사이트 간 VPN 게이트웨이를 사용하여 Azure에 온-프레미스 네트워크 연결
VPN(가상 사설망)은 상호 연결된 프라이빗 네트워크의 일종입니다. VPN은 다른 네트워크 내에서 암호화된 터널을 사용합니다. VPN은 일반적으로 신뢰할 수 없는 네트워크(일반적으로 공용 인터넷)를 통해 둘 이상의 신뢰할 수 있는 프라이빗 네트워크를 서로 연결하기 위해 배포됩니다. 신뢰할 수 없는 네트워크를 통해 이동하는 동안 도청이나 기타 공격을 방지하기 위해 트래픽이 암호화됩니다.
이 시나리오에 나오는 의료 기관의 경우 VPN을 사용하면 의료 전문가들이 여러 위치 간에 민감한 정보를 공유할 수 있습니다. 예를 들어 전문 시설에서 수술을 받아야 하는 환자가 있다고 가정해 봅시다. 외과 팀이 이 환자의 의료 기록을 볼 수 있어야 합니다. 이 의료 데이터는 Azure의 시스템에 저장됩니다. VPN을 사용하여 시설을 Azure에 연결하면 외과 팀이 안전하게 이 정보에 액세스할 수 있습니다.
Azure VPN Gateway
VPN Gateway는 가상 네트워크 게이트웨이의 일종입니다. VPN Gateway는 Azure 가상 네트워크에 배포되어 다음과 같은 연결을 지원합니다.
- 사이트 간 연결을 통해 온-프레미스 데이터 센터를 Azure 가상 네트워크에 연결합니다.
- 지점 및 사이트 간 연결을 통해 개별 디바이스를 Azure 가상 네트워크에 연결합니다.
- 네트워크 간 연결을 통해 Azure 가상 네트워크를 다른 Azure 가상 네트워크에 연결합니다.
전송되는 모든 데이터는 인터넷을 통과할 때 프라이빗 터널에서 암호화됩니다. 각 가상 네트워크에 하나의 VPN 게이트웨이만 배포할 수 있지만, 하나의 게이트웨이를 사용하여 다른 Azure 가상 네트워크 또는 온-프레미스 데이터 센터를 포함한 여러 위치에 연결할 수 있습니다.
VPN Gateway를 배포할 때 VPN 유형을 정책 기반 또는 경로 기반으로 지정합니다. 이 두 가지 VPN 유형의 주된 차이점은 암호화할 트래픽을 지정하는 방식입니다.
정책 기반 VPN
정책 기반 VPN Gateway는 각 터널을 통해 암호화되어야 하는 패킷의 IP 주소를 정적으로 지정합니다. 이러한 유형의 디바이스는 해당 IP 주소 세트에 대해 모든 데이터 패킷을 평가하여 해당 패킷이 전송될 터널을 선택합니다. 정책 기반 VPN 게이트웨이는 지원될 수 있는 기능 및 연결에서 제한됩니다. Azure에서 정책 기반 VPN Gateway의 주요 기능은 다음과 같습니다.
- IKEv1만 지원합니다.
- 두 네트워크의 주소 접두사 조합에 따라 VPN 터널을 통해 트래픽을 암호화 및 암호를 해독하는 방법이 결정되는 정적 라우팅을 사용합니다. 터널링된 네트워크의 원본 및 대상이 정책에 선언되며, 라우팅 테이블에서 선언할 필요가 없습니다.
- 정책 기반 VPN은 이러한 VPN이 필요한 특정 시나리오에 사용해야 합니다(예: 레거시 온-프레미스 VPN 디바이스와의 호환되어야 하는 경우).
