Azure Route Server 문제 해결

  • 아티클

일반적인 Azure Route Server 문제 중 일부를 해결하는 방법을 알아봅니다.

연결 문제

NVA(네트워크 가상 어플라이언스)가 Route Server에 기본 경로(0.0.0.0/0)를 보급한 후 인터넷 연결이 끊기는 이유는 무엇인가요?

NVA에서 기본 경로를 보급하는 경우 Route Server는 NVA 자체를 포함하여 가상 네트워크의 모든 VM(가상 머신)에 대해 해당 경로를 프로그래밍합니다. 이 기본 경로는 NVA를 모든 인터넷에 바인딩된 트래픽에 대한 다음 홉으로 설정합니다. NVA에 인터넷 연결이 필요한 경우 NVA에서 해당 기본 경로를 재정의하고 UDR을 NVA가 호스트되는 서브넷에 연결하도록 UDR(사용자 정의 경로)를 구성해야 합니다. 그렇지 않으면 NVA 호스트 머신은 NVA에서 보낸 트래픽을 포함하여 인터넷에 바인딩된 트래픽을 NVA에 다시 보냅니다. 자세한 내용은 사용자 정의 경로를 참조하세요.

경로 다음 홉
0.0.0.0/0 인터넷

NVA가 GatewaySubnet에서 UDR(사용자 정의 경로)을 사용하여 방화벽에 모든 트래픽을 강제로 적용한 후 Route Server에 대한 연결이 끊어지는 이유는 무엇인가요?

방화벽을 사용하여 온-프레미스 트래픽을 검사하려는 경우 GatewaySubnet(UDR이 있는 GatewaySubnet에 연결된 경로 테이블)에서 UDR(사용자 정의 경로)을 사용하여 모든 온-프레미스 트래픽을 방화벽으로 강제 적용할 수 있습니다. 그러나 이 UDR은 BGP(컨트롤 플레인 트래픽)를 방화벽에 강제로 적용하여 경로 서버와 게이트웨이 간의 통신을 중단할 수 있습니다. 이 문제는 Route Server가 있는 가상 네트워크로 향하는 트래픽을 검사하는 경우에 발생합니다. 이 문제를 방지하려면 GatewaySubnet 경로 테이블에 다른 UDR을 추가하여 컨트롤 플레인 트래픽이 방화벽으로 강제 적용되는 것을 제외해야 합니다(방화벽에 BGP 규칙을 추가하는 것이 바람직하지 않거나 가능하지 않은 경우).

경로 다음 홉
10.0.0.0/16 10.0.2.1
10.0.1.0/27 VirtualNetwork

10.0.0.0/16은 가상 네트워크의 주소 공간이며 10.0.1.0/27은 RouteServerSubnet의 주소 공간입니다. 10.0.2.1은 방화벽의 IP 주소입니다.

NVA와 Route Server 사이에 BGP 피어링을 설정한 후 NVA에서 Route Server의 BGP 피어 IP로 TCP ping할 수 없는 이유는 무엇인가요?

일부 NVA에서는 NVA에서 Route Server를 TCP ping하고 BGP 피어링 플래핑을 방지하려면 Route Server 서브넷에 정적 경로를 추가해야 합니다. 예를 들어 Route Server가 10.0.255.0/27에 있고 NVA가 10.0.1.0/24에 있으면 NVA의 라우팅 테이블에 다음 경로를 추가해야 합니다.

경로 다음 홉
10.0.255.0/27 10.0.1.1

10.0.1.1은 NVA(더 정확히는 NIC 중 하나)가 호스트되는 서브넷의 기본 게이트웨이 IP입니다.

이미 ExpressRoute 게이트웨이 및/또는 Azure VPN 게이트웨이가 있는 가상 네트워크에 Route Server를 배포할 때 ExpressRoute 및/또는 Azure VPN을 통해 온-프레미스 네트워크에 연결되지 않는 이유는 무엇인가요?

