Azure Virtual WAN을 사용하여 P2S 사용자 VPN 연결 만들기 - Microsoft Entra 인증
이 문서에서는 Virtual WAN을 사용하여 Azure의 리소스에 연결하는 방법을 보여 줍니다. 이 문서에서는 Microsoft Entra 인증을 사용하는 Virtual WAN에 대한 지점 및 사이트 간 사용자 VPN 연결을 만듭니다. Microsoft Entra 인증은 OpenVPN 프로토콜을 사용하는 게이트웨이에서만 사용할 수 있습니다.
참고 항목
Microsoft Entra ID 인증은 OpenVPN® 프로토콜 연결에 대해서만 지원되며 Azure VPN Client가 필요합니다.
이 문서에서는 다음 방법을 설명합니다.
- 가상 WAN 만들기
- 사용자 VPN 구성 만들기
- Virtual WAN 사용자 VPN 프로필 다운로드
- 가상 허브 만들기
- 허브를 편집하여 P2S 게이트웨이 추가
- 가상 허브에 VNet 연결
- 사용자 VPN 클라이언트 구성 다운로드 및 적용
- 가상 WAN 보기
시작하기 전에
구성을 시작하기 전에 다음 조건을 충족했는지 확인합니다.
연결하려는 가상 네트워크가 있습니다. 온-프레미스 네트워크의 어떤 서브넷도 연결하려는 가상 네트워크 서브넷과 중첩되지 않는지 확인합니다. Azure Portal에서 가상 네트워크를 만들려면 빠른 시작을 참조하세요.
가상 네트워크에 가상 네트워크 게이트웨이가 없습니다. 가상 네트워크에 게이트웨이(VPN 또는 ExpressRoute)가 있으면 모든 게이트웨이를 제거해야 합니다. 이 구성을 사용하려면 가상 네트워크가 Virtual WAN 허브 게이트웨이에 연결되어야 합니다.
허브 지역의 IP 주소 범위를 확보합니다. 허브는 Virtual WAN에서 만들고 사용하는 가상 네트워크입니다. 허브에 지정하는 주소 범위는 연결하는 기존 가상 네트워크와 겹칠 수 없습니다. 온-프레미스에 연결하는 주소 범위와도 겹칠 수 없습니다. 온-프레미스 네트워크 구성에 있는 IP 주소 범위를 잘 모른다면 세부 정보를 알고 있는 다른 사람의 도움을 받으세요.
Azure 구독이 없는 경우 무료 계정을 만드세요.
가상 WAN 만들기
브라우저에서 Azure 포털 로 이동하고 Azure 계정으로 로그인합니다.
포털의 리소스 검색 표시줄에서 검색 상자에 Virtual WAN을 입력하고 Enter를 선택합니다.
결과에서 Virtual WAN을 선택합니다. Virtual WAN 페이지에서 + 만들기를 선택하여 WAN 만들기 페이지를 엽니다.
WAN 만들기 페이지의 기본 사항 탭에서 필드를 입력합니다. 사용자 환경에 적용할 예제 값을 수정합니다.
- 구독: 사용할 구독을 선택합니다.
- 리소스 그룹: 새로 만들거나 기존 항목을 사용합니다.
- 리소스 그룹 위치: 드롭다운에서 리소스 위치를 선택합니다. WAN은 전역 리소스이며 특정 지역에 상주하지 않습니다. 그러나 사용자가 만든 WAN 리소스를 관리하고 찾으려면 지역을 선택해야 합니다.
- 이름: 가상 WAN을 호출할 이름을 입력합니다.
- 유형: 기본 또는 표준. 표준을 선택합니다. 기본을 선택하는 경우 기본 가상 WAN에는 기본 허브만 포함될 수 있습니다. 기본 허브는 사이트 간 연결에만 사용할 수 있습니다.
필드 작성을 완료한 후 페이지 하단에서 검토 + 만들기를 선택합니다.
유효성 검사를 통과하면 만들기를 클릭하여 Virtual WAN을 만듭니다.
사용자 VPN 구성 만들기
사용자 VPN 구성은 원격 클라이언트 연결에 대한 매개 변수를 정의합니다. 사용할 사용자 VPN 구성을 지정해야 하므로 P2S 설정으로 가상 허브를 구성하기 전에 사용자 VPN 구성을 만드는 것이 중요합니다.
Virtual WAN -> 사용자 VPN 구성 페이지로 이동하여 +사용자 VPN 구성 만들기를 클릭합니다.
기본 사항 페이지에서 매개 변수를 지정합니다.
- 구성 이름 - 사용자 VPN 구성을 호출하려는 이름을 입력합니다.
- 터널 유형의 드롭다운에서 OpenVPN을 선택합니다.
