Azure Stack Hub에 대한 VPN 게이트웨이 설정 구성
VPN Gateway는 Azure Stack Hub의 가상 네트워크와 원격 VPN 게이트웨이 간에 암호화된 트래픽을 보내는 가상 네트워크 게이트웨이 유형입니다. 원격 VPN 게이트웨이는 Azure, 데이터 센터의 디바이스 또는 다른 사이트의 디바이스에 있을 수 있습니다. 두 엔드포인트 간에 네트워크 연결이 있는 경우 두 네트워크 간에 보안 S2S(사이트 간) VPN 연결을 설정할 수 있습니다.
VPN 게이트웨이는 각각 구성 가능한 설정을 포함하는 여러 리소스의 구성을 사용합니다. 이 문서에서는 Resource Manager 배포 모델에서 만든 가상 네트워크의 VPN 게이트웨이와 관련된 리소스 및 설정에 대해 설명합니다. Azure Stack Hub용 VPN 게이트웨이 만들기에서 각 연결 솔루션에 대한 설명 및 토폴로지 다이어그램을 찾을 수 있습니다.
VPN 게이트웨이 설정
게이트웨이 유형
각 Azure Stack Hub 가상 네트워크는 Vpn 형식이어야 하는 단일 가상 네트워크 게이트웨이를 지원합니다. 이 지원은 추가 형식을 지원하는 Azure와 다릅니다.
가상 네트워크 게이트웨이를 만들 때 게이트웨이 유형이 구성에 맞는지 확인해야 합니다. VPN 게이트웨이에는 플래그가 -GatewayType Vpn 필요합니다. 예를 들면 다음과 같습니다.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
VPN 빠른 경로를 사용하도록 설정하지 않은 게이트웨이 SKU
가상 네트워크 게이트웨이를 만들 때 사용할 SKU를 지정해야 합니다. 워크로드 유형, 처리량, 기능 및 SLA에 따라 요구 사항을 충족하는 SKU를 선택합니다.
최대 용량에 도달하기 전에 10개의 고성능 게이트웨이 또는 20개의 기본 및 표준을 가질 수 있습니다.
Azure Stack Hub는 다음 표에 표시된 VPN 게이트웨이 SKU를 제공합니다.
| SKU | 최대 VPN 연결 처리량 | 활성 GW VM당 최대 연결 수 | 스탬프당 최대 VPN 연결 수 |
|---|---|---|---|
| 기본 | 100Mbps Tx/Rx | 10 | 20 |
| Standard | 100Mbps Tx/Rx | 10 | 20 |
| 고성능 | 200Mbps Tx/Rx | 5 | 10 |
VPN 빠른 경로가 사용하도록 설정된 게이트웨이 SKU
VPN Fast Path 공개 미리 보기 릴리스를 통해 Azure Stack Hub는 처리량이 더 높은 세 가지 새로운 SKU를 지원합니다.
Azure Stack 스탬프에서 VPN 빠른 경로를 사용하도록 설정하면 새 제한 및 처리량이 사용하도록 설정됩니다.
Azure Stack Hub는 다음 표에 표시된 VPN 게이트웨이 SKU를 제공합니다.
| SKU | 최대 VPN 연결 처리량 | 활성 GW VM당 최대 연결 수 | 스탬프당 최대 VPN 연결 수 |
|---|---|---|---|
| 기본 | 100Mbps Tx/Rx | 25 | 50 |
| Standard | 100Mbps Tx/Rx | 25 | 50 |
| 고성능 | 200Mbps Tx/Rx | 12 | 24 |
| VPNGw1 | 650Mbps Tx/Rx | 3 | 6 |
| VPNGw2 | 1000Mbps Tx/Rx | 2 | 4 |
| VPNGw3 | 1250Mbps Tx/Rx | 2 | 4 |
가상 네트워크 게이트웨이 SKU 크기 조정
Azure Stack Hub는 지원되는 레거시 SKU(기본, 표준 및 HighPerformance)에서 Azure에서 지원하는 최신 SKU(VpnGw1, VpnGw2 및 VpnGw3)로의 크기 조정을 지원하지 않습니다.
