Azure Route Server를 사용하는 이중 홈 네트워크 정보
일반적인 허브 및 스포크 아키텍처에서 애플리케이션 워크로드는 스포크 VNet(가상 머신)에 배포됩니다. 이러한 스포크는 VPN 및 ExpressRoute 게이트웨이와 같은 공유 네트워크 리소스를 포함하는 단일 허브 VNet과 피어링됩니다. 어떤 상황에서는 여러 VPN 또는 ExpressRoute 게이트웨이가 어떤 이유로든 필요한 경우와 같이 둘 이상의 허브 VNet에 스포크를 피어링하는 것이 바람직할 수 있습니다. Azure Route Server는 스포크 VNet의 워크로드가 연결된 허브 VNet 중 하나를 통해 통신할 수 있도록 이 아키텍처를 사용하도록 설정합니다.
설정하는 방법
아래 다이어그램에서 볼 수 있듯이 다음 작업을 수행해야 합니다.
- 각 허브 가상 네트워크에 NVA(네트워크 가상 어플라이언스)를 배포하고 스포크 가상 네트워크에 경로 서버를 배포합니다.
- 허브와 스포크 가상 네트워크 간에 VNet 피어링을 사용하도록 설정합니다.
- 경로 서버와 배포된 각 NVA 간에 BGP 피어링을 구성합니다.
작동 방식
컨트롤 플레인에서 NVA와 경로 서버는 동일한 가상 네트워크에 배포되어 있는 것처럼 경로를 교환합니다. NVA는 경로 서버에서 스포크 VNet 주소에 대해 학습합니다. 경로 서버는 각 NVA에서 경로를 학습합니다. 그런 다음, 경로 서버는 학습한 경로를 사용하여 스포크 VNet의 모든 가상 머신을 프로그래밍합니다.
데이터 평면에서 스포크 VNet의 가상 머신은 허브의 보안 NVA 또는 VPN NVA를 다음 홉으로 확인합니다. 하이브리드 크로스-프레미스 트래픽 또는 인터넷에 바인딩된 트래픽으로 향하는 트래픽은 이제 허브 VNet의 NVA를 통해 라우팅됩니다. 두 허브 모두를 액티브/액티브 또는 액티브/패시브로 구성할 수 있습니다. 액티브 허브에 장애가 발생하면 가상 머신을 오가는 트래픽이 다른 허브로 장애 조치(failover)됩니다. 이러한 장애에는 NVA 장애 또는 서비스 연결 장애가 포함되지만 이에 국한되지는 않습니다. 이렇게 설정하면 네트워크가 고가용성을 위해 구성됩니다.
ExpressRoute와 통합
둘 이상의 ExpressRoute 연결을 포함하는 이중 홈 네트워크를 빌드할 수 있습니다. 위에서 설명한 단계와 함께 다음을 수행해야 합니다.
- ExpressRoute 게이트웨이가 있는 각 허브 VNet에 경로 서버를 만듭니다.
- 허브 VNet에서 NVA와 경로 서버 간에 BGP 피어링을 구성합니다.
- 허브 VNet에서 ExpressRoute 게이트웨이와 경로 서버 간의 경로 교환을 사용하도록 설정합니다.
- 스포크 가상 네트워크 VNet 피어링 구성에서 "원격 게이트웨이 또는 원격 Route Server 사용"이 사용하지 않도록 설정되어 있는지 확인합니다.
작동 방식
컨트롤 플레인에서 허브 VNet의 NVA는 허브의 경로 서버와 경로 교환을 통해 ExpressRoute 게이트웨이의 온-프레미스 경로에 대해 학습합니다. 반대로 NVA는 동일한 경로 서버를 사용하여 스포크 VNet 주소를 ExpressRoute 게이트웨이로 보냅니다. 그러면 스포크 및 허브 VNet의 경로 서버는 온-프레미스 네트워크 주소를 해당 가상 네트워크의 가상 머신에 프로그래밍합니다.
Important
BGP는 AS 경로에서 AS 번호를 확인하여 루프를 방지합니다. 수신 경로 서버는 받은 BGP 패킷의 AS 경로에서 자체 AS 번호를 발견하면 패킷을 삭제합니다. 이 예제에서 두 경로 서버의 AS 번호는 65515입니다. 각 경로 서버가 상대편 경로 서버의 경로를 삭제하지 않도록 하려면 NVA는 각 경로 서버와 피어링할 때 as-override BGP 정책을 적용해야 합니다.
데이터 평면에서 스포크 VNet의 가상 머신은 온-프레미스 네트워크로 향하는 모든 트래픽을 먼저 허브 VNet의 NVA로 보냅니다. 그런 다음, NVA는 ExpressRoute를 통해 온-프레미스 네트워크로 트래픽을 전달합니다. 온-프레미스의 트래픽은 동일한 데이터 경로를 반대 방향으로 통과합니다. 경로 서버가 데이터 경로에 없다는 것을 알 수 있습니다.