Azure ExpressRoute를 사용하여 Azure에 Azure Stack Hub 연결

이 문서에서는 Microsoft Azure ExpressRoute 직접 연결을 사용하여 Azure Stack Hub 가상 네트워크를 Azure 가상 네트워크에 연결하는 방법을 설명합니다.

이 문서를 자습서로 사용하고 예제를 사용하여 동일한 테스트 환경을 설정할 수 있습니다. 또는 이 문서를 고유한 ExpressRoute 환경 설정을 안내하는 연습으로 읽을 수 있습니다.

개요, 가정 및 필수 구성 요소

Azure ExpressRoute를 사용하면 연결 공급자가 제공하는 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장할 수 있습니다. ExpressRoute는 공용 인터넷을 통해 VPN 연결이 아닙니다.

Azure ExpressRoute에 대한 자세한 내용은 ExpressRoute 개요를 참조하세요.

가정

이 문서에서는 다음을 가정합니다.

• Azure에 대한 실무 지식이 있습니다.
• Azure Stack Hub에 대한 기본적인 이해가 있습니다.
• 네트워킹에 대한 기본적인 이해가 있습니다.

사전 요구 사항

ExpressRoute를 사용하여 Azure Stack Hub 및 Azure를 연결하려면 다음 요구 사항을 충족해야 합니다.

• 연결 공급자를 통해 프로비전된 ExpressRoute 회로입니다.
• Azure에서 ExpressRoute 회로 및 VNet을 만드는 Azure 구독입니다.
• 다음을 수행해야 하는 라우터입니다.
  • LAN 인터페이스와 Azure Stack Hub 다중 테넌트 게이트웨이 간의 사이트 간 VPN 연결을 지원합니다.
  • Azure Stack Hub 배포에 둘 이상의 테넌트가 있는 경우 여러 VRF(가상 라우팅 및 전달)를 만들 수 있습니다.
• 다음이 포함된 라우터입니다.
  • ExpressRoute 회로에 연결된 WAN 포트입니다.
  • Azure Stack Hub 다중 테넌트 게이트웨이에 연결된 LAN 포트입니다.

ExpressRoute 네트워크 아키텍처

다음 그림에서는 이 문서의 예제를 사용하여 ExpressRoute 설정을 완료한 후 Azure Stack Hub 및 Azure 환경을 보여 줍니다.

다음 그림에서는 여러 테넌트가 ExpressRoute 라우터를 통해 Azure Stack Hub 인프라에서 Azure로 연결하는 방법을 보여 줍니다.

이 문서의 예제에서는 이 다이어그램에 표시된 것과 동일한 다중 테넌트 아키텍처를 사용하여 ExpressRoute 프라이빗 피어링을 사용하여 Azure Stack Hub를 Azure에 연결합니다. 연결은 Azure Stack Hub의 가상 네트워크 게이트웨이에서 ExpressRoute 라우터로의 사이트-사이트 VPN 연결을 사용하여 수행됩니다.

이 문서의 단계에서는 Azure Stack Hub의 서로 다른 두 테넌트에서 Azure의 해당 VNet까지 두 VNet 간에 엔드투엔드 연결을 만드는 방법을 보여 줍니다. 두 테넌트 설정은 선택 사항입니다. 단일 테넌트에서 이러한 단계를 사용할 수도 있습니다.

Azure Stack Hub 구성

첫 번째 테넌트용 Azure Stack Hub 환경을 설정하려면 다음 단계를 가이드로 사용합니다. 둘 이상의 테넌트 를 설정하는 경우 다음 단계를 반복합니다.

참고

다음 단계에서는 Azure Stack Hub 포털을 사용하여 리소스를 만드는 방법을 보여 주지만 PowerShell을 사용할 수도 있습니다.

시작하기 전에

Azure Stack Hub 구성을 시작하기 전에 다음이 필요합니다.

• Azure Stack Hub 배포.
• 사용자가 구독할 수 있는 Azure Stack Hub의 제품입니다. 자세한 내용은 서비스, 계획, 제안, 구독 개요를 참조하세요.

Azure Stack Hub에서 네트워크 리소스 만들기

다음 절차를 사용하여 테넌트용 Azure Stack Hub에 필요한 네트워크 리소스를 만듭니다.

가상 네트워크 및 VM 서브넷 만들기

1. Azure Stack Hub 사용자 포털에 로그인합니다.

2. 포털에서 + 리소스 만들기를 선택합니다.

