것처럼 공용 IP 주소를 사용하는 VPN 디바이스가 있어야 합니다.

다중 사이트

다중 사이트 연결은 S2S 연결의 변형입니다. 이 연결 형식을 사용하여 VNet 게이트웨이에서 둘 이상의 VPN 연결을 생성합니다. 다중 사이트 연결을 구현하는 경우 경로 기반 VPN 유형을 사용해야 합니다.

이름에서 알 수 있듯이, 일반적으로 다음 다이어그램에 표시된 것처럼 이 연결 형식을 사용하여 여러 온-프레미스 사이트에 연결합니다.

팁

VNet은 VPN 게이트웨이를 하나만 가질 수 있으므로 모든 연결이 대역폭을 공유합니다.

지점 및 사이트 간

P2S VPN 연결을 사용하면 사용자가 홈이나 퍼블릭 Wi-Fi 핫스폿 같은 원격 네트워크에서 조직에 연결할 수 있습니다. 일반적으로 사용자는 다음 다이어그램과 같이 P2S 연결을 시작합니다. 다이어그램에서 두 명의 사용자는 SSTP(Secure Socket Tunneling Protocol) 연결을 시작하고, 세 번째 사용자는 IKEv2를 사용합니다. S2S 연결과 달리 P2S 연결을 구현하기 위해 온-프레미스 공용 IP 주소나 VPN 디바이스가 필요하지는 않습니다.

팁

동일한 VPN 게이트웨이를 통해 S2S 연결과 함께 P2S 연결을 사용할 수 있습니다.

VNet 간

일부 측면에서 VNet 간 연결 구현은 단일 VNet을 온-프레미스 사이트 위치에 연결(S2S)하는 것과 비슷합니다. 두 시나리오에서 모두 VPN Gateway를 사용하여 IPsec/IKE 터널을 구현합니다.

참고

VPN Gateway를 통해 VNet 간 연결을 구현하는 경우 VNet이 동일한 Azure 지역이나 구독에 있을 필요는 없습니다.

팁

피어링을 사용하여 위치 또는 구독과 상관없이 VNet을 연결할 수도 있습니다. 이 방법이 더 빠르고 리소스 효율적일 수 있습니다.

ExpressRoute 연결

Azure ExpressRoute 연결을 사용하여 온-프레미스 네트워크에서 Microsoft 클라우드 또는 조직 내 다른 사이트로의 프라이빗 연결을 쉽게 구현할 수 있습니다. 네트워크 연결은 프라이빗이기 때문에 더 안전하고 성능이 크게 향상될 수도 있습니다. VNet 게이트웨이를 사용하여 ExpressRoute 연결을 구성합니다. 그러나 ExpressRoute 연결을 사용하는 경우 게이트웨이 유형을 VPN이 아닌 ExpressRoute로 지정하여 VNet 게이트웨이를 구성합니다.

팁

ExpressRoute 회로를 통과하는 트래픽은 기본적으로 암호화되지 않지만 암호화된 트래픽을 보내도록 연결을 구성할 수 있습니다.

다음 다이어그램에 표시된 것처럼 ExpressRoute 및 S2S 연결을 결합할 수도 있습니다. 예를 들어 S2S VPN을 다음과 같이 구성할 수 있습니다.

• ExpressRoute의 안전한 장애 조치(failover) 경로로 구성
• 네트워크의 일부가 아니라 ExpressRoute를 통해 연결된 사이트에 연결하도록 구성

VPN 게이트웨이 구현

VPN 게이트웨이를 구성하는 경우 많은 설정을 선택하고 구성해야 합니다. 먼저 정책 기반 구성을 구현할지, 아니면 경로 기반 구성을 구현할지 결정해야 합니다.

정책 기반

정적 라우팅을 기반으로 하는 정책 기반 게이트웨이를 구현하도록 선택하는 경우 게이트웨이에서 패킷 대상을 확인하는 데 사용하는 IP 주소 집합을 정의해야 합니다. 게이트웨이는 해당 IP 주소 집합에 대해 모든 패킷을 평가하여 패킷을 암호화하고 라우팅할 터널을 결정합니다.

