온-프레미스 네트워크를 Microsoft Azure Virtual Network에 연결Connect an on-premises network to a Microsoft Azure virtual network

프레미스 간 Azure Virtual Network가 온-프레미스 네트워크에 연결되어 Azure 인프라 서비스에서 호스트되는 서브넷 및 가상 시스템을 포함하도록 네트워크를 확장합니다. 이 연결을 통해 온-프레미스 네트워크의 컴퓨터는 Azure의 가상 시스템에 직접 액세스할 수 있으며 그 반대의 경우도 가능합니다.A cross-premises Azure virtual network is connected to your on-premises network, extending your network to include subnets and virtual machines hosted in Azure infrastructure services. This connection lets computers on your on-premises network to directly access virtual machines in Azure and vice versa.

예를 들어 Azure 가상 컴퓨터에서 실행 되는 디렉터리 동기화 서버는 온-프레미스 도메인 컨트롤러에 계정의 변경 내용을 쿼리하고 해당 변경 내용을 Microsoft 365 구독과 동기화 해야 합니다. 이 문서에서는 Azure 가상 컴퓨터를 호스팅할 준비가 된 사이트 간 VPN (가상 사설망) 연결을 사용 하 여 크로스-프레미스 Azure virtual network를 설정 하는 방법을 보여 줍니다.For example, a directory synchronization server running on an Azure virtual machine needs to query your on-premises domain controllers for changes to accounts and synchronize those changes with your Microsoft 365 subscription. This article shows you how to set up a cross-premises Azure virtual network using a site-to-site virtual private network (VPN) connection that is ready to host Azure virtual machines.

크로스-프레미스 Azure virtual network 구성Configure a cross-premises Azure virtual network

Azure의 가상 시스템은 온-프레미스 환경에서 격리할 필요가 없습니다. Azure Virtual Machine을 온-프레미스 네트워크 리소스에 연결하려면 프레미스 간 Azure Virtual Network를 구성해야 합니다. 다음 다이어그램은 Azure의 가상 컴퓨터가 있는 프레미스 간 Azure Virtual Network를 배포하는 데 필요한 구성 요소를 표시합니다.Your virtual machines in Azure don't have to be isolated from your on-premises environment. To connect Azure virtual machines to your on-premises network resources, you must configure a cross-premises Azure virtual network. The following diagram shows the required components to deploy a cross-premises Azure virtual network with a virtual machine in Azure.

사이트 간 VPN 연결을 통해 Microsoft Azure에 연결된 온-프레미스 네트워크

다이어그램에는 사이트 간 VPN 연결로 연결된 두 개 네트워크가 있으며, 하나는 온-프레미스 네트워크이고 하나는 Azure Virtual Network입니다. 사이트 간 VPN 연결은 다음을 나타냅니다.In the diagram, there are two networks connected by a site-to-site VPN connection: the on-premises network and the Azure virtual network. The site-to-site VPN connection is:

  • 주소 지정이 가능하고 공용 인터넷에 있는 두 끝점 사이에서 형성됩니다.Between two endpoints that are addressable and located on the public Internet.
  • 온-프레미스 네트워크의 VPN 장치와 Azure Virtual Network의 Azure VPN 게이트웨이에서 종료됩니다.Terminated by a VPN device on the on-premises network and an Azure VPN gateway on the Azure virtual network.

Azure Virtual Network는 가상 머신을 호스트합니다. Azure Virtual Network의 가상 컴퓨터에서 시작된 네트워크 트래픽은 VPN 게이트웨이로 전달되며, VPN 게이트웨이는 사이트 간 VPN 연결을 통해 온-프레미스 네트워크의 VPN 장치로 트래픽을 전달합니다. 그런 다음 온-프레미스 네트워크의 라우팅 인프라가 대상으로 트래픽을 전달합니다.The Azure virtual network hosts virtual machines. Network traffic originating from virtual machines on the Azure virtual network gets forwarded to the VPN gateway, which then forwards the traffic across the site-to-site VPN connection to the VPN device on the on-premises network. The routing infrastructure of the on-premises network then forwards the traffic to its destination.

