단일 지역 또는 이중 지역에서 Azure VMware Solution용 Virtual WAN 보안
이 문서에서는 라우팅 의도로 보안 Azure Virtual WAN을 사용하는 단일 지역 및 이중 지역 시나리오에 대한 Azure VMware Solution 네트워크 디자인 토폴로지 및 고려 사항을 살펴봅니다. 라우팅 의도가 중앙 집중식 보안 솔루션을 통해 트래픽을 전송하는 방법을 설명합니다. 이 방법은 보안을 강화하고 네트워크 관리를 간소화합니다. 이 문서에서는 Azure ExpressRoute Global Reach를 사용 또는 사용하지 않는 배포에 대한 디자인 고려 사항을 제공합니다. 각 시나리오의 이점과 과제를 강조 표시합니다.
가상 WAN 허브에서 보안 솔루션을 구현하여 허브를 보안 Virtual WAN 허브로 변환할 수 있습니다. 라우팅 의도를 구성하려면 보안 Virtual WAN 허브가 있어야 합니다. 라우팅 의도는 모든 프라이빗 트래픽 및 인터넷 트래픽을 허브 보안 솔루션으로 유도하여 보안 허브 라우팅 및 보안 설계를 간소화합니다. 라우팅 의도는 보안 범위를 개선하고 Azure VMware Solution 트래픽을 포함하여 보안 허브를 통과하는 모든 트래픽에 대한 트래픽 검사를 수행합니다.
이 문서에서는 Virtual WAN에 대한 기본적인 이해와 라우팅 의도로 가상 WAN을 보호한다고 가정합니다.
자세한 내용은 다음 리소스를 참조하세요.
Azure VMware Solution 디자인에 대한 보안 Virtual WAN 구현
라우팅 의도로 보안 Virtual WAN을 사용하여 모든 인터넷 트래픽 및 개인 네트워크 트래픽(RFC 1918)을 Azure Firewall, 비 Microsoft NVA(네트워크 가상 어플라이언스) 또는 SaaS(Software as a Service) 솔루션과 같은 보안 솔루션으로 보냅니다. 단일 지역 및 이중 지역 디자인을 모두 지원하려면 보안 Virtual WAN 및 라우팅 의도와 함께 Azure VMware Solution을 사용합니다.
단일 지역 디자인
단일 지역 디자인을 사용하여 Azure VMware Solution으로 이동하고 나가는 가상 허브 보안 솔루션 내에서 네트워크 트래픽을 검사합니다. 이 방법은 네트워크 관리를 간소화하고 전반적인 보안 태세를 향상시킵니다. 또한 이 디자인은 이중 지역 디자인이 있는 다른 지역에 다른 Azure VMware Solution 프라이빗 클라우드를 배포하려는 경우에도 준비됩니다. 단일 지역 허브에서 라우팅 의도를 사용하도록 설정하여 나중에 이중 허브 지역 디자인으로 확장할 수 있습니다. 이 디자인은 Global Reach의 사용 여부에 관계없이 구성을 지원합니다.
이중 지역 또는 이중 허브 디자인
이중 지역 디자인을 사용하여 두 가상 허브 보안 솔루션에서 네트워크 트래픽을 검사합니다. Azure VMware Solution 간 트래픽을 검사하고 다른 지역에 있는 Azure VMware Solution 프라이빗 클라우드의 트래픽을 검사합니다. 트래픽이 두 허브 보안 솔루션을 모두 통과할 수 있도록 두 지역 허브에서 라우팅 의도를 사용하도록 설정합니다. 라우팅 의도가 있는 이중 지역 디자인은 보안을 향상시키고 지역 간 네트워크 관리를 간소화합니다. 이 디자인은 Global Reach의 사용 여부에 관계없이 구성을 지원합니다.
Global Reach 배포 옵션
Global Reach를 사용하여 Azure VMware Solution을 온-프레미스 또는 지역 Azure VMware Solution 프라이빗 클라우드에 연결합니다. Global Reach는 Microsoft 백본을 통해 직접 논리 링크를 설정합니다.
Global Reach를 사용하여 배포
Global Reach를 배포하면 Global Reach 사이트 간의 트래픽이 보안 Virtual WAN 허브 방화벽을 우회합니다. 보안 Virtual WAN 허브 방화벽은 Azure VMware Solution과 온-프레미스 간 또는 다른 지역의 Azure VMware Solution 프라이빗 클라우드 간에 진행되는 Global Reach 트래픽을 검사하지 않습니다.
