VPN Gateway 디자인 정보

안녕하세요! BTC 막내즈입니다! 이번 시간은 저번 시간에 이어서 VPN Gateway의 디자인 정보를 알아보도록 하겠습니다! 고고~

VPN Gateway 디자인

VPN 게이트웨이 연결에 사용할 수 있는 다양한 구성이 있습니다. 그 중에서 필요에 맞는 최상의 구성을 결정해야 하며 다음과 같이 VPN 게이트웨이 연결에 대한 디자인 정보나 토폴로지 다이어 그램을 볼 수 있습니다!

Site to Site VPN

S2S(Site to Site) VPN Gateway 연결은 IPsec/IKE(IKEv1 또는 IKEv2) VPN 터널을 통한 연결입니다. S2S 연결은 프레미스 간 및 하이브리드 구성에 사용될 수 있습니다. S2S 연결에는 공용 IP 주소가 할당된 온-프레미스에 있는 VPN 디바이스가 필요합니다.

하나의 공용 IP를 사용하여 활성-대기 모드에서, 또는 두 개의 공용 IP를 사용하여 활성-활성 모드에서 VPN Gateway를 구성할 수 있습니다. 활성-대기 모드에서는 하나의 IPsec 터널이 활성 상태이며 다른 터널은 대기 상태입니다. 이 설정에선 트래픽이 활성 터널을 통해 전달되며 터널에 문제가 발생할 경우 트래픽이 대기 터널로 전환됩니다. 두 IPsec 터널이 동시에 활성 상태로서 데이터가 두 터널을 동시에 통과하는 활성-활성 모드에서 VPN Gateway를 설정할 것을 권장합니다. 활성-활성 모드는 고객이 더 높은 처리량을 경험한다는 장점이 있습니다.

가상 네트워크 게이트웨이에서 일반적으로 여러 온-프레미스 사이트에 연결하는 둘 이상의 VPN 연결을 만들 수 있습니다. 여러 연결을 사용하는 경우 경로 기반 VPN 유형을 사용해야 합니다. 각 가상 네트워크가 하나의 VPN Gateway만 사용할 수 있으므로 게이트웨이를 통한 모든 연결은 사용 가능한 대역폭을 공유합니다. 이러한 유형의 연결을 "멀티 사이트" 연결이라고도 합니다.

Point to Site VPN

P2S(Point to Site) VPN 게이트웨이 연결을 사용하면 개별 클라이언트 컴퓨터에서 가상 네트워크에 대한 안전한 연결을 만들 수 있습니다. P2S 연결은 클라이언트 컴퓨터에서 시작하여 설정됩니다. 이 소룰션은 집, 회의실과 같은 원격 위치에서 Azure VNet에 연결하려는 재택 근무자에게 유용합니다. 또한 P2S VPN은 VNet에 연결해야 하는 클라이언트가 몇개만 있는 경우 S2S VPN 대신 사용할 수있는 유용한 솔루션입니다.

S2S 연결과 달리 P2S 연결은 온-프레미스 공용 IP 주소 또는 VPN 디바이스가 필요하지 않습니다. P2S 연결과 S2S 연결에 대한 구성 요구 사항이 모두 충족될 경우 동일한 VPN Gateway를 통해 두 연결을 함께 사용할 수 있습니다.

VNet to VNet 연결(IPsec/IKE VPN 터널)

가상 네트워크를 다른 가상 네트워크에 연결(VNet-VNet)하는 것은 VNet을 온-프레미스 사이트 위치에 연결하는 것과 유사합니다. 두 연결 유형 모두 VPN 게이트웨이를 사용하여 IPsec/IKE를 통한 보안 터널을 제공합니다. VNet간 통신을 다중 사이트 연결 구성과 통합할 수도 있습니다. 이렇게 하면 프레미스 간 연결을 가상 네트워크 간 연결과 결합하는 네트워크 토폴로지를 설정할 수 있습니다.

연결할 VNet의 상태는 다음과 같습니다.

• 동일하거나 다른 지역에 위치
• 동일하거나 다른 구독에 위치
• 동일하거나 다른 배포 모델

배포 모델 간의 연결

Azure에는 현재 클래식 및 Resource Manager등 두 개의 배포 모델이 있습니다. 일정 기간 동안 Azure를 사용한 경우 Azure VM 및 인스턴스 역할이 클래식 VNet에서 실행되고 있을 것입니다. 이후의 VM 및 역할 인스턴스는 Resource Manager에서 만들 VNet에서 실행되고 있을 것입니다. VNet간의 연결을 만들어 어떤 VNet의 리소스가 다른 리소스와 서로 직접 통신하도록 할 수 있습니다.

VNet 피어링

가상 네트워크가 특정 요구 사항을 충족하면 VNet 피어링을 사용하여 연결을 만들 수 있습니다. VNet 피어링은 가상 네트워크 게이트웨이를 사용하지 않습니다.

Site to Site 및 ExpressRoute 공존 연결

ExpressRoute는 공용 인터넷을 경유하지 않는 WAN에서 Microsoft 서비스(Azure 포함)로의 직접 프라이빗 연결입니다. Site to Site VPN 트래픽은 공용 인터넷을 통해 암호화되어 이동합니다. 동일한 가상 네트워크에 대한 Site to Site VPN 및 ExpressRoute 연결을 구성할 수 있으며 여러 장점이 있습니다.

Site to Site VPN을 ExpressRoute에 대한 보안 장애 조치 경로로 구성하거나 S2S VPN을 사용하여 사용자 네트워크의 일부가 아니지만 ExpressRoute를 통해 연결된 사이트에 연결할 수 있습니다. 이 구성에는 동일한 가상네트워크에 두 개의 가상 네트워크 게이트웨이가 필요합니다. 하나는 VPN 게이트웨이 유형을 사용하고 다른 하나는 ExpressRoute 게이트웨이 유형을 사용합니다.

이상으로 VPN Gateway의 디자인에 대해 알아보았습니다!!

출처 - https://learn.microsoft.com/ko-kr/azure/vpn-gateway/design#s2smulti