3. Azure Marketplace네트워킹을 선택합니다.

4. 추천에서 가상 네트워크를 선택합니다.

5. 가상 네트워크 만들기에서 다음 표에 표시된 값을 적절한 필드에 입력합니다.

   필드	값
   Name	Tenant1VNet1
   주소 공간	10.1.0.0/16
   서브넷 이름	Tenant1-Sub1
   서브넷 주소 범위	10.1.1.0/24

6. 이전에 만든 구독이 구독 필드에 채워져 있는 것을 볼 수 있습니다. 나머지 필드의 경우:

   • 리소스 그룹에서새로 만들기를 선택하여 새 리소스 그룹을 만들거나 이미 있는 경우 기존 리소스 그룹 사용을 선택합니다.
   • 기본 위치를 확인 합니다.
   • 만들기를 클릭합니다.
   • (선택 사항) 고정을 클릭하여 dashboard.

게이트웨이 서브넷 만들기

1. 가상 네트워크에서Tenant1VNet1을 선택합니다.
2. 설정에서 서브넷을 선택합니다.
3. + 게이트웨이 서브넷을 선택하여 가상 네트워크에 게이트웨이 서브넷을 추가합니다.
4. 서브넷의 이름은 GatewaySubnet이라고 기본으로 설정됩니다. 게이트웨이 서브넷은 특별한 경우이며 제대로 작동하려면 이 이름을 사용해야 합니다.
5. 주소 범위가 10.1.0.0/24인지 확인합니다.
6. 확인을 클릭하여 게이트웨이 서브넷을 만듭니다.

가상 네트워크 게이트웨이 만들기

1. Azure Stack Hub 사용자 포털에서 + 리소스 만들기를 클릭합니다.
2. Azure Marketplace네트워킹을 선택합니다.
3. 네트워크 리소스 목록에서 가상 네트워크 게이트웨이를 선택합니다.
4. 이름 필드에 GW1을 입력합니다.
5. 가상 네트워크를 선택합니다.
6. 드롭다운 목록에서 Tenant1VNet1 을 선택합니다.
7. 공용 IP 주소를 선택한 다음 공용 IP 주소를 선택한 다음 새로 만들기를 클릭합니다.
8. 이름 필드에 GW1-PiP를 입력한 다음 확인을 클릭합니다.
9. VPN 종류에 Route-based(경로 기반)이 기본으로 선택되어 있습니다. 이 설정을 유지합니다.
10. 구독 및 위치가 올바른지 확인합니다. 만들기를 클릭합니다.

로컬 네트워크 게이트웨이 만들기

로컬 네트워크 게이트웨이 리소스는 VPN 연결의 다른 쪽 끝에 있는 원격 게이트웨이를 식별합니다. 이 예제에서 연결의 원격 끝은 ExpressRoute 라우터의 LAN 하위 인터페이스입니다. 이전 다이어그램의 테넌트 1의 경우 원격 주소는 10.60.3.255입니다.

1. Azure Stack Hub 사용자 포털에 로그인하고 + 리소스 만들기를 선택합니다.

2. Azure Marketplace네트워킹을 선택합니다.

3. 리소스 목록에서 로컬 네트워크 게이트웨이를 선택합니다.

4. 이름 필드에 ER-Router-GW를 입력합니다.

5. IP 주소 필드는 이전 그림을 참조하세요. 테넌트 1에 대한 ExpressRoute 라우터 LAN 하위 인터페이스의 IP 주소는 10.60.3.255입니다. 사용자 환경의 경우 라우터의 해당 인터페이스의 IP 주소를 입력합니다.

6. 주소 공간 필드에 Azure에서 연결하려는 VNet의 주소 공간을 입력합니다. 테넌트 1의 서브넷은 다음과 같습니다.

   • 192.168.2.0/24는 Azure의 허브 VNet입니다.
   • 10.100.0.0/16은 Azure의 스포크 VNet입니다.

   중요

   이 예제에서는 Azure Stack Hub 게이트웨이와 ExpressRoute 라우터 간의 사이트 간 VPN 연결에 정적 경로를 사용하고 있다고 가정합니다.

7. 구독, 리소스 그룹 및 위치가 올바른지 확인합니다. 그런 다음 만들기를 선택합니다.

