ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure에 연결

ExpressRoute
Virtual Network
VPN Gateway

이 참조 아키텍처는 사이트 간 VPN(가상 사설망)을 장애 조치(failover) 연결로 사용하여 ExpressRoute를 통해 온-프레미스 네트워크를 Azure VNet(Virtual Network)에 연결하는 방법을 보여 줍니다. ExpressRoute 연결을 통해 온-프레미스 네트워크와 Azure VNet 사이에서 트래픽이 흐릅니다. ExpressRoute 회로의 연결이 끊어진 경우 트래픽은 IPSec VPN 터널을 통해 라우팅됩니다. 이 솔루션을 배포합니다.

ExpressRoute 회로를 사용할 수 없는 경우 VPN 경로가 프라이빗 피어링 연결만 처리합니다. 공용 피어링 및 Microsoft 피어링 연결은 인터넷을 통과합니다.

ExpressRoute 및 VPN Gateway를 사용하는 고가용성 하이브리드 네트워크 아키텍처를 위한 참조 아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

Architecture

이 아키텍처는 다음 구성 요소로 구성됩니다.

  • 온-프레미스 네트워크. 조직 내에서 실행되는 프라이빗 로컬 영역 네트워크입니다.

  • VPN 어플라이언스. 온-프레미스 네트워크에 외부 연결을 제공하는 디바이스 또는 서비스입니다. VPN 어플라이언스는 하드웨어 디바이스일 수도 있고 Windows Server 2012의 RRAS(라우팅 및 원격 액세스 서비스)와 같은 소프트웨어 솔루션일 수도 있습니다. 지원되는 VPN 어플라이언스 목록 및 선택한 VPN 어플라이언스를 Azure에 연결하도록 구성하는 방법에 대한 자세한 내용은 사이트 간 VPN Gateway 연결에 대한 VPN 디바이스 정보를 참조하세요.

  • Express 경로 회로. 에지 라우터를 통해 Azure에서 온-프레미스 네트워크를 연결하는 연결 공급자가 제공하는 레이어 2 또는 레이어 3 회로입니다. 이 회로는 연결 공급자가 관리하는 하드웨어 인프라를 사용합니다.

  • Express 경로 가상 네트워크 게이트웨이. ExpressRoute 가상 네트워크 게이트웨이를 사용하면 VNet을 온-프레미스 네트워크에 연결하는 데 사용되는 ExpressRoute 회로에 연결할 수 있습니다.

  • VPN 가상 네트워크 게이트웨이. VPN 가상 네트워크 게이트웨이를 사용하면 VNet을 온-프레미스 네트워크의 VPN 어플라이언스에 연결할 수 있습니다. VPN 가상 네트워크 게이트웨이는 VPN 어플라이언스를 통해서만 온-프레미스 네트워크의 요청을 수락하도록 구성되어 있습니다. 자세한 내용은 온-프레미스 네트워크를 Microsoft Azure virtual network에 연결을 참조하세요.

  • VPN 연결. 이 연결에는 연결 형식(IPSec) 및 트래픽을 암호화하기 위해 온-프레미스 VPN 어플라이언스와 공유되는 키를 지정하는 속성이 있습니다.

  • Azure Virtual Network (VNet). 각 VNet은 단일 Azure 지역에 상주하며 여러 애플리케이션 계층을 호스트할 수 있습니다. 애플리케이션 계층은 각 VNet의 서브넷을 사용하여 분할할 수 있습니다.

  • 게이트웨이 서브넷. 가상 네트워크 게이트웨이는 동일한 서브넷에 있습니다.

  • 클라우드 애플리케이션. Azure에 호스팅된 애플리케이션입니다. Azure Load Balancer를 통해 여러 서브넷이 연결된 여러 계층이 포함될 수 있습니다. 애플리케이션 인프라에 대한 자세한 내용은 Windows VM 워크로드 실행Linux VM 워크로드 실행을 참조하세요.

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

VNet과 GatewaySubnet

게이트웨이 개체가 이미 있는 동일한 VNet에서 Express 경로 가상 네트워크 게이트웨이 연결 및 VPN 가상 네트워크 게이트웨이 연결을 만듭니다. 두 사용자는 모두 게이트웨이 서브넷 이라는 동일한 서브넷을 공유 합니다.

