소프트웨어 정의 네트워킹을 위한 RAS(원격 액세스 서비스) 게이트웨이란?

  • 아티클

적용 대상: Azure Stack HCI, 버전 23H2 및 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

이 문서에서는 Azure Stack HCI 및 Windows Server의 SDN(소프트웨어 정의 네트워킹)용 RAS(원격 액세스 서비스) 게이트웨이에 대한 개요를 제공합니다.

RAS 게이트웨이는 HNV(Hyper-V 네트워크 가상화)를 사용하여 다중 테넌트 가상 네트워크를 호스트하는 CSP(클라우드 서비스 공급자) 및 기업을 위해 설계된 소프트웨어 기반 BGP(Border Gateway Protocol) 지원 라우터입니다. RAS 게이트웨이를 사용하여 가상 네트워크와 다른 네트워크(로컬 또는 원격) 간에 네트워크 트래픽을 라우팅할 수 있습니다.

RAS 게이트웨이에는 게이트웨이 풀 배포를 수행하고, 각 게이트웨이에서 테넌트 연결을 구성하고, 게이트웨이가 실패할 경우 네트워크 트래픽 흐름을 대기 게이트웨이로 전환하는 네트워크 컨트롤러가 필요합니다.

참고

다중 테넌트는 클라우드 인프라가 여러 테넌트에서 VM(가상 머신) 워크로드를 지원하지만, 모든 워크로드가 동일한 인프라에서 실행되는 동안 서로 격리하는 기능입니다. 개별 테넌트의 여러 워크로드를 상호 연결하고 원격으로 관리할 수는 있지만, 이러한 시스템이 다른 테넌트의 워크로드와 서로 연결되거나 다른 테넌트에서 이러한 시스템을 원격으로 관리하지는 않습니다.

기능

RAS 게이트웨이는 VPN(가상 사설망), 터널링, 전달 및 동적 라우팅에 대한 많은 기능을 제공합니다.

사이트 및 사이트 간의 IPsec VPN

이 RAS 게이트웨이 기능을 사용하면 S2S(사이트 간) VPN(가상 사설망) 연결을 사용하여 인터넷을 통해 서로 다른 물리적 위치에 있는 두 네트워크를 연결할 수 있습니다. IKEv2 VPN 프로토콜을 사용하는 암호화된 연결입니다.

데이터 센터에서 많은 테넌트를 호스트하는 CSP의 경우 RAS Gateway는 테넌트가 원격 사이트의 사이트 간 VPN 연결을 통해 리소스에 액세스하고 관리할 수 있는 다중 테넌트 게이트웨이 솔루션을 제공합니다. RAS 게이트웨이를 사용하면 데이터 센터의 가상 리소스와 실제 네트워크 간의 네트워크 트래픽 흐름을 허용합니다.

사이트 및 사이트 간의 GRE 터널

GRE(일반 라우팅 캡슐화) 기반 터널은 테넌트 가상 네트워크와 외부 네트워크 간의 연결을 가능하게 합니다. GRE 프로토콜은 가볍고 GRE에 대한 지원은 대부분의 네트워크 디바이스에서 사용할 수 있으므로 데이터 암호화가 필요하지 않은 터널링에 적합합니다.

S2S 터널의 GRE 지원은 다중 테넌트 게이트웨이를 사용하여 테넌트 가상 네트워크와 테넌트 외부 네트워크 간의 전달 문제를 해결합니다.

계층 3 전달

L3(계층 3) 전달은 데이터 센터의 실제 인프라와 Hyper-V 네트워크 가상화 클라우드의 가상화된 인프라 간 연결을 가능하게 합니다. L3 전달 연결을 사용하면 테넌트 네트워크 VM이 SDN 환경에서 이미 구성된 SDN 게이트웨이를 통해 물리적 네트워크에 연결할 수 있습니다. 이 경우 SDN 게이트웨이는 가상화된 네트워크와 실제 네트워크 사이의 라우터 역할을 합니다.

다음 다이어그램은 SDN으로 구성된 Azure Stack HCI 클러스터의 L3 전달 설정 예제를 보여 있습니다.

L3 전달 예제의 다이어그램

  • Azure Stack HCI 클러스터에는 주소 접두사 10.0.0.0/16이 있는 SDN 가상 네트워크 1과 주소 접두사 16.0.0.0/16이 있는 SDN 가상 네트워크 2의 두 가상 네트워크가 있습니다.
  • 각 가상 네트워크에는 물리적 네트워크에 대한 L3 연결이 있습니다.
  • L3 연결은 서로 다른 가상 네트워크에 사용되므로 SDN 게이트웨이에는 격리 보장을 제공하기 위해 각 연결에 대한 별도의 구획이 있습니다.
  • 각 SDN 게이트웨이 구획에는 가상 네트워크 공간에 하나의 인터페이스와 물리적 네트워크 공간에 하나의 인터페이스가 있습니다.
  • 각 L3 연결은 실제 네트워크의 고유한 VLAN에 매핑되어야 합니다. 이 VLAN은 가상화된 네트워크 트래픽에 대한 기본 데이터 전달 물리적 네트워크로 사용되는 HNV 공급자 VLAN과 달라야 합니다.
  • 이 예제에서는 정적 라우팅을 사용합니다.