예를 들어 다음 다이어그램은 Azure VMware Solution과 온-프레미스 간의 트래픽이 A로 레이블이 지정된 Global Reach 연결을 사용하여 통신하는 방법을 보여 줍니다. 이 트래픽은 Global Reach 연결 A로 인해 허브 방화벽을 전송하지 않습니다. Global Reach 사이트 간의 최적의 보안을 위해 Azure VMware Solution 환경의 NSX-T 또는 온-프레미스 방화벽은 트래픽을 검사해야 합니다.
Global Reach는 Azure VMware Solution과 온-프레미스 또는 지역 Azure VMware Solution 프라이빗 클라우드 간에 직접 논리적 연결을 제공하기 때문에 디자인을 간소화합니다. Global Reach를 사용하여 Global Reach 사이트 간의 트래픽 문제를 해결하고 보안 Virtual WAN에서 처리량 제한을 제거할 수 있습니다. 단점은 Global Reach가 보안 가상 허브 보안 솔루션이 지역 Azure VMware Solution 프라이빗 클라우드와 온-프레미스 간 및 Azure VMware Solution 프라이빗 클라우드 자체 내에서 트래픽을 검사하지 못하도록 방지한다는 것입니다. 따라서 보안 가상 허브의 보안 솔루션은 이러한 엔터티 간에 직접 흐르는 트래픽을 검사할 수 없습니다.
Global Reach가 없는 배포
특정 요구 사항이 없는 한 Global Reach를 일관되게 사용하는 것이 좋습니다. Global Reach를 사용하지 않는 경우 Azure VMware Solution과 온-프레미스 또는 지역 Azure VMware Solution 프라이빗 클라우드 간의 보안 Virtual WAN 허브 보안 솔루션에서 모든 트래픽을 검사할 수 있습니다. 그러나 이 접근 방식은 디자인의 복잡성을 증가합니다. 또한 보안 Virtual WAN 허브의 처리량 제한 사항도 고려합니다. 다음 제한 사항 중 하나가 없는 한 Global Reach를 사용합니다.
Azure VMware Solution과 온-프레미스 간 및 Azure VMware Solution 프라이빗 클라우드 내에서 Virtual WAN 허브의 트래픽을 검사해야 합니다. Azure VMware Solution과 온-프레미스 간 또는 가상 허브 방화벽의 지역 Azure VMware Solution 프라이빗 클라우드 간 트래픽을 검사하기 위한 보안 요구 사항이 있는 경우 Global Reach를 사용할 수 없습니다.
지역은 Global Reach를 지원하지 않습니다. 지역이 Global Reach를 지원하지 않는 경우 라우팅 의도를 사용하여 Azure VMware Solution과 온-프레미스 간 또는 지역 Azure VMware Solution 프라이빗 클라우드 간에 ExpressRoute 연결 간의 연결을 설정할 수 있습니다. 기본적으로 가상 허브는 ExpressRoute에서 ExpressRoute 전이성을 지원하지 않습니다. 이 전이성을 사용하려면 지원 티켓을 시작해야 합니다. 자세한 내용은 ExpressRoute Global Reach 가용성을 참조 하세요.
온-프레미스 ExpressRoute 인스턴스는 ExpressRoute 로컬 SKU를 사용합니다. ExpressRoute 로컬 SKU는 Global Reach를 지원하지 않습니다. 로컬 SKU를 사용하는 경우 라우팅 의도를 사용하여 Azure VMware Solution과 온-프레미스 네트워크 간에 연결을 설정할 수 있습니다.
다음 다이어그램에서는 Global Reach를 사용하지 않는 예제를 보여 있습니다.
단일 지역 또는 이중 지역에 대한 Global Reach 옵션을 고려합니다.
다음 지침을 사용하여 시나리오에 대해 Global Reach를 사용하도록 설정해야 하는지 여부를 결정합니다.
Global Reach가 있는 단일 지역 디자인
단일 지역에서 Global Reach를 사용하는 경우 보안 허브는 Azure Firewall, 타사 NVA 또는 SaaS 솔루션과 같은 보안 솔루션을 통해 모든 개인 트래픽 및 인터넷 트래픽을 라우팅합니다. 다음 다이어그램에서 라우팅 의도는 트래픽을 검사하지만 Azure VMware Solution과 온-프레미스 간의 Global Reach 트래픽은 허브 방화벽(연결 A)을 우회합니다. 따라서 Azure VMware Solution 또는 온-프레미스 방화벽에서 NSX-T를 사용하여 이 Global Reach 트래픽을 검사하여 Global Reach 사이트에서 보안을 강화해야 합니다.