경로 기반 VPN
각 터널 뒤에 있는 IP 주소를 정의하는 것이 상황상 너무 번거롭거나 정책 기반 게이트웨이가 지원하지 않는 기능과 연결이 필요할 경우 경로 기반 게이트웨이를 사용해야 합니다. 경로 기반 게이트웨이를 사용하면 IPSec 터널이 네트워크 인터페이스 또는 VTI(가상 터널 인터페이스)로 모델링됩니다. IP 라우팅(고정 경로 또는 동적 라우팅 프로토콜)은 터널 인터페이스 중에서 각 패킷을 전송할 터널 인터페이스를 결정합니다. 경로 기반 VPN은 온-프레미스 디바이스에 선호되는 연결 방법입니다. 예를 들어 새 서브넷 생성 등의 토폴로지 변경 시 복원력이 더 뛰어나기 때문입니다. 다음과 같은 유형의 연결이 필요한 경우 경로 기반 VPN Gateway를 사용하세요.
- 가상 네트워크 간 연결
- 지점 및 사이트 간 연결
- 다중 사이트 연결
- Azure ExpressRoute 게이트웨이와 동시 사용
Azure에서 경로 기반 VPN 게이트웨이의 주요 기능은 다음과 같습니다.
- IKEv2를 지원합니다.
- 임의(와일드카드) 트래픽 선택기를 사용합니다.
- 라우팅/전달 테이블이 여러 IPSec 터널로 트래픽을 전달하는 동적 라우팅 프로토콜을 사용할 수 있습니다. 이 경우 원본 및 대상 네트워크는 정책 기반 VPN에 있거나 고정 라우팅을 사용하는 경로 기반 VPN에 있는 경우에도 정적으로 정의되지 않습니다. 대신, BGP(Border Gateway Protocol)와 같은 라우팅 프로토콜을 사용하여 동적으로 생성되는 네트워크 라우팅 테이블에 따라 데이터 패킷이 암호화됩니다.
Azure의 두 가지 VPN Gateway 유형(경로 기반 및 정책 기반)은 모두 미리 공유한 키를 유일한 인증 방법으로 사용합니다. 또한 두 유형은 버전 1 또는 버전 2의 IKE(Internet Key Exchange)와 IPSec(Internet Protocol Security)을 사용합니다. IKE는 두 엔드포인트 간에 보안 연결(암호화 계약)을 설정하는 데 사용됩니다. 그런 다음, 이러한 연결이 IPSec 도구 모음으로 전달되면 VPN 터널에 캡슐화된 데이터 패킷이 암호화 및 암호 해독됩니다.
VPN Gateway 크기
VPN Gateway의 기능은 사용자가 배포하는 SKU 또는 크기에 따라 결정됩니다. 이 표에서는 일부 게이트웨이 SKU의 예를 보여 줍니다. 이 표의 숫자는 언제든지 변경될 수 있습니다. 최신 정보는 Azure VPN Gateway 설명서의 게이트웨이 SKU를 참조하세요. 기본 게이트웨이 SKU는 개발/테스트 워크로드에만 사용해야 합니다. 또한 나중에 게이트웨이에서 제거하고 다시 배포하지 않고서는 기본에서 VpnGw#/Az sku로 마이그레이션할 수 없습니다.
