이 가이드에서는 Azure Operator Nexus에서 ExpressRoute 회로에 대한 권한 부여 키를 업데이트하기 위한 단계별 지침을 제공합니다. 이 프로세스는 온-프레미스 네트워크와 Azure 리소스 간의 지속적인 보안 연결을 보장합니다.
필수 조건
키 업데이트를 진행하기 전에 다음 필수 구성 요소가 충족되는지 확인합니다.
NFC(Network Fabric Controller) 식별: ExpressRoute 권한 부여 키를 업데이트할 NFC(Network Fabric Controller)를 찾습니다.
ExpressRoute 연결을 확인합니다. 4개의 동작 중인 ExpressRoute 연결(인프라 ER 게이트웨이의 경우 2개, 테넌트 ER 게이트웨이의 경우 2개)이 4개의 ExpressRoute 회로와 연결되어 있는지를 확인합니다.
새 권한 부여 키 생성: 업데이트하려는 모든 회로에 대한 새 권한 부여 키를 가져옵니다.
Procedure
1단계: Azure에 로그인
터미널 또는 명령 프롬프트를 엽니다.
다음 명령을 실행하여 Azure 계정에 로그인합니다.
az loginAzure CLI 세션에 대한 활성 구독을 설정합니다.
az account set -s <Subscription ID>
<Subscription ID> 를 Azure 구독 ID로 바꿉니다.
2단계: 기존 권한 부여 키 검색
다음 명령을 사용하여 현재 권한 부여 키를 검색합니다.
az network express-route auth list \ --resource-group <resource-group> \ --circuit-name <circuit-name>
특정 리소스 그룹과 회로 이름으로 <resource-group> 및 <circuit-name>을(를) 대체합니다.
기존 권한 부여 키
| 연결 유형 | ExpressRoute 회로 이름 | 권한 부여 키 |
|---|---|---|
| 인프라 | er-circuit-A | er-authz-key-a1 |
| 인프라 | er-circuit-B | er-authz-key-b1 |
| 업무량 | 에이알 회로-C | er-authz-key-c1 |
| 업무량 | er-circuit-D | er-authz-key-d1 |
비고
각각 기존 연결이 있는 4개의 ExpressRoute 회로가 있습니다.
각 회로에 대해 새 권한 부여 키를 생성하려면 각 회로에 대해 이 단계를 반복해야 합니다.
여기에 제공된 권한 부여 키는 샘플 값이며 실제 키로 사용하면 안 됩니다.
3단계: 새 권한 부여 키 생성
- 아래 명령을 사용하여 ExpressRoute 회로에 대한 새 권한 부여 키를 생성합니다.
az network express-route auth create \
--resource-group <resource-group> \
--circuit-name <circuit-name> \
--name <authorization-name>
<resource-group> 및 <circuit-name>을(를) 특정 리소스 그룹과 회로 이름으로 대체하십시오.
새 권한 부여 키
| 연결 유형 | ExpressRoute 회로 이름 | 권한 부여 키 |
|---|---|---|
| 인프라 | er-circuit-A | er-authz-key-a20 |
| 인프라 | er-circuit-B | er-authz-key-b20 |
| 업무량 | er-circuit-C | er-authz-key-c20 |
| 업무량 | er-circuit-D | er-authz-key-d20 |
비고
각각 기존 연결이 있는 4개의 ExpressRoute 회로가 있습니다.
각 회로에 대해 새 권한 부여 키를 생성하려면 각 회로에 대해 이 단계를 반복해야 합니다.
여기에 제공된 권한 부여 키는 샘플 값이며 실제 키로 사용하면 안 됩니다.
4단계: 권한 부여 키 업데이트
각각 기존 연결이 있는 4개의 ExpressRoute 회로가 있습니다. 다음 단계에 따라 인프라 및 워크로드 연결을 위해 키를 한 번에 하나씩 업데이트합니다.
비고
권한 부여 키 회전으로 인해 일시적인 네트워크 연결 손실이 발생합니다. 업데이트를 신중하게 계획하여 중단을 최소화합니다.
4.1단계: 첫 번째 인프라 권한 부여 키 업데이트
다음 명령을 실행하여 첫 번째 인프라 권한 부여 키를 업데이트합니다.
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --infra-er-connections '[{expressRouteCircuitId:"er-circuit-A",expressRouteAuthorizationKey:"er-authz-key-a20"},{expressRouteCircuitId:"er-circuit-B",expressRouteAuthorizationKey:"er-authz-key-b1"}]' \ --debug
사후 검사: er-circuit-A 에 대한 새 연결이 작동하는지 확인합니다.
4.2단계: 두 번째 인프라 권한 부여 키 업데이트
다음 명령을 실행하여 두 번째 인프라 권한 부여 키를 업데이트합니다.
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --infra-er-connections '[{expressRouteCircuitId:"er-circuit-A,expressRouteAuthorizationKey:"er-authz-key-a20"},{expressRouteCircuitId:"er-circuit-B",expressRouteAuthorizationKey:"er-authz-key-b20"}]' \ --debug
사후 검사: er-circuit-B 에 대한 새 연결이 작동하는지 확인합니다.
4.3단계: 첫 번째 워크로드 권한 부여 키 업데이트
다음 명령을 실행하여 첫 번째 워크로드 권한 부여 키를 업데이트합니다.
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --workload-er-connections '[{expressRouteCircuitId:"er-circuit-C",expressRouteAuthorizationKey:"er-authz-key-c20"},{expressRouteCircuitId:"er-circuit-D",expressRouteAuthorizationKey:"er-authz-key-d1"}]' \ --debug
사후 검사: er-circuit-C 에 대한 새 연결이 작동하는지 확인합니다.
4.4단계: 두 번째 워크로드 권한 부여 키 업데이트
다음 명령을 실행하여 두 번째 워크로드 권한 부여 키를 업데이트합니다.
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --workload-er-connections '[{expressRouteCircuitId:"er-circuit-C",expressRouteAuthorizationKey:"er-authz-key-c20"},{expressRouteCircuitId:"er-circuit-D",expressRouteAuthorizationKey:"er-authz-key-d20"}]' \ --debug
사후 검사: er-circuit-D에 대한 새 연결이 작동하는지 확인합니다.
ExpressRoute 게이트웨이 메트릭 모니터링
ExpressRoute 게이트웨이의 메트릭을 사용하여 업데이트 프로세스 중에 연결 상태를 모니터링합니다.
주요 메트릭: 피어에서 학습된 경로 수
업데이트하는 동안 학습된 경로 수가 일시적으로 감소하는 것을 관찰할 수 있습니다. 업데이트가 완료되면 학습된 경로 수가 복구됩니다.
각 연결에는 2개의 피어가 있습니다. BGP(Border Gateway Protocol) 피어에 대한 메트릭을 필터링하여 업데이트 중에 영향을 받는 특정 연결을 확인할 수 있습니다. 모니터링에 대한 자세한 내용을 보려면
