VPN Gateway 구성 설정 정보

VPN Gateway는 공용 연결을 통해 가상 네트워크와 온-프레미스 위치 간에 암호화된 트래픽을 전송하는 가상 네트워크 게이트웨이의 유형입니다. 또한 VPN Gateway를 사용하여 Azure 백본에 있는 가상 네트워크 간에 트래픽을 전송할 수 있습니다.

VPN Gateway 연결은 각각이 구성 가능한 설정을 포함하는 여러 리소스의 구성에 따라 좌우됩니다. 이 문서의 섹션에서는 Resource Manager 배포 모델에서 생성된 가상 네트워크의 VPN 게이트웨이와 관련된 리소스 및 설정에 대해 설명합니다. VPN Gateway 정보 문서에서 각 연결 솔루션에 대한 설명 및 토폴로지 다이어그램을 찾을 수 있습니다.

이 문서에 나오는 값은 VPN 게이트웨이(-GatewayType Vpn을 사용하는 가상 네트워크 게이트웨이)에 적용됩니다. 이 문서에서는 게이트웨이 유형 또는 영역 중복 게이트웨이 중 일부를 다룹니다.

게이트웨이 유형

가상 네트워크마다 각 유형의 가상 네트워크 게이트웨이를 하나씩만 포함할 수 있습니다. 가상 네트워크 게이트웨이를 만들 때 게이트웨이 유형이 구성에 정확한지 확인해야 합니다.

-GatewayType에 사용 가능한 값은 다음과 같습니다.

  • Vpn
  • ExpressRoute

VPN Gateway에는 -GatewayType Vpn 이 필요합니다.

예:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

게이트웨이 SKU

가상 네트워크 게이트웨이를 만들 때 사용하려는 게이트웨이 SKU를 지정해야 합니다. 작업 부하, 처리량, 기능 및 SLA의 종류를 기반으로 하는 요구 사항을 충족하는 SKU를 선택합니다. Azure 가용성 영역의 가상 네트워크 게이트웨이 SKU는 Azure 가용성 영역 게이트웨이 SKU를 참조하세요.

터널, 연결 및 처리량별 게이트웨이 SKU

VPN
게이트웨이
생성
SKU S2S/VNet 간
터널
P2S
SSTP 연결
P2S
IKEv2/OpenVPN 연결
집계
처리량 벤치마크
BGP Zone-redundant
생성 1 기본 최대 10 최대 128 지원되지 않음 100Mbps 지원되지 않음 아니요
생성 1 VpnGw1 최대 30 최대 128 최대 250 650Mbps 지원됨 아니요
생성 1 VpnGw2 최대 30 최대 128 최대 500 1Gbps 지원됨 아니요
생성 1 VpnGw3 최대 30 최대 128 최대 1000 1.25Gbps 지원됨 아니요
생성 1 VpnGw1AZ 최대 30 최대 128 최대 250 650Mbps 지원됨
생성 1 VpnGw2AZ 최대 30 최대 128 최대 500 1Gbps 지원됨
생성 1 VpnGw3AZ 최대 30 최대 128 최대 1000 1.25Gbps 지원됨
생성 2 VpnGw2 최대 30 최대 128 최대 500 1.25Gbps 지원됨 아니요
생성 2 VpnGw3 최대 30 최대 128 최대 1000 2.5Gbps 지원됨 아니요
생성 2 VpnGw4 최대 100* 최대 128 최대 5,000 5Gbps 지원됨 아니요
생성 2 VpnGw5 최대 100* 최대 128 최대 10000 10Gbps 지원됨 아니요
생성 2 VpnGw2AZ 최대 30 최대 128 최대 500 1.25Gbps 지원됨
생성 2 VpnGw3AZ 최대 30 최대 128 최대 1000 2.5Gbps 지원됨
생성 2 VpnGw4AZ 최대 100* 최대 128 최대 5,000 5Gbps 지원됨
생성 2 VpnGw5AZ 최대 100* 최대 128 최대 10000 10Gbps 지원됨

(*) S2S VPN 터널이 100개 넘게 필요한 경우 Virtual WAN을 사용해야 합니다.

  • VpnGw SKU 크기 조정은 기본 SKU의 크기 조정을 제외하고, 동일 생성 내에서 허용됩니다. 기본 SKU는 레거시 SKU이며 기능이 제한됩니다. 기본에서 다른 VpnGw SKU로 이동하려면 기본 SKU VPN 게이트웨이를 삭제하고 원하는 생성 및 SKU 크기 조합으로 새 게이트웨이를 만들어야 합니다. 기본 게이트웨이의 크기는 다른 레거시 SKU로만 조정할 수 있습니다(레거시 SKU 작업 참조).