참고

조직 및 Microsoft 네트워크 간의 직접 연결에 해당하는 ExpressRoute를 사용할 수도 있습니다. ExpressRoute를 통한 트래픽은 공용 인터넷을 통해 전달되지 않습니다. 이 문서는 ExpressRoute의 사용에 대해 설명하지 않습니다.You can also use ExpressRoute, which is a direct connection between your organization and Microsoft's network. Traffic over ExpressRoute does not travel over the public Internet. This article does not describe the use of ExpressRoute.

Azure Virtual Network와 온-프레미스 네트워크 간에 VPN 연결을 설정하려면 다음 단계를 따르세요.To set up the VPN connection between your Azure virtual network and your on-premises network, follow these steps:

  1. 온-프레미스: 온-프레미스 VPN 장치를 가리키는 Azure Virtual Network의 주소 공간에 대한 온-프레미스 네트워크 경로를 정의하고 만듭니다.On-premises: Define and create an on-premises network route for the address space of the Azure virtual network that points to your on-premises VPN device.

  2. Microsoft Azure: 사이트 간 VPN 연결을 사용하여 Azure Virtual Network를 만듭니다.Microsoft Azure: Create an Azure virtual network with a site-to-site VPN connection.

  3. 온-프레미스: 온-프레미스 하드웨어 또는 소프트웨어 VPN 장치를 구성하여 IPsec(인터넷 프로토콜 보안)을 사용하는 VPN 연결을 종료합니다.On premises: Configure your on-premises hardware or software VPN device to terminate the VPN connection, which uses Internet Protocol security (IPsec).

사이트 간 VPN 연결을 설정한 후 Azure Virtual Machine을 가상 네트워크의 서브넷에 추가합니다.After you establish the site-to-site VPN connection, you add Azure virtual machines to the subnets of the virtual network.

Azure Virtual Network 계획Plan your Azure virtual network

필수 구성 요소Prerequisites

  • Azure 구독. Azure 구독에 대한 자세한 내용은 구매 방법 Azure 페이지로 이동하여 확인하세요.An Azure subscription. For information about Azure subscriptions, go to the How To Buy Azure page.

  • 가상 네트워크 및 서브넷에 할당할 수 있는 개인 IPv4 주소 공간. 이 주소 공간에는 현재와 미래에 필요한 가상 컴퓨터 수를 수용할만한 충분한 공간이 있어야 합니다.An available private IPv4 address space to assign to the virtual network and its subnets, with sufficient room for growth to accommodate the number of virtual machines needed now and in the future.

  • 온-프레미스 네트워크에서 사용할 수 있는 VPN 장치. 이 장치로 IPsec의 요구 사항을 지원하는 사이트 간 VPN 연결을 종료할 수 있습니다. 자세한 내용은 사이트 간 가상 네트워크 연결용 VPN 장치 정보를 참조하세요.An available VPN device in your on-premises network to terminate the site-to-site VPN connection that supports the requirements for IPsec. For more information, see About VPN devices for site-to-site virtual network connections.

  • 라우팅 인프라에 대한 변경 내용. Azure Virtual Network의 주소 공간으로 라우팅된 트래픽이 사이트 간 VPN 연결을 호스트하는 VPN 장치로 전달되도록 라우팅 인프라를 변경해야 합니다.Changes to your routing infrastructure so that traffic routed to the address space of the Azure virtual network gets forwarded to the VPN device that hosts the site-to-site VPN connection.

  • 온-프레미스 네트워크와 Azure Virtual Network에 연결된 컴퓨터에 인터넷으로의 액세스를 제공하는 웹 프록시.A web proxy that gives computers that are connected to the on-premises network and the Azure virtual network access to the Internet.

솔루션 아키텍처 디자인 가정Solution architecture design assumptions

다음 목록에는 이 솔루션 아키텍처에 대한 디자인 선택이 나타납니다.The following list represents the design choices that have been made for this solution architecture.

