Azure 네트워크 어댑터를 사용하여 독립 실행형 서버 연결

Bastion
Virtual Network
VPN Gateway
Windows Server
Virtual Machines

이 참조 아키텍처는 Windows 관리 센터 (WAC)를 통해 배포 하는 Azure 네트워크 어댑터를 사용 하 여 온-프레미스 독립 실행형 서버를 Microsoft Azure 가상 네트워크에 연결 하는 방법을 보여 줍니다. Azure 네트워크 어댑터는 인터넷을 통해 보안 가상 연결을 만들어 온-프레미스 네트워크를 Azure로 확장 합니다.

Windows 관리 센터를 사용 하 여 azure 네트워크 어댑터를 배포 하 여 azure 가상 네트워크에 독립 실행형 서버를 연결 하려면 azure VPN을 사용 합니다. 그런 다음 Vm 개인 IP 주소를 사용 하 여 독립 실행형 서버에서 Azure Vm (가상 머신)을 관리할 수 있습니다.

Windows 관리 센터를 사용 하 여 azure 네트워크 어댑터를 배포 하 여 azure VPN을 통해 독립 실행형 서버를 회사 네트워크의 azure virtual Network, 지사 또는 다른 클라우드 공급자 네트워크에 연결 합니다. 그런 다음 독립 실행형 서버를 사용 하 여 모든 위치에서 개인 IP 주소를 통해 Azure Vm을 관리할 수 있습니다.

이러한 아키텍처의 Visio 파일 을 다운로드 합니다.

아키텍처

이 아키텍처는 다음과 같은 구성 요소로 구성됩니다.

  • 온-프레미스 네트워크. 이 구성 요소는 조직의 사설 LAN (local area network)입니다.
  • 지점. 이 구성 요소는 회사 WAN (광역 네트워크)을 통해 연결 되는 원격 지점 사무소의 사설 LAN입니다.
  • 다른 클라우드 공급자. 이 구성 요소는 클라우드 공급자가 제공 하는 개인 가상 네트워크입니다. VPN (가상 사설망)을 통해 연결 됩니다.
  • Windows 관리 센터가 설치 된 Windows 서버. Azure 네트워크 어댑터를 배포 하는 데 사용 하는 서버입니다.
  • Windows 서버 (독립 실행형). Azure 네트워크 어댑터가 설치 된 서버입니다. 이 서버는 지사 네트워크 또는 다른 클라우드 공급자의 네트워크에 있을 수 있습니다.
  • Azure Virtual Network (VNet). Azure 내의 동일한 가상 네트워크에 있는 Azure VPN Gateway에 대 한 가상 서버 및 기타 서비스와 구성 요소입니다.
  • Azure VPN Gateway. VPN 어플라이언스 또는 Azure 네트워크 어댑터를 통해 가상 네트워크를 온-프레미스 네트워크 또는 독립 실행형 서버에 연결할 수 있도록 하는 VPN Gateway 서비스입니다. 자세한 내용은 온-프레미스 네트워크를 Microsoft Azure virtual network에 연결을 참조하세요. VPN 게이트웨이에 사용할 수 있는 몇 가지 가격 책정 계층 또는 Sku (재고 보존 단위)가 있습니다. 각 SKU는 워크 로드 유형, 처리량, 기능 및 Sla (서비스 수준 계약)에 따라 다양 한 요구 사항을 지원 합니다. VPN gateway에는 다음 구성 요소가 포함 됩니다.
    • 가상 네트워크 게이트웨이 (활성). 이 Azure 리소스는 가상 네트워크에 대 한 가상 VPN 어플라이언스를 제공 하 고 온-프레미스 네트워크와 가상 네트워크 간에 트래픽을 주고 라우팅하는 역할을 담당 합니다.
    • 가상 네트워크 게이트웨이 (수동). 이 Azure 리소스는 가상 네트워크에 대 한 가상 VPN 어플라이언스를 제공 하며 활성 Azure VPN Gateway의 대기 인스턴스입니다. 자세한 내용은 AZURE VPN gateway 중복성 정보를 참조 하세요.
    • 게이트웨이 서브넷. 가상 네트워크 게이트웨이는 해당 서브넷에 보유 되며, 다음 권장 사항 섹션에서 자세히 설명 하는 다양 한 요구 사항이 적용 됩니다.
    • 연결. 연결에는 연결 유형을 지정 하는 속성이 있습니다. 이러한 속성에는 IPsec (인터넷 프로토콜 보안) 및 트래픽을 암호화 하기 위해 온-프레미스 VPN 어플라이언스와 공유 되는 키가 포함 됩니다.
  • 클라우드 애플리케이션. 이 구성 요소는 Azure에서 호스트 되는 응용 프로그램입니다. Azure 부하 분산 장치를 통해 연결 되는 여러 서브넷이 포함 된 많은 계층이 포함 될 수 있습니다. 애플리케이션 인프라에 대한 자세한 내용은 Windows VM 워크로드 실행Linux VM 워크로드 실행을 참조하세요.
  • 내부 부하 분산 장치. VPN gateway의 네트워크 트래픽은 응용 프로그램의 프로덕션 서브넷에 있는 내부 부하 분산 장치를 통해 클라우드 응용 프로그램으로 라우팅됩니다.
  • Azure 방호. Azure 방호를 사용 하면 Vm을 인터넷에 직접 노출 하지 않고도 Azure virtual network의 Vm에 로그인 할 수 있습니다. Secure Shell (SSH) 또는 원격 데스크톱 프로토콜 (RDP)를 사용 합니다. VPN 연결이 끊어진 경우에도 azure 방호를 사용 하 여 Azure 가상 네트워크에서 Vm을 관리할 수 있습니다. 그러나 Azure 방호를 통해 온-프레미스 서버를 관리 하는 것은 지원 되지 않습니다.

