Virtual Network 피어링

가상 네트워크 피어링을 사용하면 Azure Stack Hub 환경에서 가상 네트워크를 원활하게 연결할 수 있습니다. 가상 네트워크는 연결하기 위해 하나로 표시됩니다. 가상 머신 간의 트래픽은 기본 SDN 인프라를 사용합니다. 동일한 네트워크의 가상 머신 간 트래픽과 마찬가지로 트래픽은 Azure Stack Hub 프라이빗 네트워크를 통해서만 라우팅됩니다.

"지역"의 개념은 적용되지 않으므로 Azure Stack Hub는 전역 피어링을 지원하지 않습니다.

가상 네트워크 피어링을 사용할 경우의 이점은 다음과 같습니다.

  • 동일한 Azure Stack Hub 스탬프 내의 서로 다른 가상 네트워크의 리소스 간에 대기 시간이 짧고 대역폭이 높은 연결입니다.
  • 한 가상 네트워크의 리소스가 동일한 Azure Stack Hub 스탬프 내의 다른 가상 네트워크의 리소스와 통신하는 기능입니다.
  • 동일한 Azure Active Directory 테넌트 내의 여러 구독에서 가상 네트워크 간에 데이터를 전송하는 기능입니다.
  • 피어링을 만들 때 또는 피어링이 생성된 후에 각 가상 네트워크에 있는 리소스에 대한 가동 중지 시간이 없습니다.

피어링된 가상 네트워크 간의 네트워크 트래픽은 프라이빗 전용입니다. 가상 네트워크 간의 트래픽은 인프라 계층에 유지됩니다. 가상 네트워크 간의 통신에는 공용 인터넷, 게이트웨이 또는 암호화가 필요하지 않습니다.

연결

피어링된 가상 네트워크의 경우, 가상 네트워크의 리소스는 피어링된 가상 네트워크의 리소스와 직접 연결할 수 있습니다.

동일한 지역에서 피어링된 가상 네트워크에 있는 가상 머신 간의 네트워크 대기 시간은 단일 가상 네트워크 내의 대기 시간과 같습니다. 네트워크 처리량은 해당 크기에 비례하는 가상 머신에 허용되는 대역폭을 기반으로 합니다. 피어링 내에서 대역폭에 대한 추가 제한이 없습니다.

피어된 가상 네트워크의 가상 머신 간 트래픽은 게이트웨이 또는 공용 인터넷을 통해서가 아니라 SDN 계층을 통해 직접 라우팅됩니다.

가상 네트워크의 네트워크 보안 그룹을 적용하여 다른 가상 네트워크 또는 서브넷에 대한 액세스를 차단할 수 있습니다. 가상 네트워크 피어링을 구성할 때 가상 네트워크 간에 네트워크 보안 그룹 규칙을 열거나 닫을 수 있습니다. 피어링된 가상 네트워크 간의 전체 연결 기능을 여는 경우, 네트워크 보안 그룹을 적용하여 특정 액세스를 차단하거나 거부할 수 있습니다. 전체 연결은 기본 옵션입니다. 네트워크 보안 그룹에 대한 자세한 내용은 보안 그룹을 참조하세요.

서비스 체이닝

서비스 체이닝을 사용하면 사용자 정의 경로를 통해 피어링된 네트워크의 가상 네트워크에서 가상 어플라이언스 또는 게이트웨이로 트래픽을 전송할 수 있습니다.

서비스 체인을 사용하도록 설정하려면 피어링된 가상 네트워크의 가상 컴퓨터를 다음 홉 IP 주소로 가리키는 사용자 정의 경로를 구성합니다.

허브 및 스포크 네트워크를 배포할 수 있습니다. 여기서 허브 가상 네트워크는 네트워크 가상 어플라이언스 또는 VPN 게이트웨이와 같은 인프라 구성 요소를 호스트합니다. 모든 스포크 가상 네트워크는 허브 가상 네트워크와 피어링할 수 있습니다. 트래픽은 허브 가상 네트워크에서 네트워크 가상 어플라이언스 또는 VPN Gateway를 통해 흐릅니다.

