Azure Route Server를 사용하여 경로 테이블 업데이트

이 문서에서는 NVA와 가상 네트워크 간의 동적 라우팅을 관리하기 위한 솔루션을 제공합니다. 솔루션의 핵심은 Azure Route Server입니다. 이 서비스는 가상 네트워크에서 NVA의 구성, 유지 관리 및 배포를 간소화합니다. Route Server를 사용하는 경우 가상 네트워크 주소가 변경되면 NVA 경로 테이블을 더 이상 수동으로 업데이트할 필요가 없습니다.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

• 이 허브 및 스포크 아키텍처에는 허브 가상 네트워크와 하나의 스포크 가상 네트워크가 있습니다. 허브 가상 네트워크에는 각각 VM(가상 머신)을 포함하는 여러 서브넷이 있습니다.

• 각 가상 네트워크의 주소 공간은 주소 범위를 정의합니다. 이러한 각 범위에 대해 Azure는 해당 범위의 주소 접두사를 사용하여 경로를 만듭니다. Azure는 해당 경로를 경로 테이블에 추가합니다. 각 가상 네트워크에는 여러 서브넷이 있고 각 서브넷에는 연결을 제어하는 NIC(네트워크 인터페이스 카드)가 있습니다. Azure는 각 가상 네트워크의 경로 테이블을 서브넷의 NIC에 삽입합니다.

  기본 시스템 경로는 만들거나 경로를 삭제할 수 없습니다. 하지만 다음과 같이 할 수 있습니다.

  • 사용자 지정 경로를 사용하여 일부 시스템 경로를 재정의합니다.
  • 특정 서브넷에 선택적 기본 경로를 추가하도록 Azure를 구성합니다.

• 로컬 네트워크는 Azure VPN Gateway 및 ExpressRoute 게이트웨이를 사용하여 공존 구성에서 허브 가상 네트워크에 연결합니다. VPN 게이트웨이를 추가하면 다음 경로가 경로 테이블에 추가되면 게이트웨이를 사용하여 라우팅됩니다. ExpressRoute를 추가하면 경로 테이블도 업데이트됩니다. 이러한 경로는 모든 서브넷에 전파됩니다.

• BGP(Border Gateway Protocol)를 사용하면 온-프레미스와 Azure 구성 요소 간의 IP 주소 교환이 가능합니다. 이 프로토콜은 자율 시스템 간에 패킷을 전달합니다. 이러한 시스템은 단일 조직이 실행하는 소규모 네트워크 또는 거대한 라우터 풀입니다.

• 허브 가상 네트워크와 스포크 가상 네트워크 사이에 가상 네트워크 피어링이 있습니다. 피어링을 만들 때 Azure는 경로 테이블을 업데이트합니다. 특히 Azure는 허브 주소 공간 또는 스포크 주소 공간에 있는 각 주소 범위에 대한 경로를 추가합니다. 이러한 경로는 모든 서브넷에 전파됩니다.

• 허브 가상 네트워크의 서브넷은 Azure Storage에 대한 서비스 엔드포인트를 사용합니다. Azure는 해당 서브넷의 경로 테이블에 Storage에 대한 공용 IP 주소를 추가합니다.

• 허브 가상 네트워크에는 두 개의 NVA가 포함되어 있습니다. NVA는 게이트웨이, SD-WAN(소프트웨어 정의 광역 네트워크) 또는 보안 어플라이언스 방화벽일 수 있습니다. Route Server는 다음을 통해 NVA, 네트워크 애플리케이션 및 게이트웨이 경로를 교환합니다.

  • Azure Virtual Machine Scale Sets 인스턴스 만들기 확장 집합의 각 VM에는 IP 주소가 있습니다. 게이트웨이 IP 주소와 마찬가지로 Route Server는 VM IP 주소에 액세스할 수 있습니다.
  • 확장 집합의 각 NVA와 VM 간에 BGP 피어를 설정합니다.
  • VM IP 주소를 가상 네트워크 및 연결된 네트워크의 모든 경로 테이블에 삽입합니다.