  • 이 솔루션은 사이트 간 VPN 연결을 사용하는 단일 Azure Virtual Network를 사용합니다. Azure Virtual Network는 여러 가상 컴퓨터를 포함할 수 있는 단일 서브넷을 호스트합니다.This solution uses a single Azure virtual network with a site-to-site VPN connection. The Azure virtual network hosts a single subnet that can contain multiple virtual machines.

  • Windows Server 2016 또는 Windows Server 2012에서 RRAS(라우팅 및 원격 액세스 서비스)를 사용하여 온-프레미스 네트워크와 Azure Virtual Network 간의 IPsec 사이트 간 VPN 연결을 설정할 수 있습니다. Cisco 또는 Juniper Networks VPN 장치와 같은 다른 옵션을 사용할 수도 있습니다.You can use the Routing and Remote Access Service (RRAS) in Windows Server 2016 or Windows Server 2012 to establish an IPsec site-to-site VPN connection between the on-premises network and the Azure virtual network. You can also use other options, such as Cisco or Juniper Networks VPN devices.

  • 온-프레미스 네트워크에는 Active Directory Domain Services(AD DS), DNS(Domain Name System) 및 프록시 서버와 같은 네트워크 서비스가 아직 있을 수 있습니다. 사용자의 요구 사항에 따라 Azure Virtual Network에서 이러한 네트워크 리소스를 배치하는 것이 좋을 수도 있습니다.The on-premises network might still have network services like Active Directory Domain Services (AD DS), Domain Name System (DNS), and proxy servers. Depending on your requirements, it might be beneficial to place some of these network resources in the Azure virtual network.

하나 이상의 서브넷이 있는 기존 Azure Virtual Network의 경우 사용자의 요구 사항에 따라 필요한 가상 컴퓨터를 호스트할 추가 서브넷을 위한 남은 주소가 있는지 확인합니다. 추가 서브넷을 위한 남은 주소 공간이 없으면 자체 사이트 간 VPN 연결이 있는 추가 가상 네트워크를 만듭니다.For an existing Azure virtual network with one or more subnets, determine whether there is remaining address space for an additional subnet to host your needed virtual machines, based on your requirements. If you don't have remaining address space for an additional subnet, create an additional virtual network that has its own site-to-site VPN connection.

Azure Virtual Network에 대한 라우팅 인프라 변경 계획Plan the routing infrastructure changes for the Azure virtual network

Azure Virtual Network의 주소 공간을 대상으로 하는 트래픽을 사이트 간 VPN 연결을 호스트하는 온 - 프레미스 VPN 장치로 전달하도록 온-프레미스 라우팅 인프라를 구성해야 합니다.You must configure your on-premises routing infrastructure to forward traffic destined for the address space of the Azure virtual network to the on-premises VPN device that is hosting the site-to-site VPN connection.

라우팅 인프라를 업데이트하는 정확한 방법은 라우팅 정보를 관리하는 방법에 따라 달라지며 그 방법은 다음과 같습니다.The exact method of updating your routing infrastructure depends on how you manage routing information, which can be:

  • 수동 구성에 따른 라우팅 테이블 업데이트.Routing table updates based on manual configuration.

  • RIP(Routing Information Protocol) 또는 OSPF(최단 경로 우선 프로토콜)와 같은 라우팅 프로토콜을 기준으로 라우팅 테이블 업데이트.Routing table updates based on routing protocols, such as Routing Information Protocol (RIP) or Open Shortest Path First (OSPF).

라우팅 전문가와 상담하여 Azure Virtual Network를 대상으로 하는 트래픽이 온-프레미스 VPN 장치로 전달되는지 확인하세요.Consult with your routing specialist to make sure that traffic destined for the Azure virtual network is forwarded to the on-premises VPN device.

온-프레미스 VPN 장치의 트래픽용 방화벽 규칙 계획Plan for firewall rules for traffic to and from the on-premises VPN device

주변 네트워크와 인터넷 사이에 방화벽이 있는 주변 네트워크에 VPN 장치가 있는 경우 사이트 간 VPN 연결을 허용하도록 다음 규칙에 맞게 방화벽을 구성해야 할 수도 있습니다.If your VPN device is on a perimeter network that has a firewall between the perimeter network and the Internet, you might have to configure the firewall for the following rules to allow the site-to-site VPN connection.