가상 네트워크 피어링을 사용하면 사용자 정의 경로의 다음 홉이 피어링된 가상 네트워크에 있는 가상 머신의 IP 주소가 될 수 있습니다. 사용자 정의 경로에 대한 자세한 내용은 사용자 정의 경로 개요를 참조하세요. 허브 및 스포크 네트워크 토폴로지를 만드는 방법을 알아보려면 허브 스포크 네트워크 토폴로지를 참조하세요.

게이트웨이 및 온-프레미스 연결

피어링된 가상 네트워크를 포함하는 각 가상 네트워크에는 고유한 게이트웨이가 있을 수 있습니다. 가상 네트워크는 해당 게이트웨이를 사용하여 온-프레미스 네트워크에 연결할 수 있습니다. Azure stack Hub Virtual Network Gateway 설명서를 검토하세요.

또한 피어링된 가상 네트워크의 게이트웨이를 온-프레미스 네트워크의 전송 지점으로 구성할 수 있습니다. 이 경우 원격 게이트웨이를 사용하는 가상 네트워크는 고유한 게이트웨이를 사용할 수 없습니다. 가상 네트워크는 게이트웨이를 하나만 포함할 수 있습니다. 게이트웨이는 다음 그림과 같이 피어된 가상 네트워크의 로컬 또는 원격 게이트웨이입니다.

VPN gateway topology

피어링에서 UseRemoteGateways 옵션을 사용하도록 설정하기 전에 VPN 게이트웨이에서 Connection 개체를 만들어야 합니다.

중요

Azure Stack Hub는 가상 네트워크 주소 접두사가 아닌 피어된 가상 네트워크 서브넷을 기반으로 시스템 경로를 구성합니다. 이는 Azure 구현과 다릅니다. 시나리오에 설명된 시나리오: NVA(네트워크 가상 어플라이언스) 또는 NVA 또는 방화벽 어플라이언스로 트래픽을 라우팅하려는 Azure의 허브 스포크 네트워크 토폴로지를 통해 트래픽을 라우팅하는 시나리오와 같은 시스템 기본 경로를 재정의하려면 가상 네트워크 내의 각 서브넷에 대한 경로 항목을 만들어야 합니다.

가상 네트워크 피어링 구성

가상 네트워크 액세스 허용: 가상 네트워크 간의 통신을 사용하면 두 가상 네트워크에 연결된 리소스가 동일한 가상 네트워크에 연결된 것처럼 동일한 대역폭 및 대기 시간으로 서로 통신할 수 있습니다. 두 가상 네트워크의 리소스 간 모든 통신은 내부 SDN 계층을 통해 라우팅됩니다.

네트워크 액세스를 사용하도록 설정하지 않는 한 가지 이유는 가상 네트워크를 다른 가상 네트워크와 피어했지만 경우에 따라 두 가상 네트워크 간의 트래픽 흐름을 사용하지 않도록 설정하려는 시나리오일 수 있습니다. 피어링을 삭제하고 다시 만드는 것보다 사용/사용 안 함이 더 편리할 수 있습니다. 이 설정을 사용하지 않도록 설정하면 피어된 가상 네트워크 간에 트래픽이 흐르지 않습니다.

