다음을 통해 공유

Azure VMware Solution SDDC에 대한 테넌트 간 네트워크 연결 설정

  • 아티클

이 문서에서는 테넌트 간 환경에서 Azure VMware Solution SDDC(소프트웨어 정의 데이터 센터)를 설정하는 방법을 설명합니다. Azure Virtual WAN 및 스포크 가상 네트워크에서 실행되는 NVA(네트워크 가상 어플라이언스)를 사용하여 네트워크 연결을 설정하는 방법에 대한 지침을 제공합니다. 스포크 가상 네트워크는 Virtual WAN에 연결됩니다.

아키텍처

다음 아키텍처는 테넌트 간 Azure VMware Solution SDDC, Azure 및 온-프레미스 환경 간의 연결을 보여 줍니다.

Virtual WAN 및 NVA를 사용하는 테넌트 간 Azure VMware Solution SDDC를 보여 주는 다이어그램

연결

테넌트 간 환경의 네트워크 연결은 다음 연결로 구성됩니다.

Azure VMware Solution SDDC-SDDC 연결

테넌트 간에 배포하는 두 Azure VMware Solution SDDC 간의 연결은 배포하는 Pod에 따라 달라집니다. 다음 지침을 사용하여 SDDC를 배포하는 Pod를 식별합니다.

  1. Azure Portal에서 Azure VMware Solution로 이동합니다.
  2. 관리를 선택한 다음 클러스터를 선택합니다.
  3. 세 개의 점을 선택한 다음 편집을 선택합니다.
  4. 호스트 FQDN 값을 확인합니다. 문자 p 는 Pod 번호 앞에 섰습니다.

다른 SDDC에 대해 동일한 프로세스를 반복합니다. 공통 Pod를 공유하는지 여부를 확인합니다. 다음 이미지는 Pod 1에 배포된 SDDC 호스트를 보여 줍니다.

Azure VMware Solution Pod를 보여 주는 다이어그램.

참고 항목

Azure VMware Solution SDDC 배포 중에는 Pod를 선택할 수 없습니다. Pod 할당은 미리 결정되지 않으므로 스케줄러가 Pod에 할당하는 정확한 노드는 프로세스가 실행될 때마다 달라질 수 있습니다.

SDDC에서 공유하는 Pod를 식별한 후 다음 옵션 중 하나를 수행합니다.

  • Azure VMware Solution 상호 연결(Global Reach): 두 SDDC가 동일한 Azure 지역에 있고 공통 Pod를 공유하지 않는 경우 이 옵션을 사용합니다. 이 옵션은 두 SDDC ExpressRoute 회로 간에 ExpressRoute 회로 Global Reach 연결을 설정합니다. 이 옵션을 사용하면 전이적 연결도 가능합니다. 전이적 연결은 SDDC ExpressRoute 회로가 SDDC, Virtual WAN, Virtual WAN 직접 스포크 가상 네트워크에서 학습하는 경로가 테넌트를 통해 다른 SDDC ExpressRoute 회로, SDDC, Virtual WAN 및 Virtual WAN 직접 스포크 가상 네트워크로 보급됨을 의미합니다.

  • Azure VMware Solution 상호 연결 사용(비 Global Reach): 두 SDDC가 동일한 Azure 지역에 있고 공통 Pod를 공유하는 경우 이 옵션을 사용합니다. 이 옵션은 Virtual WAN 및 직접 스포크 가상 네트워크가 보급하는 경로에 대한 테넌트 간 전이적 연결을 제공하지 않습니다.

  • Azure VMware Solution ExpressRoute Global Reach 사용: 두 SDDC가 Pod 공유 여부에 관계없이 서로 다른 Azure 지역에 있는 경우 이 옵션을 사용합니다. 이 옵션은 Virtual WAN 및 직접 스포크 가상 네트워크가 보급하는 경로에 대한 테넌트 간 전이적 연결을 제공합니다.

이러한 모든 옵션은 두 SDDC 간에 네트워크 연결을 설정할 수 있습니다. 선택하는 옵션은 Azure VMware Solution SDDC-Azure 간 연결에 영향을 줍니다.

참고 항목

셀프 서비스 모델을 사용하여 두 SDDC 간에 네트워크 연결을 설정할 수 있습니다. 그러나 SDDC가 확장된 클러스터에서 실행되는 경우 지원 티켓을 발생시켜야 합니다.

Azure VMware Solution SDDC-Azure 연결

이 아키텍처에서 각 SDDC는 Virtual WAN에 연결되고 각 Virtual WAN 인스턴스는 자체 Microsoft Entra 테넌트에서 실행됩니다. 다음 절차에 따라 연결을 설정합니다.

  1. Azure Portal, Azure CLI 또는 PowerShell에서 Azure VMware Solution SDDC 권한 부여 키를 만듭니다.

  2. Virtual WAN에서 허브 및 ExpressRoute 게이트웨이를 만듭니다.

  3. SDDC와 Virtual WAN 간의 연결을 설정하려면 권한 부여 키를 사용합니다.

다른 Azure 가상 네트워크도 이 Virtual WAN에 연결합니다.