VPN 빠른 경로에서 사용하도록 설정된 새 SKU를 사용하려면 새 가상 네트워크 게이트웨이 및 연결을 만들어야 합니다.
가상 네트워크 게이트웨이 SKU 구성
Azure Stack Hub 포털
Azure Stack Hub 포털을 사용하여 가상 네트워크 게이트웨이를 만드는 경우 드롭다운 목록을 사용하여 SKU를 선택할 수 있습니다. 새 VPN 빠른 경로 SKU(VpnGw1, VpnGw2, VpnGw3)는 URL에 쿼리 매개 변수 "?azurestacknewvpnskus=true" 를 추가하고 새로 고침한 후에만 표시됩니다.
다음 URL 예제에서는 Azure Stack Hub 사용자 포털에 새 가상 네트워크 게이트웨이 SKU를 표시합니다.
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
이러한 리소스를 만들기 전에 운영자는 Azure Stack Hub 스탬프에서 VPN 빠른 경로를 사용하도록 설정해야 합니다. 자세한 내용은 연산자의 VPN 빠른 경로를 참조하세요.
PowerShell
다음 PowerShell 예제에서는 매개 변수를 -GatewaySku표준으로 지정합니다.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
연결 유형
Resource Manager 배포 모델에서 각 구성이 작동하려면 특정 가상 네트워크 게이트웨이 연결 유형이 필요합니다. 에 사용 가능한 Resource Manager PowerShell 값 -ConnectionType 은 IPsec입니다.
다음 PowerShell 예제에서는 IPsec 연결 형식이 필요한 S2S 연결이 만들어집니다.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
VPN 유형
VPN Gateway 구성에 대한 가상 네트워크 게이트웨이 만들 때 VPN 유형을 지정해야 합니다. 선택하는 VPN 유형은 만들려는 연결 토폴로지에 따라 달라집니다. 또한 VPN 유형은 사용하는 하드웨어에 따라서도 달라질 수 있습니다. S2S 구성에는 VPN 디바이스가 필요합니다. 일부 VPN 디바이스는 특정 VPN 유형을 지원합니다.
중요
현재 Azure Stack Hub는 경로 기반 VPN 유형만 지원합니다. 디바이스가 정책 기반 VPN만 지원하는 경우 Azure Stack Hub에서 해당 디바이스에 대한 연결은 지원되지 않습니다.
또한 Azure Stack Hub는 Azure에서 지원되지만 정책 기반 트래픽 선택기를 지원하지 않으므로 현재 경로 기반 게이트웨이에 정책 기반 트래픽 선택기 사용을 지원하지 않습니다.
정책 기반 VPN은 온-프레미스 네트워크와 Azure Stack Hub VNet 간의 주소 접두사 조합으로 구성된 IPsec 정책에 따라 IPsec 터널을 통해 패킷을 암호화하고 직접 처리합니다. 정책 또는 트래픽 선택기는 일반적으로 VPN 디바이스 구성의 액세스 목록입니다.
참고
PolicyBased 는 Azure에서 지원되지만 Azure Stack Hub에서는 지원되지 않습니다.
경로 기반 VPN은 IP 전달 또는 라우팅 테이블에 구성된 경로를 사용하여 패킷을 해당 터널 인터페이스로 전달합니다. 그런 다음 터널 인터페이스는 터널로 들어오는 터널에서 나가는 패킷을 암호화하거나 암호 해독합니다. RouteBased VPN에 대한 정책 또는 트래픽 선택기는 임의의 VPN(또는 와일드카드 사용)으로 구성됩니다. 기본적으로 변경할 수 없습니다. RouteBased VPN 형식의 값은 RouteBased입니다.
