Azure VPN Gateway 작동 방법

• 5분

각 Azure 가상 네트워크에 VPN Gateway를 하나만 배포할 수 있습니다. 단일 VPN Gateway로 제한되더라도 다른 Azure 가상 네트워크 또는 온-프레미스 데이터 센터를 포함하는 여러 위치에 연결하도록 이 게이트웨이를 구성할 수 있습니다.

VPN 게이트웨이 유형

가상 네트워크 게이트웨이를 구성할 때 게이트웨이 유형을 지정하는 설정을 선택합니다. 게이트웨이 유형에 따라 가상 네트워크 게이트웨이 사용 방법과 게이트웨이가 수행하는 작업이 결정합니다. 게이트웨이 유형 Vpn은 만들어진 가상 네트워크 게이트웨이 유형을 VPN gateway로 지정합니다. 이렇게 하면 다른 게이트웨이 유형을 사용하는 ExpressRoute 게이트웨이와 구별됩니다. Azure 가상 네트워크에는 1개의 VPN Gateway와 1개의 ExpressRoute 게이트웨이가 있을 수 있습니다.

Azure VPN Gateway에는 다음과 같은 두 가지 유형이 있습니다.

• 정책 기반 VPN Gateway
• 경로 기반 VPN Gateway

정책 기반 VPN Gateway

정책 기반 VPN Gateway를 사용하려면 각 터널을 통해 암호화해야 하는 고정 IP 주소 패킷 집합을 지정해야 합니다. 이 유형의 디바이스는 고정 IP 주소 집합에 대한 모든 데이터 패킷을 평가한 다음, 해당 트래픽을 전송하는 데 사용할 터널을 선택합니다.

Azure에서 정책 기반 VPN Gateway의 주요 기능은 다음과 같습니다.

• IKEv1만 지원합니다.
• 정적 라우팅 사용

터널링된 네트워크의 원본 및 대상이 VPN 정책에 선언되며, 라우팅 테이블에서 선언할 필요가 없습니다. 정책 기반 VPN은 이러한 VPN이 필요한 특정 시나리오에만 사용합니다(예: 레거시 온-프레미스 VPN 디바이스와의 호환되어야 하는 경우).

경로 기반 VPN Gateway

경로 기반 Azure VPN Gateway를 사용하는 경우 IPsec 터널은 네트워크 인터페이스나 VTI(가상 터널 인터페이스)로 작동합니다. IP 라우팅(고정 경로 또는 동적 라우팅 프로토콜)은 각 패킷을 전송할 터널 인터페이스를 결정합니다. 경로 기반 VPN이 온-프레미스 디바이스의 기본 연결 방법인데, 새 서브넷을 만드는 등의 토폴로지 변경에 더 탄력적이기 때문입니다. 경로 기반 VPN은 새 서브넷을 추가할 때 Azure VPN Gateway를 다시 구성하지 않고도 가상 네트워크에서 Azure IaaS 리소스에 대한 연결을 허용하기 때문에 Adatum에 훨씬 더 적합합니다.

다음과 같은 유형의 연결이 필요한 경우 경로 기반 VPN Gateway를 사용하세요.

• 가상 네트워크 간 연결
• 지점 및 사이트 간 연결
• 다중 사이트 연결
• Azure ExpressRoute 게이트웨이와 동시 사용

Azure에서 경로 기반 VPN 게이트웨이의 주요 기능은 다음과 같습니다.

• IKEv2를 지원합니다.
• 임의(와일드카드) 트래픽 선택기를 사용합니다.
• 라우팅/전달 테이블이 여러 IPsec 터널로 트래픽을 전달하는 동적 라우팅 프로토콜을 사용할 수 있습니다.

동적 라우팅을 사용하도록 구성된 경우 원본 및 대상 네트워크는 정책 기반 VPN에 있거나 고정 라우팅을 사용하는 경로 기반 VPN에 있는 경우에도 정적으로 정의되지 않습니다. 대신, BGP(Border Gateway Protocol)와 같은 라우팅 프로토콜을 사용하여 동적으로 생성되는 네트워크 라우팅 테이블을 기반으로 데이터 패킷이 암호화됩니다.

Azure VPN Gateway는 인증의 미리 공유한 키 방법만 사용하도록 지원합니다. 또한 경로 기반 및 정책 기반 유형 모두 버전 1 또는 버전 2의 IKE(Internet Key Exchange)와 IPsec(Internet Protocol Security)을 사용합니다. IKE는 두 엔드포인트 간에 보안 연결(암호화 계약)을 설정하는 데 사용됩니다. 그런 다음, 이러한 연결이 IPsec 도구 모음으로 전달되면 VPN 터널에 캡슐화된 데이터 패킷이 암호화 및 암호 해독됩니다.