  다음을 수행할 필요가 없습니다.

  • 사용자 정의 경로를 수동으로 추가합니다.
  • 수동으로 경로 테이블을 만듭니다.
  • 경로 테이블을 서브넷에 연결하여 경로를 전파합니다.
  • IP 주소가 변경되면 경로 테이블을 업데이트합니다.

구성 요소

• Route Server는 BGP와 가상 네트워크를 지원하는 NVA 간의 동적 라우팅을 간소화합니다. 이 서비스는 경로 테이블을 유지 관리하는 관리 오버헤드를 제거합니다.

• Virtual Network는 Azure의 개인 네트워크에 대한 기본 구성 요소입니다. Virtual Network를 통해 VM과 같은 Azure 리소스는 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다.

• 가상 네트워크 피어링이 두 개 이상의 Azure 가상 네트워크를 연결합니다. 피어링은 다른 가상 네트워크에 있는 리소스 간에 짧은 대기 시간, 높은 대역폭 연결을 제공합니다. 피어링된 가상 네트워크의 VM 간 트래픽은 Microsoft 프라이빗 네트워크만 사용합니다.

• VPN Gateway는 특정 유형의 가상 네트워크 게이트웨이입니다. VPN Gateway를 사용하여 암호화된 트래픽을 다음과 같이 보낼 수 있습니다.

  • 공용 인터넷을 통해 Azure 가상 네트워크와 온-프레미스 위치 간.
  • Azure 백본 네트워크를 통해 Azure 가상 네트워크 간.

• ExpressRoute는 온-프레미스 네트워크를 Microsoft 클라우드로 확장합니다. ExpressRoute는 연결 공급자를 사용하여 Azure 서비스, Microsoft 365 등의 클라우드 구성 요소에 대한 프라이빗 연결을 설정합니다.

• 서비스 엔드포인트는 가상 네트워크의 개인 IP 주소에서 Azure 서비스에 대한 안전하고 직접적인 연결을 제공합니다. 서비스 엔드포인트는 Azure 서비스에 가상 네트워크의 ID를 제공합니다. 따라서 가상 네트워크 리소스는 서비스에 액세스하기 위해 공용 IP 주소가 필요하지 않으며 엔드포인트는 지정된 가상 네트워크의 트래픽만 허용하여 서비스를 보호합니다. 연결은 Azure 백본 네트워크를 통해 최적화된 경로를 사용합니다.

• NVA는 방화벽 보안 및 부하 분산과 같은 네트워킹 기능을 제공하는 가상 어플라이언스입니다.

• Azure Storage는 개체, 파일, 디스크, 큐 및 테이블 스토리지를 포함하는 클라우드 스토리지 솔루션입니다. 서비스에는 데이터를 전송, 공유 및 백업하기 위한 하이브리드 스토리지 솔루션 및 도구가 포함됩니다.

대안

• 이 솔루션에서는 서비스 엔드포인트를 Storage에 연결할 필요가 없습니다. 대신 다른 Azure 서비스를 사용할 수 있습니다. 서비스 엔드포인트를 통해 보호할 수 있는 서비스의 목록은 Virtual Network 서비스 엔드포인트를 참조하세요.

• Route Server를 사용하는 대신 각 서브넷의 경로 테이블에 사용자 정의 경로를 추가할 수 있습니다. 사용자 정의 경로에 대한 자세한 내용은 가상 네트워크 트래픽 라우팅의 사용자 정의 경로를 참조하세요.

시나리오 정보

네트워크 라우팅은 트래픽이 네트워크를 통해 대상에 도달하는 경로를 결정하는 프로세스입니다. 경로 테이블은 라우팅 경로를 결정하는 데 유용한 네트워크 토폴로지 정보를 나열합니다.

