Azure VMware Solution 네트워크 디자인 고려 사항

Azure VMware Solution은 사용자 및 애플리케이션이 온-프레미스 및 Azure 기반 환경 또는 리소스에서 액세스할 수 있는 VMware 프라이빗 클라우드 환경을 제공합니다. Azure ExpressRoute 및 VPN(가상 사설망) 연결과 같은 네트워킹 서비스는 연결을 제공합니다.

Azure VMware Solution 환경을 설정하기 전에 몇 가지 네트워킹 고려 사항을 검토해야 합니다. 이 문서에서는 Azure VMware Solution을 사용하여 네트워크를 구성할 때 발생할 수 있는 사용 사례에 대한 솔루션을 제공합니다.

Azure VMware Solution과 AS-Path 추가의 호환성

Azure VMware Solution에는 중복된 ExpressRoute 구성을 위해 AS-Path Prepend 사용에 관련된 여러 고려사항들이 있습니다. 온-프레미스와 Azure 간에 둘 이상의 ExpressRoute 경로를 실행하는 경우 ExpressRoute GlobalReach를 통해 온-프레미스 위치에 대한 Azure VMware Solution의 트래픽에 영향을 주는 다음 지침을 고려하세요.

비대칭 라우팅으로 인해 Azure VMware Solution이 AS-Path 프리펜더를 관찰하지 않기 때문에 ECMP(동일 비용 다중 경로 라우팅)를 사용하여 두 ExpressRoute 회로를 통해 사용자 환경으로 트래픽을 전송할 때 연결 문제를 일으킬 수 있습니다. 이 동작으로 인해 기존 ExpressRoute 회로 뒤에 배치된 상태 저장 방화벽 검사 디바이스에 문제가 발생할 수 있습니다.

필수 조건

AS-Path 추가의 경우 다음 필수 조건을 고려합니다.

• 핵심은 Azure VMware Solution이 트래픽을 온-프레미스로 다시 라우팅하는 방법에 영향을 주려면 ASN( 공용 자치 시스템 번호)을 앞에 추가해야 한다는 것입니다. 프라이빗 ASN을 사용하여 앞에 추가할 경우, Azure VMware Solution이 이를 무시하고 이전에 언급된 ECMP 동작이 발생합니다. 프라이빗 BGP ASN 온-프레미스를 운영하는 경우에도 경로를 아웃바운드 앞에 추가할 때 공용 ASN을 활용하도록 온-프레미스 디바이스를 구성하여 Azure VMware Solution과의 호환성을 보장할 수 있습니다.
• Azure VMware Solution에서 공용 ASN을 인정한 후 프라이빗 ASN에 대한 트래픽 경로를 설계하세요. Azure VMware Solution ExpressRoute 회로는 공용 ASN이 처리된 후 경로에 있는 프라이빗 ASN을 제거하지 않습니다.
• 둘 다 또는 모든 회로가 Azure ExpressRoute Global Reach를 통해 Azure VMware Solution에 연결됩니다.
• 두 개 이상의 회선에서 동일한 netblock이 광고되고 있습니다.
• AS-Path Prepend를 사용하여 Azure VMware 솔루션이 다른 회로보다 한 회로를 선호하도록 강제하려고 합니다.
• 2 바이트 또는 4 바이트 공용 ASN 번호를 사용합니다.

Azure VMware Solution의 예약된 개인 ASN

Azure VMware Solution은 언더레이 네트워크 인프라에 특정 개인 ASN(자치 시스템 번호)을 활용합니다. 충돌을 방지하고 원활한 네트워크 통합을 보장하기 위해 고객은 네트워크 구성 내에서 다음 ASN을 사용하지 않아야 합니다 .

언더레이 네트워킹용 예약된 자율 시스템 번호(ASN)

다음 ASN은 내부 Azure VMware Solution 인프라용으로 예약되며 고객이 피해야 합니다.

• 계층 2 ASN: 65300 – 65340

• 계층 1 ASN: 65200 – 65240

• 전송 ASN(T0 게이트웨이): 64513(NSX Edges), 64600 – 64940

• 관리 ASN: 65000 – 65412, 398656-398670, 400572-400581

예약 ASN 사용의 영향

사용자 환경에 위에 나열된 ASN을 사용하면 BGP 세션 오류, 네트워크 라우팅 충돌 또는 서비스 중단이 발생할 수 있습니다. ASN 할당이 이러한 예약 값과 겹치지 않도록 합니다.