전달된 트래픽 허용: 가상 네트워크의 네트워크 가상 어플라이언스에서 전달된 트래픽이(가상 네트워크에서 발생하지 않은) 피어링을 통한 이 가상 네트워크로 흐를 수 있도록 허용하려면 이 확인란을 선택합니다. 예를 들어 Spoke1, Spoke2 및 Hub라는 3개의 가상 네트워크를 가정합니다. 피어링은 각 스포크 가상 네트워크와 허브 가상 네트워크 간에 존재하지만 피어링은 스포크 가상 네트워크 간에 존재하지 않습니다. 네트워크 가상 어플라이언스는 허브 가상 네트워크에 배포되고 사용자 정의 경로는 네트워크 가상 어플라이언스를 통해 서브넷 간에 트래픽을 라우팅하는 각 스포크 가상 네트워크에 적용됩니다. 각 스포크 가상 네트워크와 허브 가상 네트워크 간의 피어링에 대해 이 확인란을 선택하지 않으면 허브는 가상 네트워크 간에 트래픽을 전달하기 때문에 트래픽은 스포크 가상 네트워크 간에 흐르지 않습니다. 이 기능을 사용하도록 설정하여 피어링을 통해 전달된 트래픽을 허용하는 동안에는 사용자 정의 경로나 네트워크 가상 어플라이언스가 만들어지지 않습니다. 사용자 정의 경로와 네트워크 가상 어플라이언스는 개별적으로 만들어집니다. 사용자 정의 경로에 대해 자세히 알아보세요. VPN Gateway 통해 가상 네트워크 간에 트래픽이 전달되는지 이 설정을 확인할 필요가 없습니다.

게이트웨이 전송 허용: 이 가상 네트워크에 연결된 가상 네트워크 게이트웨이가 있고 피어된 가상 네트워크의 트래픽이 게이트웨이를 통해 흐르도록 허용하려는 경우 이 확인란을 선택합니다. 예를 들어 가상 네트워크 게이트웨이를 통해 이 가상 네트워크를 온-프레미스 네트워크에 연결할 수 있습니다. 이 상자를 선택하면 피어링된 가상 네트워크에서 이 가상 네트워크에 연결된 게이트웨이를 통해 온-프레미스 네트워크로 트래픽이 흐를 수 있습니다. 이 상자를 선택하면 피어링된 가상 네트워크에 대한 게이트웨이를 구성할 수 없습니다. 피어링된 가상 네트워크에는 다른 가상 네트워크에서 이 가상 네트워크로의 피어링을 설정할 때 원격 게이트웨이 사용 확인란이 선택되어 있어야 합니다. 이 상자를 선택하지 않은 상태로 두면(기본값) 피어된 가상 네트워크의 트래픽이 이 가상 네트워크로 계속 흐르지만 이 가상 네트워크에 연결된 가상 네트워크 게이트웨이를 통해 흐를 수 없습니다.

원격 게이트웨이 사용: 이 가상 네트워크의 트래픽이 피어링 중인 가상 네트워크에 연결된 가상 네트워크 게이트웨이를 통해 흐를 수 있도록 허용하려면 이 상자를 선택합니다. 예를 들어 피어링 중인 가상 네트워크에 온-프레미스 네트워크에 대한 통신을 가능하게 하는 VPN Gateway가 연결되어 있습니다. 이 상자를 선택하면 이 가상 네트워크에서 피어링된 가상 네트워크에 연결된 VPN Gateway를 통해 트래픽이 흐를 수 있습니다. 이 확인란을 선택하면 피어된 가상 네트워크에 가상 네트워크 게이트웨이가 연결되어 있어야 하며 게이트웨이 전송 허용 확인란이 선택되어 있어야 합니다. 이 상자를 선택하지 않은 상태로 두면(기본값) 피어된 가상 네트워크의 트래픽이 이 가상 네트워크로 계속 흐를 수 있지만 이 가상 네트워크에 연결된 가상 네트워크 게이트웨이를 통해 흐를 수는 없습니다.

가상 네트워크에 구성된 게이트웨이가 이미 있는 경우 원격 게이트웨이를 사용할 수 없습니다.

사용 권한

동일한 Azure AD 테넌트 내의 다른 구독에서 VNET을 사용하여 피어링을 만들 때 계정에 네트워크 기여자 역할이 적어도 할당되어 있는지 확인하세요.

중요

Azure Stack Hub는 서로 다른 구독의 가상 네트워크와 다른 Azure AD 테넌트 간의 VNET 피어링을 지원하지 않습니다. 해당 구독이 동일한 Azure AD 테넌트에 속하는 한 서로 다른 구독의 VNET 간에 VNET 피어링을 지원합니다. 이는 Azure 구현과 다릅니다.

가상 네트워크 피어링 FAQ(질문과 대답)

가상 네트워크 피어링이란?

