RRAS를 사용 하 여 vnet 간 연결VNet to VNet connectivity with RRAS

동일한 Azure Stack 허브 환경 내에서 두 Azure Stack 허브 Vnet를 서로 연결할 수 있습니다.You can connect two Azure Stack Hub VNets to one another within the same Azure Stack Hub environment. 현재 기본 제공 Virtual Network 게이트웨이를 사용 하 Azure Stack 허브 vnet에 연결할 수 없습니다.It is not currently possible to connect Azure Stack Hub VNets using the built-in Virtual Network Gateway. NVA 어플라이언스를 사용 하 여 두 Azure Stack 허브 Vnet 간에 VPN 터널을 만들어야 합니다.You must use NVA appliances to create a VPN tunnel between two Azure Stack Hub VNets. 이 문서의 템플릿 참조에서는 RRAS가 설치 된 Windows Server 2016 Vm 두 개를 배포 합니다.In the template references in this article, two Windows Server 2016 VMs are deployed with RRAS installed. 두 개의 RRAS 서버는 두 Vnet 간에 S2SVPN IKEv2 터널을 구현 하도록 구성 됩니다.The two RRAS servers are configured to implement a S2SVPN IKEv2 tunnel between two VNETs. 내부 로 지정 된 각 VNET의 서브넷 간 라우팅을 허용 하기 위해 적절 한 nsg 및 udr 규칙이 만들어집니다.The appropriate NSG and UDR rules are created to allow routing between the subnets on each VNET designated as internal.

이 배포 패턴은 Azure Stack 허브 인스턴스 뿐만 아니라 Azure Stack 허브 인스턴스와 Windows RRAS S2S VPN 터널을 사용 하는 온-프레미스 네트워크와 같은 기타 리소스 사이에서 VPN 터널이 생성 될 수 있도록 하는 기반입니다.This deployment pattern is the foundation that will allow VPN Tunnels to be created not only within an Azure Stack Hub instance but also between Azure Stack Hub Instances and to other resources such as on-premises networks with the use of the Windows RRAS S2S VPN Tunnels.

템플릿은 Azure Intelligent Edge 패턴 GitHub 리포지토리에서 찾을 수 있습니다.You can find the templates in the Azure Intelligent Edge Patterns GitHub repository. 템플릿은 S2SVPNTunnel 폴더에 있습니다.The template is in the S2SVPNTunnel folder.

이 다이어그램에서는 두 Vnet 간에 VPN 터널을 제공 하는 구현을 보여 줍니다.

요구 사항Requirements

  • 최신 업데이트가 적용 된 배포.A deployment with latest updates applied.
  • 필요한 Azure Stack 허브 Marketplace 항목:Required Azure Stack Hub Marketplace items:
    • Windows Server 2016 Datacenter (최신 빌드 권장)Windows Server 2016 Datacenter (latest build recommended)
    • 사용자 지정 스크립트 확장Custom Script Extension