다음 PowerShell 예제에서는 -VpnType 를 RouteBased로 지정합니다. 게이트웨이를 만들 때 구성에 대해 가 -VpnType 올바른지 확인해야 합니다.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
VPN 빠른 경로가 사용하도록 설정되지 않은 경우 가상 네트워크 게이트웨이 지원 구성
| VPN 유형 | 연결 형식 | 활성 라우팅 지원(BGP) | 원격 엔드포인트 NAT-T 사용 | |
|---|---|---|---|---|
| 기본 VNG SKU | 경로 기반 VPN | IPSec 미리 공유 키 | 지원되지 않음 | 필요하지 않음 |
| 표준 VNG SKU | 경로 기반 VPN | IPSec 미리 공유 키 | 지원되는 경로는 최대 150개입니다. | 필요하지 않음 |
| VNG SKU High-Performance | 경로 기반 VPN | IPSec 미리 공유 키 | 지원되는 경로는 최대 150개입니다. | 필요하지 않음 |
VPN 빠른 경로가 사용하도록 설정된 경우 가상 네트워크 게이트웨이 지원 구성
| VPN 유형 | 연결 형식 | 활성 라우팅 지원(BGP) | 원격 엔드포인트 NAT-T 사용 | |
|---|---|---|---|---|
| 기본 VNG SKU | 경로 기반 VPN | IPSec 미리 공유 키 | 지원되지 않음 | 필수 |
| 표준 VNG SKU | 경로 기반 VPN | IPSec 미리 공유 키 | 지원되는 경로는 최대 150개입니다. | 필수 |
| VNG SKU High-Performance | 경로 기반 VPN | IPSec 미리 공유 키 | 지원되는 경로는 최대 150개입니다. | 필수 |
| VPNGw1 VNG SKU | 경로 기반 VPN | IPSec 미리 공유 키 | 지원되는 경로는 최대 150개입니다. | 필수 |
| VPNGw2 VNG SKU | 경로 기반 VPN | IPSec 미리 공유 키 | 지원되는 경로는 최대 150개입니다. | 필수 |
| VPNGw2 VNG SKU | 경로 기반 VPN | IPSec 미리 공유 키 | 지원되는 경로는 최대 150개입니다. | 필수 |
게이트웨이 서브넷
VPN Gateway를 만들기 전에 게이트웨이 서브넷을 만들어야 합니다. 게이트웨이 서브넷에는 가상 네트워크 게이트웨이 VM 및 서비스에서 사용하는 IP 주소가 있습니다. 가상 네트워크 게이트웨이 및 연결을 만들면 연결을 소유하는 게이트웨이 VM이 게이트웨이 서브넷에 연결되고 필요한 VPN 게이트웨이 설정으로 구성됩니다. 게이트웨이 서브넷에 다른 항목(예: 추가 VM)을 배포하지 마세요.
중요
제대로 작동하려면 게이트웨이 서브넷의 이름을 GatewaySubnet 으로 지정해야 합니다. Azure Stack Hub는 이 이름을 사용하여 가상 네트워크 게이트웨이 VM 및 서비스를 배포할 서브넷을 식별합니다.
게이트웨이 서브넷을 만드는 경우 서브넷이 포함하는 IP 주소의 수를 지정합니다. 게이트웨이 서브넷의 IP 주소는 게이트웨이 VM 및 게이트웨이 서비스에 할당됩니다. 일부 구성에는 다른 구성보다 더 많은 IP 주소가 필요합니다. 만들려는 구성에 대한 지침을 검토하고 가지고 있는 만들려는 게이트웨이 서브넷이 해당 요구 사항을 충족하는지 확인합니다.
또한 게이트웨이 서브넷에 향후 추가 구성을 처리하기에 충분한 IP 주소가 있는지 확인해야 합니다. 게이트웨이 서브넷을 /29만큼 작게 만들 수 있지만 /28 이상의 게이트웨이 서브넷(/28, /27, /26 등)을 만드는 것이 좋습니다. 이렇게 하면 나중에 기능을 추가하는 경우 게이트웨이를 해체한 다음, 더 많은 IP 주소를 허용하도록 게이트웨이 서브넷을 삭제하고 다시 만들 필요가 없습니다.
다음 Resource Manager PowerShell 예제에서는 GatewaySubnet이라는 게이트웨이 서브넷을 보여 줍니다. CIDR 표기법이 /27을 지정하는 것을 확인할 수 있으며 이는 이번에 존재하는 대부분의 구성에 대한 충분한 IP 주소를 허용합니다.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
중요
게이트웨이 서브넷에서 작업할 때는 게이트웨이 서브넷에 NSG(네트워크 보안 그룹)를 연결하지 않습니다. 네트워크 보안 그룹을 이 서브넷에 연결하면 VPN 게이트웨이가 예상대로 작동하지 않을 수 있습니다. 네트워크 보안 그룹에 대한 자세한 내용은 네트워크 보안 그룹이란?을 참조하세요.