  • VPN 장치로 보내는 트래픽(인터넷에서 수신):Traffic to the VPN device (incoming from the Internet):

    • VPN 장치 및 IP 프로토콜 50의 대상 IP 주소Destination IP address of the VPN device and IP protocol 50

    • VPN 장치 및 UDP 대상 포트 500의 대상 IP 주소Destination IP address of the VPN device and UDP destination port 500

    • VPN 장치 및 UDP 대상 포트 4500의 대상 IP 주소Destination IP address of the VPN device and UDP destination port 4500

  • VPN 장치에서 받는 트래픽(인터넷으로 발신)Traffic from the VPN device (outgoing to the Internet):

    • VPN 장치 및 IP 프로토콜 50의 원본 IP 주소Source IP address of the VPN device and IP protocol 50

    • VPN 장치 및 UDP 원본 포트 500의 원본 IP 주소Source IP address of the VPN device and UDP source port 500

    • VPN 장치 및 UDP 원본 포트 4500의 원본 IP 주소Source IP address of the VPN device and UDP source port 4500

Azure Virtual Network의 개인 IP 주소 공간 계획Plan for the private IP address space of the Azure virtual network

Azure Virtual Network의 개인 IP 주소 공간은 가상 네트워크를 호스트하기 위해 Azure에서 사용하는 주소와 Azure Virtual Machine에 충분한 주소가 있는 서브넷을 하나 이상 수용할 수 있어야 합니다.The private IP address space of the Azure virtual network must be able to accommodate addresses used by Azure to host the virtual network and with at least one subnet that has enough addresses for your Azure virtual machines.

서브넷에 필요한 주소 개수를 확인하려면 지금 필요한 가상 컴퓨터의 수를 계산하고 이후 증가량을 추정한 후 다음 테이블을 사용해서 서브넷의 크기를 확인합니다.To determine the number of addresses needed for the subnet, count the number of virtual machines that you need now, estimate for future growth, and then use the following table to determine the size of the subnet.

필요한 가상 컴퓨터의 수Number of virtual machines needed 필요한 호스트 비트 수Number of host bits needed 서브넷 크기Size of the subnet
1-31-3
33
/29/29
4-114-11
44
/28/28
12-2712-27
55
/27/27
28-5928-59
66
/26/26
60-12360-123
77
/25/25

Azure Virtual Network 구성용 계획 워크시트Planning worksheet for configuring your Azure virtual network

Azure 가상 네트워크를 만들어서 가상 컴퓨터를 호스트하기 전에 다음 테이블에서 필요한 설정을 확인해야 합니다.Before you create an Azure virtual network to host virtual machines, you must determine the settings needed in the following tables.

가상 네트워크 설정에 대해서는 테이블 V를 채웁니다.For the settings of the virtual network, fill in Table V.

테이블 V: 프레미스 간 가상 네트워크 구성Table V: Cross-premises virtual network configuration

항목Item Configuration 요소Configuration element 설명Description Value
1.1.
가상 네트워크 이름Virtual network name
Azure Virtual Network(예: DirSyncNet)에 할당할 이름입니다.A name to assign to the Azure virtual network (example DirSyncNet).
라인
2.2.
가상 네트워크 위치Virtual network location
가상 네트워크가 포함될 Azure 데이터 센터입니다(예: 미국 서부).The Azure datacenter that will contain the virtual network (such as West US).
라인
3.3.
VPN 장치 IP 주소VPN device IP address
인터넷에서 VPN 장치 인터페이스의 공용 IPv4 주소입니다. IT 부서에서 이 주소를 확인합니다.The public IPv4 address of your VPN device's interface on the Internet. Work with your IT department to determine this address.
라인
4.4.
가상 네트워크 주소 공간Virtual network address space
단일 개인 주소 접두사로 정의된 가상 네트워크의 주소 공간입니다. IT 부서에서 이 주소 공간을 확인합니다. 주소 공간은 CIDR(Classless Interdomain Routing) 형식이어야 하며 네트워크 접두사 형식이라고도 합니다. 예를 들어 10.24.64.0/20입니다.The address space (defined in a single private address prefix) for the virtual network. Work with your IT department to determine this address space. The address space should be in Classless Interdomain Routing (CIDR) format, also known as network prefix format. An example is 10.24.64.0/20.
라인
5.5.
IPsec 공유 키IPsec shared key
사이트 간 VPN 연결의 양측을 인증하는 데 사용되는 32자의 무작위 영숫자 문자열입니다. IT 또는 보안 부서에서 이 키 값을 확인한 다음 안전한 위치에 저장합니다. 또한, IPsec 미리 공유한 키의 무작위 문자열 만들기를 참조하세요.A 32-character random, alphanumeric string that will be used to authenticate both sides of the site-to-site VPN connection. Work with your IT or security department to determine this key value and then store it in a secure location. Alternately, see Create a random string for an IPsec preshared key.
라인

