Azure ExpressRoute를 사용하여 Azure 가상 네트워크(가상 네트워크) 및 온-프레미스 네트워크를 연결하려면 먼저 가상 네트워크 게이트웨이를 만들어야 합니다. 가상 네트워크 게이트웨이는 두 가지 목적을 갖습니다. 네트워크 간에 IP 경로를 교환하고 네트워크 트래픽을 라우팅하는 것입니다.
이 문서에서는 다양한 게이트웨이 형식, 게이트웨이 SKU 및 SKU별 예상 성능을 설명합니다. 또한 이 문서에서는 온-프레미스 네트워크의 네트워크 트래픽이 가상 네트워크 게이트웨이를 우회하여 성능을 향상시킬 수 있도록 하는 기능인 ExpressRoute FastPath에 대해서도 설명합니다.
게이트웨이 상품 코드
가상 네트워크 게이트웨이를 만들 때 사용하려는 게이트웨이 SKU를 지정해야 합니다. 더 높은 게이트웨이 SKU를 선택하면 게이트웨이에 더 많은 CPU와 네트워크 대역폭이 할당됩니다. 결과적으로 게이트웨이는 가상 네트워크에 대한 더 높은 네트워크 처리량을 지원할 수 있습니다.
ExpressRoute 가상 네트워크 게이트웨이는 다음 SKU를 사용할 수 있습니다.
- ErGwScale(미리 보기): 자세한 내용은 ExpressRoute 확장 가능 게이트웨이를 참조하세요.
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
게이트웨이를 비 Az 지원 게이트웨이 또는 Az 지원 게이트웨이인 동일한 SKU 제품군 내에서 더 높은 용량의 SKU로 업그레이드할 수 있습니다.
예를 들어 다음을 업그레이드할 수 있습니다.
- 비 Az 사용 SKU에서 다른 비 Az 사용 SKU로
- Az 지원 SKU에서 다른 Az 지원 SKU로 이동
다른 모든 다운그레이드 시나리오의 경우 게이트웨이를 삭제하고 다시 만들어야 하므로 가동 중지 시간이 발생합니다.
게이트웨이 서브넷 만들기
ExpressRoute Gateway를 만들기 전에 게이트웨이 서브넷을 만들어야 합니다. 가상 네트워크 게이트웨이 VM(가상 머신)과 서비스는 게이트웨이 서브넷에 포함된 IP 주소를 사용합니다.
가상 네트워크 게이트웨이 만들 때 게이트웨이 VM은 게이트웨이 서브넷에 배포되고 필수 ExpressRoute 게이트웨이 설정으로 구성됩니다. 게이트웨이 서브넷에 다른 것을 배포하지 마세요. 게이트웨이 서브넷은 제대로 작동하려면 "GatewaySubnet"이라는 이름을 지정해야 합니다. 이렇게 하면 Azure에서 가상 네트워크 게이트웨이 VM과 서비스를 이 서브넷에 배포하도록 알 수 있습니다.
Note
게이트웨이 서브넷의 대상 주소가 0.0.0.0/0인 사용자 정의 경로와 NSG(네트워크 보안 그룹)는 지원되지 않습니다. 이 구성을 사용하는 게이트웨이는 생성되지 않도록 차단됩니다. 게이트웨이가 제대로 작동하려면 관리 컨트롤러에 대한 액세스 권한이 필요합니다. 게이트웨이 가용성을 보장하려면 게이트웨이 서브넷에서 BGP(Border Gateway Protocol) 경로 전파를 사용하도록 설정해야 합니다. BGP 경로 전파가 사용하지 않도록 설정되면 게이트웨이가 작동하지 않습니다.
사용자 정의 경로가 게이트웨이 서브넷 범위 또는 게이트웨이 공용 IP 범위와 겹치는 경우 진단, 데이터 경로 및 제어 경로가 영향을 받을 수 있습니다.
- ExpressRoute 가상 네트워크 게이트웨이가 있는 가상 네트워크에 Azure DNS Private Resolver를 배포하고 모든 이름 확인을 특정 DNS 서버로 지정하도록 와일드카드 규칙을 설정하는 것은 권장되지 않습니다. 이러한 구성은 관리 연결 문제를 일으킬 수 있습니다.