가상 네트워크 피어링을 사용하면 가상 네트워크를 연결할 수 있습니다. 가상 네트워크 간의 VNet 피어링 연결을 사용하면 IPv4 주소를 통해 개인적으로 가상 네트워크 간의 트래픽을 라우팅할 수 있습니다. 피어링된 VNet에서 가상 머신은 동일한 네트워크 내에 있는 것처럼 서로 통신할 수 있습니다. 동일한 Azure AD 테넌트 내의 여러 구독에서 VNet 피어링 연결을 만들 수도 있습니다.

Azure Stack Hub는 글로벌 VNET 피어링을 지원하나요?

"지역"의 개념은 적용되지 않으므로 Azure Stack Hub는 전역 피어링을 지원하지 않습니다.

가상 네트워크 피어링을 사용할 수 있는 Azure Stack Hub 업데이트는 무엇입니까?

가상 네트워크 피어링은 2008년 업데이트부터 Azure Stack Hub에서 사용할 수 있습니다.

Azure Stack Hub의 가상 네트워크를 Azure의 가상 네트워크에 피어할 수 있나요?

아니요, 현재 Azure와 Azure Stack 허브 간의 피어링이 지원되지 않습니다.

Azure Stack Hub1의 가상 네트워크를 Azure Stack Hub2의 가상 네트워크에 피어할 수 있나요?

아니요, 피어링을 하나의 Azure Stack Hub 시스템에서 가상 네트워크 간에만 만들 수 있습니다. 서로 다른 스탬프에서 두 가상 네트워크를 연결하는 방법에 대한 자세한 내용은 Azure Stack Hub에서 VNET 간 연결 설정을 참조하세요.

내 가상 네트워크가 서로 다른 Azure Active Directory 테넌트 내의 구독에 속하는 경우 피어링을 사용하도록 설정할 수 있나요?

아니요. 구독이 다른 Azure Active Directory 테넌트에 속하는 경우 VNet 피어링을 설정할 수 없습니다. 이는 Azure Stack Hub에 대한 특정 제한 사항입니다.

내 가상 네트워크를 다른 구독의 가상 네트워크와 피어할 수 있나요?

예. 동일한 Azure AD 테넌트에 속하는 경우 여러 구독에서 가상 네트워크를 피어할 수 있습니다.

피어링 연결에 대역폭 제한이 있나요?

아니요. 가상 네트워크 피어링에는 대역폭 제한이 적용되지 않습니다. 대역폭은 VM 또는 컴퓨팅 리소스에 의해서만 제한됩니다.

내 가상 네트워크 피어링 연결이 시작됨 상태입니다. 연결할 수 없는 이유는 무엇인가요?

피어링 연결이 시작 상태 인 경우 링크를 하나만 만들었다는 의미입니다. 성공적인 연결을 위해서는 양방향 연결을 만들어야 합니다. 예를 들어 VNet A를 VNet B로 피어하려면 VNet A에서 VNet B로, VNet B에서 VNet A로의 링크를 만들어야 합니다. 두 링크를 모두 만들면 상태가 연결된 상태로 변경 됩니다.

내 가상 네트워크 피어링 연결이 연결이 끊어진 상태입니다. 피어링 연결을 만들 수 없는 이유는 무엇인가요?

가상 네트워크 피어링 연결이 연결이 끊어진 상태인 경우 생성된 링크 중 하나가 삭제되었음을 의미합니다. 피어링 연결을 다시 설정하려면 링크를 삭제하고 다시 만듭니다.

가상 네트워크 피어링 트래픽이 암호화되어 있나요?

아니요. 피어된 가상 네트워크의 리소스 간 트래픽은 프라이빗이며 격리됩니다. Azure Stack Hub 시스템의 SDN 계층에 완전히 유지됩니다.

VNet A를 VNet B로 피어하고 VNet B를 VNet C에 피어하는 경우 VNet A 및 VNet C가 피어되는 것을 의미하나요?

아니요. 전이적 피어링은 지원되지 않습니다. VNet A 및 VNet C를 피어해야 합니다.

다음 단계