고려할 사항Things to consider

  • 네트워크 보안 그룹이 템플릿 터널 서브넷에 적용 됩니다.A Network Security Group is applied to the template Tunnel Subnet. 추가 NSG를 사용 하 여 각 VNet의 내부 서브넷을 보호 하는 것이 좋습니다.It is recommended to secure the internal subnet in each VNet with an additional NSG.
  • RDP 거부 규칙은 터널 NSG에 적용 되며, 공용 IP 주소를 통해 Vm에 액세스 하려는 경우 허용으로 설정 해야 합니다.An RDP Deny rule is applied to the Tunnel NSG and will need to be set to allow if you intend to access the VMs via the Public IP address
  • 이 솔루션은 DNS 확인을 고려 하지 않습니다.This solution does not take into account DNS resolution
  • VNet 이름과 vmName의 조합은 15 자 미만 이어야 합니다.The combination of VNet name and vmName must be fewer than 15 characters
  • 이 템플릿은 VNet1 및 VNet2에 대해 사용자 지정 된 VNet 이름을 갖도록 설계 되었습니다.This template is designed to have the VNet names customized for VNet1 and VNet2
  • 이 템플릿은 BYOL 창을 사용 하 고 있습니다.This template is using BYOL windows
  • 리소스 그룹을 삭제할 때 현재 (1907) 리소스 그룹 삭제가 완료 되도록 터널 서브넷에서 NSGs를 수동으로 분리 해야 합니다.When deleting the resource group, currently on (1907) you have to manually detach the NSGs from the tunnel subnet to ensure the delete resource group completes
  • 이 템플릿은 DS3v2 vm을 사용 합니다.This template is using a DS3v2 vm. RRAS 서비스는 Windows 내부 SQL Server를 설치 하 고 실행 합니다.The RRAS service installs and run Windows internal SQL Server. 이로 인해 VM 크기가 너무 작은 경우 메모리 문제가 발생할 수 있습니다.This can cause memory issues if your VM size is too small. VM 크기를 줄이기 전에 성능의 유효성을 검사 합니다.Validate performance before reducing the VM size.
  • 이는 항상 사용 가능한 솔루션이 아닙니다.This is not a highly available solution. 더 많은 HA 스타일 솔루션이 필요한 경우 두 번째 VM을 추가할 수 있습니다. 경로 테이블의 경로를 보조 인터페이스의 내부 IP로 수동으로 변경 해야 합니다.If you require a more HA style solution you can add a second VM, you would have to manually Change the route in the route table to the internal IP of the secondary interface. 또한 교차 연결에 대해 여러 터널을 구성 해야 합니다.You would also need to configure the multiple Tunnels to cross connect.

옵션Options

  • _ArtifactsLocation 및 _artifactsLocationSasToken 매개 변수를 사용 하 여 사용자 고유의 Blob storage 계정 및 SAS 토큰을 사용할 수 있습니다.You can use your own Blob storage account and SAS token using the _artifactsLocation and _artifactsLocationSasToken parameters
  • 이 템플릿 INTERNALSUBNETREFVNET1 및 INTERNALSUBNETREFVNET2에는 두 개의 출력이 있습니다. 이러한 출력은 파이프라인 스타일 배포 패턴에서 사용 하려는 경우 내부 서브넷의 리소스 Id입니다.There are two outputs on this template INTERNALSUBNETREFVNET1 and INTERNALSUBNETREFVNET2, which is the Resource IDs for the internal subnets, if you want to use this in a pipeline style deployment pattern.

템플릿은 VNet 명명 및 IP 주소 지정에 대 한 기본값을 제공 합니다.The template provides default values for VNet naming and IP addressing. 관리자에 대 한 암호 (rrasadmin)가 필요 하며 SAS 토큰과 함께 사용자 고유의 저장소 blob을 사용 하는 기능도 제공 됩니다.It requires a password for the administrator (rrasadmin) and also offers the ability to use your own storage blob with SAS token. 배포가 실패할 수 있으므로 이러한 값을 올바른 범위 내에 유지 해야 합니다.Be careful to keep these values within legal ranges as deployment may fail. PowerShell DSC 패키지는 각 RRAS VM에서 실행 되 고 라우팅 및 필요한 모든 종속 서비스 및 기능을 설치 합니다.The PowerShell DSC package is executed on each RRAS VM and installing routing and all required dependent services and features. 필요한 경우이 DSC를 추가로 사용자 지정할 수 있습니다.This DSC can be customized further if needed. 사용자 지정 스크립트 확장은 다음 스크립트를 실행 하 고 Add-Site2Site.ps1 공유 키를 사용 하 여 두 RRAS 서버 간에 VPNS2S 터널을 구성 합니다.The custom script extension run the following script and Add-Site2Site.ps1 configures the VPNS2S tunnel between the two RRAS servers with a shared key. 사용자 지정 스크립트 확장에서 자세한 출력을 확인 하 여 VPN 터널 구성의 결과를 볼 수 있습니다.You can view the detailed output from the custom script extension to see the results of the VPN tunnel configuration

S2SVPNTunnel 이라는 제목의 다이어그램은 사이트 간 VPN 터널에 의해 연결 된 두 개의 Vnet를 보여 줍니다.

다음 단계Next steps

Azure Stack 허브 네트워킹의 차이점 및 고려 사항Differences and considerations for Azure Stack Hub networking