가상 네트워크에 NVA(네트워크 가상 어플라이언스)가 포함된 경우 경로 테이블을 수동으로 구성하고 업데이트해야 합니다.

이 문서에서는 NVA와 가상 네트워크 간의 동적 라우팅을 관리하기 위한 솔루션을 제공합니다. 솔루션의 핵심은 Azure Route Server입니다. 이 서비스는 가상 네트워크에서 NVA의 구성, 유지 관리 및 배포를 간소화합니다. Route Server를 사용하는 경우 가상 네트워크 주소가 변경되면 NVA 경로 테이블을 더 이상 수동으로 업데이트할 필요가 없습니다.

잠재적인 사용 사례

이 솔루션은 다음 시나리오에 적용됩니다.

• 이중 홈 네트워크를 사용합니다. 라우터 서버는 일반적인 허브 및 스포크 네트워크 토폴로지 외에도 이중 홈 네트워크 토폴로지도 지원합니다. 이 유형의 구성은 둘 이상의 허브 가상 네트워크를 사용하여 스포크 가상 네트워크를 피어합니다. 자세한 내용은 Azure Route Server를 사용한 이중 홈 네트워크 정보를 참조하세요.
• NVA를 Azure ExpressRoute에 연결합니다. 일부 가상 네트워크에는 Route Server, ExpressRoute 게이트웨이 및 NVA가 포함됩니다. 기본적으로 Route Server는 NVA 경로를 ExpressRoute로 전파하지 않습니다. 또한 Route Server는 ExpressRoute 경로를 NVA로 전파하지 않습니다. 경로 서버에서 경로 교환 기능을 켜면 ExpressRoute 및 NVA에서 경로를 교환할 수 있습니다. 자세한 내용은 ExpressRoute 및 Azure VPN에 대한 Azure Route Server 지원 정보를 참조하세요.
• Azure를 사용하여 온-프레미스 시스템에서 인터넷에 연결합니다. 인터넷 액세스가 부족한 조직은 이 구성을 사용할 수 있습니다. 이미 인터넷 프록시를 Azure로 마이그레이션한 시스템은 다른 가능성도 있습니다. Route Server를 사용하면 이 설정을 사용할 수 있습니다.

고려 사항

이 솔루션을 구현할 때 다음 사항을 고려합니다.

• Route Server는 연결 및 교환 경로를 설정합니다. 데이터 패킷은 전송되지 않습니다. 따라서 Route Server가 백 엔드에서 실행되는 VM에는 상당한 CPU 전원 또는 계산 성능이 필요하지 않습니다.

• Route Server를 배포할 때 의 IPv4 서브넷 마스크를 사용하는 이라는 RouteServerSubnet 서브넷을 /27만듭니다. 해당 서브넷에 경로 서버를 배치합니다.

• Azure 게이트웨이에서 기본 가격 책정 계층은 ExpressRoute 및 VPN Gateway 연결을 공존하는 것을 지원하지 않습니다. 공존 구성에 대한 다른 제한 사항은 제한 및 제한 사항을 참조하세요.

• 가상 네트워크에서 사용할 수 있는 서비스 엔드포인트의 수에는 제한이 없습니다. 그러나 Storage와 같은 일부 Azure 서비스는 리소스를 보호하는 데 사용할 수 있는 서브넷의 수에 제한을 적용합니다. 자세한 내용은 가상 네트워크 서비스 엔드포인트의 다음 단계를 참조하세요.

이 솔루션을 고려할 때 다음 섹션의 사항에 대해서도 유의하세요.

가용성

Route Server는 완전 관리형 서비스이며 고가용성으로 구성되어 있습니다. 이 서비스의 가용성 보장은 Azure Route Server용 SLA를 참조하세요.

확장성

이 솔루션의 대부분의 구성 요소는 자동으로 확장되는 관리되는 서비스입니다. 그러나 몇 가지 예외가 있습니다.