경로 기반

경로 기반 게이트웨이를 사용하면 각 터널 뒤에 있는 IP 주소를 정의하지 않아도 됩니다. 경로 기반 게이트웨이를 사용하는 경우 IP 라우팅에서 각 패킷을 보내기 위해 터널 인터페이스 중 하나를 결정합니다.

팁

온-프레미스 디바이스의 경우 경로 기반 VPN을 선택해야 합니다. 예를 들어 VNet에 새 서브넷을 만드는 경우와 같이 토폴로지 변경이 있을 때 경로 기반 VPN의 복원력이 더 뛰어나기 때문입니다.

다음 유형의 연결에는 항상 경로 기반 VPN 게이트웨이를 선택해야 합니다.

• 가상 네트워크 간 연결
• P2S 연결
• 다중 사이트 연결
• Azure ExpressRoute 게이트웨이와 동시 사용

추가 설정

또한 VPN 게이트웨이를 구현하려면 다음 설정도 정의해야 합니다.

• VPN 또는 ExpressRoute를 알고 있습니다. 기본 연결 형식을 선택합니다.
• 게이트웨이 서브넷 주소 범위. VPN 게이트웨이와 연결되는 개인 IP 주소 범위를 지정합니다.
• 공용 IP 주소. VPN 게이트웨이와 연결되는 공용 IP 주소 개체를 지정합니다.

VNet 생성

VPN Gateway를 구현하려면 VNet이 있어야 합니다. VPN Gateway 구성 전이나 도중에 VNet을 만들 수 있습니다. 먼저 VNet을 만들겠습니다. 이렇게 하려면 Azure Portal을 열고 다음 절차를 완료합니다.

1. 리소스 생성를 선택하고 Virtual Network를 검색하여 선택합니다.

2. Virtual Network 블레이드에서 생성를 선택합니다.

3. 적절한 속성(구독, 리소스 그룹, 이름, 지역 )을 지정하여 VNet을 생성합니다.

   

4. 다음: IP 주소 >를 선택합니다.

5. 기본 설정을 그대로 사용하거나 직접 구성하여 VNet과 연결할 서브넷을 구성합니다.

6. 검토 및 생성를 선택한 후 생성를 선택합니다.

게이트웨이 생성

적절한 VNet을 생성된 후에는 이제 VPN 게이트웨이를 만들어야 합니다. 예를 들어 Azure Portal을 사용하여 경로 기반 VPN 게이트웨이를 만들려면 다음 절차를 사용합니다.

1. Azure Portal에서 가상 네트워크 게이트웨이를 검색하여 선택합니다.

2. 가상 네트워크 게이트웨이 블레이드에서 생성를 선택합니다.

3. 가상 네트워크 게이트웨이 생성 블레이드에서 적절한 속성(구독, 이름, 지역)을 지정하여 게이트웨이를 생성합니다.

4. 그런 다음 구현할 연결이 VPN 연결인지, 아니면 ExpressRoute 연결인지 선택합니다.

5. VPN의 경우 경로 기반 또는 정책 기반을 선택합니다.

   

6. 이전에 생성된 가상 네트워크를 선택합니다.

7. 게이트웨이 서브넷 주소 범위 및 공용 IP 주소 설정을 구성합니다.

   

8. 검토 및 생성를 선택한 후 생성를 선택합니다.

사용해 보기

Azure VPN을 사용하려는 경우 랩 연습을 수행해 보세요. 연습은 샌드박스 환경을 기반으로 하며, 완료하는 데 Azure 구독이 필요하지 않습니다.

• 연습 - Azure CLI 명령을 사용하여 Azure 및 온-프레미스 가상 네트워크 준비
• 연습 - Azure CLI 명령을 사용하여 사이트 간 VPN 게이트웨이 생성