VPN gateway를 사용 하 여 Azure에 연결 된 온-프레미스 네트워크On-premises network connected to Azure using a VPN gateway

이 참조 아키텍처는 사이트 간 VPN (가상 사설망)을 사용 하 여 온-프레미스 또는 Azure Stack에서 Azure virtual network로 네트워크를 확장 하는 방법을 보여 줍니다.This reference architecture shows how to extend a network from on premises or from Azure Stack into an Azure virtual network, using a site-to-site virtual private network (VPN). IPSec VPN 터널을 통해 또는 Azure Stack 다중 테 넌 트 VPN gateway를 통해 온-프레미스 네트워크와 Azure 간에 트래픽이 흐릅니다.Traffic flows between the on-premises network and Azure through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. 이 솔루션을 배포합니다.Deploy this solution.

Hybrid network spanning on-premises and Azure infrastructures

VPN gateway 아키텍처의 다이어그램입니다.A diagram of the VPN gateway architecture. 온-프레미스 네트워크는 VPN gateway를 통해 Azure 가상 네트워크에 연결 됩니다.An on-premises network connects to an Azure virtual network through a VPN gateway. 또한 Azure Stack의 가상 네트워크는 공용 Vip를 통해 VPN gateway에 연결 합니다.A virtual network in Azure Stack also connects to the VPN gateway through public VIPs.

이 아키텍처의 Visio 파일을 다운로드합니다.Download a Visio file of this architecture.

ArchitectureArchitecture

이 아키텍처는 다음 구성 요소로 구성됩니다.The architecture consists of the following components.

  • 온-프레미스 네트워크.On-premises network. 조직 내에서 실행되는 프라이빗 로컬 영역 네트워크입니다.A private local-area network running within an organization.

  • Azure Stack.Azure Stack. 조직 내에서 실행 되는 Azure Stack 테 넌 트 구독의 네트워크 환경입니다.A network environment on an Azure Stack tenant subscription, running within an organization. Azure Stack VPN gateway는 공용 연결을 통해 암호화 된 트래픽을 VIP (가상 IP) 주소로 전송 하 고 다음 구성 요소를 포함 합니다.The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • 게이트웨이 서브넷.Gateway subnet. Azure Stack에 VPN Gateway를 배포 하는 데 필요한 특별 한 서브넷입니다.A special subnet required to deploy the VPN Gateway on Azure Stack.
    • 로컬 네트워크 게이트웨이.Local network gateway. Azure 가상 네트워크의 주소 공간 뿐만 아니라 Azure에서 VPN 게이트웨이의 대상 IP를 나타냅니다.Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure virtual network.
    • 사이트 간 VPN 터널.Site-to-site VPN tunnel. 트래픽을 암호화 하기 위해 Azure VPN Gateway와 공유 되는 연결 유형 (IPSec) 및 키입니다.The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • VPN 어플라이언스.VPN appliance. 온-프레미스 네트워크에 외부 연결을 제공하는 디바이스 또는 서비스입니다.A device or service that provides external connectivity to the on-premises network. VPN 어플라이언스는 하드웨어 디바이스일 수도 있고 Windows Server 2012의 RRAS(라우팅 및 원격 액세스 서비스)와 같은 소프트웨어 솔루션일 수도 있습니다.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. 지원되는 VPN 어플라이언스 목록 및 VPN 어플라이언스가 Azure VPN Gateway에 연결되도록 구성하는 방법은 사이트 간 VPN Gateway 연결을 위한 VPN 디바이스 정보 문서에서 선택한 디바이스에 대한 지침을 참조하세요.For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • 가상 네트워크.Virtual network. Azure VPN gateway에 대 한 클라우드 응용 프로그램 및 구성 요소는 동일한 가상 네트워크에 상주 합니다.The cloud application and the components for the Azure VPN gateway reside in the same virtual network.

  • AZURE VPN gateway.Azure VPN gateway. Vpn gateway 서비스를 사용 하면 vpn 어플라이언스를 통해 가상 네트워크를 온-프레미스 네트워크에 연결 하거나 사이트 간 vpn 터널을 통해 Azure Stack에 연결할 수 있습니다.The VPN gateway service enables you to connect the virtual network to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. 자세한 내용은 온-프레미스 네트워크를 Microsoft Azure virtual network에 연결을 참조하세요.For more information, see Connect an on-premises network to a Microsoft Azure virtual network. VPN 게이트웨이에는 다음과 같은 요소가 포함되어 있습니다.The VPN gateway includes the following elements:

    • 가상 네트워크 게이트웨이.Virtual network gateway. 가상 네트워크에 대 한 가상 VPN 어플라이언스를 제공 하는 리소스입니다.A resource that provides a virtual VPN appliance for the virtual network. 온-프레미스 네트워크에서 가상 네트워크로 트래픽을 라우팅하는 책임이 있습니다.It is responsible for routing traffic from the on-premises network to the virtual network.
    • 로컬 네트워크 게이트웨이.Local network gateway. 온-프레미스 VPN 어플라이언스가 추상화된 것입니다.An abstraction of the on-premises VPN appliance. 클라우드 애플리케이션에서 온-프레미스 네트워크로 흐르는 네트워크 트래픽은 이 게이트웨이를 통과하도록 라우팅됩니다.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • 연결.Connection. 이 연결에는 연결 형식(IPSec) 및 트래픽을 암호화하기 위해 온-프레미스 VPN 어플라이언스와 공유되는 키를 지정하는 속성이 있습니다.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • 게이트웨이 서브넷.Gateway subnet. 가상 네트워크 게이트웨이는 자체 서브넷에 존재합니다. 자체 서브넷은 아래의 권장 사항 섹션에서 설명하는 다양한 요구 사항에 따라 달라집니다.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • 클라우드 애플리케이션.Cloud application. Azure에 호스팅된 애플리케이션입니다.The application hosted in Azure. Azure Load Balancer를 통해 여러 서브넷이 연결된 여러 계층이 포함될 수 있습니다.It might include multiple tiers, with multiple subnets connected through Azure load balancers. 애플리케이션 인프라에 대한 자세한 내용은 Windows VM 워크로드 실행Linux VM 워크로드 실행을 참조하세요.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • 내부 부하 분산 장치.Internal load balancer. VPN 게이트웨이에서 전송되는 네트워크 트래픽은 내부 부하 분산 장치를 통해 클라우드 애플리케이션으로 라우팅됩니다.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. 부하 분산 장치는 애플리케이션의 프론트 엔드 서브넷에 위치합니다.The load balancer is located in the front-end subnet of the application.

  • 요새.Bastion. Azure 방호 를 사용 하면 vm을 인터넷에 직접 노출 하지 않고도 SSH 또는 RDP (원격 데스크톱 프로토콜)를 통해 가상 네트워크의 vm에 로그인 할 수 있습니다.Azure Bastion allows you to log into VMs in the virtual network through SSH or remote desktop protocol (RDP) without exposing the VMs directly to the internet. VPN을 통한 연결이 끊어진 경우에도 계속 해 서 가상 네트워크의 Vm을 관리 하는 데 사용할 수 있습니다.If you lose connectivity through the VPN, you can still use Bastion to manage the VMs in the virtual network.

권장 사항Recommendations

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다.The following recommendations apply for most scenarios. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.Follow these recommendations unless you have a specific requirement that overrides them.

가상 네트워크 및 게이트웨이 서브넷Virtual network and gateway subnet

필요한 모든 리소스에 대해 충분 한 크기의 주소 공간을 사용 하 여 Azure 가상 네트워크를 만듭니다.Create an Azure virtual network with an address space large enough for all of your required resources. 나중에 추가 Vm이 필요할 가능성이 있는 경우 가상 네트워크 주소 공간에 성장을 위한 충분 한 공간이 있는지 확인 합니다.Ensure that the virtual network address space has sufficient room for growth if additional VMs are likely to be needed in the future. 가상 네트워크의 주소 공간은 온-프레미스 네트워크와 겹치지 않아야 합니다.The address space of the virtual network must not overlap with the on-premises network. 예를 들어 위의 다이어그램은 가상 네트워크에 대 한 10.20.0.0/16 주소 공간을 사용 합니다.For example, the diagram above uses the address space 10.20.0.0/16 for the virtual network.

이름이 GatewaySubnet 인 서브넷을 만듭니다. 주소 범위는 /27로 합니다.Create a subnet named GatewaySubnet, with an address range of /27. 이 서브넷은 가상 네트워크 게이트웨이에서 사용합니다.This subnet is required by the virtual network gateway. 이 서브넷에 주소 32개를 할당하면 추후 게이트웨이 크기 제한에 도달하지 않을 수 있습니다.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. 주소 공간 가운데에 이 서브넷을 배치하지 않습니다.Also, avoid placing this subnet in the middle of the address space. 가상 네트워크 주소 공간의 위쪽 끝에 게이트웨이 서브넷에 대 한 주소 공간을 설정 하는 것이 좋습니다.A good practice is to set the address space for the gateway subnet at the upper end of the virtual network address space. 다이어그램에서는 10.20.255.224/27을 사용하고 있습니다.The example shown in the diagram uses 10.20.255.224/27. CIDR을 계산 하는 빠른 절차는 다음과 같습니다.Here is a quick procedure to calculate the CIDR:

  1. 가상 네트워크의 주소 공간에 있는 변수 비트를 게이트웨이 서브넷에서 사용 되는 비트까지 1로 설정 하 고 나머지 비트를 0으로 설정 합니다.Set the variable bits in the address space of the virtual network to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. 결과 비트를 10진수로 변환한 다음 이것을 게이트웨이 서브넷의 크기로 설정된 접두사 길이를 사용하여 주소 공간으로 표현합니다.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

예를 들어 IP 주소 범위가 10.20.0.0/16 인 가상 네트워크의 경우 위의 #1 단계를 적용 하면 10.20.0 b 11111111.0 b11100000가 됩니다.For example, for a virtual network with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. 이것을 10진수로 변환한 다음 주소 공간으로 표현하면 10.20.255.224/27이 됩니다.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

경고

게이트웨이 서브넷에는 VM을 배포하지 않습니다.Do not deploy any VMs to the gateway subnet. 또한, 이 서브넷에 NSG을 할당하지 않습니다. NSG를 할당하면 게이트웨이의 작동이 중지됩니다.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

가상 네트워크 게이트웨이Virtual network gateway

가상 네트워크 게이트웨이에 공용 IP 주소를 할당합니다.Allocate a public IP address for the virtual network gateway.

게이트웨이 서브넷에 가상 네트워크 게이트웨이를 만든 다음 이것을 새로 할당된 공용 IP 주소에 할당합니다.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. 사용자 요구 사항에 가장 가까우면서 사용자의 VPN 어플라이언스가 지원하는 게이트웨이 유형을 사용합니다.Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • 주소 접두사와 같은 정책 조건을 바탕으로 요청이 라우팅되는 방식을 제어해야 하는 경우 policy-based gateway를 만듭니다.Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. 정책 기반 게이트웨이는 정적 라우팅을 사용하며, 사이트 간 연결에서만 작동합니다.Policy-based gateways use static routing, and only work with site-to-site connections.

  • 경로 기반 게이트웨이 만들기Create a route-based gateway

    • RRAS를 사용 하 여 온-프레미스 네트워크에 연결 합니다.You connect to the on-premises network using RRAS,
    • 다중 사이트 또는 지역 간 연결을 지원 하거나You support multi-site or cross-region connections, or
    • 여러 가상 네트워크를 통과 하는 경로를 포함 하 여 가상 네트워크 간에 연결이 있습니다.You have connections between virtual networks, including routes that traverse multiple virtual networks.

    경로 기반 게이트웨이는 네트워크 간에 트래픽을 전달할 때 동적 라우팅을 사용합니다.Route-based gateways use dynamic routing to direct traffic between networks. 동적 라우팅은 대체 경로를 시도하므로 정적 라우팅보다 네트워크 경로 장애에 대한 내결함성이 높습니다.They can tolerate failures in the network path better than static routes because they can try alternative routes. 경로 기반 게이트웨이에서는 네트워크 주소가 변경되어도 경로를 수동으로 업데이트할 필요가 없기 때문에 관리 오버헤드를 줄일 수 있습니다.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

지원되는 VPN 어플라이언스 목록은 사이트 간 VPN 게이트웨이 연결을 위한 VPN 디바이스 정보를 참조하세요.For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

참고

게이트웨이를 만든 뒤에는 게이트웨이 유형을 변경하려면 게이트웨이를 삭제하고 다시 만들어야 합니다.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

사용자의 처리량 요구 사항에 가장 가까운 Azure VPN 게이트웨이 SKU를 선택합니다.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. 자세한 내용은 게이트웨이 sku 를 참조 하세요.For more information, see Gateway SKUs

참고

기본 SKU는 Azure ExpressRoute와 호환되지 않습니다.The Basic SKU is not compatible with Azure ExpressRoute. 게이트웨이를 만든 뒤에 SKU를 변경할 수 있습니다.You can change the SKU after the gateway has been created.

요청을 애플리케이션 VM으로 직접 전달하는 대신 게이트웨이로부터 수신되는 애플리케이션 트래픽을 내부 부하 분산 장치로 전달하는 게이트웨이 서브넷을 위한 라우팅 규칙을 만듭니다.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

온-프레미스 네트워크 연결On-premises network connection

로컬 네트워크 게이트웨이를 만듭니다.Create a local network gateway. 온-프레미스 VPN 어플라이언스의 공용 IP 주소와 온-프레미스 네트워크의 주소 공간을 지정합니다.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. 온-프레미스 VPN 어플라이언스는 Azure VPN 게이트웨이에서 로컬 네트워크 게이트웨이에 의해 액세스할 수 있는 공용 IP 주소를 가져야 합니다.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. VPN 디바이스는 NAT(Network Address Translator) 뒤에 배치될 수 없습니다.The VPN device cannot be located behind a network address translation (NAT) device.

가상 네트워크 게이트웨이와 로컬 네트워크 게이트웨이의 사이트 간 연결을 만듭니다.Create a site-to-site connection for the virtual network gateway and the local network gateway. 사이트 간(IPSec) 연결 유형을 선택하고 공유 키를 지정합니다.Select the site-to-site (IPSec) connection type, and specify the shared key. Azure VPN 게이트웨이를 사용하는 사이트 간 암호는 IPSec 프로토콜을 기반으로 하며, 인증을 위해 사전 공유된 키를 사용합니다.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. 사전 공유된 키는 Azure VPN 게이트웨이를 만들 때 사용자가 지정합니다.You specify the key when you create the Azure VPN gateway. 온-프레미스에서 실행되는 VPN 어플라이언스도 동일한 키로 구성해야 합니다.You must configure the VPN appliance running on-premises with the same key. 현재 다른 인증 메커니즘은 지원되지 않습니다.Other authentication mechanisms are not currently supported.

온-프레미스 라우팅 인프라가 Azure 가상 네트워크의 주소에 대 한 요청을 VPN 장치에 전달 하도록 구성 되어 있는지 확인 합니다.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure virtual network to the VPN device.

온-프레미스 네트워크에서 클라우드 애플리케이션에 필요한 포트를 모두 엽니다.Open any ports required by the cloud application in the on-premises network.

연결을 테스트하여 다음을 확인합니다.Test the connection to verify that:

  • 온-프레미스 VPN 어플라이언스가 Azure VPN 게이트웨이를 통해 트래픽을 클라우드 애플리케이션으로 올바르게 라우팅합니다.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • 가상 네트워크는 트래픽을 온-프레미스 네트워크로 올바르게 라우팅합니다.The virtual network correctly routes traffic back to the on-premises network.
  • 두 방향에서 금지된 트래픽이 올바르게 차단됩니다.Prohibited traffic in both directions is blocked correctly.

네트워크 연결 Azure StackAzure Stack network connection

이 참조 아키텍처는 Azure Stack 다중 테 넌 트 VPN gateway를 통해 Azure Stack 배포의 가상 네트워크를 Azure의 가상 네트워크에 연결 하는 방법을 보여 줍니다.This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. 일반적인 시나리오는 중요 한 작업 및 중요 한 데이터를 Azure Stack에서 분리 하 고 Azure를 활용 하 여 공용 트랜잭션과 일시적이 고 중요 하지 않은 작업을 수행 하는 것입니다.A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

이 아키텍처에서 네트워크 트래픽은 Azure Stack의 다중 테 넌 트 게이트웨이를 사용 하 여 VPN 터널을 통해 흐릅니다.In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. 또는 테 넌 트 Vip, Azure Express 경로 또는 VPN 끝점 역할을 하는 네트워크 가상 어플라이언스를 통해 Azure Stack와 Azure 간에 인터넷을 통해 트래픽을 전달할 수 있습니다.Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

가상 네트워크 게이트웨이 용량 Azure StackAzure Stack virtual network gateway capacity

Azure VPN Gateway와 Azure Stack VPN Gateway는 Azure와 Azure Stack 간의 라우팅 정보 교환을 위해 BGP (Border Gateway Protocol)를 지원 합니다.Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. Azure Stack 다중 테 넌 트 게이트웨이에 대 한 고정 라우팅을 지원 하지 않습니다.Azure Stack does not support static routing for the multitenant gateway.

필요한 모든 리소스에 대해 충분 한 크기의 할당 된 IP 주소 공간을 사용 하 여 Azure Stack 가상 네트워크를 만듭니다.Create an Azure Stack virtual network with an assigned IP address space large enough for all your required resources. 가상 네트워크의 주소 공간은이 가상 네트워크에 연결 하려는 다른 네트워크와 겹치지 않아야 합니다.The address space of the virtual network must not overlap with any other network that is going to be connected to this virtual network.

공용 IP 주소는 Azure Stack 배포 중에 다중 테 넌 트 게이트웨이에 할당 됩니다.A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. 공용 VIP 풀에서 가져옵니다.It is taken from the public VIP pool. Azure Stack 연산자는 사용 되는 IP 주소를 제어할 수 없지만 할당을 확인할 수는 있습니다.The Azure Stack operator has no control over what IP address is used but can determine its assignment.

주의

워크 로드 Vm은 Azure Stack gateway 서브넷에 배포할 수 없습니다.Workload VMs cannot be deployed on the Azure Stack gateway subnet. 또한, 이 서브넷에 NSG을 할당하지 않습니다. NSG를 할당하면 게이트웨이의 작동이 중지됩니다.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

확장성 고려 사항Scalability considerations

기본 또는 표준 VPN 게이트웨이 SKU에서 고성능 VPN SKU로 바꾸면 제한된 수직 확장성을 달성할 수 있습니다.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

대량의 VPN 트래픽이 필요한 가상 네트워크의 경우 서로 다른 워크 로드를 별도의 작은 가상 네트워크에 배포 하 고 각각에 대해 VPN gateway를 구성 하는 것이 좋습니다.For virtual networks that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller virtual networks and configuring a VPN gateway for each of them.

가상 네트워크는 가로 또는 세로로 분할할 수 있습니다.You can partition the virtual network either horizontally or vertically. 가로로 분할 하려면 각 계층의 VM 인스턴스를 새 가상 네트워크의 서브넷으로 이동 합니다.To partition horizontally, move some VM instances from each tier into subnets of the new virtual network. 결과적으로 각 가상 네트워크의 구조와 기능이 동일 합니다.The result is that each virtual network has the same structure and functionality. 수직으로 분할하려면 기능이 서로 다른 논리 영역(주문 처리, 송장 발행, 고객 계정 관리 등)으로 분할되도록 각 계층을 다시 디자인합니다.To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). 그러면 각 기능 영역을 자체 가상 네트워크에 배치할 수 있습니다.Each functional area can then be placed in its own virtual network.

가상 네트워크에서 온-프레미스 Active Directory 도메인 컨트롤러를 복제 하 고 가상 네트워크에서 DNS를 구현 하면 온-프레미스에서 클라우드로 이동 하는 보안 관련 및 관리 트래픽을 줄이는 데 도움이 될 수 있습니다.Replicating an on-premises Active Directory domain controller in the virtual network, and implementing DNS in the virtual network, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. 자세한 내용은 AD DS(Active Directory Domain Services)를 Azure로 확장을 참조하세요.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

가용성 고려 사항Availability considerations

Azure VPN 게이트웨이에서 온-프레미스 네트워크에 계속해서 액세스할 수 있도록 하려면 온-프레미스 VPN 게이트웨이를 위한 장애 조치(failover) 클러스터를 구현합니다.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

조직에 여러 온-프레미스 사이트가 있는 경우 하나 이상의 Azure virtual network에 대 한 다중 사이트 연결 을 만듭니다.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure virtual networks. 이렇게 하려면 동적(경로 기반) 라우팅이 필요하므로 온-프레미스 VPN 게이트웨이가 이 기능을 지원하는지 확인해야 합니다.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

서비스 수준 계약에 대한 자세한 내용은 VPN 게이트웨이의 SLA를 참조하세요.For details about service level agreements, see SLA for VPN Gateway.

Azure Stack에서 여러 Azure Stack 스탬프 및 Azure 배포에 대 한 인터페이스를 포함 하도록 VPN gateway를 확장할 수 있습니다.On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

DevOps 고려 사항DevOps considerations

인프라를 배포 하기 위한 IaC (Infrastructure as Code) 프로세스를 사용 합니다.Use the Infrastructure as Code (IaC) process for deploying the infrastructure. 이 아키텍처에서는 Azure Portal를 사용 하 여 배포 된 Azure 빌딩 블록 사용자 지정 템플릿 집합을 사용 했습니다.In this architecture, we've used a set of Azure Building Blocks custom templates deployed using the Azure portal. 인프라 배포를 자동화하기 위해 Azure DevOps Services 또는 다른 CI/CD 솔루션을 사용할 수 있습니다.To automate infrastructure deployment, you can use Azure DevOps Services or other CI/CD solutions. 배포 프로세스도 idempotent입니다.The deployment process is also idempotent.

주어진 리소스에 대해 해당 리소스를 배포하기 전에 존재해야 하는 다른 리소스가 있을 수 있습니다.For a given resource, there can be other resources that must exist before the resource is deployed. Azure 빌딩 블록 템플릿은 동일한 템플릿에 배포 되는 리소스에 대 한 종속성을 정의할 수 있으므로 종속성 추적에도 적합 합니다.Azure Building Blocks templates are also good for dependency tracking because they allow you to define dependencies for resources that are deployed in the same template.

모든 주 리소스 (가상 머신 확장 집합, VPN gateway, Azure 방호)는 동일한 가상 네트워크에 있으므로 동일한 기본 워크 로드에서 격리 됩니다.All the main resources (Virtual machine scale set, VPN gateway, Azure Bastion) are in the same virtual network so they are isolated in the same basic workload. 그러면 팀에서 해당 리소스의 모든 측면을 독립적으로 관리할 수 있도록 워크 로드의 특정 리소스를 팀에 더 쉽게 연결할 수 있습니다.It's then easier to associate the workload's specific resources to a team, so that the team can independently manage all aspects of those resources. 이 격리를 통해 DevOps에서 지속적인 통합 및 지속적인 업데이트 (CI/CD)를 수행할 수 있습니다.This isolation enables DevOps to perform continuous integration and continuous delivery (CI/CD).

모니터링Monitoring

온-프레미스 VPN 어플라이언스에서 진단 정보를 모니터링합니다.Monitor diagnostic information from on-premises VPN appliances. 이 프로세스는 VPN 어플라이언스에서 제공하는 기능에 따라 달라집니다.This process depends on the features provided by the VPN appliance. 예를 들어 Windows Server 2012에서 RRAS(라우팅 및 원격 액세스 서비스)를 사용한다면 RRAS 로깅이 모니터링 기능이 됩니다.For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Azure VPN 게이트웨이 진단을 사용하여 연결 문제 정보를 캡처합니다.Use Azure VPN gateway diagnostics to capture information about connectivity issues. 이 로그는 연결 요청의 소스와 목적지, 사용된 프로토콜, 연결이 설정된 방식(또는 시도가 실패한 이유)과 같은 정보를 추적하는 데 사용할 수 있습니다.These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Azure Portal에서 제공되는 감사 로크를 사용하여 Azure VPN 게이트웨이의 운영 로그를 모니터링합니다.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. 로컬 네트워크 게이트웨이, Azure 네트워크 게이트웨이 및 연결 각각에 대한 개별적인 로그도 사용 가능합니다.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. 이 정보는 게이트웨이에 적용된 변경 사항을 추적하는 데 사용할 수 있고, 잘 작동하는 게이트웨이가 어떤 이유로 작동이 중단되는 경우에도 유용합니다.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Audit logs in the Azure portal

날짜별로 필터링 된 감사 로그 이벤트를 보여 주는 Azure Portal의 스크린샷A screenshot of the Azure portal, showing audit log events filtered by date.

연결을 모니터링하고 연결 장애 이벤트를 추적합니다.Monitor connectivity, and track connectivity failure events. Nagios와 같은 모니터링 패키지를 사용하여 이 정보를 캡처 및 보고할 수 있습니다.You can use a monitoring package such as Nagios to capture and report this information.

연결 문제를 해결하려면 하이브리드 VPN 연결 문제 해결을 참조하세요.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.

온-프레미스 네트워크에서 Azure로의 게이트웨이 연결이 중단 되는 경우 azure 방호를 통해 Azure 가상 네트워크의 Vm에 계속 연결할 수 있습니다.If gateway connectivity from your on-premises network to Azure is down, you can still reach the VMs in the Azure virtual network through Azure Bastion.

보안 고려 사항Security considerations

각 VPN 게이트웨이별로 서로 다른 공유 키를 생성합니다.Generate a different shared key for each VPN gateway. 무작위 공격에 대비할 수 있도록 강력한 공유 키를 사용합니다.Use a strong shared key to help resist brute-force attacks.

Azure Stack 연결의 경우 각 VPN 터널에 대해 다른 공유 키를 생성 합니다.For Azure Stack connections, generate a different shared key for each VPN tunnel. 무작위 공격에 대비할 수 있도록 강력한 공유 키를 사용합니다.Use a strong shared key to help resist brute-force attacks.

참고

현재 Azure Key Vault를 사용하여 Azure VPN 게이트웨이의 키를 사전에 공유할 수 없습니다.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

온-프레미스 VPN 어플라이언스가 Azure VPN 게이트웨이와 호환되는 암호화 방법을 사용하는지 확인해야 합니다.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. 정책 기반 라우팅의 경우 Azure VPN 게이트웨이는 AES256, AES128 및 3DES 암호화 알고리즘을 지원합니다.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. 경로 기반 게이트웨이의 경우 AES256 및 3DES를 지원합니다.Route-based gateways support AES256 and 3DES.

사용 중인 온-프레미스 VPN 어플라이언스가 경계 네트워크와 인터넷 사이에 존재하는 방화벽을 갖는 DMZ(경계 네트워크)상에 있는 경우에는 사이트 간 VPN 연결을 허용하기 위해 추가적인 방화벽 규칙을 구성해야 할 수 있습니다.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

가상 네트워크의 응용 프로그램에서 인터넷으로 데이터를 전송 하는 경우 온-프레미스 네트워크를 통해 인터넷에 바인딩된 모든 트래픽을 라우팅하는 강제 터널링을 구현 하는 것이 좋습니다.If the application in the virtual network sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. 이렇게 하면 온-프레미스 인프라에서 애플리케이션에 의해 발신 요청을 감사할 수 있습니다.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

참고

강제 터널링은 Azure 서비스(스토리지 서비스 등)와 Windows 라이선스 관리자로의 연결에 영향을 줄 수 있습니다.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

비용 고려 사항Cost considerations

Azure 가격 계산기를 사용하여 비용을 예측합니다.Use the Azure pricing calculator to estimate costs. 일반적인 고려 사항은 Microsoft Azure Well-Architected Framework의 비용 섹션을 참조 하세요.For general considerations, see the Cost section in Microsoft Azure Well-Architected Framework.

이 아키텍처에 사용 되는 서비스는 다음과 같이 요금이 청구 됩니다.The services used in this architecture are charged as follows:

Azure VPN GatewayAzure VPN Gateway

이 아키텍처의 주요 구성 요소는 VPN gateway 서비스입니다.The main component of this architecture is the VPN gateway service. 요금은 게이트웨이가 프로비전되고 사용된 시간에 따라 청구됩니다.You are charged based on the amount of time that the gateway is provisioned and available.

모든 인바운드 트래픽은 무료 이며 모든 아웃 바운드 트래픽은 청구 됩니다.All inbound traffic is free, all outbound traffic is charged. 인터넷 대역폭 비용은 VPN 아웃바운드 트래픽에 적용됩니다.Internet bandwidth costs are applied to VPN outbound traffic.

자세한 내용은 VPN Gateway 가격 책정을 참조 하세요.For more information, see VPN Gateway Pricing.

Azure Virtual NetworkAzure Virtual Network

Azure Virtual Network는 무료입니다.Azure Virtual Network is free. 모든 구독은 모든 지역에서 최대 50개의 가상 네트워크를 만들 수 있습니다.Every subscription is allowed to create up to 50 virtual networks across all regions.

가상 네트워크의 경계 내에서 발생 하는 모든 트래픽은 무료입니다.All traffic that occurs within the boundaries of a virtual network is free. 따라서 동일한 가상 네트워크에 있는 두 가상 머신 간의 통신은 무료입니다.So, communication between two virtual machines in the same virtual network is free.

Azure BastionAzure Bastion

Azure 방호는 가상 머신에서 공용 IP를 구성할 필요 없이 RDP 및 SSH를 통해 가상 네트워크의 가상 머신에 안전 하 게 연결 합니다.Azure Bastion securely connects to your virtual machine in the virtual network over RDP and SSH without having the need to configure a public IP on the virtual machine. 연결 하려는 가상 컴퓨터를 포함 하는 모든 가상 네트워크에는 방호가 필요 합니다.You will need Bastion in every virtual network that contains virtual machines that you want to connect to. 이 솔루션은 점프 상자를 사용 하는 것 보다 경제적이 고 안전 합니다.This solution is more economical and secure than using jump boxes.

예제는 Azure 방호 가격을 참조 하세요.For examples, see Azure Bastion Pricing.

가상 컴퓨터 및 내부 부하 분산 장치Virtual machine and internal load balancers

이 아키텍처에서 내부 부하 분산 장치는 가상 네트워크 내에서 트래픽 부하를 분산 하는 데 사용 됩니다.In this architecture, internal load balancers are used to load balance traffic inside a virtual network. 동일한 가상 네트워크에 상주 하는 가상 컴퓨터 간의 기본 부하 분산은 무료입니다.Basic load balancing between virtual machines that reside in the same virtual network is free.

가상 머신 확장 집합은 모든 Linux 및 windows VM 크기에서 사용할 수 있습니다.Virtual machine scale sets are available on all Linux and windows VM sizes. 배포 하는 Azure Vm에 대해서만 요금이 청구 되며, 저장소 및 네트워킹 등 사용 된 기본 인프라 리소스에 대해서만 요금이 청구 됩니다.You are only charged for the Azure VMs you deploy and underlying infrastructure resources consumed such as storage and networking. Virtual machine scale sets 서비스에는 증분 요금이 부과 되지 않습니다.There are no incremental charges for the virtual machine scale sets service.

자세한 내용은 AZURE VM 가격 책정을 참조 하세요.For more information, see Azure VM pricing.

솔루션 배포Deploy the solution

이 참조 아키텍처를 배포 하려면 GitHub 추가 정보를 참조 하세요.To deploy this reference architecture, see the GitHub readme.

다음 단계Next steps

Vpn은 Azure 내에서 가상 네트워크를 연결 하는 데 사용할 수 있지만 항상 최상의 선택은 아닙니다.Although VPNs can be used to connect virtual networks within Azure, it's not always the best choice. 자세한 내용은 Azure에서 가상 네트워크 피어 링과 VPN gateway 중에서 선택을 참조 하세요.For more information, see Choose between virtual network peering and VPN gateways in Azure.