• Route Server는 ExpressRoute 또는 VPN Gateway에 최대 200개 경로를 보급할 수 있습니다.
• 경로 서버는 피어링된 가상 네트워크를 포함하여 가상 네트워크당 최대 2,000개의 VM을 지원할 수 있습니다.

보안

• Azure에서 애플리케이션 및 데이터의 보안을 개선하는 방법에 대한 지침은 Azure Security Benchmark 개요(v1)를 참조하세요.
• Virtual Network와 관련된 Azure Security Benchmark 버전 1.0의 지침은 Virtual Network 대한 Azure 보안 기준을 참조하세요.

복원력

이 솔루션은 관리되는 구성 요소만 사용합니다. 지역 수준에서 이러한 모든 구성 요소는 자동으로 복원력이 있습니다. Route Server는 고가용성을 제공합니다. 가용성 영역을 지원하는 Azure 지역에 Route Server를 배포하는 경우 구현에는 영역 수준 중복성이 있습니다. 가용성 영역에 대한 자세한 내용은 지역 및 가용성 영역을 참조하세요.

비용 최적화

이 솔루션을 구현하는 비용을 예측하려면 Azure 가격 계산기를 참조하세요. 불필요한 비용을 줄이는 방법에 대한 일반적인 내용은 비용 최적화 핵심 요소의 개요를 참조하세요.

다음 섹션에서는 솔루션 구성 요소에 대한 가격 책정 정보를 설명합니다.

Route Server

현재 경로 서버에 대한 선불 비용 또는 종료 수수료는 없습니다. 가격 책정 정보는 Azure Route Server 가격 책정을 참조하세요.

Virtual Network

Virtual Network는 무료로 사용할 수 있습니다. Azure 구독을 사용하면 모든 지역에서 최대 50개의 가상 네트워크를 만들 수 있습니다. 가상 네트워크의 경계 내에 있는 트래픽은 무료입니다. 따라서 동일한 가상 네트워크에 있는 두 VM 간의 통신에는 요금이 부과되지 않습니다.

VPN Gateway

VPN Gateway를 사용하면 모든 인바운드 트래픽이 무료입니다. 아웃바운드 트래픽에 대해서만 요금이 청구 됩니다. 인터넷 대역폭 비용은 VPN 아웃바운드 트래픽에 적용됩니다. 자세한 내용은 VPN Gateway 가격 책정을 참조하세요.

ExpressRoute

인바운드 ExpressRoute 데이터 전송은 무료입니다. 아웃바운드 데이터 전송의 경우 미리 정해진 요금이 청구됩니다. 고정 월별 포트 요금도 적용됩니다. 자세한 내용은 Azure ExpressRoute 가격 책정을 참조하세요.

서비스 엔드포인트

서비스 엔드포인트 사용에 따른 비용은 없습니다.

NVA

NVA는 사용하는 어플라이언스에 따라 요금이 청구됩니다. 또한 배포하는 Azure VM 및 사용하는 기본 인프라 리소스(예: 스토리지 및 네트워킹)에 대한 요금이 청구됩니다. 자세한 내용은 Linux Virtual Machines 가격 책정을 참조하세요.

다음 단계

• 빠른 시작: Azure Portal을 사용하여 Route Server 만들기 및 구성
• ExpressRoute 및 Azure VPN에 대한 Azure Route Server 지원 정보
• Azure Route Server FAQ
• Azure 로드맵
• 네트워킹 블로그
• Azure Route Server용 SLA
• Azure Route Server란?

관련 참고 자료

• Azure Firewall 아키텍처 개요
• 가상 네트워크 피어링 및 VPN 게이트웨이 중에서 선택
• 가용성 영역 및 하위 지역 사용에 대한 권장 사항
• 고가용성 NVA 배포
• Azure Firewall 및 Application Gateway를 사용하는 웹 애플리케이션에 대한 제로 트러스트 네트워크