연결 만들기

1. Azure Stack Hub 사용자 포털에서 + 리소스 만들기를 선택합니다.
2. Azure Marketplace네트워킹을 선택합니다.
3. 리소스 목록에서 연결을 선택합니다.
4. 기본 사항에서연결 유형으로 사이트-사이트(IPSec)를 선택합니다.
5. 구독, 리소스 그룹 및 위치를 선택합니다. 확인을 클릭합니다.
6. 설정에서 가상 네트워크 게이트웨이를 선택한 다음 GW1을 선택합니다.
7. 로컬 네트워크 게이트웨이를 선택한 다음, ER 라우터 GW를 선택합니다.
8. 연결 이름 필드에 ConnectToAzure를 입력합니다.
9. PSK(공유 키) 필드에 abc123을 입력한 다음 확인을 선택합니다.
10. 요약에서 확인을 선택합니다.

가상 네트워크 게이트웨이 공용 IP 주소 가져오기

가상 네트워크 게이트웨이를 만든 후 게이트웨이의 공용 IP 주소를 가져올 수 있습니다. 나중에 배포에 필요한 경우 이 주소를 기록해 둡니다. 배포에 따라 이 주소는 내부 IP 주소로 사용됩니다.

1. Azure Stack Hub 사용자 포털에서 모든 리소스를 선택합니다.
2. 모든 리소스에서 가상 네트워크 게이트웨이(예에서 GW1)를 선택합니다.
3. 가상 네트워크 게이트웨이의 리소스 목록에서 개요를 선택합니다. 또는 속성을 선택할 수 있습니다.
4. 기록할 IP 주소는 공용 IP 주소 아래에 나열됩니다. 예제 구성의 경우 이 주소는 192.68.102.1입니다.

VM(가상 머신) 만들기

VPN 연결을 통해 데이터 트래픽을 테스트하려면 Azure Stack Hub VNet에서 데이터를 보내고 받는 VM이 필요합니다. VM을 만들고 가상 네트워크의 VM 서브넷에 배포합니다.

1. Azure Stack Hub 사용자 포털에서 + 리소스 만들기를 선택합니다.

2. Azure Marketplace컴퓨팅을 선택합니다.

3. VM 이미지 목록에서 Windows Server 2016 Datacenter Eval 이미지를 선택합니다.

   참고

   이 문서에 사용된 이미지를 사용할 수 없는 경우 Azure Stack Hub 운영자에게 다른 Windows Server 이미지를 제공하도록 요청합니다.

4. 가상 머신 만들기에서 기본 사항을 선택한 다음, 이름으로 VM01을 입력합니다.

5. 유효한 사용자 이름 및 암호를 입력합니다. VM을 만든 후 이 계정을 사용하여 VM에 로그인합니다.

6. 구독, 리소스 그룹 및 위치를 제공합니다. 확인을 선택합니다.

7. 크기 선택에서 이 instance VM 크기를 선택한 다음 선택을 선택합니다.

8. 설정에서 다음을 확인 합니다.

   • 가상 네트워크는 Tenant1VNet1입니다.
   • 서브넷은 10.1.1.0/24로 설정됩니다.

   기본 설정을 사용하고 확인을 클릭합니다.

9. 요약에서 VM 구성을 검토한 다음 확인을 클릭합니다.

테넌트 추가를 추가하려면 다음 섹션에서 수행한 단계를 반복합니다.

• 가상 네트워크 및 VM 서브넷 만들기
• 게이트웨이 서브넷 만들기
• 가상 네트워크 게이트웨이 만들기
• 로컬 네트워크 게이트웨이 만들기
• 연결 만들기
• 가상 머신 만들기

테넌트 2를 예로 사용하는 경우 겹치지 않도록 IP 주소를 변경해야 합니다.

게이트웨이 통과에 대한 NAT VM 구성

중요

이 섹션은 ASDK 배포 전용입니다. 다중 노드 배포에는 NAT가 필요하지 않습니다.

ASDK는 물리적 호스트가 배포된 네트워크에서 자체 포함되고 격리됩니다. 게이트웨이가 연결된 VIP 네트워크는 외부가 아닙니다. NAT(Network Address Translation)를 수행하는 라우터 뒤에 숨겨집니다.

라우터는 RRAS(라우팅 및 원격 액세스 서비스) 역할을 실행하는 ASDK 호스트입니다. 사이트-사이트 VPN 연결이 양쪽 끝에 연결되도록 하려면 ASDK 호스트에서 NAT를 구성해야 합니다.