이 솔루션의 서브넷에 대해서는 테이블 S를 채웁니다.Fill in Table S for the subnets of this solution.

  • 첫 서브넷의 경우 Azure 게이트웨이 서브넷의 28비트 주소 공간(/28 접두사 길이)을 결정합니다. 이 주소 공간을 확인하는 방법의 정보는 Azure Virtual Network용 게이트웨이 서브넷 주소 공간 계산을 참조하세요.For the first subnet, determine a 28-bit address space (with a /28 prefix length) for the Azure gateway subnet. See Calculating the gateway subnet address space for Azure virtual networks for information about how to determine this address space.

  • 두 번째 서브넷의 경우 식별 이름, 가상 네트워크 주소 공간을 기준으로 하는 단일 IP 주소 공간 및 설명이 포함된 용도를 지정합니다.For the second subnet, specify a friendly name, a single IP address space based on the virtual network address space, and a descriptive purpose.

IT 부서에서 가상 네트워크 주소 공간의 이러한 주소 공간을 확인합니다. 두 주소 공간 모두 CIDR 형식이어야 합니다.Work with your IT department to determine these address spaces from the virtual network address space. Both address spaces should be in CIDR format.

테이블 S: 가상 네트워크의 서브넷Table S: Subnets in the virtual network

항목Item 서브넷 이름Subnet name 서브넷 주소 공간Subnet address space 용도Purpose
1.1.
GatewaySubnetGatewaySubnet
라인
Azure 게이트웨이에서 사용하는 서브넷입니다.The subnet used by the Azure gateway.
2.2.
라인
라인
라인

가상 네트워크의 가상 컴퓨터에서 사용할 온-프레미스 DNS 서버에 대해서는 테이블 D에 채웁니다. 각 DNS 서버에 식별 이름과 단일 IP 주소를 부여합니다. 식별 이름은 DNS 서버의 컴퓨터 이름 또는 호스트 이름과 일치하지 않아도 됩니다. 두 개의 빈 항목이 나열되어 있지만 추가할 수 있습니다. IT 부서에서 이 목록을 확인합니다.For the on-premises DNS servers that you want the virtual machines in the virtual network to use, fill in Table D. Give each DNS server a friendly name and a single IP address. This friendly name does not need to match the host name or computer name of the DNS server. Note that two blank entries are listed, but you can add more. Work with your IT department to determine this list.

테이블 D: 온-프레미스 DNS 서버Table D: On-premises DNS servers

항목Item DNS 서버 식별 이름DNS server friendly name DNS 서버 IP 주소DNS server IP address
1.1.
라인
라인
2.2.
라인
라인

사이트 간 VPN 연결을 통해 Azure Virtual Network에서 조직 네트워크로 패킷을 라우팅하려면 로컬 네트워크로 가상 네트워크를 구성해야 합니다. 이 로컬 네트워크에는 가상 네트워크의 가상 머신에 도달해야 하는 온-프레미스 네트워크의 모든 위치에 대한 주소 공간 목록(CIDR 형식)이 포함되어 있습니다. 온-프레미스 네트워크 또는 하위 집합의 모든 위치일 수 있습니다. 로컬 네트워크를 정의하는 주소 공간 목록은 고유해야 하며 이 가상 네트워크 또는 다른 프레미스 간 가상 네트워크에 사용되는 주소 공간과 중복되지 않아야 합니다.To route packets from the Azure virtual network to your organization network across the site-to-site VPN connection, you must configure the virtual network with a local network. This local network has a list of the address spaces (in CIDR format) for all of the locations on your organization's on-premises network that the virtual machines in the virtual network must reach. This can be all of the locations on the on-premises network or a subset. The list of address spaces that define your local network must be unique and must not overlap with the address spaces used for this virtual network or your other cross-premises virtual networks.

