Global Reach가 없는 이중 지역 Azure VMware Solution 디자인 사용
이 문서에서는 두 지역에 Azure VMware Solution을 배포하고 라우팅 의도로 보안 Azure Virtual WAN을 사용하는 경우 연결, 트래픽 흐름 및 고가용성을 위한 모범 사례를 설명합니다. Global Reach 없이 이 디자인을 사용하는 방법에 대한 지침을 제공합니다. 이 문서에서는 Azure VMware Solution 프라이빗 클라우드, 온-프레미스 사이트 및 Azure 네이티브 리소스에 대한 라우팅 의도 토폴로지를 사용하는 Virtual WAN에 대해 설명합니다. 라우팅 의도가 있는 보안 Virtual WAN의 구현 및 구성은 이 문서의 범위를 벗어납니다.
Global Reach를 지원하지 않는 지역을 사용하거나 허브 방화벽에서 Azure VMware Solution과 온-프레미스 간의 트래픽을 검사하기 위한 보안 요구 사항이 있는 경우 ExpressRoute 간 전이성을 사용하도록 설정하는 지원 티켓을 열어야 합니다. Virtual WAN은 기본적으로 ExpressRoute-ExpressRoute 전이성을 지원하지 않습니다. 자세한 내용은 라우팅 의도가 있는 ExpressRoute 회로 간의 전송 연결을 참조하세요.
Global Reach 없이 이중 지역 보안 Virtual WAN 디자인 사용
Virtual WAN 표준 SKU만 라우팅 의도로 보안 Virtual WAN을 지원합니다. 라우팅 의도로 보안 Virtual WAN을 사용하여 모든 인터넷 트래픽 및 개인 네트워크 트래픽(RFC 1918)을 Azure Firewall, 비 Microsoft NVA(네트워크 가상 어플라이언스) 또는 SaaS(Software as a Service) 솔루션과 같은 보안 솔루션으로 보냅니다.
이 시나리오의 허브에는 다음과 같은 구성이 있습니다.
이중 지역 네트워크에는 하나의 Virtual WAN 인스턴스와 두 개의 허브가 있습니다. 각 지역에는 하나의 허브가 있습니다.
각 허브에는 자체 Azure Firewall 인스턴스가 배포되어 Virtual WAN 허브를 보호합니다.
보안 Virtual WAN 허브에는 라우팅 의도가 활성화되어 있습니다.
이 시나리오에는 다음 구성 요소도 있습니다.
각 지역에는 자체 Azure VMware Solution 프라이빗 클라우드 및 Azure 가상 네트워크가 있습니다.
온-프레미스 사이트는 두 지역에 연결됩니다.
참고 항목
연결된 온-프레미스 리소스, 가상 네트워크 또는 Azure VMware Solution에서 비 RFC 1918 접두사를 사용하는 경우 라우팅 의도 기능의 프라이빗 트래픽 접두사 필드에 이러한 접두사를 지정합니다. 범위를 포함할 프라이빗 트래픽 접두사 필드에 요약된 경로를 입력합니다. 이 사양으로 인해 라우팅 문제가 발생할 수 있으므로 Virtual WAN에 보급하는 정확한 범위를 입력하지 마세요. 예를 들어 Azure ExpressRoute 회로가 온-프레미스에서 192.0.2.0/24를 보급하는 경우 /23 CIDR(클래스리스 도메인 간 라우팅) 범위 이상(예: 192.0.2.0/23)을 입력합니다. 자세한 내용은 Virtual WAN 포털을 통해 라우팅 의도 및 정책 구성을 참조 하세요.
참고 항목
보안 Virtual WAN 허브를 사용하여 Azure VMware Solution을 구성하는 경우 허브 라우팅 기본 설정 옵션을 AS 경로 로 설정하여 허브에서 최적의 라우팅 결과를 보장합니다. 자세한 내용은 가상 허브 라우팅 기본 설정을 참조 하세요.
다음 다이어그램은 이 시나리오의 예를 보여줍니다.