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

독립 실행형 서버 커넥트

WAC를 통해 독립 실행형 서버를 연결 하려면 전용 서버의 WAC 설치에서 관리 되는 서버 목록에 서버를 추가 해야 합니다. 해당 목록에 서버를 추가한 후에는 Azure 네트워크 어댑터를 설치할 서버를 선택 하 고 네트워크 창에서 "+ Azure 네트워크 어댑터 추가 (미리 보기)" 옵션 옆에 있는 도구에서 네트워크 를 선택할 수 있습니다.

브라우저 창에 "+ Azure 네트워크 어댑터 추가 (미리 보기)" 옵션이 표시 되지 않으면 창을 확대 하거나 드롭다운 캐럿을 사용 하 여 작업 단추를 볼 수 있습니다. 드롭다운 캐럿을 선택 하 여 옵션에 액세스 하 고 Azure 네트워크 어댑터를 추가 합니다.

+ Azure 네트워크 어댑터 추가 (미리 보기) 옵션을 선택 하면 브라우저 창에서 azure 네트워크 어댑터 구성 추가 블레이드가 열립니다. 이 블레이드 내에서 구성할 수 있는 몇 가지 옵션이 있습니다.

참고

이전에 사용 하려는 Azure 테 넌 트에 대해 WAC에서 인증 하지 않은 경우 인증 대화 상자가 표시 됩니다. 계속 하려면 테 넌 트의 인증 정보를 제공 하세요. 인증에 사용 하는 사용자 자격 증명에는 이후 단계에서 구성 하는 Azure 리소스를 만들 수 있는 충분 한 권한이 있어야 합니다.

다음 정보가 필요 합니다.