NAT 구성

1. 관리자 계정으로 Azure Stack Hub 호스트 컴퓨터에 로그인합니다.

2. 관리자 권한 PowerShell ISE에서 스크립트를 실행합니다. 이 스크립트는 외부 BGPNAT 주소를 반환합니다.

   Get-NetNatExternalAddress
   

3. NAT를 구성하려면 다음 PowerShell 스크립트를 복사하고 편집합니다. 및 를 다음 예제 값으로 바꾸 External BGPNAT addressInternal IP address 도록 스크립트를 편집합니다.

   • 외부 BGPNAT 주소의 경우 10.10.0.62를 사용합니다.
   • 내부 IP 주소의 경우 192.168.102.1을 사용합니다.

   관리자 권한 PowerShell ISE에서 다음 스크립트를 실행합니다.

   $ExtBgpNat = 'External BGPNAT address'
   $IntBgpNat = 'Internal IP address'
   
   # Designate the external NAT address for the ports that use the IKE authentication.
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 499 `
      -PortEnd 501
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 4499 `
      -PortEnd 4501
   # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 500 `
      -InternalPort 500
   # Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 4500 `
      -InternalPort 4500
   

Azure 구성

Azure Stack Hub 구성을 완료한 후 Azure 리소스를 배포할 수 있습니다. 다음 그림에서는 Azure의 테넌트 가상 네트워크의 예를 보여 있습니다. Azure에서 VNet에 대한 이름 및 주소 지정 체계를 사용할 수 있습니다. 그러나 Azure 및 Azure Stack Hub의 VNet 주소 범위는 고유해야 하며 다음과 겹치지 않아야 합니다.

Azure에서 배포하는 리소스는 Azure Stack Hub에 배포한 리소스와 유사합니다. 다음 구성 요소를 배포합니다.

• 가상 네트워크 및 서브넷
• 게이트웨이 서브넷
• 가상 네트워크 게이트웨이
• 연결
• ExpressRoute 회로

예제 Azure 네트워크 인프라는 다음과 같이 구성됩니다.

• 표준 허브(192.168.2.0/24) 및 스포크(10.100.0.0./16) VNet 모델. 허브-스포크 네트워크 토폴로지에 대한 자세한 내용은 Azure에서 허브-스포크 네트워크 토폴로지 구현을 참조하세요.
• 워크로드는 스포크 VNet에 배포되고 ExpressRoute 회로는 허브 VNet에 연결됩니다.
• 두 VNet은 VNet 피어링을 사용하여 연결됩니다.

Azure VNet 구성

1. Azure 자격 증명을 사용하여 Azure Portal 로그인합니다.
2. 192.168.2.0/24 주소 범위를 사용하여 허브 VNet을 만듭니다.
3. 192.168.2.0/25 주소 범위를 사용하여 서브넷을 만들고 192.168.2.128/27 주소 범위를 사용하여 게이트웨이 서브넷을 추가합니다.
4. 10.100.0.0/16 주소 범위를 사용하여 스포크 VNet 및 서브넷을 만듭니다.

Azure에서 가상 네트워크를 만드는 방법에 대한 자세한 내용은 가상 네트워크 만들기를 참조하세요.

ExpressRoute 회로 구성

1. ExpressRoute 필수 구성 요소 & 검사 목록의 ExpressRoute 필수 구성 요소를 검토합니다.

2. ExpressRoute 회로 만들기 및 수정의 단계에 따라 Azure 구독을 사용하여 ExpressRoute 회로를 만듭니다.

   참고

   마지막에 ExpressRoute 회로를 설정할 수 있도록 회로에 대한 서비스 키를 서비스에 제공합니다.

3. ExpressRoute 회로에 대한 피어링 만들기 및 수정의 단계에 따라 ExpressRoute 회로에서 프라이빗 피어링을 구성합니다.

가상 네트워크 게이트웨이 만들기

PowerShell을 사용하여 ExpressRoute에 대한 가상 네트워크 게이트웨이 구성의 단계에 따라 허브 VNet에서 ExpressRoute에 대한 가상 네트워크 게이트웨이를 만듭니다.

연결 만들기

ExpressRoute 회로를 허브 VNet에 연결하려면 가상 네트워크를 ExpressRoute 회로에 연결의 단계를 수행합니다.

VNet 피어링

Azure Portal 사용하여 가상 네트워크 피어링 만들기의 단계를 사용하여 허브 및 스포크 VNet을 피어링합니다. VNet 피어링을 구성할 때 다음 옵션을 사용해야 합니다.