Route Server를 가상 네트워크에 배포하는 경우 게이트웨이와 가상 네트워크 간 컨트롤 플레인을 업데이트해야 합니다. 해당 업데이트를 수행하는 동안 가상 네트워크 VM의 온-프레미스 네트워크에 대한 연결이 끊어지는 기간이 있습니다. 프로덕션 환경에서 Route Server를 배포하기 위해 유지 관리를 예약하는 것이 좋습니다.

컨트롤 플레인 문제

Azure VPN 게이트웨이에 연결된 온-프레미스 네트워크가 Route Server에서 보급한 기본 경로를 수신하지 못하는 이유는 무엇인가요?

Azure VPN 게이트웨이는 Route Server를 포함한 BGP 피어로부터 기본 경로를 수신할 수 있지만 다른 피어에 기본 경로를 보급하지 않습니다.

BGP 피어링이 작동 중인 경우에도 NVA가 Route Server에서 경로를 수신하지 않는 이유는 무엇인가요?

Route Server에서 사용하는 ASN은 65515입니다. 경로 전파가 자동으로 발생할 수 있도록 NVA와 Route Server 간에 eBGP 세션을 설정할 수 있도록 NVA에 대해 다른 ASN을 구성해야 합니다. NVA와 Route Server가 가상 네트워크의 다른 서브넷에 있으므로 BGP 구성에서 “멀티 홉”을 사용하도록 설정해야 합니다.

NVA와 Route Server 간 BGP 피어링이 작동 중입니다. NVA와 Azure Route Server 간 경로가 올바르게 교환되고 있는 것을 확인할 수 있습니다. 그런데도 VM의 유효 라우팅 테이블에 NVA 경로가 없는 이유는 무엇인가요?

  • VM이 NVA 및 Route Server와 동일한 가상 네트워크에 있는 경우:

    Route Server는 가상 네트워크에서 실행되는 다른 모든 VM에 경로를 전송할 책임을 공유하는 두 개의 VM에서 호스트되는 두 개의 BGP 피어 IP를 노출합니다. 각 NVA는 가상 네트워크의 VM이 Azure Route Server로부터 일관된 라우팅 정보를 얻을 수 있도록 두 VM에 대해 두 개의 동일한 BGP 세션을 설정해야 합니다. 예를 들어 동일한 AS 번호, 동일한 AS 경로를 사용하고 동일한 경로 세트를 보급해야 합니다.

    Diagram showing a network virtual appliance (NVA) with Azure Route Server.

    NVA 인스턴스가 두 개 이상 있고 NVA 인스턴스 하나를 활성으로 지정하고 다른 하나는 수동으로 지정하려는 경우 다른 NVA 인스턴스로부터 오는 동일한 경로에 대해 다른 AS 경로를 보급할 수 ‘있습니다’.

  • VM이 NVA 및 Route Server를 호스트하는 가상 네트워크와 다른 가상 네트워크에 있는 경우 두 VNet 간에 VNet 피어링이 사용하도록 설정되어 있고 VM의 가상 네트워크에서 원격 경로 서버 사용이 사용하도록 설정되어 있는지 확인합니다.

Route Server를 가상 네트워크에 배포한 후 ExpressRoute의 ECMP(Equal-Cost Multi-Path) 기능이 꺼진 이유는 무엇인가요?

여러 ExpressRoute 연결을 통해 온-프레미스 네트워크에서 Azure로 동일한 경로를 보급할 때 일반적으로 ECMP는 Azure에서 다시 온-프레미스 네트워크로 향하는 이러한 경로를 대상으로 하는 트래픽에 대해 기본적으로 사용하도록 설정됩니다. 현재 Route Server를 배포하면 ExpressRoute와 Route Server 간의 BGP 교환에서 다중 경로 정보가 손실되고, 따라서 Azure의 트래픽은 ExpressRoute 연결 중 하나에서만 통과됩니다.

다음 단계

Azure Route Server를 만들고 구성하는 방법을 알아보려면 다음을 참조하세요.

Azure Route Server 만들기 및 구성