| VPN 게이트웨이 생성 |
SKU | S2S/VNet-to-VNet 터널 |
P2S SSTP 연결 |
P2S IKEv2/OpenVPN Connections |
집계 처리량 벤치마크 |
BGP | Zone-redundant | Virtual Network에서 지원되는 VM 수 |
|---|---|---|---|---|---|---|---|---|
| 생성 1 | 기본 | 최대 10 | 최대 128 | 지원되지 않음 | 100Mbps | 지원되지 않음 | 아니요 | 200 |
| 생성 1 | VpnGw1 | 최대 30 | 최대 128 | 최대 250 | 650Mbps | 지원됨 | 아니요 | 450 |
| 생성 1 | VpnGw2 | 최대 30 | 최대 128 | 최대 500 | 1Gbps | 지원됨 | 아니요 | 1300 |
| 생성 1 | VpnGw3 | 최대 30 | 최대 128 | 최대 1000 | 1.25Gbps | 지원됨 | 아니요 | 4000 |
| 생성 1 | VpnGw1AZ | 최대 30 | 최대 128 | 최대 250 | 650Mbps | 지원됨 | 예 | 1000 |
| 생성 1 | VpnGw2AZ | 최대 30 | 최대 128 | 최대 500 | 1Gbps | 지원됨 | 예 | 2000 |
| 생성 1 | VpnGw3AZ | 최대 30 | 최대 128 | 최대 1000 | 1.25Gbps | 지원됨 | 예 | 5000 |
| 생성 2 | VpnGw2 | 최대 30 | 최대 128 | 최대 500 | 1.25Gbps | 지원됨 | 아니요 | 685 |
| 생성 2 | VpnGw3 | 최대 30 | 최대 128 | 최대 1000 | 2.5Gbps | 지원됨 | 아니요 | 2240 |
| 생성 2 | VpnGw4 | 최대 100* | 최대 128 | 최대 5,000 | 5Gbps | 지원됨 | 아니요 | 5300 |
| 생성 2 | VpnGw5 | 최대 100* | 최대 128 | 최대 10000 | 10Gbps | 지원됨 | 아니요 | 6700 |
| 생성 2 | VpnGw2AZ | 최대 30 | 최대 128 | 최대 500 | 1.25Gbps | 지원됨 | 예 | 2000 |
| 생성 2 | VpnGw3AZ | 최대 30 | 최대 128 | 최대 1000 | 2.5Gbps | 지원됨 | 예 | 3300 |
| 생성 2 | VpnGw4AZ | 최대 100* | 최대 128 | 최대 5,000 | 5Gbps | 지원됨 | 예 | 4400 |
| 생성 2 | VpnGw5AZ | 최대 100* | 최대 128 | 최대 10000 | 10Gbps | 지원됨 | 예 | 9000 |
VPN 게이트웨이 배포
VPN 게이트웨이를 배포하려면 Azure 및 온-프레미스 리소스가 필요합니다.
필요한 Azure 리소스
정상적으로 작동하는 VPN 게이트웨이를 배포하려면 다음과 같은 Azure 리소스가 필요합니다.
- 가상 네트워크. VPN 게이트웨이에 필요한 추가 서브넷을 수용할 주소 공간이 충분히 있는 Azure 가상 네트워크를 배포합니다. 이 가상 네트워크의 주소 공간은 연결할 온-프레미스 네트워크와 겹치지 않아야 합니다. 한 가상 네트워크 내에는 한 VPN 게이트웨이만 배포할 수 있습니다.
- GatewaySubnet.
GatewaySubnet라는 VPN 게이트웨이용 서브넷을 배포합니다. 향후 확장에 대비하여 서브넷에 충분한 IP 주소 공간을 마련할 수 있도록 적어도 /27 주소 마스크를 사용합니다. 다른 서비스에는 이 서브넷을 사용할 수 없습니다. - 공용 IP 주소. 비영역 인식 게이트웨이를 사용하는 경우 기본 SKU 동적 공용 IP 주소를 만듭니다. 이 주소는 온-프레미스 VPN 디바이스의 대상으로 라우팅할 수 있는 공용 IP 주소를 제공합니다. 이 IP 주소는 동적이지만 VPN 게이트웨이를 삭제하고 다시 만들기 전에는 변경되지 않습니다.
- 로컬 네트워크 게이트웨이. 로컬 네트워크 게이트웨이를 만들어 온-프레미스 네트워크의 구성을 정의합니다. 특히 VPN 게이트웨이가 연결되는 위치와 연결 대상을 정의합니다. 이 구성에는 온-프레미스 VPN 디바이스의 공용 IPv4 주소와 라우팅 가능한 온-프레미스 네트워크가 포함됩니다. 이 정보는 VPN 게이트웨이가 IPSec 터널을 통해 온-프레미스 네트워크를 대상으로 하는 패킷을 라우팅하는 데 사용됩니다.