필드 추가 정보
구독 드롭다운에서 선택 이 필드에는 테 넌 트에 할당 된 구독만 나열 됩니다.
위치 드롭다운에서 선택 배포에 사용할 Azure 지역을 선택 합니다.
Virtual Network 드롭다운을 선택 하거나 제공 된 하이퍼링크를 사용 하 여 에서 새 Virtual Network를 만듭니다 Azure Portal 선택 항목에 따라 필드의 내용이 달라 집니다. Virtual Network 있는 경우 Azure Portal에서 Virtual Network를 검토 하기 위해 수행할 수 있는 하이퍼링크가 표시 됩니다. 선택한 VNet에 VNet 게이트웨이가 이미 있는 경우 해당 Azure 리소스에 대 한 하이퍼링크가 제공 됩니다.
게이트웨이 서브넷 서브넷 접두사 (예: 10.0.1.0/24) 선택한 Virtual Network에 따라이 필드는 달라질 수 있습니다. 선택한 VNet에 서브넷이 있는 서브넷이 없는 경우 필드는 주소 범위 및 서브넷 마스크를 포함 하는 서브넷 접두사로 미리 채워집니다. 선택한 VNet에 VNet 게이트웨이가 이미 있는 경우 해당 Azure 리소스에 대 한 하이퍼링크가 제공 됩니다.
게이트웨이 SKU 드롭다운에서 선택 자세한 내용은 게이트웨이 sku를 참조 하세요.
클라이언트 주소 공간 서브넷 접두사 (예: 192.168.1.0/24) 필드는 주소 범위 및 서브넷 마스크를 포함 하는 서브넷 접두사로 미리 채워집니다. Azure 네트워크 어댑터와 Azure VPN Gateway를 추가 하는 서버 간에 사용 되는 네트워크입니다. 온-프레미스 또는 연결 된 Azure 가상 네트워크에서 사용 되는 주소 범위와 겹치지 않는 주소 범위가 있어야 합니다.
인증 인증서 옵션 중 하나를 선택 합니다. "자동 생성 된 자체 서명 된 루트 및 클라이언트 인증서" 옵션은 미리 선택 되며 대부분의 시나리오에서 가장 잘 작동 합니다. "자체 루트 및 클라이언트 인증서 사용" 옵션을 선택 하는 경우 루트 인증서 (.cer)와 클라이언트 인증서 (.pfx)의 두 파일을 제공 하 고 클라이언트 인증서에 대 한 암호를 제공 해야 합니다.

모든 필수 필드를 완료 하면 만들기 단추가 활성화 되 고 선택한 서버에 대 한 Azure 네트워크 어댑터의 배포를 시작 하려면이 단추를 선택 해야 합니다.

배포 프로세스에는 두 가지 주요 부분이 있습니다. 첫 번째 부분은 Azure VPN Gateway의 배포 및 선택입니다. Azure VPN Gateway를 먼저 배포 해야 하는 경우 배포를 완료 하는 데 25 ~ 45 분이 걸릴 수 있습니다. 일부 구성에서는 배포 하는 데 시간이 오래 걸릴 수 있습니다. WAC는 배포의 진행 상황에 대 한 정보를 제공 합니다. 두 번째 부분은 Azure 네트워크 어댑터의 실제 설치 이며 10 분 정도 걸릴 수 있습니다. WAC 설치 진행 상황을 알려 줍니다.

배포가 시작 되 면 다른 도구나 서버를 선택 하 여 WAC의 포커스를 변경할 수 있습니다. 배포 프로세스는 백그라운드에서 계속 진행 됩니다.

자동 생성 된 자체 서명 된 루트 및 클라이언트 인증서 옵션을 선택 하면 Azure에서 자동으로 두 개의 필수 인증서를 만들어 선택한 서버의 인증서 저장소에 저장 합니다. WAC에서 인증서 도구를 사용 하 여 찾을 수 있으며 로컬 컴퓨터/루트 컨테이너에서 루트 인증서를 찾을 수 있습니다. 인증서의 이름은 관리 센터에서 만든 vpngw Windows 로 시작 하 고 P2SRoot 문자열을 포함 합니다. 문자열 tail에는 인증서의 만든 날짜를 사용 하 여 인코딩된 타임 스탬프가 포함 됩니다. 이 인증서는 로컬 컴퓨터/CA 컨테이너에도 저장 됩니다. 두 번째 인증서는 로컬 컴퓨터/내 컨테이너에 저장 됩니다. 이 인증서의 이름은 Windows Admin Center-vpngw 로 시작 하 고 P2SClient 문자열을 포함 합니다. 문자열 tail에는 인증서의 만든 날짜를 사용 하 여 인코딩된 타임 스탬프가 포함 됩니다.