다음 표에서는 이전 다이어그램의 토폴로지 연결에 대해 설명합니다.
| Connection | 설명 |
|---|---|
| D | 로컬 지역 허브에 대한 Azure VMware Solution 프라이빗 클라우드 연결 |
| E | ExpressRoute를 통해 두 지역 허브에 온-프레미스 연결 |
| Interhub | 동일한 Virtual WAN에 배포된 두 허브 간의 인터허브 논리 연결 |
이중 지역 보안 Virtual WAN 트래픽 흐름
다음 섹션에서는 Azure VMware Solution, 온-프레미스, Azure 가상 네트워크 및 인터넷에 대한 트래픽 흐름 및 연결에 대해 설명합니다.
Azure VMware Solution 프라이빗 클라우드 연결 및 트래픽 흐름
다음 다이어그램은 두 Azure VMware Solution 프라이빗 클라우드의 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 토폴로지 연결에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 1 | Azure VMware Solution 클라우드 지역 1 | 가상 네트워크 1 | 예, 허브 1 방화벽을 통해 |
| 2 | Azure VMware Solution 클라우드 지역 1 | 온-프레미스 | 예, 허브 1 방화벽을 통해 |
| 3 | Azure VMware Solution 클라우드 지역 1 | 가상 네트워크 2 | 예, 허브 1 방화벽을 통해 허브 2 방화벽을 통해 |
| 4 | Azure VMware Solution 클라우드 지역 1 | Azure VMware Solution 클라우드 지역 2 | 예, 허브 1 방화벽을 통해 허브 2 방화벽을 통해 |
| 5 | Azure VMware Solution 클라우드 지역 2 | 가상 네트워크 1 | 예, 허브 2 방화벽을 통해 허브 1 방화벽을 통해 |
| 6 | Azure VMware Solution 클라우드 지역 2 | 가상 네트워크 2 | 예, 허브 2 방화벽을 통해 |
| 7 | Azure VMware Solution 클라우드 지역 2 | 온-프레미스 | 예, 허브 2 방화벽을 통해 |
각 Azure VMware Solution 프라이빗 클라우드는 ExpressRoute 연결 D를 통해 허브에 연결합니다.
보안 허브에서 ExpressRoute-ExpressRoute 전이성을 사용하도록 설정하고 라우팅 의도를 사용하도록 설정하면 보안 허브는 D 연결을 통해 기본 RFC 1918 주소(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)를 Azure VMware Solution에 보냅니다. 기본 RFC 1918 주소 외에도 Azure VMware Solution은 두 허브에 연결하는 S2S VPN, P2S VPN 및 SD-WAN과 같은 Azure 가상 네트워크 및 분기 네트워크에서 보다 구체적인 경로를 알아봅니다. 두 Azure VMware Solution 프라이빗 클라우드는 모두 온-프레미스 네트워크에서 특정 경로를 학습하지 않습니다.
트래픽을 온-프레미스 네트워크로 다시 라우팅하기 위해 Azure VMware Solution은 로컬 지역 허브에서 연결 D 를 통해 학습하는 기본 RFC 1918 주소를 사용합니다. 이 트래픽은 로컬 지역 허브 방화벽을 통해 전송됩니다. 허브 방화벽은 온-프레미스 네트워크에 대한 특정 경로를 사용하여 연결 E를 통해 대상으로 트래픽을 라우팅합니다. Azure VMware Solution 프라이빗 클라우드에서 가상 네트워크로 이동하는 트래픽은 허브 방화벽을 전송합니다.
온-프레미스 연결 및 트래픽 흐름
다음 다이어그램은 온-프레미스 연결에 대한 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 토폴로지 연결에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 2 | 온-프레미스 | Azure VMware Solution 클라우드 지역 1 | 예, 허브 1 방화벽을 통해 |
| 7 | 온-프레미스 | Azure VMware Solution 클라우드 지역 2 | 예, 허브 2 방화벽을 통해 |
| 8 | 온-프레미스 | 가상 네트워크 1 | 예, 허브 1 방화벽을 통해 |
| 9 | 온-프레미스 | 가상 네트워크 2 | 예, 허브 2 방화벽을 통해 |
온-프레미스 사이트는 ExpressRoute 연결 E를 통해 두 허브에 연결합니다.