다음 표에서는 Azure VMware Solution을 들어오고 가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| Azure VMware 솔루션 | → ← |
가상 네트워크 | 예 |
| Azure VMware 솔루션 | → ← |
인터넷 | 예 |
| Azure VMware 솔루션 | → ← |
온-프레미스 | 아니요 |
다음 표에서는 가상 네트워크를 들어오고 가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 가상 네트워크 | → ← |
온-프레미스 | 예 |
| 가상 네트워크 | → ← |
인터넷 | 예 |
| 가상 네트워크 | → ← |
가상 네트워크 | 예 |
Global Reach가 없는 단일 지역 디자인
단일 지역에서 Global Reach를 사용하지 않는 경우 보안 허브는 보안 솔루션을 통해 모든 개인 트래픽 및 인터넷 트래픽을 라우팅합니다. 라우팅 의도는 트래픽을 검사합니다. 이 설계를 사용하면 Azure VMware Solution과 온-프레미스 간의 트래픽이 검사를 위해 허브 방화벽을 전송합니다. 가상 허브는 기본적으로 ExpressRoute에서 ExpressRoute로의 전이성을 지원하지 않습니다. 이 전이성을 사용하려면 지원 티켓을 시작해야 합니다. 지원 티켓이 처리되면 보안 허브는 기본 RFC 1918 주소를 Azure VMware Solution 및 온-프레미스에 보급합니다. 온-프레미스에서 라우팅 의도를 사용하는 경우 정확한 기본 RFC 1918 주소 접두사(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)를 Azure로 다시 보급할 수 없습니다. 대신 항상 더 구체적인 경로를 보급해야 합니다.
다음 표에서는 Azure VMware Solution을 들어오고 가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| Azure VMware 솔루션 | → ← |
온-프레미스 | 예 |
| Azure VMware 솔루션 | → ← |
인터넷 | 예 |
| Azure VMware 솔루션 | → ← |
가상 네트워크 | 예 |
다음 표에서는 가상 네트워크를 들어오고 가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 가상 네트워크 | → ← |
온-프레미스 | 예 |
| 가상 네트워크 | → ← |
인터넷 | 예 |
| 가상 네트워크 | → ← |
가상 네트워크 | 예 |
Global Reach가 있는 이중 지역 디자인
두 지역에서 Global Reach를 사용하는 경우 Virtual WAN 내의 서로 다른 지역에 두 개의 보안 허브를 배포합니다. 또한 별도의 지역에 두 개의 Azure VMware Solution 프라이빗 클라우드를 설정합니다.
다음 다이어그램은 이 구성의 예를 보여줍니다. 각 지역 Azure VMware Solution 프라이빗 클라우드는 로컬 지역 허브(연결 D)에 직접 연결합니다. 온-프레미스는 각 지역 허브(연결 E)에 연결합니다. 모든 RFC 1918 트래픽 및 인터넷 트래픽은 라우팅 의도를 통해 두 보안 허브의 보안 솔루션을 통해 라우팅됩니다. Azure VMware Solution 프라이빗 클라우드는 Global Reach(연결 A 및 B)를 통해 온-프레미스로 다시 연결됩니다. Azure VMware Solution 클라우드는 Global Reach(연결 C)를 통해 서로 연결됩니다. Azure VMware Solution 프라이빗 클라우드 간 또는 Azure VMware Solution 프라이빗 클라우드와 온-프레미스 간의 글로벌 도달률 트래픽은 두 허브 방화벽(연결 A, B 및 C)을 우회합니다. Global Reach 사이트에서 보안을 강화하려면 Azure VMware Solution 또는 온-프레미스 방화벽에서 NSX-T를 사용하여 이 트래픽을 검사합니다.
다음 표에서는 Azure VMware Solution 프라이빗 클라우드 지역 1을 오가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| Azure VMware Solution 프라이빗 클라우드 지역 1 | → ← |
가상 네트워크 1 | 예, 허브 1 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 1 | → ← |
가상 네트워크 2 | 예, 허브 1 및 허브 2 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 1 | → ← |
인터넷 | 예, 허브 1 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 1 | → ← |
온-프레미스 | 아니요 |
다음 표에서는 Azure VMware Solution 프라이빗 클라우드 지역 2를 오가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| Azure VMware Solution 프라이빗 클라우드 지역 2 | → ← |
가상 네트워크 1 | 예, 허브 1 및 허브 2 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 2 | → ← |
가상 네트워크 2 | 예, 허브 2 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 2 | → ← |
인터넷 | 예, 허브 2 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 2 | → ← |
온-프레미스 | 아니요 |
다음 표에서는 Azure VMware Solution 프라이빗 클라우드 지역 1 및 지역 2를 오가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| Azure VMware Solution 프라이빗 클라우드 지역 1 | → ← |
Azure VMware Solution 프라이빗 클라우드 지역 2 | 아니요 |
다음 표에서는 가상 네트워크를 들어오고 가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 가상 네트워크 1 | → ← |
온-프레미스 | 예, 허브 1 방화벽을 통해 |
| 가상 네트워크 1 | → ← |
인터넷 | 예, 허브 1 방화벽을 통해 |
| 가상 네트워크 1 | → ← |
가상 네트워크 2 | 예, 허브 1 및 허브 2 방화벽을 통해 |
| 가상 네트워크 2 | → ← |
온-프레미스 | 예, 허브 2 방화벽을 통해 |
| 가상 네트워크 2 | → ← |
인터넷 | 예, 허브 2 방화벽을 통해 |
Global Reach가 없는 이중 지역 디자인
두 지역에서 Global Reach를 사용하는 경우 Virtual WAN 내의 서로 다른 지역에 두 개의 보안 허브를 배포합니다. 또한 별도의 지역에 두 개의 Azure VMware Solution 프라이빗 클라우드를 설정합니다.