Azure VPN Gateway 크기

가상 네트워크 게이트웨이를 만들 때 게이트웨이 SKU를 지정해야 합니다. 워크로드, 처리량, 기능 및 SLA의 유형에 따라 요구 사항을 충족하는 SKU를 선택해야 합니다.

게이트웨이 SKU - Generation1	최대 사이트 간 VPN 터널	집계 처리량	BGP 지원
Basic	10	100Mbps	지원되지 않음
VpnGw1/Az	30	650Mbps	지원됨
VpnGw2/Az	30	1Gbps	지원됨
VpnGw3/Az	30	1.25Gbps	지원됨

다음 표에는 Generation1 SKU가 표시됩니다. Generation1 SKU를 사용할 때 필요에 따라 VpnGw1, VpnGw2 및 VpnGw3 SFC 간에 마이그레이션할 수 있습니다. VPN Gateway를 제거했다가 다시 배포해야만 기본 SKU에서 마이그레이션할 수 있습니다. 2세대 SKU를 사용하여 VPN Gateway를 만들 수도 있습니다. SKU, 처리량 및 지원되는 기능에 대한 최신 정보는 이 모듈의 요약 섹션에 나오는 링크를 참조하세요.

VPN Gateway 요구 사항

작동하는 VPN Gateway를 배포하려면 다음과 같은 Azure 리소스가 필요합니다.

• 가상 네트워크: VPN 게이트웨이에 필요한 추가 서브넷을 수용할 주소 공간이 충분히 있는 Azure 가상 네트워크 이 가상 네트워크의 주소 공간은 연결할 온-프레미스 네트워크와 겹치지 않아야 합니다.
• GatewaySubnet: VPN Gateway를 위한 GatewaySubnet이라는 서브넷입니다. 적어도 /27 주소 마스크가 필요합니다. 이 서브넷은 다른 서비스에 사용할 수 없습니다.
• 공용 IP 주소: 비영역 인식 게이트웨이를 사용하는 경우 기본 SKU 동적 공용 IP 주소 이 주소는 온-프레미스 VPN 디바이스의 대상으로 라우팅할 수 있는 공용 IP 주소를 제공합니다. 이 IP 주소는 동적이지만, VPN 게이트웨이를 삭제하고 다시 만들기 전에는 변경되지 않습니다.
• 로컬 네트워크 게이트웨이: VPN 게이트웨이가 연결할 위치와 대상을 나타내는 온-프레미스 네트워크의 구성을 정의하려면 로컬 네트워크 게이트웨이를 만듭니다. 이 구성에는 온-프레미스 VPN 디바이스의 공용 IPv4 주소와 라우팅 가능한 온-프레미스 네트워크가 포함됩니다. 이 정보는 VPN Gateway가 IPsec 터널을 통해 온-프레미스 네트워크를 대상으로 하는 패킷을 라우팅하는 데 사용됩니다.

이러한 필수 구성 요소가 있으면 가상 네트워크와 온-프레미스 데이터 센터 또는 다른 가상 네트워크 간에 트래픽을 라우팅하는 가상 네트워크 게이트웨이를 만들 수 있습니다. 가상 네트워크 게이트웨이를 배포한 후 연결 리소스를 만들어 VPN Gateway와 로컬 네트워크 게이트웨이 간에 논리적 연결을 만들 수 있습니다.

1. 로컬 네트워크 게이트웨이에서 정의한 대로 온-프레미스 VPN 디바이스의 IPv4 주소에 연결됩니다.
2. 가상 네트워크 게이트웨이 및 연결된 공용 IP 주소에서 연결이 설정됩니다.

각 Azure VPN Gateway에 대해 SKU에 정의된 제한까지 여러 연결을 구성할 수 있습니다.

고가용성

Azure에 VPN Gateway 리소스가 하나만 표시되더라도 VPN Gateway는 활성/대기 구성에서 관리되는 가상 머신의 두 인스턴스로 배포됩니다. 계획된 유지 관리 또는 계획되지 않은 중단이 활성 인스턴스에 영향을 줄 경우 대기 인스턴스는 사용자 또는 관리자 개입 없이 자동으로 연결 역할을 수행합니다. 이러한 장애 조치(failover) 중에는 연결이 중단되지만, 일반적으로 계획된 유지 관리의 경우 몇 초 이내, 계획되지 않은 중단의 경우 90초 이내에 연결이 복원됩니다.

Azure VPN Gateway는 활성/활성 구성에서 VPN Gateway를 배포할 수 있는 BGP 라우팅 프로토콜을 지원합니다. 이 구성에서는 각 인스턴스에 고유한 공용 IP 주소를 할당합니다. 그런 다음, 온-프레미스 디바이스에서 각 IP 주소로 연결되는 별도의 터널을 만듭니다. 온-프레미스에 또 다른 VPN 디바이스를 배포하여 가용성을 높일 수 있습니다.