  • 직접 스포크 가상 네트워크는 Virtual WAN 가상 네트워크 연결을 통해 Virtual WAN에 직접 연결합니다. 스포크 가상 네트워크는 배포된 NVA를 실행할 수 있습니다. NVA는 Azure 및 Azure VMware Solution SDDC에서 아웃바운드되는 트래픽을 검사하고 제어합니다.

  • 간접 스포크 가상 네트워크는 직접 스포크 가상 네트워크에 연결됩니다. Virtual WAN에 직접 연결하지 않습니다. 간접 스포크 가상 네트워크는 Azure에서 실행되는 워크로드를 호스트합니다. 직접 스포크 가상 네트워크에서 실행되는 NVA는 간접 스포크 가상 네트워크에서 발생하는 네트워크 트래픽을 검사합니다.

다음 구성을 사용하여 Azure의 SDDC와 가상 네트워크 간에 직접 및 간접 연결을 설정합니다.

  • 직접 스포크는 Virtual WAN과 SDDC 간의 연결을 통해 자체 테넌트에서 실행되는 SDDC에 연결할 수 있습니다.

  • 직접 스포크는 Azure VMware Solution 상호 연결(Global Reach) 또는 Azure VMware Solution Global Reach 연결을 통해 다른 테넌트에서 실행되는 SDDC에 연결할 수 있습니다.

  • 간접 스포크는 기본적으로 테넌트의 SDDC에 연결되지 않습니다. UDR(사용자 정의 경로)을 간접 스포크와 연결할 수 있습니다. UDR에는 대상 네트워크로 테넌트의 SDDC 접두사 및 다음 홉으로 자체 테넌트의 직접 스포크가 있습니다.

  • 간접 스포크는 기본적으로 다른 테넌트의 SDDC에 연결되지 않습니다. UDR을 간접 스포크와 연결할 수 있습니다. UDR에는 대상 네트워크로 다른 테넌트의 SDDC 접두사 및 다음 홉으로 자체 테넌트에서 직접 스포크가 있습니다. 이 연결을 사용하려면 Azure VMware Solution 상호 연결(Global Reach) 또는 SDDC 간의 Azure VMware Solution Global Reach 연결이 필요합니다.

참고 항목

NVA 솔루션을 호스트하는 스포크 가상 네트워크에 연결하는 단일 허브에 대해 이 지침을 사용합니다. Azure VMware Solution SDDC에 연결해야 하는 여러 허브가 있는 경우 전체 메시 네트워크 아키텍처사용합니다.

Azure VMware Solution SDDC-온-프레미스 연결

Global Reach를 사용하여 각 Azure VMware Solution SDDC와 온-프레미스 환경 간에 연결을 설정합니다. 이 시나리오에서는 각 SDDC ExpressRoute 회로와 온-프레미스 ExpressRoute 회로가 서로 연결됩니다. SDDC ExpressRoute 회로가 Global Reach 연결을 통해 학습하는 온-프레미스 경로는 비전통적입니다. Azure VMware Solution SDDC-SDDC 연결이 있더라도 경로는 테넌트 전체에 보급되지 않습니다.

SDDC-온-프레미스 연결은 테넌트 간 SDDC 간 연결과 공존합니다. 이러한 설정에서 하나의 SDDC ExpressRoute 회로는 Global Reach 연결을 통해 온-프레미스 경로를 학습하고 SDDC-SDDC 연결을 통해 테넌트 간 Virtual WAN 경로를 학습합니다. 테넌트 간 Virtual WAN 또는 SDDC는 정적 경로 또는 VPN 연결과 같은 다른 수단을 통해 온-프레미스 접두사를 보급해서는 안 됩니다. 이 경우 SDDC ExpressRoute는 라우팅 루프를 만들고 연결을 끊는 온-프레미스 환경에 대한 중복 경로를 학습합니다.

온-프레미스 환경에 중복성을 위해 여러 ExpressRoute 회로가 있는 경우 공용 AS 경로 추가를 사용하여 한 회로를 다른 회로보다 선호합니다.

참고 항목

SDDC-온-프레미스 연결은 Azure-온-프레미스 연결과 공존합니다. Virtual WAN에서 ExpressRoute 게이트웨이를 사용하여 SDDC ExpressRoute 회로 및 온-프레미스 ExpressRoute 회로에 연결할 수 있습니다. 그러나 이 연결은 전이적이지 않습니다.

Azure 간 연결

직접 및 간접 가상 네트워크는 동일한 Azure 테넌트 및 Azure 테넌트에서 서로 통신해야 합니다. 다음 메서드를 사용하여 연결을 설정합니다.

동일한 테넌트 내에서 연결 설정

  • Virtual WAN 가상 네트워크 연결을 통해 직접 스포크에 서로 연결합니다.