두 보안 허브에서 ExpressRoute-ExpressRoute 전이성을 사용하도록 설정하고 라우팅 의도를 사용하도록 설정하면 각 보안 허브는 기본 RFC 1918 주소(10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16)를 E 연결을 통해 온-프레미스로 보냅니다. 기본 RFC 1918 주소 외에도 온-프레미스는 두 허브에 연결하는 S2S VPN, P2S VPN 및 SD-WAN과 같은 Azure 가상 네트워크 및 분기 네트워크에서 보다 구체적인 경로를 알아봅니다.
온-프레미스는 Azure VMware Solution 프라이빗 클라우드에 대한 특정 경로를 학습하지 않습니다. 온-프레미스는 연결 E를 통해 두 허브에서 기본 RFC 1918 주소를 학습합니다. 온-프레미스는 연결 E를 통해 학습하는 기본 RFC 1918 주소를 통해 두 Azure VMware Solution 프라이빗 클라우드로 라우팅됩니다.
참고 항목
두 허브에 특정 경로를 추가해야 합니다. 허브에 특정 경로를 추가하지 않으면 온-프레미스에서 Azure VMware Solution 프라이빗 클라우드로 가는 트래픽에 대해 E 연결 간에 ECMP(동일 비용 다중 경로) 라우팅을 사용하기 때문에 최적이 않은 라우팅을 도입할 수 있습니다. 따라서 온-프레미스와 Azure VMware Solution 프라이빗 클라우드 간의 트래픽은 대기 시간, 성능 문제 또는 패킷 감소가 발생할 수 있습니다.
더 구체적인 경로를 온-프레미스로 보급하려면 라우팅 의도 기능의 프라이빗 트래픽 접두사 필드에 이러한 접두사를 지정합니다. 자세한 내용은 Virtual WAN 포털을 통해 라우팅 의도 및 정책 구성을 참조 하세요. Azure VMware Solution /22 블록과 Azure VMware Solution 서브넷을 모두 포함하는 요약된 경로를 추가해야 합니다. 요약 경로 대신 동일한 정확한 접두사 또는 보다 구체적인 접두사를 추가하는 경우 Azure 환경 내에서 라우팅 문제가 발생합니다. 개인 트래픽 접두사 필드에 요약된 경로 만 포함됩니다 .
다이어그램에 설명된 것처럼 Azure VMware Solution 프라이빗 클라우드 1에는 10.10.0.0/24에서 10.10.7.0/24까지의 워크로드 서브넷이 포함됩니다. 허브 1에서는 8개의 서브넷을 모두 포함하므로 요약 경로 10.10.0.0/21이 프라이빗 트래픽 접두 사에 추가됩니다. 또한 허브 1에서는 Azure VMware Solution 관리 블록을 포함하기 위해 요약 경로 10.150.0.0/22가 프라이빗 트래픽 접두 사에 추가됩니다. 요약 경로 10.10.0.0/21 및 10.150.0.0/22는 온-프레미스에 10.0.0.0/8이 아닌 보다 구체적인 경로가 있도록 연결 E 를 통해 온-프레미스로 보급됩니다.
Azure VMware Solution 프라이빗 클라우드 2에는 10.20.0.0/24에서 10.20.7.0/24까지의 워크로드 서브넷이 포함됩니다. 허브 2에서는 8개의 서브넷을 모두 포함하므로 요약 경로 10.20.0.0/21이 프라이빗 트래픽 접두 사에 추가됩니다. 또한 허브 2에서 요약 경로 10.250.0.0/22가 Azure VMware Solution 관리 블록을 포함하도록 프라이빗 트래픽 접두사 에 추가됩니다. 요약 경로 10.20.0.0/21 및 10.250.0.0/22는 온-프레미스에 10.0.0.0/8이 아닌 보다 구체적인 경로가 있도록 연결 E 를 통해 온-프레미스로 보급합니다.