온-프레미스에서 VM 및 기본 경로 관리

Azure에 보급된 기본 경로만 사용하여 온-프레미스 네트워크로 다시 라우팅하는 경우 개인 IP 주소가 있는 온-프레미스 대상으로 사용되는 vCenter Server 및 NSX Manager VM의 트래픽은 해당 경로를 따르지 않습니다.

온-프레미스에서 vCenter Server 및 NSX Manager에 연결하려면 트래픽이 해당 네트워크에 대한 반환 경로를 가질 수 있도록 특정 경로를 제공합니다. 예를 들어 RFC1918 요약(10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16)을 보급합니다.

인터넷 트래픽 검사를 위한 Azure VMware Solution에 대한 기본 경로

특정 배포에서는 Azure VMware Solution에서 인터넷으로의 모든 송신 트래픽을 검사해야 합니다. Azure VMware Solution에서 NVA(네트워크 가상 어플라이언스)를 만들 수 있지만 이러한 어플라이언스가 Azure에 이미 있고 Azure VMware Solution에서 인터넷 트래픽을 검사하도록 적용할 수 있는 사용 사례가 있습니다. 이 경우 Azure의 NVA에서 기본 경로를 삽입하여 Azure VMware Solution에서 트래픽을 유치하고 공용 인터넷으로 나가기 전에 트래픽을 검사할 수 있습니다.

다음 다이어그램에서는 ExpressRoute를 통해 Azure VMware Solution 클라우드 및 온-프레미스 네트워크에 연결된 기본 허브 및 스포크 토폴로지를 설명합니다. 다이어그램은 Azure의 NVA가 기본 경로(0.0.0.0/0)를 시작하는 방법을 보여 줍니다. Azure Route Server는 ExpressRoute를 통해 Azure VMware Solution에 경로를 전파합니다.

Azure VMware Solution과 온-프레미스 네트워크 간의 통신은 일반적으로 온-프레미스 환경을 Azure VMware Solution과 피어링하기에서 설명된 대로 ExpressRoute Global Reach를 통해 발생합니다.

Azure VMware Solution과 온-프레미스 네트워크 간의 연결

타사 NVA를 통해 Azure VMware Solution과 온-프레미스 네트워크 간의 연결에 대한 두 가지 주요 시나리오가 있습니다.

• 조직에는 NVA(일반적으로 방화벽)를 통해 Azure VMware Solution과 온-프레미스 네트워크 간에 트래픽을 전송해야 합니다.
• ExpressRoute Global Reach는 특정 지역에서 Azure VMware Solution 및 온-프레미스 네트워크의 ExpressRoute 회로를 상호 연결하는 데 사용할 수 없습니다.

이러한 시나리오에 대한 모든 요구 사항을 충족하기 위해 적용할 수 있는 두 가지 토폴로지( 슈퍼넷 및 전송 스포크 가상 네트워크)가 있습니다.

슈퍼넷 디자인 토폴로지

두 ExpressRoute 회로(Azure VMware Solution 및 온프레미스)가 동일한 ExpressRoute 게이트웨이에 연결될 경우, 게이트웨이가 두 회로를 통해 패킷을 라우팅할 것이라고 가정할 수 있습니다. 그러나 ExpressRoute 게이트웨이는 그렇게 하도록 설계되지 않았습니다. 트래픽을 라우팅할 수 있는 NVA로 트래픽을 고정해야 합니다.

NVA에 대한 네트워크 트래픽을 고정하기 위한 두 가지 요구 사항이 있습니다.

• NVA는 Azure VMware Solution 및 온-프레미스 접두사에 대한 슈퍼넷을 광고해야 합니다.

  Azure VMware Solution과 온-프레미스 접두사를 모두 포함하는 슈퍼넷을 사용할 수 있습니다. 또는 Azure VMware Solution 및 온-프레미스에 개별 접두사를 사용할 수 있습니다(ExpressRoute를 통해 보급된 실제 접두사보다 항상 덜 구체적임). 유의하십시오, Route Server에 광고된 모든 슈퍼넷 접두사는 Azure VMware Solution 및 온-프레미스 모두에 전파됩니다.