  • 가상 네트워크 피어링을 통해 간접 스포크로 직접 스포크 연결

  • 가상 네트워크 피어링을 통해 직접 스포크에 간접 스포크 연결

  • 직접 스포크 및 직접 스포크와 연결하는 UDR을 사용하여 가상 네트워크 피어링을 통해 간접 스포크에 서로 연결합니다. UDR에는 대상 네트워크로 간접 스포크 접두사를 사용하고 직접 스포크에서 NVA를 다음 홉으로 사용합니다. 직접 스포크에서 NVA를 구성하여 NIC(네트워크 인터페이스 카드)를 통해 트래픽을 전달합니다.

테넌트 간에 연결 설정

  • 글로벌 가상 네트워크 피어링을 통해 테넌트 간 직접 스포크로 직접 스포크 연결

  • 직접 스포크와 연결하는 UDR 간에 글로벌 가상 네트워크 피어링을 통해 테넌트 간 간접 스포크에 직접 스포크 연결 UDR에는 대상 네트워크로 테넌트 간 간접 스포크 접두사, 테넌트 간 직접 스포크에 NVA가 다음 홉으로 있습니다.

  • 직접 스포크 가상 네트워크와 직접 스포크 가상 네트워크와 연결하는 UDR 간에 글로벌 가상 네트워크 피어링을 통해 테넌트 간 직접 스포크에 간접 스포크 연결 UDR에는 대상 네트워크로 테넌트 간 직접 스포크 접두사, 자체 직접 스포크에 NVA가 다음 홉으로 있습니다.

  • 직접 스포크 가상 네트워크와 직접 스포크 가상 네트워크와 연결하는 UDR 간의 글로벌 가상 네트워크 피어링을 통해 간접 스포크와 테넌트 간 간접 스포크 연결 UDR에는 대상 네트워크로 테넌트 간 간접 스포크 접두사, 자체 직접 스포크에 NVA가 다음 홉으로 있습니다.

Azure-온-프레미스 연결

온-프레미스 ExpressRoute 회로 및 Virtual WAN의 ExpressRoute 게이트웨이를 사용하여 Azure-온-프레미스 연결을 설정합니다. Azure VMware Solution SDDC ExpressRoute와 동일한 온-프레미스 ExpressRoute 게이트웨이 간의 연결은 변환되지 않습니다. 글로벌 가상 네트워크 피어링을 통한 직접 스포크 가상 네트워크와 Virtual WAN 간의 연결도 비전환적입니다. Virtual WAN에 연결하는 간접 스포크에는 대상 네트워크로 온-프레미스 접두사가 있는 UDR과 직접 스포크에서 다음 홉으로 실행되는 NVA가 있어야 합니다.

시나리오 정보

이 문서에서는 다음 시나리오를 살펴봅니다. 테넌트 간 마이그레이션 또는 워크로드 액세스 목적으로 이러한 시나리오를 적용할 수 있습니다.

  • 테넌트 간 Azure VMware Solution SDDC-SDDC 네트워크 연결
  • 테넌트 간 Azure 간 연결
  • Azure VMware Solution SDDC와 Azure 가상 네트워크 간의 테넌트 간 네트워크 액세스
  • Azure VMware Solution SDDC와 온-프레미스 환경 간의 테넌트 간 네트워크 액세스
  • Virtual WAN에 연결하는 가상 네트워크에서 실행되는 NVA를 통해 테넌트 간 네트워크 트래픽 검사 및 제어

테넌트 간 환경에서 Azure VMware Solution SDDC, 연결된 Azure ExpressRoute 회로 및 Virtual WAN은 까다로운 마이그레이션 또는 워크로드 액세스 환경을 만들 수 있습니다. Azure VMware Solution SDDC와 연결된 ExpressRoute 회로는 SDDC 및 Virtual WAN ExpressRoute 게이트웨이와도 연결됩니다. ExpressRoute 회로는 Azure VMware Solution SDDC 및 Virtual WAN이 보급하는 경로를 학습합니다. ExpressRoute 회로는 테넌트를 통해 회로에 연결하는 다른 Azure VMware Solution SDDC 및 Virtual WAN에 해당 경로를 보급합니다. Virtual WAN, SDDC ExpressRoute 회로 및 Virtual WAN ExpressRoute 게이트웨이 간의 순환 경로 전파를 방지하기 위해 구성을 신중하게 계획합니다.

잠재적인 사용 사례

이 아키텍처의 이점을 얻을 수 있는 다음 시나리오를 고려합니다.

  • 다국적 기업은 다른 Microsoft Entra 테넌트에서 Azure VMware Solution SDDC를 실행합니다.

  • 기업은 분리 또는 매각 프로세스를 거치며, 이로 인해 별도의 Microsoft Entra 테넌트가 있는 별도의 비즈니스 엔터티가 생성됩니다. 각 개별 비즈니스 엔터티는 공통 온-프레미스 환경에 액세스해야 하며 Azure VMware Solution SDDC 및 기타 Azure 리소스에 대한 테넌트 간 액세스가 필요합니다.

  • 두 개의 별도 비즈니스에는 별도의 Microsoft Entra 테넌트가 있지만 여전히 Azure VMware Solution SDDC 및 Azure에서 실행되는 워크로드에 대한 교차 테넌트 액세스가 필요합니다.

다음 단계