  • 이러한 연결 제한은 별도로 적용됩니다. 예를 들어 VpnGw1 SKU 하나에 SSTP 연결 128개와 IKEv2 연결 250개가 있을 수 있습니다.

  • 가격 책정 정보는 가격 책정 페이지에 있습니다.

  • SLA 페이지에서 Service Level Agreement(서비스 수준 계약) 정보를 확인할 수 있습니다.

  • 단일 터널에서 최대 1Gbps 처리량을 얻을 수 있습니다. 위 표에서 집계 처리량 벤치마크는 단일 게이트웨이를 통해 집계된 여러 터널의 측정값을 기반으로 합니다. VPN Gateway의 집계 처리량 벤치마크는 S2S + P2S 결합형입니다. P2S 연결이 많을 경우 처리량 제한으로 인해 S2S 연결에 부정적인 영향을 줄 수 있습니다. 집계 처리량 벤치마크는 인터넷 트래픽 조건 및 애플리케이션 동작으로 인해 처리량이 보장되지 않습니다.

고객이 다른 알고리즘을 사용하여 SKU의 상대 성능을 파악할 수 있도록, 공개적으로 사용 가능한 iPerf 및 CTSTraffic 도구를 사용하여 성능을 측정했습니다. 아래 표에서는 생성 1, VpnGw SKU의 성능 테스트 결과를 보여줍니다. 여기서 확인할 수 있듯이, IPsec 암호화와 무결성에 모두 GCMAES256 알고리즘을 사용했을 때 최고 성능을 얻었습니다. IPsec 암호화에 AES256을 사용하고 무결성에 SHA256을 사용했을 때는 평균 성능을 얻었습니다. IPsec 암호화에 DES3을 사용하고 무결성에 SHA256을 사용했을 때 성능이 가장 낮았습니다.

생성 SKU 사용된
알고리즘
관찰된
처리량
관찰된
터널별 초당 패킷 수
생성 1 VpnGw1 GCMAES256
AES256, SHA256
DES3, SHA256
650Mbps
500Mbps
120Mbps
58,000
50,000
50,000
생성 1 VpnGw2 GCMAES256
AES256, SHA256
DES3, SHA256
1Gbps
500Mbps
120Mbps
90,000
80,000
55,000
생성 1 VpnGw3 GCMAES256
AES256, SHA256
DES3, SHA256
1.25Gbps
550Mbps
120Mbps
105,000
90,000
60,000
생성 1 VpnGw1AZ GCMAES256
AES256, SHA256
DES3, SHA256
650Mbps
500Mbps
120Mbps
58,000
50,000
50,000
생성 1 VpnGw2AZ GCMAES256
AES256, SHA256
DES3, SHA256
1Gbps
500Mbps
120Mbps
90,000
80,000
55,000
생성 1 VpnGw3AZ GCMAES256
AES256, SHA256
DES3, SHA256
1.25Gbps
550Mbps
120Mbps
105,000
90,000
60,000

참고

VpnGw SKU(VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 및 VpnGw5AZ)는 Resource Manager 배포 모델에 대해서만 지원됩니다. 클래식 가상 네트워크는 이전(레거시) SKU를 계속 사용해야 합니다.

기능 집합별 게이트웨이 SKU

새 VPN Gateway SKU는 게이트웨이에서 제공한 기능 집합을 간소화합니다.

SKU 기능
기본(**) 경로 기반 VPN: S2S/연결 터널 10개, P2S에 대한 RADIUS 인증 없음, P2S에 대한 IKEv2 없음
정책 기반 VPN: (IKEv1): S2S/연결 터널 1개, P2S 없음
기본을 제외한 모든 1세대 및 2세대 SKU 경로 기반 VPN: 최대 100개의 터널(*), P2S, BGP, 활성-활성, 사용자 지정 IPsec/IKE 정책, ExpressRoute/VPN 공존

(*) "PolicyBasedTrafficSelectors"를 구성하여 경로 기반 VPN 게이트웨이를 여러 온-프레미스 정책 기반 방화벽 디바이스에 연결할 수 있습니다. 자세한 내용은 PowerShell을 사용하여 VPN Gateway를 여러 온-프레미스 정책 기반 VPN 디바이스에 연결을 참조하세요.