Microsoft Entra ID를 클릭하여 페이지를 엽니다.
Microsoft Entra ID를 예로 전환하고 테넌트 세부 정보를 기반으로 다음 값을 입력합니다. 포털에서 엔터프라이즈 애플리케이션의 Microsoft Entra ID 페이지에서 필요한 값을 볼 수 있습니다.
인증 방법 - Microsoft Entra ID를 선택합니다.
대상 그룹 - Microsoft Entra 테넌트에 등록된 Azure VPN Client 엔터프라이즈 애플리케이션의 애플리케이션 ID를 입력합니다. 값은 Azure VPN Client 대상 그룹 값을 참조하세요.
발급자 -
https://sts.windows.net/<your Directory ID>/
Microsoft Entra 테넌트: Microsoft Entra 테넌트의 TenantID입니다. Microsoft Entra 테넌트 URL의 끝에
/
가 없는지 확인합니다.- Azure Public AD에 대해
https://login.microsoftonline.com/<your Directory Tenant ID>
입력 - Azure Government AD에 대해
https://login.microsoftonline.us/<your Directory Tenant ID>
입력 - Azure 독일 AD에 대해
https://login-us.microsoftonline.de/<your Directory Tenant ID>
입력 - 중국 21Vianet AD에 대해
https://login.chinacloudapi.cn/<your Directory Tenant ID>
입력
- Azure Public AD에 대해
만들기를 클릭하여 사용자 VPN 구성을 만듭니다. 연습 뒷부분에서 이 구성을 선택합니다.
빈 허브 만들기
이 연습에서는 이 단계에서 빈 가상 허브를 만들고, 다음 섹션에서는 이 허브에 P2S 게이트웨이를 추가합니다. 그러나 이러한 단계를 결합하여 P2S 게이트웨이 설정으로 한 번에 허브를 만들 수 있습니다. 결과는 어느 쪽이든 동일합니다. 설정을 구성한 후 검토 + 만들기를 클릭하여 유효성을 검사한 다음, 만들기를 클릭합니다.
사용자가 만든 가상 WAN으로 이동합니다. Virtual WAN 왼쪽 창의 연결에서 허브를 선택합니다.
Hubs 페이지에서 +새 Hub를 선택하여 가상 허브 만들기 페이지를 엽니다.
가상 허브 만들기 페이지의 기본 사항 탭에서 다음 필드를 완료합니다.
- 지역: 가상 허브를 배포할 지역을 선택합니다.
- 이름: 가상 허브에 지정할 이름입니다.
- 허브 프라이빗 주소 공간: CIDR 표기법으로 된 허브의 주소 범위입니다. 허브를 만들기 위한 최소 주소 공간은 /24입니다.
- 가상 허브 용량: 드롭다운에서 선택합니다. 자세한 내용은 가상 허브 설정을 참조하세요.
- 허브 라우팅 기본 설정: 기본값으로 둡니다. 자세한 내용은 가상 허브 라우팅 기본 설정을 참조하세요.
허브에 P2S 게이트웨이 추가
이 섹션에서는 기존 가상 허브에 게이트웨이를 추가하는 방법을 보여 줍니다. 허브가 업데이트를 완료해야 하므로 이 단계는 최대 30분이 소요될 수 있습니다.
Virtual WAN 아래의 허브 페이지로 이동합니다.
편집할 허브의 이름을 클릭하여 허브에 대한 페이지를 엽니다.
페이지 위쪽에서 가상 허브 편집을 클릭하여 가상 허브 편집 페이지를 엽니다.
가상 허브 편집 페이지에서 VPN 사이트에 대한 VPN 게이트웨이 포함 및 지점 및 사이트 간 게이트웨이 포함 확인란을 선택하여 설정을 표시합니다. 그런 다음 값을 구성합니다.
- 게이트웨이 배율 단위: 게이트웨이 배율 단위를 선택합니다. 배율 단위는 사용자 VPN 게이트웨이의 집계 용량을 나타냅니다. 40 이상의 게이트웨이 배율 단위를 선택하는 경우 클라이언트 주소 풀을 적절하게 계획합니다. 이 설정이 클라이언트 주소 풀에 영향을 주는 방법에 대한 자세한 내용은 클라이언트 주소 풀 정보를 참조하세요. 게이트웨이 배율 단위에 대한 자세한 내용은 FAQ를 참조하세요.
- 사용자 VPN 구성: 이전에 만든 구성을 선택합니다.
- 사용자 그룹-주소 풀 매핑: 이 설정에 대한 내용은 P2S 사용자 VPN에 대한 사용자 그룹 및 IP 주소 풀 구성(미리 보기)을 참조하세요.