로컬 네트워크 게이트웨이
Azure에서 VPN 게이트웨이 구성을 만들 때 로컬 네트워크 게이트웨이는 종종 온-프레미스 위치를 나타냅니다. Azure Stack Hub에서는 Azure Stack Hub 외부에 있는 모든 원격 VPN 디바이스를 나타냅니다. 이 디바이스는 데이터 센터의 VPN 디바이스(또는 원격 데이터 센터) 또는 Azure의 VPN 게이트웨이일 수 있습니다.
로컬 네트워크 게이트웨이에 이름, 원격 VPN 디바이스의 공용 IP 주소를 지정하고 온-프레미스 위치에 있는 주소 접두사를 지정합니다. Azure Stack Hub는 네트워크 트래픽에 대한 대상 주소 접두사를 살펴보고, 로컬 네트워크 게이트웨이에 대해 지정한 구성을 참조하고, 그에 따라 패킷을 라우팅합니다.
이 PowerShell 예제에서는 새 로컬 네트워크 게이트웨이를 만듭니다.
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
로컬 네트워크 게이트웨이 설정을 수정해야 하는 경우도 있습니다. 예를 들어 주소 범위를 추가하거나 수정하거나 VPN 디바이스의 IP 주소가 변경되는 경우입니다. 자세한 내용은 PowerShell을 사용하여 로컬 네트워크 게이트웨이 설정 수정을 참조하세요.
IPsec/IKE 매개 변수
Azure Stack Hub에서 VPN 연결을 설정할 때 양쪽 끝에서 연결을 구성해야 합니다. Azure Stack Hub와 VPN 게이트웨이 역할을 하는 스위치 또는 라우터와 같은 하드웨어 디바이스 간에 VPN 연결을 구성하는 경우 해당 디바이스에서 추가 설정을 요청할 수 있습니다.
초기자 및 응답자로 여러 제품을 지원하는 Azure와 달리 Azure Stack Hub는 기본적으로 하나의 제품만 지원합니다. VPN 디바이스에서 작동하기 위해 다른 IPSec/IKE 설정을 사용해야 하는 경우 연결을 수동으로 구성하는 데 사용할 수 있는 더 많은 설정이 있습니다. 자세한 내용은 사이트 간의 VPN 연결에 대한 IPsec/IKE 정책 구성을 참조하세요.
중요
S2S 터널을 사용하는 경우 패킷은 패킷의 전체 크기를 증가시키는 추가 헤더로 추가로 캡슐화됩니다. 이러한 시나리오에서는 TCP MSS 를 1350으로 고정해야 합니다. 또는 VPN 디바이스가 MSS 클램핑을 지원하지 않는 경우 터널 인터페이스의 MTU 를 대신 1400 바이트로 설정할 수 있습니다. 자세한 내용은 Virutal Network TCPIP 성능 조정을 참조하세요.
IKE 1단계(주 모드) 매개 변수
| 속성 | 값 |
|---|---|
| IKE 버전 | IKEv2 |
| Diffie-Hellman 그룹* | ECP384 |
| 인증 방법 | 미리 공유한 키 |
| 암호화 & 해시 알고리즘* | AES256, SHA384 |
| SA 수명(시간) | 28,800초 |
IKE 2단계(빠른 모드) 매개 변수
| 속성 | 값 |
|---|---|
| IKE 버전 | IKEv2 |
| 암호화 & 해시 알고리즘(암호화) | GCMAES256 |
| 암호화 & 해시 알고리즘(인증) | GCMAES256 |
| SA 수명(시간) | 27,000초 |
| SA 수명(킬로바이트) | 33,553,408 |
| PFS(Perfect Forward Secrecy)* | ECP384 |
| 작동하지 않는 피어 검색 | 지원됨 |
* 새 매개 변수 또는 변경된 매개 변수입니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기