(**) 기본 SKU는 레거시 SKU로 간주됩니다. Basic SKU에는 몇 가지 기능이 제한됩니다. 새 게이트웨이 SKU 중 하나에 대한 기본 SKU를 사용하는 게이트웨이의 크기를 조정할 수 없습니다. 대신 VPN Gateway를 삭제하고 다시 만드는 작업이 포함된 새 SKU로 변경해야 합니다.

게이트웨이 SKU - 프로덕션 vs. 개발=테스트 워크로드

SLA 및 기능 집합의 차이로 인해 프로덕션 vs. 개발-테스트에 다음과 같은 SKU를 사용하는 것이 좋습니다.

작업 SKU
프로덕션, 중요한 워크로드 기본을 제외한 모든 1세대 및 2세대 SKU
개발-테스트 또는 개념 증명 기본(**)

(**) 기본 SKU는 레거시 SKU로 간주되고 기능이 제한됩니다. 기본 SKU를 사용하기 전에 필요한 기능을 지원하는지 확인합니다.

이전 SKU(레거시)를 사용하는 경우 프로덕션 SKU 권장 사항은 표준 및 HighPerformance입니다. 이전 SKU에 대한 정보 및 지침은 게이트웨이 SKU(레거시)를 참조하세요.

게이트웨이 SKU 구성

Azure Portal

Azure Portal을 사용하여 Resource Manager 가상 네트워크 게이트웨이를 만드는 경우 드롭다운을 사용하여 게이트웨이 SKU를 선택할 수 있습니다. 표시되는 옵션은 선택한 게이트웨이 형식 및 선택한 VPN 형식에 해당합니다.

PowerShell

다음 PowerShell 예제에서는 -GatewaySku를 VpnGw1으로 지정합니다. PowerShell을 사용하여 게이트웨이를 만드는 경우 먼저 IP 구성을 만든 다음, 변수를 사용하여 참조해야 합니다. 이 예제에서 구성 변수는 $gwipconfig입니다.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Azure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

SKU 크기 조정 또는 변경

VPN 게이트웨이가 있는데 다른 게이트웨이 SKU를 사용하려는 경우 게이트웨이 SKU 크기를 조정하거나 다른 SKU로 변경할 수 있습니다. 다른 게이트웨이 SKU로 변경할 때는 기존 게이트웨이를 완전히 삭제하고 새로 작성하게 됩니다. 종종 선택한 게이트웨이 SKU에 따라 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다. 이에 비해 게이트웨이 SKU 크기를 조정할 경우 게이트웨이를 삭제하고 재구성할 필요가 없기 때문에 가동 중지 시간이 길지 않습니다. 게이트웨이 SKU를 변경하지 않고 크기를 조정할 수 있다면 그렇게 하는 것이 좋습니다. 그러나 크기 조정에 대한 규칙이 있습니다.

  1. 기본 SKU를 제외하고 동일한 세대(Generation1 또는 Generation2) 내에서 VPN Gateway SKU의 크기를 다른 VPN Gateway SKU로 크기로 조정할 수 있습니다. 예를 들어, Generation1의 VpnGw1의 크기는 Generation1의 VpnGw2로 크기로 조정될 수 있지만 Generation2 VpnGw2의 크기로 조정될 수 없습니다.
  2. 이전 게이트웨이 SKU로 작동하는 경우 Basic, Standard 및 HighPerformance SKU 간에 크기를 조정할 수 있습니다.
  3. Basic/Standard/HighPerformance SKU에서 VpnGw SKU로 크기를 조정할 수 없습니다. 대신 새 SKU로 변경해야 합니다.

게이트웨이의 크기를 조정하려면

Azure Portal

  1. 가상 네트워크 게이트웨이에 대한 구성 페이지로 이동합니다.

  2. 드롭다운의 화살표를 선택합니다.

    게이트웨이 크기 조정

  3. 드롭다운에서 SKU를 선택합니다.

    SKU 선택

PowerShell

Resize-AzVirtualNetworkGateway PowerShell cmdlet을 사용하여 Generation1.xml 또는 Generation2 SKU를 업그레이드하거나 다운그레이드할 수 있습니다(기본 SKU를 제외한 모든 VpnGw SKU의 크기를 조정할 수 있음). 기본 게이트웨이 SKU를 사용하는 경우 대신 이러한 지침을 사용하여 게이트웨이의 크기를 조정합니다.