Azure VMware Solution이 정확한 /22 블록을 Azure로 다시 보급하지 않으므로 프라이빗 트래픽 접두사 필드에 전체 Azure VMware Solution 관리 /22 블록을 추가할 수 있습니다. Azure VMware Solution은 보다 구체적인 경로를 보급합니다.
허브에서 ExpressRoute-ExpressRoute 전이성을 사용하도록 설정하면 기본 RFC 1918 주소가 온-프레미스 네트워크에 전송됩니다. 정확한 RFC 1918 접두사를 Azure로 다시 보급하지 마세요. 동일한 경로는 Azure 내에서 라우팅 문제를 일으킬 수 있습니다. 대신 온-프레미스 네트워크에 대해 더 구체적인 경로를 Azure로 다시 보급해야 합니다.
참고 항목
온-프레미스에서 Azure로 기본 RFC 1918 주소를 보급하고 이 방법을 계속하려면 각 RFC 1918 범위를 두 개의 동일한 하위 범위로 분할하고 이러한 하위 범위를 Azure로 다시 보급해야 합니다. 하위 범위는 10.0.0.0/9입니다. 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 및 192.168.128.0/17.
Azure 가상 네트워크 연결 및 트래픽 흐름
다음 다이어그램에서는 Azure 가상 네트워크에 대한 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 1 | 가상 네트워크 1 | Azure VMware Solution 클라우드 지역 1 | 예, 허브 1 방화벽을 통해 |
| 3 | 가상 네트워크 2 | Azure VMware Solution 클라우드 지역 1 | 예, 허브 2 방화벽 및 허브 1 방화벽을 통해 |
| 5 | 가상 네트워크 1 | Azure VMware Solution 클라우드 지역 2 | 예, 허브 1 방화벽을 통해 허브 2 방화벽 |
| 6 | 가상 네트워크 2 | Azure VMware Solution 클라우드 지역 2 | 예, 허브 2 방화벽을 통해 |
| 8 | 가상 네트워크 1 | 온-프레미스 | 예, 허브 1 방화벽을 통해 |
| 9 | 가상 네트워크 2 | 온-프레미스 | 예, 허브 2 방화벽을 통해 |
| 10 | 가상 네트워크 1 | 가상 네트워크 2 | 예, 허브 1 방화벽 및 허브 2 방화벽을 통해 |
| 10 | 가상 네트워크 2 | 가상 네트워크 1 | 예, 허브 2 방화벽 및 허브 1 방화벽을 통해 |
각 가상 네트워크는 해당 지역 허브에 직접 피어링됩니다.
다이어그램은 두 가상 네트워크의 모든 Azure 네이티브 리소스가 효과적인 경로를 학습하는 방법을 보여 줍니다. 라우팅 의도를 사용하도록 설정하면 허브 1 및 허브 2는 피어링된 가상 네트워크에 기본 RFC 1918 주소를 보냅니다. 가상 네트워크의 Azure 네이티브 리소스는 가상 네트워크 외부에서 특정 경로를 학습하지 않습니다.
라우팅 의도를 사용하도록 설정하면 가상 네트워크의 모든 리소스가 기본 RFC 1918 주소를 학습하고 해당 지역 허브 방화벽을 다음 홉으로 사용합니다. Azure VMware Solution 프라이빗 클라우드는 로컬 지역 허브 방화벽을 통해 연결 D 를 통해 서로 통신합니다. 여기에서 Virtual WAN 인터허브를 트래버스하고 지역 간 허브 방화벽에서 검사를 거칩니다. 또한 Azure VMware Solution 프라이빗 클라우드는 로컬 지역 허브 방화벽을 통해 연결 D 를 통해 온-프레미스와 통신합니다. 가상 네트워크를 들어오고 나가는 모든 트래픽은 해당 지역 허브 방화벽을 전송합니다.