설정을 구성한 후 확인을 클릭하여 허브를 업데이트합니다. 허브를 업데이트하는 데 최대 30분이 걸릴 수 있습니다.
허브에 VNet 연결
이 섹션에서는 가상 허브 및 VNet 사이에 연결을 만듭니다.
Azure Portal에서 Virtual WAN으로 이동합니다. 왼쪽 창에서 가상 네트워크 연결을 선택합니다.
가상 네트워크 연결 페이지에서 + 연결 추가를 선택합니다.
연결 추가 페이지에서 연결 설정을 구성합니다. 라우팅 설정에 대한 자세한 내용은 라우팅 정보를 참조하세요.
- 연결 이름: 연결 이름을 지정합니다.
- Hubs - 이 연결과 연결할 허브를 선택합니다.
- 구독: 구독을 확인합니다.
- 리소스 그룹: 연결할 가상 네트워크가 포함된 리소스 그룹을 선택합니다.
- 가상 네트워크 - 이 허브에 연결할 가상 네트워크를 선택합니다. 선택한 가상 네트워크에는 기존의 가상 네트워크 게이트웨이를 사용할 수 없습니다.
- 없음으로 전파: 기본적으로 아니요로 설정됩니다. 스위치를 예로 변경하면 경로 테이블로 전파 및 레이블로 전파에 대한 구성 옵션을 구성에 사용할 수 없게 됩니다.
- 경로 테이블 연결: 드롭다운에서 연결할 경로 테이블을 선택할 수 있습니다.
- 레이블에 전파: 레이블은 경로 테이블의 논리적 그룹입니다. 이 설정의 경우 드롭다운에서 선택합니다.
- 정적 경로: 필요한 경우 정적 경로를 구성합니다. 네트워크 가상 어플라이언스에 대한 정적 경로를 구성합니다(해당되는 경우). 가상 WAN은 가상 네트워크 연결의 고정 경로에 대해 다음 홉 IP를 1개 지원합니다. 예를 들어, 수신 및 송신 트래픽 흐름에 대해 별도의 가상 어플라이언스가 있는 경우 별도의 VNet에 가상 어플라이언스를 추가하고 VNet을 가상 허브에 연결하는 것이 가장 좋습니다.
- 이 VNet 내의 워크로드에 대해 다음 홉 IP 바이패스: 이 설정을 사용하면 NVA를 통해 모든 트래픽을 강제하지 않고도 NVA 및 기타 워크로드를 동일한 VNet에 배포할 수 있습니다. 이 설정은 새 연결을 구성할 때만 구성할 수 있습니다. 이미 만든 연결에 대해 이 설정을 사용하려면 연결을 삭제한 다음 새 연결을 추가합니다.
- 고정 경로 전파: 이 설정은 현재 롤아웃 중입니다. 이 설정을 사용하면 고정 경로 섹션에 정의된 고정 경로를 전파하여 경로 테이블에 전파에 지정된 테이블을 라우팅할 수 있습니다. 또한 레이블에 전파로 지정된 레이블이 있는 경로 테이블에 경로가 전파됩니다. 이러한 경로는 기본 경로 0/0을 제외하고 허브 간에 전파될 수 있습니다. 이 기능은 롤아웃 중입니다. 이 기능을 사용하도록 설정해야 하는 경우 지원 사례를 엽니다.
구성할 설정을 완료했으면 만들기를 클릭하여 연결을 만듭니다.
사용자 VPN 프로필 다운로드
VPN 클라이언트에 필요한 모든 구성 설정은 VPN 클라이언트 구성 zip 파일에 포함되어 있습니다. zip 파일의 설정을 통해 VPN 클라이언트를 쉽게 구성할 수 있습니다. 생성하는 VPN 클라이언트 구성 파일은 게이트웨이의 사용자 VPN 구성과 연관됩니다. 전역(WAN 수준) 프로필 또는 특정 허브에 대한 프로필을 다운로드할 수 있습니다. 자세한 내용 및 추가 지침은 전역 및 허브 프로필 다운로드를 참조하세요. 다음 단계에서는 전역 WAN 수준 프로필을 다운로드하는 단계를 안내합니다.
WAN 수준 전역 프로필 VPN 클라이언트 구성 패키지를 생성하려면 Virtual WAN(가상 허브 아님)으로 이동합니다.
왼쪽 창에서 사용자 VPN 구성을 선택합니다.
프로필을 다운로드하려는 구성을 선택합니다. 동일한 프로필에 할당된 여러 허브가 있는 경우 해당 프로필을 확장하여 허브를 표시한 다음, 이 프로필을 사용하는 허브 중 하나를 선택합니다.
가상 WAN 사용자 VPN 프로필 다운로드를 선택합니다.
