재해 복구 디자인
Virtual WAN을 사용하면 모든 전역 배포를 집계하고, 연결하고, 중앙에서 관리하고, 보호할 수 있습니다. 전역 배포에는 다양한 분기, PoP(상호 접속 위치), 프라이빗 사용자, 사무실, Azure 가상 네트워크 및 기타 다중 클라우드 배포의 모든 조합이 포함될 수 있습니다. SD-WAN, 사이트 간 VPN, 지점 및 사이트 간 VPN 및 ExpressRoute를 사용하여 다양한 사이트를 가상 허브에 연결할 수 있습니다. 여러 가상 허브가 있는 경우 표준 Virtual WAN 배포에서 모든 허브는 풀 메시로 연결됩니다.
이 문서에서는 Virtual WAN에서 재해 복구를 위해 지원하는 다양한 유형의 NaaS(Network-as-a-Service) 연결 옵션을 설계하는 방법을 살펴보겠습니다.
Virtual WAN의 NaaS(Network-as-a-Service) 연결 옵션
Virtual WAN에서 지원하는 백 엔드 연결 옵션은 다음과 같습니다.
- 원격 사용자 연결
- 분기/사무실/SD-WAN/사이트 간 VPN
- 프라이빗 연결(ExpressRoute 개인 피어링)
이러한 각 연결 옵션에 대해 Virtual WAN은 별도의 게이트웨이 인스턴스 세트를 가상 허브 내에 배포합니다.
기본적으로 Virtual WAN은 이동 통신 사업자 수준의 고가용성 네트워크 통합 솔루션을 제공하도록 설계되었습니다. 고가용성을 위해 Virtual WAN은 이러한 서로 다른 유형의 게이트웨이 각각이 Virtual WAN 허브 내에 배포될 때 여러 인스턴스를 인스턴스화합니다. ExpressRoute 고가용성에 대한 자세한 내용은 ExpressRoute를 사용한 고가용성을 위한 설계를 참조하세요.
지점 및 사이트 간 VPN Gateway를 사용하면 배포된 최소 인스턴스 수는 2개입니다. 지점 및 사이트 간 VPN 게이트웨이를 사용하면 지점 및 사이트 게이트웨이의 집계 처리량 용량을 선택하고 여러 인스턴스가 자동으로 프로비전됩니다. 가상 허브에 연결하려는 클라이언트 또는 사용자의 수에 집계 용량을 선택합니다. 클라이언트 연결 관점에서 지점 및 사이트 간 VPN 게이트웨이 인스턴스는 게이트웨이의 FQDN(정규화된 도메인 이름) 뒤에 숨겨져 있습니다.
사이트 간 VPN Gateway의 경우 게이트웨이의 두 인스턴스가 가상 허브 내에 배포됩니다. 각 게이트웨이 인스턴스는 고유한 공용 및 개인 IP 주소 세트를 사용하여 배포됩니다. 두 인스턴스는 분기에서 사이트 간 VPN 연결을 설정하기 위한 두 개의 독립적인 터널 엔드포인트를 제공합니다. 고가용성을 최대화하려면 여러 ISP 링크에서 Azure 경로 선택을 참조하세요.
네트워크 구조의 고가용성을 극대화하는 것은 BCDR(비즈니스 연속성 및 재해 복구)의 주요 첫 번째 단계입니다. 이 문서의 나머지 부분에서는 앞에서 설명한 것대로 고가용성을 넘어 BCDR용 Virtual WAN 연결 네트워크를 설계하는 방법에 대해 설명하겠습니다.
재해 복구 디자인의 필요
언제 어디서나 재해가 발생할 수 있습니다. 재해는 클라우드 공급자 지역 또는 네트워크, 서비스 공급자 네트워크 또는 온-프레미스 네트워크 내에서 발생할 수 있습니다. 자연 재앙, 인간의 실수, 전쟁, 테러, 잘못된 구성과 같은 특정 요인으로 인한 클라우드 또는 네트워크 서비스의 지역적 영향은 배제하기 어렵습니다. 따라서 중요 비즈니스용 애플리케이션의 연속성을 위해 재해 복구 디자인이 필요합니다. 포괄적인 재해 복구 디자인의 경우 엔드투엔드 통신 경로에서 실패할 수 있는 모든 종속성을 식별하고 각 종속성에 대해 겹치지 않는 중복성을 만들어야 합니다.