다음 PowerShell 예제에서는 VpnGw2로 크기가 조정되는 게이트웨이 SKU를 보여 줍니다.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

이전(레거시) SKU에서 새로운 SKU로 변경하려면

Resource Manager 배포 모델을 사용 중인 경우 새로운 게이트웨이 SKU로 변경할 수 있습니다. 레거시 게이트웨이 SKU에서 새 SKU로 변경할 때는 기존 VPN 게이트웨이를 삭제하고 새 VPN 게이트웨이를 만듭니다.

워크플로:

  1. 가상 네트워크 게이트웨이에 대한 모든 연결을 제거합니다.
  2. 이전 VPN Gateway를 삭제합니다.
  3. 새 VPN Gateway를 만듭니다.
  4. 새 VPN Gateway IP 주소로 온-프레미스 VPN 디바이스를 업데이트합니다(사이트 간 연결의 경우).
  5. 이 게이트웨이에 연결할 모든 VNet 간 로컬 네트워크 게이트웨이에 대해 게이트웨이 IP 주소 값을 업데이트합니다.
  6. 이 VPN Gateway를 통해 가상 네트워크에 연결하는 P2S 클라이언트용 새 클라이언트 VPN 구성 패키지를 다운로드합니다.
  7. 가상 네트워크 게이트웨이에 대한 모든 연결을 다시 만듭니다.

고려 사항:

  • 새 SKU로 이동하려면 VPN 게이트웨이가 Resource Manager 배포 모델에 있어야 합니다.
  • 클래식 VPN 게이트웨이가 있을 경우 해당 게이트웨이에 대한 이전 버전의 레거시 SKU를 계속 사용해야 하지만 레거시 SKU 간에 크기를 조정할 수 있습니다. 새 SKU로 변경할 수는 없습니다.
  • 레거시 SKU에서 새 SKU로 변경하면 연결 가동 중지 시간이 발생합니다.
  • 새 게이트웨이 SKU로 변경하면 VPN 게이트웨이의 공용 IP 주소가 변경됩니다. 이전에 사용했던 것과 동일한 공용 IP 주소 개체를 지정하는 경우에도 마찬가지입니다.

연결 유형

Resource Manager 배포 모델에서 각 구성이 작동하려면 특정 가상 네트워크 게이트웨이 연결 유형이 필요합니다. -ConnectionType 에 대해 사용 가능한 Resource Manager PowerShell 값은 다음과 같습니다.

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

다음 PowerShell 예제에서는 IPsec 연결 유형이 필요한 S2S 연결을 만듭니다.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN 유형

VPN Gateway 구성에 대한 가상 네트워크 게이트웨이 만들 때 VPN 유형을 지정해야 합니다. 선택하는 VPN 유형은 만들려는 연결 토폴로지에 따라 달라집니다. 예를 들어 P2S 연결에는 RouteBased VPN 유형이 필요합니다. 또한 VPN 유형은 사용하는 하드웨어에 따라서도 달라질 수 있습니다. S2S 구성에는 VPN 디바이스가 필요합니다. 일부 VPN 디바이스는 특정 VPN 유형을 지원합니다.

선택하는 VPN 유형은 만들려는 솔루션에 대한 연결 요구 사항을 모두 충족해야 합니다. 예를 들어 동일한 가상 네트워크에 대해 S2S VPN Gateway 연결 및 P2S VPN Gateway 연결을 만들려는 경우 P2S에는 RouteBased VPN 유형이 필요하기 때문에 VPN 유형 RouteBased 를 사용해야 합니다. VPN 디바이스가 RouteBased VPN 연결을 지원하는지 확인해야 합니다.

가상 네트워크 게이트웨이를 만든 후에는 VPN 유형을 변경할 수 없습니다. 가상 네트워크 게이트웨이를 삭제하고 새로 만들어야 합니다. 두 가지 VPN 형식은 다음과 같습니다.

  • 정책 기반 : 정책 기반 VPN은 이전에 호출된 클래식 배포 모델에서 고정 라우팅 게이트웨이였습니다. 정책 기반 VPN은 온-프레미스 네트워크와 Azure VNet 간의 주소 접두사의 조합으로 구성된 IPsec 정책에 따라 IPsec 터널을 통해 패킷을 암호화하고 전달합니다. 정책(또는 트래픽 선택기)는 일반적으로 VPN 디바이스 구성에서 액세스 목록으로 정의됩니다. 정책 기반 VPN 유형에 대한 값은 PolicyBased 입니다. PolicyBased VPN을 사용할 때는 다음과 같은 제한에 유의하세요.

