Azure Stack 허브에서 IPSEC을 사용 하 여 VPN 터널을 만드는 방법How to create a VPN Tunnel using IPSEC in Azure Stack Hub

이 솔루션의 Azure Stack 허브 리소스 관리자 템플릿을 사용 하 여 동일한 Azure Stack 허브 환경 내에서 두 개의 Azure Stack 허브 Vnet를 연결할 수 있습니다.You can use the Azure Stack Hub Resource Manager template in this solution to connect two Azure Stack Hub VNets within the same Azure Stack Hub environment. 기본 제공 Virtual Network 게이트웨이를 사용 하 Azure Stack 허브 vnet에 연결할 수 없습니다 .You can't connect Azure Stack Hub VNets using the built-in Virtual Network Gateway. 지금은 NVA (네트워크 가상 어플라이언스)를 사용 하 여 두 Azure Stack 허브 Vnet 간에 VPN 터널을 만들어야 합니다.For now, you must use network virtual appliances (NVA)s to create a VPN tunnel between two Azure Stack Hub VNets. 솔루션 템플릿은 RRAS가 설치 된 두 개의 Windows Server 2016 Vm을 배포 합니다.The solution template deploys two Windows Server 2016 VMs with RRAS installed. 이 솔루션은 두 Vnet 간에 S2SVPN IKEv2 터널을 사용 하도록 두 개의 RRAS 서버를 구성 합니다.The solution configures the two RRAS servers to use a S2SVPN IKEv2 tunnel between the two VNETs. 내부 로 지정 된 각 VNET의 서브넷 간 라우팅을 허용 하기 위해 적절 한 nsg 및 udr 규칙이 생성 됩니다.The appropriate NSG and UDR rules are created to allow routing between the subnets on each VNET designated as internal

이 솔루션은 Azure Stack 허브 인스턴스 뿐만 아니라 Azure Stack 허브 인스턴스와 Windows RRAS S2S VPN 터널을 사용 하는 온-프레미스 네트워크와 같은 기타 리소스 사이에서 VPN 터널이 생성 될 수 있도록 하는 기반입니다.This solution is the foundation that will allow VPN Tunnels to be created not only within an Azure Stack Hub instance but also between Azure Stack Hub Instances and to other resources such as on-premises networks with the use of the Windows RRAS S2S VPN Tunnels.

템플릿은 Azure Intelligent Edge 패턴 GitHub 리포지토리에서 찾을 수 있습니다.You can find the templates in the Azure Intelligent Edge Patterns GitHub repository. 템플릿은 rras-gre -vnet-vnet-vnet 폴더에 있습니다.The template is in the rras-gre-vnet-vnet folder.

이 다이어그램에서는 두 Vnet 간에 VPN 터널을 제공 하는 구현을 보여 줍니다.

요구 사항Requirements

  • 최신 업데이트를 적용 하 여 배포 된 시스템입니다.A system deployed with latest updates applied.
  • 필요한 Azure Stack 허브 Marketplace 항목:Required Azure Stack Hub Marketplace items:
    • Windows Server 2016 Datacenter 또는 Windows Server 2019 Datacenter (최신 빌드 권장)Windows Server 2016 Datacenter or Windows Server 2019 Datacenter (latest build recommended)
    • 사용자 지정 스크립트 확장Custom Script Extension