인터넷 연결
이 섹션에서는 가상 네트워크의 Azure 네이티브 리소스와 두 지역의 Azure VMware Solution 프라이빗 클라우드에 대한 인터넷 연결을 제공하는 방법을 설명합니다. 자세한 내용은 인터넷 연결 디자인 고려 사항을 참조하세요. 다음 옵션을 사용하여 Azure VMware Solution에 인터넷 연결을 제공할 수 있습니다.
- 옵션 1: Azure 호스팅 인터넷 서비스
- 옵션 2: Azure VMware Solution 관리형 SNAT(원본 네트워크 주소 변환)
- 옵션 3: NSX-T 데이터 센터 에지에 대한 Azure 공용 IPv4 주소
라우팅 의도가 있는 이중 지역 Virtual WAN 디자인은 모든 옵션을 지원하지만 옵션 1을 사용하는 것이 좋습니다. 이 문서의 뒷부분에 있는 시나리오에서는 옵션 1을 사용하여 인터넷 연결을 제공합니다. 옵션 1은 검사, 배포 및 관리가 쉽기 때문에 보안 Virtual WAN에서 가장 잘 작동합니다.
두 보안 허브에서 라우팅 의도를 사용하도록 설정하면 RFC 1918을 직접 피어링된 가상 네트워크에 보급합니다. 그러나 다운스트림 리소스에 대한 인터넷 연결에 대한 기본 경로 0.0.0.0/0을 보급할 수도 있습니다. 라우팅 의도를 사용하도록 설정하면 두 허브 방화벽에서 기본 경로를 생성할 수 있습니다. 이 기본 경로는 직접 피어된 가상 네트워크 및 직접 연결된 Azure VMware Solution에 보급됩니다.
Azure VMware Solution 및 가상 네트워크 인터넷 연결
다음 다이어그램은 Azure VMware Solution 프라이빗 클라우드 및 가상 네트워크에 대한 트래픽 흐름을 보여 줍니다.
다음 표에서는 이전 다이어그램의 트래픽 흐름에 대해 설명합니다.
| 트래픽 흐름 번호 | 원본 | 대상 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 11 | Azure VMware Solution 클라우드 지역 1 | 인터넷 | 예, 허브 1 방화벽을 통해 |
| 12 | 가상 네트워크 2 | 인터넷 | 예, 허브 2 방화벽을 통해 |
| 13 | 가상 네트워크 1 | 인터넷 | 예, 허브 1 방화벽을 통해 |
| 14 | Azure VMware Solution 클라우드 지역 2 | 인터넷 | 예, 허브 2 방화벽을 통해 |
인터넷 트래픽에 라우팅 의도를 사용하도록 설정하면 기본적으로 보안 Virtual WAN 허브는 ExpressRoute 회로에서 기본 경로를 보급하지 않습니다. 기본 경로가 Virtual WAN에서 직접 연결된 Azure VMware Solution으로 전파되도록 하려면 Azure VMware Solution ExpressRoute 회로에서 기본 경로 전파를 사용하도록 설정해야 합니다. 자세한 내용은 엔드포인트에 대한 Advertise 기본 경로 0.0.0.0/0을 참조하세요.
기본 경로 전파를 사용하도록 설정한 후 연결 D 는 허브에서 기본 경로 0.0.0.0/0을 보급합니다. 온-프레미스 ExpressRoute 회로에 대해 이 설정을 사용하도록 설정하지 마세요. 기본 경로 학습을 제외하려면 온-프레미스 장비에 BGP(Border Gateway Protocol) 필터를 구현하는 것이 좋습니다. BGP 필터는 추가 보호 계층을 추가하고 구성이 온-프레미스 인터넷 연결에 영향을 주지 않도록 합니다.