로컬 네트워크 주소 공간의 집합에 대해서는 테이블 L을 채웁니다. 세 개의 빈 항목이 나열되지만 일반적으로 더 많이 필요합니다. IT 부서에서 이 목록을 확인합니다.For the set of local network address spaces, fill in Table L. Note that three blank entries are listed but you will typically need more. Work with your IT department to determine this list.

테이블 L: 로컬 네트워크의 주소 접두사Table L: Address prefixes for the local network

항목Item 로컬 네트워크 주소 공간Local network address space
1.1.
라인
2.2.
라인
3.3.
라인

배포 로드맵Deployment roadmap

다음 3단계를 통해 프레미스 간 가상 네트워크를 만들고 Azure에 가상 컴퓨터를 추가합니다.Creating the cross-premises virtual network and adding virtual machines in Azure consists of three phases:

  • 1단계: 온-프레미스 네트워크 준비Phase 1: Prepare your on-premises network.

  • 2단계: Azure에 프레미스 간 가상 네트워크를 만들기Phase 2: Create the cross-premises virtual network in Azure.

  • 3단계(선택 사항): 가상 컴퓨터 추가Phase 3 (Optional): Add virtual machines.

1단계: 온-프레미스 네트워크 준비Phase 1: Prepare your on-premises network

가상 네트워크의 주소 공간을 대상으로 하는 트래픽을 온-프레미스 네트워크의 가장자리에 있는 라우터로 지정하고 궁극적으로 이를 배달하는 경로로 온 - 프레미스 네트워크를 구성해야 합니다. 네트워크 관리자와 상의하여 온-프레미스 네트워크의 라우팅 인프라에 경로를 추가하는 방법을 확인합니다.You must configure your on-premises network with a route that points to and ultimately delivers traffic destined for the address space of the virtual network to the router on the edge of the on-premises network. Consult with your network administrator to determine how to add the route to the routing infrastructure of your on-premises network.

구성 결과는 다음과 같습니다.Here is your resulting configuration.

온-프레미스 네트워크에는 VPN 장치 쪽을 가리키는 Virtual Network의 주소 공간에 대한 경로가 있어야 합니다.

2단계: Azure에 프레미스 간 가상 네트워크 만들기Phase 2: Create the cross-premises virtual network in Azure

먼저 Azure PowerShell 프롬프트를 엽니다. Azure PowerShell을 설치하지 않은 경우 Azure PowerShell 시작하기를 참조하세요.First, open an Azure PowerShell prompt. If you have not installed Azure PowerShell, see Get started with Azure PowerShell.

그런 다음 이 명령을 사용하여 Azure 계정에 로그인합니다.Next, login to your Azure account with this command.

Connect-AzAccount

다음 명령을 사용하여 구독 이름을 가져옵니다.Get your subscription name using the following command.

Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName

이러한 명령을 사용하여 Azure 구독을 설정합니다. 문자를 포함하여 따옴표 안에 있는 모든 것을 올바른 구독 이름으로 바꿉니다.Set your Azure subscription with these commands. Replace everything within the quotes, including the < and > characters, with the correct subscription name.

$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName

다음으로 가상 네트워크에 새 리소스 그룹을 만듭니다. 고유한 리소스 그룹 이름을 확인하려면 이 명령을 사용하여 기존 리소스 그룹을 나열합니다.Next, create a new resource group for your virtual network. To determine a unique resource group name, use this command to list your existing resource groups.

Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

이러한 명령을 사용하여 새 리소스 그룹을 만듭니다.Create your new resource group with these commands.

$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName

그런 다음, Azure Virtual Network를 만듭니다.Next, you create the Azure virtual network.

# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location

# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

구성 결과는 다음과 같습니다.Here is your resulting configuration.

Virtual Network가 온-프레미스 네트워크에 아직 연결되지 않았습니다.

다음으로 이러한 명령을 사용하여 사이트 간 VPN 연결의 게이트웨이를 만듭니다.Next, use these commands to create the gateways for the site-to-site VPN connection.

# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

구성 결과는 다음과 같습니다.Here is your resulting configuration.

이제 Virtual Network에 게이트웨이가 있습니다.

계속해서 Azure VPN 게이트웨이에 연결할 온-프레미스 VPN 장치를 구성합니다. 자세한 내용은 사이트 간 Azure Virtual Network 연결용 VPN 장치 정보를 참조하세요.Next, configure your on-premises VPN device to connect to the Azure VPN gateway. For more information, see About VPN Devices for site-to-site Azure Virtual Network connections.

VPN 장치를 구성하려면 다음 항목이 필요합니다.To configure your VPN device, you will need the following:

  • 가상 네트워크의 Azure VPN 게이트웨이의 공용 IPv4 주소.The public IPv4 address of the Azure VPN gateway for your virtual network. Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName 명령을 사용하여 주소를 표시합니다.Use the Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName command to display this address.

  • 사이트 간 VPN 연결용 IPsec 미리 공유한 키(테이블 V - 항목 5 - 값 열).The IPsec pre-shared key for the site-to-site VPN connection (Table V- Item 5 - Value column).

구성 결과는 다음과 같습니다.Here is your resulting configuration.

Virtual Network가 온-프레미스 네트워크에 이제 연결되었습니다.

3단계(선택 사항): 가상 머신 추가Phase 3 (Optional): Add virtual machines

Azure에서 필요한 가상 머신을 만듭니다. 자세한 내용은 Azure Portal에서 Windows Virtual Machine 만들기를 참조하세요.Create the virtual machines you need in Azure. For more information, see Create a Windows virtual machine with the Azure portal.

다음 설정을 사용합니다.Use the following settings:

  • 기본 탭에서 동일한 구독과 리소스 그룹을 가상 머신으로 선택합니다. 나중에 가상 머신에 로그인할 때 필요한 항목입니다. 인스턴스 세부 정보 섹션에서 적합한 가상 머신 크기를 선택합니다. 관리자 계정 사용자 이름과 암호를 안전한 위치에 기록합니다.On the Basics tab, select the same subscription and resource group as your virtual network. You will need these later to sign in to the virtual machine. In the Instance details section, choose the appropriate virtual machine size. Record the administrator account user name and password in a secure location.

  • 네트워킹 탭에서 가상 머신의 이름과 가상 머신을 호스트하는 서브넷(GatewaySubnet 제외)을 선택합니다. 다른 설정은 기본값을 그대로 사용합니다.On the Networking tab, select the name of your virtual network and the subnet for hosting virtual machines (not the GatewaySubnet). Leave all other settings at their default values.

내부 DNS를 확인하여 가상 컴퓨터가 올바르게 DNS를 사용하고 있는지 확인합니다. 주소(A) 레코드가 새 가상 컴퓨터에 추가되어야 합니다. 인터넷에 액세스하려면 Azure Virtual Machine이 온-프레미스 네트워크의 프록시 서버에 구성되어야 합니다. 네트워크 관리자에게 이 서버에서 수행할 수 있는 추가 구성 단계를 문의합니다.Verify that your virtual machine is using DNS correctly by checking your internal DNS to ensure that Address (A) records were added for you new virtual machine. To access the Internet, your Azure virtual machines must be configured to use your on-premises network's proxy server. Contact your network administrator for additional configuration steps to perform on the server.

구성 결과는 다음과 같습니다.Here is your resulting configuration.

이제 Virtual Network는 온-프레미스 네트워크에서 액세스할 수 있는 가상 머신을 호스트합니다.

다음 단계Next step

Microsoft Azure에서 Microsoft 365 디렉터리 동기화 배포Deploy Microsoft 365 Directory Synchronization in Microsoft Azure