다운로드 페이지에서 EAPTLS를 선택한 다음, 프로필 생성 및 다운로드를 선택합니다. 클라이언트 구성 설정이 포함된 프로필 패키지(zip 파일)가 생성되고 컴퓨터에 다운로드됩니다. 패키지의 내용은 구성에 대한 인증 및 터널 옵션에 따라 달라집니다.
사용자 VPN 클라이언트 구성
연결되는 각 컴퓨터에는 클라이언트가 설치되어 있어야 합니다. 이전 단계에서 다운로드한 VPN 사용자 클라이언트 프로필 파일을 사용하여 각 클라이언트를 구성합니다. 연결하려는 운영 체제와 관련된 문서를 사용합니다.
macOS VPN 클라이언트(미리 보기) 구성
macOS 클라이언트 지침은 VPN 클라이언트 구성 - macOS(미리 보기)를 참조하세요.
Windows VPN 클라이언트 구성
다음 링크 중 하나를 사용하여 최신 버전의 Azure VPN Client 설치 파일을 다운로드합니다.
- 클라이언트 설치 파일(https://aka.ms/azvpnclientdownload)을 사용하여 설치합니다.
- 클라이언트 컴퓨터에서 로그인할 때 직접 설치: Microsoft Store.
각 컴퓨터에 Azure VPN Client를 설치합니다.
Azure VPN Client에 백그라운드에서 실행할 수 있는 권한이 있는지 확인합니다. 단계는 Windows 백그라운드 앱을 참조하세요.
설치된 클라이언트 버전을 확인하려면 Azure VPN Client를 엽니다. 클라이언트의 맨 아래로 이동하여 ... -> ? 도움말을 클릭합니다. 오른쪽 창에서 클라이언트 버전 번호를 볼 수 있습니다.
VPN 클라이언트 프로필 가져오기(Windows)
페이지에서 가져오기를 선택합니다.
프로필 xml 파일을 찾아서 선택합니다. 파일이 선택된 상태에서 열기를 선택합니다.
프로필 이름을 지정하고, 저장을 선택합니다.
연결을 선택하여 VPN에 연결합니다.
연결되면 아이콘이 녹색으로 바뀌고 연결됨으로 표시됩니다.
클라이언트 프로필 삭제 - Windows
삭제하려는 클라이언트 프로필 옆의 줄임표(...)를 선택합니다. 그런 다음, 제거를 선택합니다.
제거를 선택하여 삭제합니다.
연결 문제 진단 - Windows
연결 문제를 진단하려면 진단 도구를 사용할 수 있습니다. 진단하려는 VPN 연결 옆에 있는 줄임표(...)를 선택하여 메뉴를 표시합니다. 그런 다음, 진단을 선택합니다.
연결 속성 페이지에서 진단 실행을 선택합니다.
자격 증명을 사용하여 로그인합니다.
진단 결과를 살펴봅니다.
가상 WAN 보기
- 가상 WAN 탭으로 이동합니다.
- 개요 페이지의 맵에 있는 각 점은 허브를 나타냅니다.
- 허브 및 연결 섹션에서 허브 상태, 사이트, 지역, VPN 연결 상태 및 입/출력 바이트를 볼 수 있습니다.
리소스 정리
만든 리소스가 더 이상 필요하지 않은 경우 해당 리소스를 삭제합니다. 일부 Virtual WAN 리소스는 종속성으로 인해 특정 순서로 삭제해야 합니다. 삭제를 완료하는 데 약 30분이 걸릴 수 있습니다.
만든 가상 WAN을 엽니다.
가상 WAN에 연결된 가상 허브를 선택하여 허브 페이지를 엽니다.
각 게이트웨이 유형에 대해 아래 순서에 따라 모든 게이트웨이 엔터티를 삭제합니다. 이 작업을 완료하는 데 약 30분이 걸릴 수 있습니다.
VPN:
- VPN 사이트 연결 끊기
- VPN 연결 삭제
- VPN Gateway 삭제
ExpressRoute:
- ExpressRoute 연결 삭제
- ExpressRoute 게이트웨이 삭제
가상 WAN에 연결된 모든 허브에 대해 반복합니다.
이 시점에서 허브를 삭제하거나, 나중에 리소스 그룹을 삭제할 때 허브를 삭제할 수 있습니다.
Azure Portal에서 리소스 그룹으로 이동합니다.
리소스 그룹 삭제를 선택합니다. 그러면 허브 및 Virtual WAN을 포함하여 리소스 그룹의 다른 리소스가 삭제됩니다.
다음 단계
Virtual WAN에 대한 자주 묻는 질문은 Virtual WAN FAQ를 참조하세요.