- 가상 네트워크 게이트웨이. 가상 네트워크와 온-프레미스 데이터 센터 또는 다른 가상 네트워크 간에 트래픽을 라우팅하는 가상 네트워크 게이트웨이를 만듭니다. 가상 네트워크 게이트웨이는 VPN 게이트웨이로 구성될 수도 있고 ExpressRoute 게이트웨이로 구성될 수도 있지만, 이 모듈에서는 VPN 가상 네트워크 게이트웨이만 다룹니다.
- 연결. VPN 게이트웨이와 로컬 네트워크 게이트웨이 간의 논리적 연결을 만들려면 연결 리소스를 만듭니다. 동일한 게이트웨이에 대해 여러 개의 연결을 만들 수 있습니다.
- 로컬 네트워크 게이트웨이에서 정의한 대로 온-프레미스 VPN 디바이스의 IPv4 주소에 연결됩니다.
- 가상 네트워크 게이트웨이 및 연결된 공용 IP 주소에서 연결이 설정됩니다.
다음 다이어그램에서는 VPN 게이트웨이를 배포하려면 무엇이 필요한지 보다 정확하게 이해할 수 있도록 리소스 조합과 그 관계를 보여줍니다.
필요한 온-프레미스 리소스
데이터 센터를 VPN 게이트웨이에 연결하려면 다음과 같은 온-프레미스 리소스가 필요합니다.
- 정책 기반 또는 경로 기반 VPN 게이트웨이를 지원하는 VPN 디바이스
- 공용(인터넷 라우팅 가능) IPv4 주소
고가용성 시나리오
내결함성 구성을 만드는 여러 가지 방법이 있습니다.
활성/대기
Azure에서 VPN Gateway 리소스가 하나만 표시되는 경우에도, 기본적으로 VPN Gateway는 활성-대기 구성 상태에 있는 두 인스턴스로 배포됩니다. 계획된 유지 관리 또는 계획되지 않은 중단이 활성 인스턴스에 영향을 줄 경우 대기 인스턴스는 사용자 개입 없이 자동으로 연결 역할을 수행합니다. 이러한 장애 조치(failover) 중에는 연결이 중단되지만, 일반적으로 계획된 유지 관리의 경우 몇 초 이내, 계획되지 않은 중단의 경우 90초 이내에 연결이 복원됩니다.
활성/활성
BGP 라우팅 프로토콜에 대한 지원이 도입되면서 활성/활성 구성에서 VPN 게이트웨이를 배포할 수도 있습니다. 이 구성에서는 각 인스턴스에 고유한 공용 IP 주소를 할당합니다. 그런 다음, 온-프레미스 디바이스에서 각 IP 주소로 연결되는 별도의 터널을 만듭니다. 온-프레미스에 또 다른 VPN 디바이스를 배포하여 가용성을 높일 수 있습니다.
ExpressRoute 장애 조치(failover)
또 다른 고가용성 옵션은 VPN Gateway를 ExpressRoute 연결의 보안 장애 조치(failover) 경로로 구성하는 것입니다. ExpressRoute 회로는 자체적인 복원력이 있지만 연결 케이블에 영향을 미치는 물리적 문제나 전체 ExpressRoute 위치에 영향을 미치는 중단은 피할 수 없습니다. ExpressRoute 회로의 중단과 관련된 위험이 있는 고가용성 시나리오에서는 인터넷을 대체 연결 방법으로 사용하는 VPN Gateway를 구성하여 Azure 가상 네트워크에 항상 연결되도록 할 수 있습니다.
영역 중복 게이트웨이
가용성 영역을 지원하는 지역에서는 VPN 및 ExpressRoute 게이트웨이를 영역 중복 구성으로 배포할 수 있습니다. 이 구성은 가상 네트워크 게이트웨이에 복원력, 확장성 및 고가용성을 제공합니다. Azure Availability Zones에서 게이트웨이를 배포하면 Azure에서 영역 수준 오류로의 온-프레미스 네트워크 연결성을 보호하면서 물리적 및 논리적으로 영역 내 게이트웨이를 구분합니다. 이들은 다른 게이트웨이 SKU를 필요로 하고 기본 공용 IP 주소 대신 표준 공용 IP 주소를 사용합니다.