Azure 지역, 온-프레미스 또는 다른 곳에서 중요 업무용 애플리케이션을 실행하는지 여부와 관계없이 다른 Azure 지역을 장애 조치(failover) 사이트로 사용할 수 있습니다. 다음 문서에서는 애플리케이션과 프런트 엔드 액세스 관점에서 재해 복구를 다룹니다.
- 엔터프라이즈급 재해 복구
- Disaster recovery with Azure Site Recovery(Azure Site Recovery를 사용한 재해 복구)
중복 연결 사용 과제
둘 이상의 연결을 사용하여 같은 네트워크 세트를 상호 연결하면 네트워크 간에 병렬 경로가 도입됩니다. 병렬 경로가 제대로 설계되지 않으면 비대칭 라우팅이 발생할 수 있습니다. 경로에 상태 저장 엔터티(예: NAT, 방화벽)가 있으면 비대칭 라우팅이 트래픽 흐름을 차단할 수 있습니다. 일반적으로 프라이빗 연결을 통해서는 NAT 또는 방화벽과 같은 상태 저장 엔터티를 사용하거나 통과하지 못합니다. 따라서 프라이빗 연결을 통한 비대칭 라우팅이 반드시 트래픽 흐름을 차단하는 것은 아닙니다.
그러나 지역 중복 병렬 경로 간에 트래픽 부하를 분산하는 경우 병렬 연결의 실제 경로 차이로 인해 네트워크 성능이 일관되지 않습니다. 따라서 재해 복구 디자인의 일부로 안정 상태(비실패 상태) 및 실패 상태 모두에서 네트워크 트래픽 성능을 고려해야 합니다.
액세스 네트워크 중복성
대부분의 SD-WAN 서비스(관리 솔루션 또는 기타)는 여러 전송 유형(예: 인터넷 광대역, MPLS, LTE)을 통해 네트워크 연결을 제공합니다. 전송 네트워크 오류로부터 보호하려면 둘 이상의 전송 네트워크를 통해 연결을 선택합니다. 홈 사용자 시나리오의 경우 모바일 네트워크를 광대역 네트워크 연결을 위한 백업으로 사용하는 것을 고려할 수 있습니다.
다른 전송 유형을 통한 네트워크 연결이 가능하지 않은 경우 둘 이상의 서비스 공급자를 통한 네트워크 연결을 선택합니다. 둘 이상의 서비스 공급자를 통해 연결하는 경우 서비스 공급자가 겹치지 않는 독립적인 액세스 네트워크를 유지 관리해야 합니다.
원격 사용자 연결 고려 사항
원격 사용자 연결은 엔드 디바이스와 네트워크 간의 지점 및 사이트 간 VPN을 사용하여 설정됩니다. 네트워크 오류가 발생한 후 최종 디바이스가 삭제되고 VPN 터널을 다시 설정하려고 시도합니다. 따라서 지점 및 사이트 간 VPN의 경우 재해 복구 디자인은 오류 후 복구 시간을 최소화하는 것을 목표로 해야 합니다. 다음 네트워크 중복성은 복구 시간을 최소화하는 데 도움이 됩니다. 연결의 중요도에 따라 이러한 옵션 중 일부 또는 전체를 선택할 수 있습니다.
- 액세스 네트워크 중복성(위에서 설명)
- 지점 및 사이트 간 VPN 종료에 대한 중복 가상 허브 관리 지점 및 사이트 간 게이트웨이를 사용하는 여러 개의 가상 허브가 있는 경우 VWAN은 모든 지점 및 사이트 간 엔드포인트를 나열하는 전역 프로필을 제공합니다. 전역 프로필을 사용하면 엔드 디바이스에서 최상의 네트워크 성능을 제공하는 가장 가까운 사용 가능한 가상 허브에 연결할 수 있습니다. 모든 Azure 배포가 단일 지역에 있고 연결하는 최종 디바이스가 지역에 근접한 경우 지역 내에서 중복 가상 허브를 가질 수 있습니다. 배포 및 엔드 디바이스가 여러 지역에 분산되어 있는 경우 선택한 각 지역에서 지점 및 사이트 간 게이트웨이를 사용하여 가상 허브를 배포할 수 있습니다. Virtual WAN에는 원격 사용자 연결에 가장 적합한 허브를 자동으로 선택하는 기본 제공 트래픽 관리자가 있습니다.