다음 다이어그램은 이 구성의 예를 보여줍니다. 각 지역 Azure VMware Solution 프라이빗 클라우드는 로컬 지역 허브(연결 D)에 직접 연결합니다. 온-프레미스는 각 지역 허브(연결 E)에 연결합니다. 모든 RFC 1918 트래픽 및 인터넷 트래픽은 라우팅 의도를 통해 두 보안 허브의 보안 솔루션을 통해 라우팅됩니다.
가상 허브는 기본적으로 ExpressRoute에서 ExpressRoute로의 전이성을 지원하지 않습니다. 이 전이성을 사용하려면 지원 티켓을 시작해야 합니다. 지원 티켓이 처리되면 보안 허브는 기본 RFC 1918 주소를 Azure VMware Solution 및 온-프레미스에 보급합니다. 티켓을 열 때 두 지역 허브를 모두 참조합니다. Azure VMware Solution 프라이빗 클라우드가 Virtual WAN 인터허브를 통해 서로 통신할 수 있고 Azure VMware Solution 클라우드가 온-프레미스와 통신할 수 있도록 ExpressRoute를 사용하여 ExpressRoute 전이성을 사용합니다.
RFC 1918 주소는 온-프레미스에 보급되며, 정확한 기본 RFC 1918 주소 접두사(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)를 Azure로 다시 보급할 수 없습니다. 대신 항상 더 구체적인 경로를 보급해야 합니다.
다음 표에서는 Azure VMware Solution 프라이빗 클라우드 지역 1을 오가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| Azure VMware Solution 프라이빗 클라우드 지역 1 | → ← |
가상 네트워크 1 | 예, 허브 1 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 1 | → ← |
가상 네트워크 2 | 예, 허브 1 및 허브 2 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 1 | → ← |
인터넷 | 예, 허브 1 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 1 | → ← |
온-프레미스 | 예, 허브 1 방화벽을 통해 |
다음 표에서는 Azure VMware Solution 프라이빗 클라우드 지역 2를 오가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| Azure VMware Solution 프라이빗 클라우드 지역 2 | → ← |
가상 네트워크 1 | 예, 허브 2 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 2 | → ← |
가상 네트워크 2 | 예, 허브 1 및 허브 2 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 2 | → ← |
인터넷 | 예, 허브 2 방화벽을 통해 |
| Azure VMware Solution 프라이빗 클라우드 지역 2 | → ← |
온-프레미스 | 예, 허브 2 방화벽을 통해 |
다음 표에서는 Azure VMware Solution 프라이빗 클라우드 지역 1 및 지역 2를 오가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| Azure VMware Solution 프라이빗 클라우드 지역 1 | → ← |
Azure VMware Solution 프라이빗 클라우드 지역 2 | 예, 허브 1 및 허브 2 방화벽을 통해 |
다음 표에서는 가상 네트워크를 들어오고 가는 트래픽 흐름을 보여 줍니다.
| 위치 1 | Direction | 위치 2 | 보안 Virtual WAN 허브 방화벽이 이 트래픽을 검사하나요? |
|---|---|---|---|
| 가상 네트워크 1 | → ← |
온-프레미스 | 예, 허브 1 방화벽을 통해 |
| 가상 네트워크 1 | → ← |
인터넷 | 예, 허브 1 방화벽을 통해 |
| 가상 네트워크 1 | → ← |
가상 네트워크 2 | 예, 허브 1 및 허브 2 방화벽을 통해 |
| 가상 네트워크 2 | → ← |
온-프레미스 | 예, 허브 2 방화벽을 통해 |
| 가상 네트워크 2 | → ← |
인터넷 | 예, 허브 2 방화벽을 통해 |