제일 기본적인 형식의 VPN Gateway라 함은,
특정 VNet에서 VPN Gateway를 생성하여 (Gateway Subnet 생성) P2S, S2S 연결을 통해 외부에서 안전하게 Azure를 접근합니다.
이 글에서는 제일 기본적인 형태에서 한 스텝을 더 추가하려 합니다.
Azure에서 여러개의 VNet을 사용하고 있고, VNet이 피어링 되어있을때 VPN Gateway를 구성하는 방법입니다.
즉 Hub의 역할을 하는 VNet에서 Gateway Trasit 세팅을 하는 것 입니다.
중요한 개념은 다음과 같습니다.
1. Hub의 역할을 하는 VNet이 필요합니다. (Part 1)
2. S2S 연결할 경우, Azure에 대한 Local Gateway에서 Peering된 대역을 모두 명시해야합니다. (Part 2)
실제 위에 있는 구성도를 구현하기 위해서는, 크게 두가지의 스텝이 필요합니다.
일단 본 글에서는 VNet Peering & Gateway Transit 설정에 집중하겠습니다.
1. Hub-VNet & Virtual Network Gateway 생성
Hub-VNet에 Virtual Network Gateway를 만듭니다.
지역 = VNet과 동일한 지역
SKU = 사용 용도에 맞게 적절히...
active-active Mode, BGP = X
(본 글에서는 VNet Peering을 통하여 연결하기 때문에, BGP가 필요없어서 활성화 하지 않습니다.)
2. Hub-VNet & Spoke-VNet Peering 생성
Hub-VNet이라 함은... 트래픽이 집결하는 곳, 라우팅의 역할을 수행할 곳, VPN Gateway가 생성할 곳을 의미합니다.
그 외의 VNet은 Spoke-VNet이라고 하겠습니다.
(Hub & Spoke Topology에 대한 간락한 설명은 https://md2biz.tistory.com/465)
Hub-VNet > Peering > 피어링 추가 진행합니다.
피어링 링크 이름 = Hub2Spoke
원격 가상 네트워크에 대한 엑세스 허용
원격 가상 네트워크에 대한 트래픽 허용
원격 가상 네트워크에서 전달된 트래픽 허용(게이트웨이 전송 허용)
피어링 링크 이름 = Spoke2Hub
가상 네트워크 = (Spoke-VNet)
현재 가상 네트워크에 대한 엑세스 허용
현재 가상 네트워크에 대한 트래픽 허용
현재 가상네트워크 게이트웨이 또는 경로 서버 사용
주의사항
- 피어링 생성할 때 옵션 잘못 선택하면 꼬이게 됩니다...
- Spoke-VNet은 VPN Gateway가 있으면 Peering 실패합니다.
3. Connectivity 확인
제가 만든 예시로 설명드리겠습니다. (우측의 VPN 구성은 Part 2에서 이어 진행하겠습니다)
VNet C가 Hub VNet 이며, VNet C에 Virtual Network Gateway 생성하였습니다.
현재는 Virtual Network Gateway만 일단 필요하며, Local Network Gateway + Connection은 이후에 진행해도 됩니다.
각 VNet에 VM 하나씩을 임의로 생성하였습니다. 각 VM의 NIC에서의 유효 경로로 Connectivity를 확인해보겠습니다.
1) VNet A (VM A - 10.2.0.4)
- to VNet B: X
- to VNet C: O
2) VNet B (VM B - 172.0.0.4)
- to VNet A: X
- to VNet C: O
3) VNet C (VM C - 10.1.0.4)
- to VNet A: O
- to VNet B: O
4. Conclusion
- Hub-VNet과 Spoke-VNet과는 양방향 피어링 성공적으로 생성됩니다.
- 일반 VNet Peering과 같이 VNet A & VNet B가 연결되지 않는 것 확인할 수 있습니다. (Not Transitive)
-- VNet A & VNet B가 위와 같은 구조로 연결되기 위해서는 VPN Gateway가 아닌 Virtual WAN을 사용해야 하는것으로 알고 있습니다.
- 실제 S2S VPN Gateway를 생성하여, Spoke-VNet가 Hub-VNet을 통하여 정상적으로 Site까지 양방향으로 접근할 수 있는지 확인해보겠습니다.
Reference
https://learn.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-peering-gateway-transit
'Azure > Network' 카테고리의 다른 글
| Azure VPN Gateway - 다중 홉 BGP 비활성화 S2S VPN Gateway 구성 방법 (1) | 2023.10.31 |
|---|---|
| Azure VPN Gateway - BGP 활성화 결과 (Part 2) (0) | 2023.09.21 |
| Azure VPN Gateway - BGP가 무엇일까...? (Part 1) (0) | 2023.09.09 |
| VPN Gateway - Gateway Transit 포함한 S2S VPN Gateway (Part 2) (0) | 2023.08.21 |
| VPN Gateway - Azure Region간 S2S IPsec 연결하기 (0) | 2023.08.21 |
댓글