인터넷 액세스에 라우팅 의도를 사용하도록 설정하면 두 지역 허브 모두 기본 경로를 생성하고 허브 피어링된 가상 네트워크 연결에 보급합니다. 가상 네트워크의 가상 머신 NIC(네트워크 인터페이스 카드)에서 0.0.0.0/0 다음 홉은 허브 방화벽입니다. 다음 홉을 찾으려면 NIC에서 유효 경로를 선택합니다. 기본 경로는 인터허브 링크를 통해 지역 허브에 보급되지 않습니다. 따라서 가상 네트워크는 인터넷 액세스를 위해 로컬 지역 허브를 사용하며 지역 간 허브에 대한 백업 인터넷 연결이 없습니다.
Azure VMware Solution에 대한 인터넷 액세스 복원력
이중 지역 디자인에서 Global Reach를 사용하지 않는 경우 각 Azure VMware Solution 프라이빗 클라우드는 로컬 지역 허브에서 기본 경로를 학습하고 지역 간 허브에 직접 연결되지 않으므로 아웃바운드 인터넷 연결이 중복되지 않습니다. 지역 가동 중단이 로컬 지역 허브에 영향을 주는 경우 다음 수동 구성 중 하나를 사용하여 인터넷 중복을 달성합니다.
옵션 1
아웃바운드 인터넷 액세스에만 이 옵션을 사용합니다. 로컬 지역 가동 중단 중에 Azure VMware Solution 워크로드에 대한 아웃바운드 인터넷 액세스가 필요한 경우 Azure VMware Solution 관리형 SNAT를 사용합니다. 이 솔루션은 간단하고 빠른 액세스를 제공합니다. 자세한 내용은 Azure VMware Solution 워크로드에 대한 관리되는 SNAT 켜기를 참조하세요.
옵션 2
인바운드 및 아웃바운드 인터넷 액세스에 이 옵션을 사용합니다. 로컬 지역 가동 중단 중에 Azure VMware Solution 클라우드에 대한 인바운드 및 아웃바운드 인터넷 액세스가 모두 필요한 경우 다음 방법을 사용합니다.
Azure VMware Solution에서 로컬 지역 허브로 가는 연결을 제거합니다(다이어그램의 연결 D ).
Azure Portal에서 Azure VMware Solution을 선택하고 연결 D에 대해 만든 권한 부여 키를 제거합니다.
지역 간 허브에 대한 새 연결을 만듭니다.
인바운드 트래픽을 처리하려면 Azure Front Door 또는 Azure Traffic Manager를 사용하여 지역 고가용성을 유지하는 것이 좋습니다.
Global Reach 없이 VMware HCX MON(Mobility Optimized Networking) 사용
HCX 네트워크 확장을 사용하는 경우 MON(HCX Mobility Optimized Networking)을 사용하도록 설정할 수 있습니다. MON은 특정 시나리오에서 최적의 트래픽 라우팅을 제공하여 확장된 네트워크의 온-프레미스 기반 리소스와 클라우드 기반 리소스 간에 네트워크가 겹치거나 반복되지 않도록 합니다.
Azure VMware Solution에서 트래픽 송신
특정 확장 네트워크 및 가상 머신에 대해 MON을 사용하도록 설정하면 트래픽 흐름이 변경됩니다. MON을 구현한 후에는 가상 머신의 송신 트래픽이 온-프레미스로 다시 반복되지 않습니다. 대신 네트워크 확장 IPSec 터널을 무시합니다. 가상 머신에 대한 트래픽은 Azure VMware Solution NSX-T 계층-1 게이트웨이에서 종료되고, NSX-T 계층-0 게이트웨이로 이동하고, Virtual WAN으로 이동합니다.
Azure VMware Solution으로의 수신 트래픽
특정 확장 네트워크 및 가상 머신에 대해 MON을 사용하도록 설정하면 다음과 같은 변경 내용이 도입됩니다. Azure VMware Solution NSX-T에서 MON은 /32 호스트 경로를 Virtual WAN에 다시 삽입합니다. Virtual WAN은 이 /32 경로를 온-프레미스, 가상 네트워크 및 분기 네트워크로 다시 보급합니다. 이 /32 호스트 경로는 트래픽이 MON 지원 가상 머신으로 이동하면 온-프레미스, 가상 네트워크 및 분기 네트워크의 트래픽이 네트워크 확장 IPSec 터널을 사용하지 않도록 합니다. 원본 네트워크의 트래픽은 /32 경로를 학습하므로 MON 지원 가상 머신으로 바로 이동합니다.