배포가 완료 되 면 선택한 서버의 네트워크 도구는 새 Azure 네트워크 어댑터로 업데이트 됩니다 .이 어댑터는 배포가 종료 된 후 자동으로 시작 되며 활성 상태를 나타냅니다. 어댑터를 선택 하 여 더 많은 드롭다운 목록을 활성화할 수 있습니다. 그러면 어댑터를 분리 하거나 삭제 하도록 선택할 수 있습니다. 실제 서버에서 Azure 네트워크 어댑터는 VPN 연결로 설치 됩니다. 어댑터 이름은 Windows Admin center vpn 으로 시작 하 고 그 뒤에 임의의 3 자리 숫자가 옵니다.

Azure 네트워크 어댑터가 설치 및 연결 되 면이 새 네트워크 연결을 사용 하 여 Azure Vnet 및 해당 시스템에 직접 연결할 수 있습니다. 이 유형의 연결은 일반적으로 VM의 공용 IP 주소를 사용 하는 대신 Azure VM의 내부 IP 주소를 통해 원격 데스크톱 세션을 설정 하는 데 사용 됩니다.

전용 WAC 서버 사용

중앙 집중식 관리를 위해 다른 서버를 추가할 수 있는 전용 Windows 관리 서버 설치를 사용 하는 것이 좋습니다. 이 방법은 추가 소프트웨어가 필요한 관리 되는 서버가 없음을 의미 합니다. WAC에 대 한 자세한 내용은 Microsoft docs를 참조 하세요.

전용 VNet 준비

Azure 네트워크 어댑터의 설치 인터페이스가 명명 규칙 또는 가격 책정 계층 요구 사항에 맞지 않을 수 있습니다. 이러한 충돌을 방지 하려면 어댑터를 배포 하기 전에 필수 Azure 리소스를 만들 수 있습니다. 배포 하는 동안 설치 인터페이스를 통해 기존 리소스를 만드는 대신 기존 리소스를 선택 합니다.

참고

일부는 Azure 네트워크 어댑터와 함께 제공 되는 VPN 연결을 지원 하지 않으므로 올바른 VPN Gateway SKU를 선택 해야 합니다. 설치 대화 상자에는 VpnGw1, VpnGw2 및 VpnGw3가 제공 됩니다. 현재 어댑터는 VPN Gateway의 영역 중복 버전을 지원 하지 않습니다.

확장성 고려 사항

  • VPN Gateway SKU:
    • 선택 하 VPN Gateway는 SKU 에 따라 병렬로 수행할 수 있는 연결 수와 이러한 모든 연결에 사용할 수 있는 대역폭이 결정 됩니다. P2S IKEv2/OpenVPN 옵션을 사용 하면 동시 연결 수가 250에서 1000까지 다릅니다. IKE는 IPsec 키 Exchange 를 참조 합니다. VpnGw1로 시작 하 고 더 많은 연결이 필요한 경우 나중에 확장 하는 것이 좋습니다. VPN Gateway 생성을 전환 해야 하는 경우 새 게이트웨이를 설치 하 고 새 게이트웨이를 배포 하 여 새 게이트웨이를 연결 해야 합니다.
  • 여러 독립 실행형 서버를 커넥트 합니다.
    • WAC를 사용 하 여 Azure 네트워크 어댑터를 필요한 수 만큼 서버에 배포할 수 있습니다. 여러 azure 네트워크 어댑터를 단일 서버에 추가 하 여 다른 Azure Vnet에 연결할 수도 있습니다. VPN Gateway 초기 배포가 완료 되 면 설치 인터페이스에서 기존 게이트웨이를 선택 하 여 동일한 게이트웨이를 사용 하도록 추가 서버를 구성할 수 있습니다.
    • 독립 실행형 서버는 동일한 네트워크, 지사 네트워크 또는 다른 클라우드 기반 네트워크에 있을 수 있습니다. 이러한 연결을 통해 필요한 네트워크 포트를 사용할 수 있는 경우 회사 WAN 또는 다른 클라우드 공급자에 대 한 전용 VPN과 같은 설정 된 네트워크 연결을 사용할 수 있습니다. 자세한 내용은이 문서의 "보안 고려 사항" 섹션을 참조 하세요.
  • Azure 사이트 간 연결:
    • Azure 네트워크 어댑터는 단일 서버에 설치 된 단일 서버입니다. 여러 서버를 연결 하려는 경우 상당한 관리 작업을 할 수 있습니다. 그러나 azure 사이트-2-사이트 연결 (S2S) 방법을 사용 하 여 온-프레미스 시스템을 연결 하면 기존 온-프레미스 네트워크를 azure VNet 및 서브넷에 연결 하 여 이러한 작업을 방지할 수 있습니다. 이 연결의 핵심은 원격 Azure VPN Gateway를 사용 하 여 로컬 온-프레미스 VPN 게이트웨이를 연결 하는 데 사용할 수 있는 Azure VPN Gateway입니다. 이 보안 연결을 통해 두 네트워크 세그먼트가 서로 투명 하 게 통신할 수 있습니다.