다음 다이어그램에서는 지역 내에서 각각의 지점 및 사이트 간 게이트웨이를 사용하여 중복 가상 허브를 관리하는 개념을 보여 줍니다.
위의 다이어그램에서 녹색 실선은 기본 지점 및 사이트 간 VPN 연결을 나타내고 노란색 점선은 대기 백업 연결을 나타냅니다. VWAN 지점 및 사이트 간 전역 프로필은 네트워크 성능에 따라 기본 및 백업 연결을 선택합니다. 전역 프로필에 대한 자세한 내용은 사용자 VPN 클라이언트용 전역 프로필 다운로드를 참조하세요.
사이트 간 VPN 고려 사항
토론을 위해 다음 다이어그램에 표시된 사이트 간 VPN 연결 예제를 살펴보겠습니다. 고가용성 활성-활성 터널을 사용하여 사이트 간 VPN 연결을 설정하려면 자습서: Azure Virtual WAN을 사용하여 사이트 간 연결 만들기를 참조하세요.
참고 항목
섹션에서 설명하는 개념을 쉽게 이해할 수 있도록 구성하는 각 VPN 링크에 대해 두 개의 서로 다른 엔드포인트에 대한 두 개의 터널을 만들 수 있는 사이트 간 VPN 게이트웨이의 고가용성 기능을 반복하여 설명하지 않습니다. 그러나 섹션에서 제안된 아키텍처를 배포하는 동안 설정하는 각 링크에 대해 두 개의 터널을 구성해야 합니다.
다중 링크 토폴로지
분기 사이트의 VPN CPE(고객 프레미스 장비) 오류로부터 보호하기 위해 분기 사이트의 병렬 CPE 디바이스에서 VPN 게이트웨이로의 병렬 VPN 링크를 구성할 수 있습니다. 지점에 대한 최종 단계 서비스 공급자의 네트워크 오류로부터 보호하기 위해 다른 서비스 공급자 네트워크를 통해 다른 VPN 링크를 구성할 수 있습니다. 다음 다이어그램에서는 분기 사이트의 서로 다른 두 CPE에서 시작되고 동일한 VPN 게이트웨이에서 끝나는 여러 VPN 링크를 보여 줍니다.
가상 허브 VPN 게이트웨이에서 분기 사이트에 대한 링크를 최대 4개까지 구성할 수 있습니다. 분기 사이트에 대한 링크를 구성하는 동안 링크와 연결된 서비스 공급자 및 처리량 속도를 식별할 수 있습니다. 분기 사이트와 가상 허브 간에 병렬 링크를 구성하는 경우 VPN 게이트웨이는 기본적으로 병렬 링크 간에 트래픽 부하를 분산시킵니다. 트래픽의 부하 분산은 흐름별로 ECMP(Equal-Cost Multi-Path)를 따릅니다.
다중 허브 다중 링크 토폴로지
다중 링크 토폴로지는 온-프레미스 분기 위치에서 CPE 디바이스 오류 및 서비스 공급자 네트워크 오류로부터 보호합니다. 또한 가상 허브 VPN 게이트웨이의 가동 중지 시간을 방지하기 위해 다중 허브 다중 링크 토폴로지도 도움이 됩니다. 다음 다이어그램에서는 지역 내 Virtual WAN 인스턴스에서 여러 가상 허브가 구성된 토폴로지를 보여 줍니다.