• 허브에서 스포크로 게이트웨이 전송 허용.
• 스포크에서 허브로 원격 게이트웨이를 사용합니다.

가상 머신 만들기

워크로드 VM을 스포크 VNet에 배포합니다.

해당 ExpressRoute 회로를 통해 Azure에서 연결하려는 추가 테넌트 VNet에 대해 이러한 단계를 반복합니다.

라우터 구성

ExpressRoute 라우터를 구성하기 위한 가이드로 다음 ExpressRoute 라우터 구성 다이어그램을 사용할 수 있습니다. 이 그림은 해당 ExpressRoute 회로가 있는 두 테넌트(테넌트 1 및 테넌트 2)를 보여 줍니다. 각 테넌트는 ExpressRoute 라우터의 LAN 및 WAN 쪽에서 자체 VRF(가상 라우팅 및 전달)에 연결됩니다. 이 구성은 두 테넌트 간의 엔드 투 엔드 격리를 보장합니다. 구성 예제를 따라 라우터 인터페이스에 사용되는 IP 주소를 기록해 둡니다.

IKEv2 VPN 및 BGP를 지원하는 라우터를 사용하여 Azure Stack Hub에서 사이트-사이트 VPN 연결을 종료할 수 있습니다. ExpressRoute 회로를 사용하여 Azure에 연결하는 데 동일한 라우터가 사용됩니다.

다음 Cisco ASR 1000 Series Aggregation Services 라우터 구성 예제는 ExpressRoute 라우터 구성 다이어그램에 표시된 네트워크 인프라를 지원합니다.

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

연결 테스트

사이트-사이트 연결 및 ExpressRoute 회로를 설정한 후 연결을 테스트합니다.

다음 ping 테스트를 수행합니다.

• Azure VNet의 VM 중 하나에 로그인하고 Azure Stack Hub에서 만든 VM을 ping합니다.
• Azure Stack Hub에서 만든 VM 중 하나에 로그인하고 Azure VNet에서 만든 VM을 ping합니다.

참고

사이트 및 ExpressRoute 연결을 통해 트래픽을 보내도록 하려면 VM의 VIP 주소가 아닌 양쪽 끝에 있는 VM의 전용 IP(DIP) 주소를 ping해야 합니다.

방화벽을 통해 ICMP 허용

기본적으로 Windows Server 2016 방화벽을 통해 들어오는 ICMP 패킷을 허용하지 않습니다. ping 테스트에 사용하는 모든 VM에 대해 들어오는 ICMP 패킷을 허용해야 합니다. ICMP에 대한 방화벽 규칙을 만들려면 관리자 권한 PowerShell 창에서 다음 cmdlet을 실행합니다.

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Ping the Azure Stack Hub VM

1. Azure Stack Hub 사용자 포털에 로그인합니다.

2. 만든 VM을 찾아 선택합니다.

3. 연결을 선택합니다.

4. 관리자 권한 Windows 또는 PowerShell 명령 프롬프트에서 ipconfig /all을 입력합니다. 출력에 반환된 IPv4 주소를 확인합니다.

5. Azure VNet의 VM에서 IPv4 주소를 Ping합니다.

   예제 환경에서 IPv4 주소는 10.1.1.x/24 서브넷에서 가져옵니다. 사용자 환경에서 주소는 다를 수 있지만 테넌트 VNet 서브넷에 대해 만든 서브넷에 있어야 합니다.

데이터 전송 통계 보기

연결을 통과하는 트래픽의 양을 알고 싶다면 Azure Stack Hub 사용자 포털에서 이 정보를 찾을 수 있습니다. 데이터 전송 통계를 보는 것도 ping 테스트 데이터가 VPN 및 ExpressRoute 연결을 통과했는지 여부를 확인하는 좋은 방법입니다.

1. Azure Stack Hub 사용자 포털에 로그인하고 모든 리소스를 선택합니다.
2. VPN Gateway 대한 리소스 그룹으로 이동하고 Connection 개체 유형을 선택합니다.
3. 목록에서 ConnectToAzure 연결을 선택합니다.
4. 연결>개요에서 데이터 입력 및 데이터 출력에 대한 통계를 볼 수 있습니다. 0이 아닌 일부 값이 표시됩니다.

다음 단계

Azure 및 Azure Stack Hub에 앱 배포