고려할 사항Things to consider

  • 네트워크 보안 그룹이 템플릿 터널 서브넷에 적용 됩니다.A Network Security Group is applied to the template Tunnel Subnet. 추가 NSG를 사용 하 여 각 VNet의 내부 서브넷을 보호 하는 것이 좋습니다.It is recommended to secure the internal subnet in each VNet with an additional NSG.
  • RDP 거부 규칙은 터널 NSG에 적용 되며, 공용 IP 주소를 통해 Vm에 액세스 하려는 경우 허용으로 설정 해야 합니다.An RDP Deny rule is applied to the Tunnel NSG and will need to be set to allow if you intend to access the VMs via the Public IP address
  • 이 솔루션은 DNS 확인을 고려 하지 않습니다.This solution does not take into account DNS resolution
  • VNet 이름과 vmName의 조합은 15 자 미만 이어야 합니다.The combination of VNet name and vmName must be fewer than 15 characters
  • 이 템플릿은 VNet1 및 VNet2에 대해 사용자 지정 된 VNet 이름을 갖도록 설계 되었습니다.This template is designed to have the VNet names customized for VNet1 and VNet2
  • 이 템플릿은 BYOL 창을 사용 하 고 있습니다.This template is using BYOL windows
  • 리소스 그룹을 삭제할 때 현재 (1907) 리소스 그룹 삭제가 완료 되도록 터널 서브넷에서 NSGs를 수동으로 분리 해야 합니다.When deleting the resource group, currently on (1907) you have to manually detach the NSGs from the tunnel subnet to ensure the delete resource group completes
  • 이 템플릿은 DS3v2 vm을 사용 합니다.This template is using a DS3v2 vm. RRAS 서비스는 Windows 내부 SQL Server를 설치 하 고 실행 합니다.The RRAS service installs and run Windows internal SQL Server. 이로 인해 VM 크기가 너무 작은 경우 메모리 문제가 발생할 수 있습니다.This can cause memory issues if your VM size is too small. VM 크기를 줄이기 전에 성능의 유효성을 검사 합니다.Validate performance before reducing the VM size.
  • 이는 항상 사용 가능한 솔루션이 아닙니다.This is not a highly available solution. 더 많은 HA 스타일 솔루션이 필요한 경우 두 번째 VM을 추가할 수 있습니다. 경로 테이블의 경로를 보조 인터페이스의 내부 IP로 수동으로 변경 해야 합니다.If you require a more HA style solution you can add a second VM, you would have to manually Change the route in the route table to the internal IP of the secondary interface. 또한 교차 연결에 대해 여러 터널을 구성 해야 합니다.You would also need to configure the multiple Tunnels to cross connect.

선택 사항Optional

  • _ArtifactsLocation 및 _artifactsLocationSasToken 매개 변수를 사용 하 여 사용자 고유의 Blob storage 계정 및 SAS 토큰을 사용할 수 있습니다.You can use your own Blob storage account and SAS token using the _artifactsLocation and _artifactsLocationSasToken parameters
  • 이 템플릿 INTERNALSUBNETREFVNET1 및 INTERNALSUBNETREFVNET2에는 두 개의 출력이 있습니다. 이러한 출력은 파이프라인 스타일 배포 패턴에서 사용 하려는 경우 내부 서브넷의 리소스 Id입니다.There are two outputs on this template INTERNALSUBNETREFVNET1 and INTERNALSUBNETREFVNET2, which is the Resource IDs for the internal subnets, if you want to use this in a pipeline style deployment pattern.

이 템플릿은 VNet 명명 및 IP 주소 지정에 대 한 기본값을 제공 합니다.This template provides default values for VNet naming and IP addressing. 관리자에 대 한 암호 (rrasadmin)가 필요 하며 SAS 토큰과 함께 사용자 고유의 저장소 blob을 사용 하는 기능도 제공 됩니다.It requires a password for the administrator (rrasadmin) and also offers the ability to use your own storage blob with SAS token. 배포가 실패할 수 있으므로 이러한 값을 올바른 범위 내에 유지 해야 합니다.Be careful to keep these values within legal ranges as deployment may fail. PowerShell DSC 패키지는 각 RRAS VM에서 실행 되 고 라우팅 및 필요한 모든 종속 서비스 및 기능을 설치 합니다.The PowerShell DSC package is executed on each RRAS VM and installing routing and all required dependent services and features. 필요한 경우이 DSC를 추가로 사용자 지정할 수 있습니다.This DSC can be customized further if needed. 사용자 지정 스크립트 확장은 다음 스크립트를 실행 하 고 공유 키를 사용 하 여 두 RRAS 서버 간에 VPNS2S 터널을 구성 Add-Site2SiteIKE.ps1 합니다.The custom script extension run the following script and Add-Site2SiteIKE.ps1 configures the VPNS2S tunnel between the two RRAS servers with a shared key. 사용자 지정 스크립트 확장에서 자세한 출력을 확인 하 여 VPN 터널 구성의 결과를 볼 수 있습니다.You can view the detailed output from the custom script extension to see the results of the VPN tunnel configuration

S2SVPNTunnel 이라는 제목의 다이어그램은 사이트 간 VPN 터널에 의해 연결 된 두 개의 Vnet를 보여 줍니다.

다음 단계Next steps

Azure Stack 허브 네트워킹의 차이점 및 고려 사항Differences and considerations for Azure Stack Hub networking
여러 사이트 간 VPN 터널을 설정 하는 방법How to set up a multiple site-to-site VPN tunnel
GRE를 사용 하 여 VPN 터널을 만드는 방법How to create a VPN Tunnel using GRE