가용성 고려 사항

  • Azure 네트워크 어댑터는 Azure VPN Gateway의 활성-수동 구성만 지원 합니다. 어댑터를 구성 하는 동안 기존 활성-활성 AZURE VPN 게이트웨이를 가리킬 수 있습니다. 게이트웨이가 활성-수동 구성으로 다시 구성 됩니다. 활성-활성 상태로의 수동 게이트웨이 재구성이 가능 하지만 Azure 네트워크 어댑터는이 게이트웨이에 연결 되지 않습니다.

    경고

    활성-활성 구성을 사용 하 여 기존 Azure VPN Gateway에 대해 Azure 네트워크 어댑터를 구성 하면 게이트웨이가 활성-수동으로 다시 구성 됩니다. 그러면이 게이트웨이에 대 한 모든 기존 VPN 연결에 영향을 줍니다. 활성-활성 구성을 활성-대기 구성으로 변경 하면 각 연결에 대해 두 개의 IPsec VPN 터널 중 하나가 삭제 됩니다. 전반적인 연결 요구 사항을 평가 하 고 네트워크 관리자에 게 문의 하지 않고 계속 진행 하지 마세요 .

관리 효율성 고려 사항

  • 관리 계정:
    • WAC는 Azure 네트워크 어댑터를 배포 하 고 계정 처리를 구성 하는 데 사용 하는 핵심 도구입니다. 사용할 수 있는 옵션에 대 한 자세한 내용은 Windows 관리 센터를 사용 하는 사용자 액세스 옵션을 참조 하세요. 서버 연결당 개별 계정을 구성할 수 있습니다.

      참고

      서버 별로 관리 계정을 구성 하는 대화 상자에서 계속 을 선택 하면 자격 증명의 유효성을 검사 합니다. 대화 상자를 열려면 WAC에서 해당 서버 이름이 있는 행을 선택 하 고 다음 으로 관리 를 선택 합니다. 서버를 나타내는 하이퍼링크를 선택 하지 마세요 . 서버에 즉시 연결 됩니다.

    • 또한 WAC 및 계정 수정 섹션에서 설정 대화 상자를 열고 Azure 연결에 대 한 사용자 계정을 구성 해야 합니다. 또한 설정 대화 상자에서 사용자를 전환 하거나 사용자 세션에서 로그 아웃할 수 있습니다.

  • Azure 복구 자격 증명 모음 통합:
    • 독립 실행형 서버에 Azure 네트워크 어댑터를 설치 하는 경우 해당 서버에서 비즈니스 연속성에 대 한 포트를 고려할 수 있습니다. WAC의 도구 섹션에서 Azure Backup 을 선택 하 여 구성 하는 Azure 복구 자격 증명 모음 서비스를 사용 하 여 백업 및 재해 복구 절차에 해당 서버를 통합할 수 있습니다. Azure Backup는 Microsoft Azure에 서버를 직접 백업 하 여 손상, 공격 또는 재해 로부터 Windows 서버를 보호 하는 데 도움이 됩니다.