다음은 이 예제에서 사용되는 각 연결의 세부 정보입니다.

네트워크 요소 연결 1 연결 2
게이트웨이 서브넷 접두사 10.0.1.0/24 16.0.1.0/24
L3 IP 주소 15.0.0.5/24 20.0.0.5/24
L3 피어 IP 주소 15.0.0.1 20.0.0.1
연결의 경로 18.0.0.0/24 22.0.0.0/24

L3 전달 사용 시 라우팅 고려 사항

정적 라우팅의 경우 실제 네트워크에서 가상 네트워크에 연결하도록 경로를 구성해야 합니다. 예를 들어 다음 홉을 연결의 L3 IP 주소(15.0.0.5)로 사용하는 주소 접두사 10.0.0.0/16이 있는 경로입니다.

BGP를 사용하는 동적 라우팅의 경우 BGP 연결이 게이트웨이 구획 내부 인터페이스와 L3 피어 IP 사이에 있기 때문에 정적 /32 경로를 구성해야 합니다. 연결 1의 경우 피어링이 10.0.1.6에서 15.0.0.1 사이입니다. 따라서 이 연결의 경우 다음 홉이 15.0.0.5인 10.0.1.6/32의 대상 접두사를 사용하여 물리적 스위치에 정적 경로가 필요합니다.

BGP 라우팅을 사용하여 L3 게이트웨이 연결을 배포하려는 경우 다음을 사용하여 ToR(Top of Rack) 스위치 BGP 설정을 구성해야 합니다.

  • update-source: BGP 업데이트의 원본 주소(L3 VLAN)를 지정합니다. 예를 들어 VLAN 250입니다.
  • ebgp multihop: BGP 인접 항목이 둘 이상의 홉 거리에 있으므로 더 많은 홉이 필요하게 지정합니다.

BGP를 사용한 동적 라우팅

BGP는 동적 라우팅 프로토콜이므로 라우터에서 수동 경로 구성의 필요성을 줄이고 사이트 간 VPN 연결을 사용하여 연결된 사이트 간 경로를 자동으로 학습합니다. organization RAS Gateway와 같은 BGP 지원 라우터를 사용하여 연결된 여러 사이트가 있는 경우 BGP를 사용하면 라우터가 네트워크 중단 또는 실패 시 유효한 경로를 자동으로 계산하고 서로 유효한 경로를 사용할 수 있습니다.

RAS 게이트웨이에 포함된 BGP 경로 리플렉터는 라우터 간의 경로 동기화에 필요한 BGP 전체 메시 토폴로지의 대안을 제공합니다. 자세한 내용은 경로 리플렉터란?을 참조하세요.

RAS 게이트웨이 작동 방식

RAS 게이트웨이는 위치에 관계없이 실제 네트워크와 VM 네트워크 리소스 간에 네트워크 트래픽을 라우팅합니다. 동일한 물리적 위치 또는 여러 다른 위치에서 네트워크 트래픽을 라우팅할 수 있습니다.

한 번에 여러 기능을 사용하는 고가용성 풀에 RAS 게이트웨이를 배포할 수 있습니다. 게이트웨이 풀에는 고가용성 및 장애 조치(failover)를 위한 여러 RAS 게이트웨이 인스턴스가 포함되어 있습니다.

쉽게 확장할 수 있습니다 게이트웨이 풀 위로 또는 아래로 추가 하거나 풀에서 게이트웨이 Vm을 제거 합니다. 게이트웨이를 제거하거나 추가해도 풀에서 제공하는 서비스가 중단되지 않습니다. 또한 추가 및 게이트웨이 전체 풀을 제거할 수 있습니다. 자세한 내용은 참조 RAS 게이트웨이 고가용성합니다.

모든 게이트웨이 풀은 M+N 중복성을 제공합니다. 즉, 활성 게이트웨이 VM의 'M' 수는 대기 게이트웨이 VM의 'N' 수로 백업됩니다. M+N 중복성은 RAS 게이트웨이를 배포할 때 필요한 안정성 수준을 결정하는 데 더 많은 유연성을 제공합니다.

모든 풀 또는 풀의 하위 집합에 단일 공용 IP 주소를 할당할 수 있습니다. 이렇게 하면 모든 테넌트가 단일 IP 주소로 클라우드에 연결할 수 있으므로 사용해야 하는 공용 IP 주소의 수가 크게 줄어듭니다.

다음 단계

관련 정보는 다음을 참조하세요.