    • PolicyBased VPN은 기본 게이트웨이 SKU에서 사용할 수 있습니다. 이 VPN 유형은 다른 게이트웨이 SKU와 호환되지 않습니다.
    • PolicyBased VPN을 사용하는 경우 터널 1개만 허용됩니다.
    • S2S 연결 및 특정 구성에 대해서만 PolicyBased VPN을 사용할 수 있습니다. 대부분의 VPN Gateway 구성에는 RouteBased VPN이 필요합니다.
  • 경로 기반: 경로 기반 VPN은 이전에 호출된 클래식 배포 모델에서 동적 라우팅 게이트웨이였습니다. 경로 기반 VPN은 IP 전달 또는 라우팅 테이블에서 “경로"를 사용하여 패킷을 해당 터널 인터페이스에 전달합니다. 그런 다음 터널 인터페이스는 터널로 들어오는 터널에서 나가는 패킷을 암호화하거나 암호 해독합니다. 경로 기반 VPN에 대한 정책(또는 트래픽 선택기)은 임의 또는 와일드카드로 구성됩니다. 경로 기반 VPN 유형에 대한 값은 RouteBased 입니다.

다음 PowerShell 예제에서는 -VpnTypeRouteBased 로 지정합니다. 게이트웨이를 만들 때 -VpnType이 구성에 정확한지 확인해야 합니다.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

게이트웨이 요구 사항

다음 표에서는 PolicyBased VPN 게이트웨이와 RouteBased VPN 게이트웨이에 대한 요구 사항을 나열합니다. 이 표는 리소스 관리자 배포 모델과 클래식 배포 모델 모두에 적용됩니다. 클래식 모델의 경우 PolicyBased VPN 게이트웨이는 정적 게이트웨이와 동일하고, Route-based 게이트웨이는 동적 게이트웨이와 동일합니다.

PolicyBased 기본 VPN Gateway RouteBased 기본 VPN Gateway RouteBased 표준 VPN Gateway RouteBased 고성능 VPN Gateway
사이트 간 연결(S2S) PolicyBased VPN 구성 RouteBased VPN 구성 RouteBased VPN 구성 RouteBased VPN 구성
지점 및 사이트 간 연결(P2S) 지원되지 않음 지원됨(S2S와 함께 사용할 수 있음) 지원됨(S2S와 함께 사용할 수 있음) 지원됨(S2S와 함께 사용할 수 있음)
인증 방법 미리 공유한 키 -S2S 연결에 대해 미리 공유한 키 -P2S 연결용 인증서 -S2S 연결에 대해 미리 공유한 키 -P2S 연결용 인증서 -S2S 연결에 대해 미리 공유한 키 -P2S 연결용 인증서
S2S 연결의 최대 수 1 10 10 30
P2S 연결의 최대 수 지원되지 않음 128 128 128
활성 라우팅 지원(BGP) (*) 지원되지 않음 지원되지 않음 지원 여부 지원됨

(*) 클래식 배포 모델에서는 BGP가 지원되지 않습니다.

게이트웨이 서브넷

VPN Gateway를 만들기 전에 게이트웨이 서브넷을 만들어야 합니다. 게이트웨이 서브넷은 가상 네트워크 게이트웨이 VM 및 서비스에서 사용하는 IP 주소를 포함합니다. 가상 네트워크 게이트웨이 만들 때 게이트웨이 VM은 게이트웨이 서브넷에 배포되고 필수 VPN Gateway 설정으로 구성됩니다. 게이트웨이 서브넷에 다른 항목(예: 추가 VM)을 배포하지 마세요. 게이트웨이 서브넷이 제대로 작동하려면 이름을 'GatewaySubnet'으로 지정해야 합니다. 게이트웨이 서브넷 이름을 'GatewaySubnet'으로 지정하면 Azure에서 해당 서브넷이 가상 네트워크 게이트웨이 VM 및 서비스를 배포할 서브넷임을 알 수 있습니다.

참고

GatewaySubnet의 0.0.0.0/0 대상과 NSG를 사용하는 사용자 정의 경로는 지원되지 않습니다. 이 구성을 사용하여 만든 게이트웨이는 생성이 차단됩니다. 게이트웨이가 제대로 작동하려면 관리 컨트롤러에 대한 액세스 권한이 필요합니다. 게이트웨이의 가용성을 보장하려면 GatewaySubnet에서 BGP 경로 전파를 "사용"으로 설정해야 합니다. 사용 안 함으로 설정된 경우에는 게이트웨이가 작동하지 않습니다.