위의 토폴로지에서 허브 간 연결에 대한 Azure 지역 내 대기 시간이 중요하지 않으므로 스포크 VNet을 허브에 분산하여 온-프레미스와 활성-활성 상태의 두 가상 허브 간의 모든 사이트 간 VPN 연결을 사용할 수 있습니다. 토폴로지에서 기본적으로 온-프레미스와 스포크 가상 네트워크 간의 트래픽은 안정적인 상태 동안 스포크 가상 네트워크가 연결된 가상 허브를 통해 직접 트래버스되고 실패 상태 동안에만 다른 가상 허브를 백업으로 사용합니다. 직접 연결된 허브에서 보급하는 BGP 경로는 백업 허브에 비해 AS 경로가 짧으므로 트래픽은 안정 상태에서 직접 연결된 허브를 통해 트래버스합니다.
다중 허브 다중 링크 토폴로지는 대부분의 실패 시나리오에 대해 비즈니스 연속성을 보호하고 제공합니다. 그러나 치명적인 오류로 인해 전체 Azure 지역이 가동 중지되는 경우 이 오류를 감내할 수 있는 '다중 지역 다중 링크 토폴로지'가 필요합니다.
다중 지역 다중 링크 토폴로지
다중 지역 다중 링크 토폴로지는 이전에 설명한 다중 허브 다중 링크 토폴로지에서 제공하는 보호 외에도 전체 지역의 치명적인 오류로부터 보호합니다. 다음 다이어그램에서는 다중 지역 다중 링크 토폴로지를 보여 줍니다. 다른 지역의 가상 허브는 동일한 Virtual WAN 인스턴스에서 구성할 수 있습니다.
트래픽 엔지니어링 관점에서 한 지역 내에 중복 허브가 있는 것과 다른 지역에 백업 허브가 있는 것 사이의 한 가지 실질적인 차이점을 고려해야 합니다. 차이점은 주 지역과 보조 지역 간의 물리적 거리로 인한 대기 시간입니다. 따라서 분기/최종 사용자와 가장 가까운 지역에 안정 상태의 서비스 리소스를 배포하고, 순전히 백업을 위해 원격 지역을 사용할 수 있습니다.
온-프레미스 분기 위치가 둘 이상의 Azure 지역에 분산되어 있는 경우 다중 지역 다중 링크 토폴로지는 부하를 분산하고 안정 상태에서 더 나은 네트워크 환경을 얻는 데 더 효과적입니다. 다음 다이어그램에서는 분기가 여러 지역에 있는 다중 지역 다중 링크 토폴로지를 보여 줍니다. 이러한 시나리오에서 토폴로지는 효과적인 BCDR(비즈니스 연속성 및 재해 복구)도 추가로 제공합니다.
ExpressRoute 고려 사항
ExpressRoute 개인 피어링에 대한 재해 복구 고려 사항은 ExpressRoute 개인 피어링을 사용하여 재해 복구용으로 디자인에서 설명합니다. 문서에서 설명한 대로, 해당 문서에서 설명하는 개념은 가상 허브 내에서 만든 ExpressRoute 게이트웨이에도 동일하게 적용됩니다. 다음 다이어그램과 같이 지역 내에서 중복 가상 허브를 사용하는 것은 중소 규모 온-프레미스 네트워크 고려 사항에 권장되는 유일한 토폴로지 개선 사항입니다.
위의 다이어그램에서 ExpressRoute 2 인스턴스는 지역 내 두 번째 가상 허브 내에 있는 별도의 ExpressRoute 게이트웨이에서 끝납니다.
다음 단계
이 문서에서는 Virtual WAN 재해 복구 디자인에 대해 설명했습니다. 다음 문서에서는 애플리케이션과 프런트 엔드 액세스 관점에서 재해 복구를 다룹니다.
- 엔터프라이즈급 재해 복구
- Disaster recovery with Azure Site Recovery(Azure Site Recovery를 사용한 재해 복구)
Virtual WAN에 지점 및 사이트 간 연결을 만들려면 자습서: Azure Virtual WAN을 사용하여 사용자 VPN 연결 만들기를 참조하세요. Virtual WAN에 대한 사이트 간 연결을 만들려면 자습서: Azure Virtual WAN을 사용하여 사이트 간 연결 만들기를 참조하세요. ExpressRoute 회로를 Virtual WAN에 연결하려면 자습서: Azure Virtual WAN을 사용하여 ExpressRoute 연결 만들기를 참조하세요.