게이트웨이 서브넷을 만드는 경우 서브넷이 포함하는 IP 주소의 수를 지정합니다. 게이트웨이 서브넷의 IP 주소는 게이트웨이 VM 및 게이트웨이 서비스에 할당됩니다. 일부 구성에는 다른 구성보다 더 많은 IP 주소가 필요합니다.
게이트웨이 서브넷 크기를 계획하는 경우 생성하려는 구성에 대한 설명서를 참조하세요. 예를 들어, ExpressRoute/VPN Gateway 공존 구성에는 대부분의 다른 구성보다 더 큰 게이트웨이 서브넷이 필요합니다. 또한, 향후 구성을 수용할 수 있을 만큼 게이트웨이 서브넷에 충분한 IP 주소가 포함되어 있는지 확인하는 것이 좋습니다.
/27 이상의 게이트웨이 서브넷을 만드는 것이 좋습니다. 16개의 ExpressRoute 회로를 게이트웨이에 연결하려는 경우 /26 이상의 게이트웨이 서브넷을 만들어야 합니다 . 이중 스택 게이트웨이 서브넷을 만드는 경우에는 /64 이상의 IPv6 범위도 사용하는 것이 좋습니다. 이 설정은 대부분의 구성에 적합합니다.
다음 Azure Resource Manager PowerShell 예에서는 GatewaySubnet이라는 게이트웨이 서브넷을 보여 줍니다. CIDR(Classless Interdomain Routing) 표기법은 /27을 지정하는데, 이는 현재 존재하는 대부분의 구성에 충분한 IP 주소를 허용합니다.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
게이트웨이 서브넷의 NSG는 지원되지 않습니다. 네트워크 보안 그룹을 이 서브넷에 연결하면 가상 네트워크 게이트웨이(VPN 및 ExpressRoute 게이트웨이)가 예상대로 작동하지 않을 수 있습니다. 네트워크 보안 그룹에 대한 자세한 내용은 네트워크 보안 그룹이란?을 참조하세요.
가상 네트워크 게이트웨이 제한 사항 및 성능
게이트웨이 SKU별 지원 기능
다음 표는 각 게이트웨이 유형이 지원하는 기능과 각 게이트웨이 SKU가 지원하는 최대 ExpressRoute 회로 연결 수를 보여 줍니다.
| 게이트웨이 SKU | VPN Gateway 및 ExpressRoute 공존 | FastPath | 최대 회로 연결 수 |
|---|---|---|---|
| 표준 SKU/ERGw1Az | Yes | No | 4 |
| 고성능 SKU/ERGw2Az | Yes | No | 8 |
| Ultra Performance SKU/ErGw3Az | Yes | Yes | 16 |
| ErGwScale(미리 보기) | Yes | 예 - 최소 10 배율 단위 | 4 - 최소 1 배율 단위 8 - 최소 2 배율 단위 16 - 최소 10 배율 단위 |
Note
동일한 가상 네트워크에 연결할 수 있는 동일한 피어링 위치에서의 최대 ExpressRoute 회로 수는 모든 게이트웨이에 대해 4개입니다.
게이트웨이 SKU에서 예상된 성능
다음 표에서는 다양한 형식의 게이트웨이, 각각의 제한 사항, 예상 성능 메트릭을 간략하게 설명합니다.
최대 지원 한도
이 표는 Azure Resource Manager와 클래식 배포 모델 모두에 적용됩니다.
| 게이트웨이 SKU | 초당 메가비트 | 초당 패킷 | 가상 네트워크의 지원되는 VM 수 1 | 흐름 개수 제한 | 게이트웨이에서 학습한 경로 수 |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| 고성능/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Ultra Performance/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale(배율 단위당 1-10) | 배율 단위당 1,000 | 배율 단위당 100,000 | 배율 단위당 2,000 | 배율 단위당 100,000 | 게이트웨이당 총 9,500개 |
| ErGwScale(배율 단위당 11-40) | 배율 단위당 1,000 | 배율 단위당 200,000 | 배율 단위당 1,000 | 배율 단위당 100,000 | 게이트웨이당 총 9,500개 |
1 표의 값은 예상 수치이며 게이트웨이의 CPU 사용률에 따라 달라집니다. CPU 사용률이 높고 지원되는 VM 수가 초과되면 게이트웨이는 패킷을 삭제하기 시작합니다.
Note
ExpressRoute는 가상 네트워크 주소 공간, 온-프레미스 네트워크 및 관련 가상 네트워크 피어링 연결에 걸쳐 최대 11,000개의 경로를 지원할 수 있습니다. ExpressRoute 연결의 안정성을 보장하려면 ExpressRoute에 11,000개 이상의 경로를 알리지 마세요. 게이트웨이가 보급하는 경로의 최대 수는 1,000개입니다.
Important
- 애플리케이션 성능은 엔드투엔드 대기 시간과 애플리케이션이 여는 트래픽 흐름 수 등 여러 요인에 따라 달라집니다. 테이블의 숫자는 이상적인 환경에서 애플리케이션이 이론상 수행할 수 있는 상한값을 나타냅니다. 또한, 서비스의 안정성을 유지하기 위해 ExpressRoute 가상 네트워크 게이트웨이에서 정기적인 호스트 및 OS 유지 관리를 수행합니다. 유지 관리 기간 중에는 게이트웨이의 컨트롤 플레인 및 데이터 경로 용량이 줄어듭니다.
- 유지 관리 기간 동안 프라이빗 엔드포인트 리소스에 대한 일시적인 연결 문제가 발생할 수 있습니다.
- ExpressRoute는 최대 1,400바이트의 TCP 및 UDP 패킷 크기를 지원합니다. 1,400바이트보다 큰 패킷 크기는 조각화됩니다.
- Azure Route Server는 최대 4,000개의 VM을 지원할 수 있습니다. 이 제한에는 피어링된 가상 네트워크의 VM이 포함됩니다. 자세한 내용은 Azure Route Server 제한 사항을 참조하세요.
- 위 표의 값은 각 Gateway SKU의 한도를 나타냅니다.
자동 할당된 공용 IP
자동 할당 공용 IP 기능은 Microsoft가 사용자를 대신하여 필요한 공용 IP 주소를 관리할 수 있도록 하여 ExpressRoute 게이트웨이 배포를 간소화합니다. PowerShell/CLI의 경우 게이트웨이에 대해 별도의 공용 IP 리소스를 만들거나 유지 관리할 필요가 없습니다.
주요 이점:
- 향상된 보안: 공용 IP는 Microsoft에서 내부적으로 관리하며 사용자에게 노출되지 않으므로 개방형 관리 포트와 관련된 위험을 줄입니다.
- 복잡성 감소: 공용 IP 리소스를 프로비전하거나 관리할 필요는 없습니다.
- 간소화된 배포: Azure PowerShell 및 CLI는 게이트웨이를 만드는 동안 더 이상 공용 IP를 묻는 메시지를 표시하지 않습니다.
작동 방식:
ExpressRoute 게이트웨이를 만들 때 Microsoft는 안전한 백 엔드 구독에서 공용 IP 주소를 자동으로 프로비전하고 관리합니다. 이 IP는 게이트웨이 리소스 내에 캡슐화되므로 Microsoft는 데이터 속도 제한과 같은 정책을 적용하고 감사 가능성을 향상시킬 수 있습니다.
Availability:
vWAN(Virtual WAN) 또는 확장 영역 배포에는 자동 할당 공용 IP를 사용할 수 없습니다.
VNet에서 VNet으로 연결, VNet에서 Virtual WAN으로 연결
기본적으로 VNet-VNet 및 VNet-Virtual WAN 연결은 모든 게이트웨이 SKU에 대해 ExpressRoute 회로를 통해 사용하지 않도록 설정됩니다. 이 연결을 사용하려면 이 트래픽을 허용하도록 ExpressRoute 가상 네트워크 게이트웨이를 구성해야 합니다. 자세한 내용은 ExpressRoute를 통한 가상 네트워크 연결에 대한 지침을 참조하세요. 이 트래픽을 활성화하려면 ExpressRoute를 통해 VNet 간 또는 VNet과 Virtual WAN 간 연결 사용을 참조하세요.
FastPath
ExpressRoute 가상 네트워크 게이트웨이는 네트워크 경로를 교환하고 네트워크 트래픽을 라우팅하도록 설계되었습니다. FastPath는 온-프레미스 네트워크와 가상 네트워크 간의 데이터 경로 성능을 향상시키도록 설계되었습니다. FastPath를 사용하도록 설정하면 게이트웨이를 바이패스하여 가상 네트워크의 가상 머신으로 네트워크 트래픽을 직접 전송합니다.
제한 사항 및 요구 사항을 포함하여 FastPath에 대한 자세한 내용은 FastPath 정보를 참조하세요.
프라이빗 엔드포인트에 대한 연결
ExpressRoute 가상 네트워크 게이트웨이는 가상 네트워크 게이트웨이와 동일한 가상 네트워크 및 가상 네트워크 피어 전체에 배포된 프라이빗 엔드포인트에 대한 연결을 용이하게 합니다.
Important
- 프라이빗 엔드포인트 리소스에 대한 연결에 필요한 처리량과 컨트롤 플레인 용량은 프라이빗 엔드포인트 이외의 리소스에 대한 연결에 비해 절반으로 줄어들 수 있습니다.
- 유지 관리 기간 동안 프라이빗 엔드포인트 리소스에 대한 일시적인 연결 문제가 발생할 수 있습니다.
- IP 5-튜플 전송을 위한 패킷이 유지 관리 이벤트가 발생하지 않는 한 단일 다음 홉(Microsoft Enterprise Edge 라우터)을 사용하도록 라우터 및 방화벽 설정을 포함한 온-프레미스 구성이 올바르게 설정되었는지 확인해야 합니다. 온-프레미스 방화벽이나 라우터 구성으로 인해 동일한 IP 5-튜플이 다음 홉을 자주 전환하는 경우 연결 문제가 발생합니다.
- 프라이빗 엔드포인트가 배포되는 서브넷에서 네트워크 정책 (최소한 UDR 지원용)이 사용하도록 설정되어 있는지 확인합니다.
프라이빗 엔드포인트 연결 및 계획된 유지 관리 이벤트
프라이빗 엔드포인트 연결은 상태 저장입니다. ExpressRoute 개인 피어링을 통해 프라이빗 엔드포인트에 대한 연결이 설정되면 인바운드 및 아웃바운드 연결은 게이트웨이 인프라의 백 엔드 인스턴스 중 하나를 통해 라우팅됩니다. 유지 관리 이벤트 중에 가상 네트워크 게이트웨이 인프라의 백 엔드 인스턴스가 하나씩 다시 부팅되므로 일시적인 연결 문제가 발생할 수 있습니다.
유지 관리 작업 중에 프라이빗 엔드포인트와의 연결 문제를 방지하거나 최소화하려면 온-프레미스 애플리케이션에서 TCP 시간 초과 값을 15~30초 사이로 설정하는 것이 좋습니다. 애플리케이션 요구 사항에 따라 최적의 값을 테스트하고 구성합니다.
REST API 및 PowerShell cmdlet
가상 네트워크 게이트웨이 구성에 REST API와 PowerShell cmdlet을 사용할 때 자세한 기술 리소스와 구체적인 구문 요구 사항은 다음 페이지를 참조하세요.
| Classic | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
VNet 간 연결
기본적으로 가상 네트워크 간의 연결은 여러 가상 네트워크를 동일한 ExpressRoute 회로에 연결할 때 사용하도록 설정됩니다. 가상 네트워크 간 통신에 ExpressRoute 회로를 사용하지 않는 것이 좋습니다. 대신 가상 네트워크 피어링을 사용하는 것이 좋습니다. ExpressRoute를 통한 VNet 간 연결이 권장되지 않는 이유에 대한 자세한 내용은 ExpressRoute를 통한 가상 네트워크 간 연결을 참조하세요.
가상 네트워크 피어링
ExpressRoute 게이트웨이가 있는 가상 네트워크는 최대 500개의 다른 가상 네트워크와 가상 네트워크 피어링을 가질 수 있습니다. ExpressRoute 게이트웨이가 없는 가상 네트워크 피어링에는 피어링 제한 사항이 더 높을 수 있습니다.
관련 콘텐츠
사용 가능한 연결 구성에 대한 자세한 내용은 ExpressRoute 개요를 참조하세요.
ExpressRoute 게이트웨이 생성에 대한 자세한 내용은 ExpressRoute용 가상 네트워크 게이트웨이 만들기를 참조하세요.
ErGwScale을 배포하는 방법에 대한 자세한 내용은 Azure Portal을 사용하여 ExpressRoute에 대한 가상 네트워크 게이트웨이 구성을 참조하세요.
영역 중복 게이트웨이 구성에 대한 자세한 내용은 영역 중복 가상 네트워크 게이트웨이 만들기를 참조하세요.
FastPath에 대한 자세한 내용은 FastPath 정보를 참조하세요.