게이트웨이 서브넷을 만드는 경우 서브넷이 포함하는 IP 주소의 수를 지정합니다. 게이트웨이 서브넷의 IP 주소는 게이트웨이 VM 및 게이트웨이 서비스에 할당됩니다. 일부 구성에는 다른 구성보다 더 많은 IP 주소가 필요합니다.

게이트웨이 서브넷 크기를 계획하는 경우 생성하려는 구성에 대한 설명서를 참조하세요. 예를 들어 ExpressRoute/VPN Gateway 공존 구성을 사용하려면 다른 대부분의 구성보다 큰 게이트웨이 서브넷이 필요합니다. 또한 이후 추가 구성이 추가될 가능성에 대비하여 게이트웨이 서브넷에 IP 주소가 충분히 포함되어 있는지 확인하려고 할 수 있습니다. /29만큼 작은 게이트웨이 서브넷을 생성할 수 있지만 사용 가능한 주소 공간이 있는 경우 /27 이상의 게이트웨이 서브넷(예: /27, /26 등)을 생성하는 것이 좋습니다. 이렇게 하면 대부분의 구성을 적용할 수 있습니다.

다음 Resource Manager PowerShell 예제에서는 이름이 GatewaySubnet인 게이트웨이 서브넷을 보여 줍니다. CIDR 표기법이 /27을 지정하는 것을 확인할 수 있으며 이는 이번에 존재하는 대부분의 구성에 대한 충분한 IP 주소를 허용합니다.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

중요

게이트웨이 서브넷에서 작업할 때는 게이트웨이 서브넷에 NSG(네트워크 보안 그룹)를 연결하지 않습니다. 네트워크 보안 그룹을 이 서브넷에 연결하면 가상 네트워크 게이트웨이(VPN, Express Route 게이트웨이)가 예상대로 작동하지 않을 수 있습니다. 네트워크 보안 그룹에 대한 자세한 내용은 네트워크 보안 그룹이란?을 참조하세요.

로컬 네트워크 게이트웨이

로컬 네트워크 게이트웨이는 가상 네트워크 게이트웨이와 다릅니다. VPN Gateway 구성을 생성할 때 로컬 네트워크 게이트웨이는 일반적으로 온-프레미스 네트워크와 해당 VPN 디바이스를 나타냅니다. 클래식 배포 모델에서 로컬 네트워크 게이트웨이는 로컬 사이트라고 했습니다.

로컬 네트워크 게이트웨이에 이름, 공용 IP 주소 또는 온-프레미스 VPN 디바이스의 정규화된 도메인 이름(FQDN)을 지정하고 온-프레미스 위치에 있는 주소 접두사를 지정합니다. Azure는 네트워크 트래픽에 대상 주소 접두사를 보고 로컬 네트워크 게이트웨이에 대해 지정한 구성을 참조하며 그에 따라 패킷을 라우팅합니다. VPN 디바이스에서 Border Gateway Protocol(BGP)을 사용하는 경우 VPN 디바이스의 BGP 피어 IP 주소와 온-프레미스 네트워크의 자율 시스템 번호(ASN)를 제공합니다. VPN Gateway 연결을 사용하는 VNet-VNet 구성에 대해서도 로컬 네트워크 게이트웨이를 지정합니다.

다음 PowerShell 예제에서는 새 로컬 네트워크 게이트웨이 만듭니다.

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

로컬 네트워크 게이트웨이 설정을 수정해야 하는 경우도 있습니다. 예를 들어 주소 범위를 추가 또는 수정할 경우 또는 VPN 디바이스의 IP 주소가 변경될 때가 여기에 해당합니다. PowerShell을 사용하여 로컬 네트워크 게이트웨이 설정 수정을 참조하세요.

REST API, PowerShell cmdlet 및 CLI

VPN Gateway를 구성하기 위해 REST API, PowerShell cmdlet 또는 Azure CLI를 사용할 경우 추가 기술 리소스 및 특정 구문 요구 사항에 대해서는 다음 페이지를 참조하세요.

클래식 Resource Manager
PowerShell PowerShell
REST API REST API
지원되지 않음 Azure CLI

다음 단계

사용 가능한 연결 구성에 대한 자세한 내용은 VPN Gateway 정보 를 참조하세요.