• Azure VMware Solution과 온프레미스에서 광고된 접두사와 정확하게 일치하는 게이트웨이 서브넷의 UDR은 게이트웨이 서브넷에서 NVA로의 헤어핀 트래픽을 발생시킵니다.

이 토폴로지로 인해 시간이 지남에 따라 변경되는 대규모 네트워크에 대한 높은 관리 오버헤드가 발생합니다. 다음 제한 사항을 고려합니다.

• Azure VMware Solution에서 워크로드 세그먼트를 만들 때마다 Azure VMware Solution의 트래픽이 NVA를 통해 전송되도록 UDR을 추가해야 할 수 있습니다.
• 온-프레미스 환경에 변경되는 경로가 많은 경우 슈퍼넷의 BGP(Border Gateway Protocol) 및 UDR 구성을 업데이트해야 할 수 있습니다.
• 단일 ExpressRoute 게이트웨이가 양방향으로 네트워크 트래픽을 처리하므로 성능이 제한될 수 있습니다.
• Azure Virtual Network 제한은 400UDR입니다.

다음 다이어그램은 NVA가 더 일반적이고(덜 구체적인) 온-프레미스 및 Azure VMware Solution의 네트워크를 포함하는 접두사를 보급하는 방법을 보여 줍니다. 이 방법에 주의하세요. NVA는 잠재적으로 트래픽을 유치할 수 있습니다. 이는 더 넓은 범위(예: 전체 10.0.0.0/8 네트워크)를 광고하고 있기 때문입니다.

트랜짓 스포크 가상 네트워크 토폴로지

이 토폴로지에서 ExpressRoute 게이트웨이에 트래픽을 유치하기 위해 덜 구체적인 경로를 전파하는 대신 별도의 가상 네트워크에서 서로 다른 두 NVA가 서로 경로를 교환할 수 있습니다. 가상 네트워크는 BGP 및 Azure Route Server를 통해 이러한 경로를 해당 ExpressRoute 회로로 전파할 수 있습니다. 각 NVA에는 각 ExpressRoute 회로에 전파되는 접두사를 완전히 제어할 수 있습니다.

다음 다이어그램에서는 단일 0.0.0.0/0 경로가 Azure VMware Solution에 보급되는 방법을 보여 줍니다. 또한 개별 Azure VMware Solution 접두사가 온-프레미스 네트워크에 전파되는 방법을 보여 줍니다.

오버레이를 사용하는 대신 사용할 수 있습니다. Azure Route Server에서 경로를 학습하지 않는 보조 NIC를 NVA에 적용합니다. 그런 다음 Azure에서 해당 NIC를 통해 원격 환경으로 트래픽을 라우팅할 수 있도록 UDR을 구성합니다. Azure VMware Solution에 대한 엔터프라이즈 규모 네트워크 토폴로지 및 연결에서 자세한 내용을 확인할 수 있습니다.

이 토폴로지에는 복잡한 초기 설정이 필요합니다. 그러면 최소한의 관리 비용으로 토폴로지가 예상대로 작동합니다. 설치 복잡성은 다음과 같습니다.

• Azure Route Server, ExpressRoute 게이트웨이 및 다른 NVA를 포함하는 다른 전송 가상 네트워크를 추가하는 데 추가 비용이 발생합니다. NVA는 처리량 요구 사항을 충족하기 위해 큰 VM 크기를 사용해야 할 수도 있습니다.
• 두 NVA 간에 IPsec 또는 VXLAN 터널링이 필요합니다. 즉, NVA도 데이터 경로에 있습니다. 사용 중인 NVA 유형에 따라 해당 NVA에 대한 사용자 지정 및 복잡한 구성이 발생할 수 있습니다.

다음 단계

Azure VMware Solution에 대한 네트워크 디자인 고려 사항에 대해 학습한 후 다음 문서를 살펴보는 것이 좋습니다.

• Azure VMware Solution 네트워킹 및 상호 연결 개념
• Azure VMware Solution 배포 계획
• 자습서: Azure VMware Solution에 대한 네트워킹 계획 검사 목록