보안 고려 사항

  • 필요한 네트워크 포트:
    • WAC를 사용 하 여 Azure 네트워크 어댑터를 배포 하려면 PowerShell remoting에 대 한 네트워크 포트가 열려 있어야 합니다.

    • PowerShell Remoting은 Windows 원격 관리 (WinRM)를 사용 합니다. 자세한 내용은 Powershell Remoting 보안 고려 사항powershell 원격 기본 설정을 참조 하세요.

    • 일부 시나리오에서는 추가 인증 방법을 사용 해야 합니다. WAC는 CredSSP (Credential Security Support Provider protocol)와 함께 PowerShell을 사용 하 여 원격 서버에 연결할 수 있습니다. 자세한 내용은 PowerShell 원격 및 credsspWindows 관리 센터에서 credssp를 사용하는 방법을 참조 하세요.

    • PowerShell Remoting (및 WinRM)은 다음 포트를 사용 합니다.

      프로토콜 포트
      HTTP 5985
      HTTPS 5986
    • WAC (Windows Admin Center)가 설치 된 서버에 연결 하는 방법은 WAC의 설치 유형에 따라 달라 집니다. 기본 포트는 Windows 10에 설치 된 경우 포트 6516 또는 Windows 서버에 설치 된 경우 포트 443 일 수 있습니다. 자세한 내용은 Install Windows Admin Center를 참조 하세요.

  • Azure Security Center 통합:
    • Azure 네트워크 어댑터가 설치 되는 서버를 보호 하기 위해 WAC의 도구 섹션에서 Azure Security Center 를 선택 하 여 Azure Security Center에 서버를 통합할 수 있습니다. 통합 하는 동안 기존 Azure Log Analytics 작업 영역을 선택 하거나 새 작업 영역을 만들어야 합니다. Azure Security Center와 통합 하는 각 서버에 대해 별도로 요금이 청구 됩니다. 자세한 내용은 Azure Security Center 가격 책정을 참조 하세요.

DevOps 고려 사항

  • Azure 자동화:
    • WAC는 Azure 네트워크 어댑터를 만드는 PowerShell 코드에 대 한 액세스를 제공 하 고, 네트워크 도구를 선택한 다음, WAC 페이지의 맨 위에 있는 powershell 스크립트 보기 아이콘을 선택 하 여 검토할 수 있습니다. 스크립트의 이름은 P2SVPNConfiguration 이 고 PowerShell 함수로 구현 됩니다. 코드는 디지털 서명 되 고 재사용할 준비가 됩니다. Azure Portal 내에서 더 많은 서비스를 구성 하 여 Azure Automation 에 통합할 수 있습니다.

비용 고려 사항

  • Azure 가격 계산기:
    • Azure 네트워크 어댑터를 사용하는 것은 온-프레미스 시스템에 배포하는 구성 요소이기 때문에 실제로 비용이 들지 않습니다. 솔루션의 일부로 Azure VPN Gateway Azure Recovery Vault 또는 Azure Security Center 같은 다른 서비스의 사용과 마찬가지로 추가 비용이 발생합니다. 실제 비용에 대한 자세한 내용은 Azure 가격 계산기 를 참조하세요. 실제 비용은 Azure 지역 및 개별 계약에 따라 달라집니다. 가격 책정에 대한 자세한 내용은 Microsoft 영업 담당자에게 문의하세요.
  • Egress 비용:
    • 아웃바운드 Inter-VNet 데이터 전송과 관련된 추가 비용이 있습니다. 이러한 비용은 VPN Gateway SKU 및 사용 중인 실제 데이터 양에 따라 달라집니다. 자세한 내용은 Azure 가격 계산기 를 참조하세요. 실제 비용은 Azure 지역 및 개별 계약에 따라 달라집니다. 가격 책정에 대한 자세한 내용은 Microsoft 영업 담당자에게 문의하세요.

다음 단계

구성 요소 기술에 대해 자세히 알아보세요.

관련 아키텍처 살펴보기: