ExpressRoute NAT 요구 사항ExpressRoute NAT requirements

ExpressRoute를 사용하여 Microsoft 클라우드 서비스에 연결하려면 NAT을 설치하고 관리해야 합니다.To connect to Microsoft cloud services using ExpressRoute, you’ll need to set up and manage NATs. 일부 연결 공급자는 NAT을 관리 서비스로 설치하고 관리해 줍니다.Some connectivity providers offer setting up and managing NAT as a managed service. 연결 공급자를 확인하여 그런 서비스를 제공하는지를 확인합니다.Check with your connectivity provider to see if they offer such a service. 그렇지 않은 경우 아래에 설명한 요구 사항을 준수해야 합니다.If not, you must adhere to the requirements described below.

ExpressRoute 회로 라우팅 도메인 페이지를 검토하여 다양한 라우팅 도메인의 개요를 가져옵니다.Review the ExpressRoute circuits and routing domains page to get an overview of the various routing domains. 공용 Azure 및 Microsoft 피어링에 대한 공용 IP 주소 요구 사항을 충족하려면 네트워크와 Microsoft 간에 NAT를 설치하는 것이 좋습니다.To meet the public IP address requirements for Azure public and Microsoft peering, we recommend that you set up NAT between your network and Microsoft. 이 섹션에서는 설치해야 하는 NAT 인프라에 대한 자세한 설명을 제공합니다.This section provides a detailed description of the NAT infrastructure you need to set up.

Microsoft 피어링에 대한 NAT 요구 사항NAT requirements for Microsoft peering

Microsoft 피어링 경로를 사용하면 Azure 공용 피어링 경로를 통해 지원하지 않는 Microsoft 클라우드 서비스에 연결할 수 있습니다.The Microsoft peering path lets you connect to Microsoft cloud services that are not supported through the Azure public peering path. 서비스 목록에는 Exchange Online, SharePoint Online, 비즈니스용 Skype 및 Dynamics 365와 같은 Office 365 서비스가 포함됩니다.The list of services includes Office 365 services, such as Exchange Online, SharePoint Online, Skype for Business, and Dynamics 365. Microsoft는 Microsoft 피어링에 양방향 연결을 지원할 예정입니다.Microsoft expects to support bi-directional connectivity on the Microsoft peering. Microsoft 클라우드 서비스에 보내는 트래픽은 Microsoft 네트워크를 입력하기 전에 유효한 공용 IPv4 주소에 SNAT되어야 합니다.Traffic destined to Microsoft cloud services must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. Microsoft 클라우드 서비스에서 네트워크에 보내는 트래픽은 비대칭 라우팅을 방지하기 위해 인터넷 에지에서 SNAT되어야 합니다.Traffic destined to your network from Microsoft cloud services must be SNATed at your Internet edge to prevent asymmetric routing. 아래 그림은 Microsoft 피어링에 어떻게 NAT을 설치할지에 대한 개략적인 그림을 제공합니다.The figure below provides a high-level picture of how the NAT should be set up for Microsoft peering.

Microsoft에 보내는 네트워크에서 생성된 트래픽Traffic originating from your network destined to Microsoft

  • 트래픽이 유효한 공용 IPv4 주소로 Microsoft 피어링 경로를 입력하고 있는지 확인해야 합니다.You must ensure that traffic is entering the Microsoft peering path with a valid public IPv4 address. Microsoft는 지역별 라우팅 인터넷 레지스트리(RIR) 또는 인터넷 라우팅 레지스트리(IRR)에 대한 IPv4 NAT 주소 풀에 관해 소유자의 유효성을 검사할 수 있어야 합니다.Microsoft must be able to validate the owner of the IPv4 NAT address pool against the regional routing internet registry (RIR) or an internet routing registry (IRR). 확인은 피어링된 AS 번호 및 NAT.에 사용된 IP 주소에 기반하여 수행됩니다.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. 라우팅 레지스트리에 대한 정보는 ExpressRoute 라우팅 요구 사항 을 참조합니다.Refer to the ExpressRoute routing requirements page for information on routing registries.

  • Azure 공용 피어링 설치 및 기타 ExpressRoute 회로에 사용되는 IP 주소는 BGP 세션을 통해 Microsoft에 보급하지 말아야 합니다.IP addresses used for the Azure public peering setup and other ExpressRoute circuits must not be advertised to Microsoft through the BGP session. 피어링을 통해 보급된 NAT IP 접두사의 길이에 대한 제한은 없습니다.There is no restriction on the length of the NAT IP prefix advertised through this peering.

    중요

    Microsoft에 보급된 NAT IP 풀은 인터넷에 보급되지 않아야 합니다.The NAT IP pool advertised to Microsoft must not be advertised to the Internet. 다른 Microsoft 서비스에 대한 연결을 중단합니다.This will break connectivity to other Microsoft services.

네트워크에 보내는 Microsoft에서 생성된 트래픽Traffic originating from Microsoft destined to your network

  • 특정 시나리오는 네트워크 내에서 호스팅되는 서비스 엔드포인트에 대한 연결을 시작하기 위해 Microsoft이 필요합니다.Certain scenarios require Microsoft to initiate connectivity to service endpoints hosted within your network. 시나리오의 일반적인 예는 Office 365에서 네트워크에 호스팅된 ADFS 서버에 대한 연결입니다.A typical example of the scenario would be connectivity to ADFS servers hosted in your network from Office 365. 이러한 경우 네트워크에서 Microsoft 피어링에 적절한 접두사를 유출해야 합니다.In such cases, you must leak appropriate prefixes from your network into the Microsoft peering.
  • 비대칭 라우팅을 방지할 수 있도록 네트워크 내부의 서비스 엔드포인트에 대한 인터넷 에지에서 Microsoft 트래픽을 SNAT해야 합니다.You must SNAT Microsoft traffic at the Internet edge for service endpoints within your network to prevent asymmetric routing. 대상 IP가 ExpressRoute를 통해 받은 경로와 일치하는 요청 및 회신은 항상 ExpressRoute를 통해 전송됩니다.Requests and replies with a destination IP that match a route received via ExpressRoute will always be sent via ExpressRoute. 요청은 인터넷을 통해 수신되고 회신은 ExpressRoute를 통해 전송되는 경우 비대칭 라우팅이 있는 것입니다.Asymmetric routing exists if the request is received via the Internet with the reply sent via ExpressRoute. 인터넷 에지에서 들어오는 Microsoft 트래픽을 SNAT하면 회신 트래픽이 강제로 인터넷 에지로 돌아가기 때문에 문제가 해결됩니다.SNATing the incoming Microsoft traffic at the Internet edge forces reply traffic back to the Internet edge, resolving the problem.

ExpressRoute를 포함한 비대칭 라우팅

Azure 공용 피어링에 대한 NAT 요구 사항NAT requirements for Azure public peering

참고

Azure 공용 피어링은 새 회로에 사용할 수 없습니다.Azure public peering is not available for new circuits.

Azure 공용 피어링 경로를 사용하면 해당 공용 IP 주소에 걸쳐 Azure에서 호스팅되는 모든 서비스에 연결할 수 있습니다.The Azure public peering path enables you to connect to all services hosted in Azure over their public IP addresses. Expess 경로 FAQ 에 나열된 서비스와 Microsoft Azure에서 ISV가 호스팅하는 서비스를 포함합니다.These include services listed in the ExpessRoute FAQ and any services hosted by ISVs on Microsoft Azure.

중요

공용 피어링의 Microsoft Azure 서비스에 대한 연결은 항상 네트워크에서 Microsoft 네트워크로 시작됩니다.Connectivity to Microsoft Azure services on public peering is always initiated from your network into the Microsoft network. 따라서 Microsoft Azure 서비스에서 ExpressRoute의 네트워크로 세션을 초기화할 수 없습니다.Therefore, sessions cannot be initiated from Microsoft Azure services to your network over ExpressRoute. 초기화를 시도하는 경우 이러한 보급된 IP에 전송된 패킷은 ExpressRoute 대신 인터넷을 사용합니다.If attempted, packets sent to these advertised IPs will use the internet instead of ExpressRoute.

공용 피어링에 대한 Microsoft Azure에 보내는 트래픽은 Microsoft 네트워크를 입력하기 전에 유효한 공용 IPv4 주소에 SNAT되어야 합니다.Traffic destined to Microsoft Azure on public peering must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. 아래 그림은 위의 요구 사항을 충족하도록 어떻게 NAT을 설치할지에 대한 높은 수준의 그림을 제공합니다.The figure below provides a high-level picture of how the NAT could be set up to meet the above requirement.

NAT IP 풀 및 경로 광고NAT IP pool and route advertisements

트래픽이 유효한 공용 IPv4 주소로 Azure 공용 피어링 경로를 입력하고 있는지 확인해야 합니다.You must ensure that traffic is entering the Azure public peering path with valid public IPv4 address. Microsoft는 지역별 라우팅 인터넷 레지스트리(RIR) 또는 인터넷 라우팅 레지스트리(IRR)에 대한 IPv4 NAT 주소 풀에 관해 소유권의 유효성을 검사할 수 있어야 합니다.Microsoft must be able to validate the ownership of the IPv4 NAT address pool against a regional routing Internet registry (RIR) or an Internet routing registry (IRR). 확인은 피어링된 AS 번호 및 NAT.에 사용된 IP 주소에 기반하여 수행됩니다.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. 라우팅 레지스트리에 대한 정보는 ExpressRoute 라우팅 요구 사항 을 참조합니다.Refer to the ExpressRoute routing requirements page for information on routing registries.

피어링을 통해 보급된 NAT IP 접두사의 길이에 대한 제한은 없습니다.There are no restrictions on the length of the NAT IP prefix advertised through this peering. NAT 풀을 모니터링하고 NAT 세션이 부족하지 않은지를 확인해야 합니다.You must monitor the NAT pool and ensure that you are not starved of NAT sessions.

중요

Microsoft에 보급된 NAT IP 풀은 인터넷에 보급되지 않아야 합니다.The NAT IP pool advertised to Microsoft must not be advertised to the Internet. 다른 Microsoft 서비스에 대한 연결을 중단합니다.This will break connectivity to other Microsoft services.

다음 단계Next steps