VNet에 이름이 GatewaySubnet 인 서브넷이 이미 포함되어 있는 경우 /27 이상의 주소 공간이 있어야 합니다. 기존 서브넷이 너무 작은 경우 다음 PowerShell 명령을 사용하여 서브넷을 제거합니다.

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

VNet에 게이트웨이 서브넷 이 포함 되지 않은 경우 다음 PowerShell 명령을 사용 하 여 새 서브넷을 만듭니다.

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN 및 ExpressRoute 게이트웨이

조직이 Azure에 연결하기 위한 ExpressRoute 필수 조건 요구 사항을 충족하는지 확인합니다.

Azure VNet에 VPN 가상 네트워크 게이트웨이가 이미 있는 경우 다음 PowerShell 명령을 사용 하 여 제거 합니다.

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Azure ExpressRoute를 사용하여 하이브리드 네트워크 아키텍처 구현의 지침을 따라 ExpressRoute 연결을 설정합니다.

Azure 및 온-프레미스 VPN을 사용하여 하이브리드 네트워크 아키텍처 구현의 지침을 따라 VPN 가상 네트워크 게이트웨이 연결을 설정합니다.

가상 네트워크 게이트웨이 연결을 설정한 후 다음과 같이 환경을 테스트합니다.

  1. 온-프레미스 네트워크에서 Azure VNet으로 연결할 수 있는지 확인합니다.
  2. 테스트를 위해 ExpressRoute 연결을 중지하려면 공급자에게 문의합니다.
  3. VPN 가상 네트워크 게이트웨이 연결을 사용하여 온-프레미스 네트워크에서 Azure VNet으로 계속 연결할 수 있는지 확인합니다.
  4. ExpressRoute 연결을 재설정하려면 공급자에게 문의합니다.

DevOps 고려 사항

Express 경로 DevOps 고려 사항은 Azure express 경로를 사용 하 여 하이브리드 네트워크 아키텍처 구현 지침을 참조 하세요.

사이트 간 VPN DevOps 고려 사항에 대 한 자세한 내용은 Azure 및 온-프레미스 vpn을 사용 하 여 하이브리드 네트워크 아키텍처 구현 지침을 참조 하세요.

보안 고려 사항

일반적인 Azure 보안 고려 사항은 Microsoft Cloud Services 및 네트워크 보안을 참조하세요.

비용 고려 사항

Express 경로 비용 고려 사항은 다음 문서를 참조 하세요.

솔루션 배포

필수 구성 요소. 적절한 네트워크 어플라이언스를 사용하여 기존 온-프레미스 인프라가 이미 구성된 상태여야 합니다.

솔루션을 배포하려면 다음 단계를 수행합니다.

  1. 아래 링크를 클릭 합니다.

    Azure에 배포

  2. Azure Portal에서 링크가 열릴 때까지 기다린 후 다음 단계를 수행합니다.

    • 리소스 그룹 이름이 매개 변수 파일에 이미 정의되어 있으므로 새로 만들기 를 선택하고 텍스트 상자에 ra-hybrid-vpn-er-rg를 입력합니다.
    • 위치 드롭다운 상자에서 하위 지역을 선택합니다.
    • 템플릿 루트 Uri 또는 매개 변수 루트 Uri 텍스트 상자를 편집하지 마세요.
    • 사용 약관을 검토한 후 위에 명시된 사용 약관에 동의함 확인란을 클릭합니다.
    • 구매 단추를 클릭합니다.
  3. 배포가 완료될 때가지 기다립니다.

  4. 아래 링크를 클릭 합니다.

    Azure에 배포

  5. Azure Portal에 링크가 열릴 때까지 기다린 후 다음 단계를 수행합니다.

    • 리소스 그룹 섹션에서 기존 항목 사용 을 선택하고 텍스트 상자에 ra-hybrid-vpn-er-rg를 입력합니다.
    • 위치 드롭다운 상자에서 하위 지역을 선택합니다.
    • 템플릿 루트 Uri 또는 매개 변수 루트 Uri 텍스트 상자를 편집하지 마세요.
    • 사용 약관을 검토한 후 위에 명시된 사용 약관에 동의함 확인란을 클릭합니다.
    • 구매 단추를 클릭합니다.

다음 단계