Global Reach가 없는 보안 Virtual WAN에 대한 HCX MON 제한 사항
보안 허브에서 ExpressRoute-ExpressRoute 전이성을 사용하도록 설정하고 라우팅 의도를 사용하도록 설정하면 보안 허브는 기본 RFC 1918 주소를 온-프레미스 및 Azure VMware Solution 모두에 보냅니다. 기본 RFC 1918 주소 외에도 온-프레미스 및 Azure VMware Solution은 허브에 연결하는 Azure 가상 네트워크 및 분기 네트워크에서 더 구체적인 경로를 알아봅니다.
그러나 온-프레미스 네트워크는 Azure VMware Solution에서 특정 경로를 학습하지 않으며 Azure VMware Solution은 온-프레미스 네트워크에서 특정 경로를 학습하지 않습니다. 대신 두 환경 모두 기본 RFC 1918 주소를 사용하여 허브 방화벽을 통해 서로 다시 라우팅할 수 있습니다. 따라서 MON 호스트 경로와 같은 보다 구체적인 경로는 Azure VMware Solution ExpressRoute에서 온-프레미스 기반 ExpressRoute 회로로 보급하지 않습니다. 그 반대의 경우도 마찬가지입니다. 특정 경로를 학습할 수 없는 경우 비대칭 트래픽 흐름이 발생합니다. 트래픽은 NSX-T 계층 0 게이트웨이를 통해 Azure VMware Solution을 송신하지만 온-프레미스에서 트래픽을 반환하면 네트워크 확장 IPSec 터널을 통해 반환됩니다.
트래픽 비대칭 수정
트래픽 비대칭을 수정하려면 MON 정책 경로를 조정해야 합니다. MON 정책 경로는 L2 확장을 통해 온-프레미스 게이트웨이로 돌아가는 트래픽을 결정합니다. 또한 Azure VMware Solution NSX 계층 0 게이트웨이를 통과하는 트래픽을 결정합니다.
대상 IP가 일치하고 MON 정책 구성에서 허용하도록 설정하면 두 가지 작업이 발생합니다. 먼저 시스템은 패킷을 식별합니다. 둘째, 시스템은 네트워크 확장 어플라이언스를 통해 온-프레미스 게이트웨이로 패킷을 보냅니다.
대상 IP가 일치하지 않거나 MON 정책에서 거부하도록 설정한 경우 시스템은 라우팅을 위해 Azure VMware Solution Tier-0 게이트웨이로 패킷을 보냅니다.
다음 표에서는 HCX 정책 경로에 대해 설명합니다.
| 네트워크 | 피어로 리디렉션 | 참고 항목 |
|---|---|---|
| Azure 가상 네트워크 주소 공간 | 거부 | 모든 가상 네트워크의 주소 범위를 명시적으로 포함합니다. Azure용 트래픽은 Azure VMware Solution을 통해 아웃바운드로 전달되며 온-프레미스 네트워크로 돌아가지 않습니다. |
| 기본 RFC 1918 주소 공간 | 허용 | 기본 RFC 1918 주소를 추가합니다. 이 구성은 이전 조건과 일치하지 않는 트래픽이 온-프레미스 네트워크로 다시 라우팅되도록 합니다. 온-프레미스 설정에서 RFC 1918의 일부가 아닌 주소를 사용하는 경우 해당 범위를 명시적으로 포함해야 합니다. |
| 0.0.0.0/0 주소 공간 | 거부 | RFC 1918에서 다루지 않는 주소(예: 인터넷 라우팅 가능 IP 또는 지정된 항목과 일치하지 않는 트래픽)는 Azure VMware Solution을 통해 직접 종료되고 온-프레미스 네트워크로 다시 리디렉션되지 않습니다. |