Azure Route Server를 사용한 다중 지역 네트워킹

최신 애플리케이션은 고가용성, 재해 복구 및 성능 요구 사항을 충족하기 위해 여러 Azure 지역에 배포해야 하는 경우가 많습니다. Azure Route Server를 사용하면 NVA(네트워크 가상 어플라이언스)를 통해 중앙 집중식 네트워크 제어를 유지하면서 동적 라우팅 기능을 제공하는 정교한 다중 지역 네트워크 아키텍처를 사용할 수 있습니다.

이 문서에서는 ExpressRoute와의 통합 및 라우팅 루프 방지를 위한 고려 사항을 포함하여 Azure Route Server를 사용하여 다중 지역 토폴로지를 디자인하고 구현하는 방법을 설명합니다.

주요 개념

Azure Route Server를 사용하는 다중 지역 네트워킹에는 다음과 같은 몇 가지 중요한 개념이 포함됩니다.

• 동적 경로 전파: Azure Route Server는 BGP(Border Gateway Protocol)를 통해 지역 간에 라우팅 정보를 자동으로 교환하므로 네트워크 토폴로지가 발전함에 따라 수동 경로 테이블 관리가 필요하지 않습니다.

• 중앙 집중식 네트워크 제어: 지역 간 직접 가상 네트워크 피어링과 달리 Route Server를 사용하면 트래픽이 허브 기반 NVA를 통해 흐르도록 하여 지역 간에 보안 정책 및 네트워크 가시성을 유지할 수 있습니다.

• 자동 적응: 아키텍처는 수동 개입 없이 새 스포크 네트워크 추가 또는 연결 수정과 같은 토폴로지 변경에 자동으로 적응합니다.

아키텍처 개요

다중 지역 아키텍처는 글로벌 가상 네트워크 피어링을 통해 연결되고 Azure Route Server 인스턴스에서 조정된 각 지역의 허브 및 스포크 토폴로지 사용:

핵심 구성 요소

다중 지역 아키텍처는 동적 라우팅 기능을 제공하기 위해 함께 작동하는 몇 가지 주요 구성 요소로 구성됩니다. 각 지역에는 라우팅 결정을 관리하기 위해 Azure Route Server와 NVA(네트워크 가상 어플라이언스)를 모두 호스트하는 허브 가상 네트워크가 포함되어 있습니다. 애플리케이션 워크로드는 네트워킹 인프라와 애플리케이션 간의 분리를 유지하면서 각 지역 내의 스포크 가상 네트워크에 배포됩니다. 허브 가상 네트워크는 지역 간 통신을 사용하도록 설정하기 위해 글로벌 가상 네트워크 피어링을 사용하여 지역 간에 연결됩니다. 네트워크 어플라이언스는 라우팅 정보 동기화를 유지하기 위해 보안 터널을 사용하여 지역 간에 통신합니다.

트래픽 흐름

트래픽 흐름은 다중 지역 토폴로지에서 효율적인 라우팅을 보장하는 구조적 패턴을 따릅니다. Route Server는 지역 내의 로컬 스포크 네트워크와 NVA 모두에서 경로를 학습하여 포괄적인 라우팅 테이블을 빌드합니다. NVA는 라우팅 정보를 공유하고 지역 간 연결을 사용하도록 설정하기 위해 지역 간에 보안 터널을 설정합니다. 각 경로 서버는 학습된 경로를 로컬 스포크 네트워크에 전파하여 워크로드가 원격 지역의 대상에 도달할 수 있도록 합니다. 새 스포크 네트워크 추가 또는 연결 수정과 같은 토폴로지 변경이 발생하면 아키텍처는 수동 개입 없이 모든 지역에서 경로 업데이트를 자동으로 트리거합니다.

구성 요구 사항

이 아키텍처를 성공적으로 구현하려면 다음 구성 요소를 구성합니다.

가상 네트워크 피어링 설정

스포크 네트워크를 허브 네트워크에 피어링할 때 원격 가상 네트워크의 게이트웨이 또는 경로 서버 설정을 사용하도록 설정합니다. 이 구성은 다음을 허용합니다.

• NVA에 스포크 네트워크 접두사를 보급하는 Route Server
• 스포크 네트워크 경로 테이블에 삽입할 학습된 경로
• 전체 토폴로지에서 동적 경로 전파

NVA 터널 구성

캡슐화 기술을 사용하여 NVA 간의 보안 통신을 설정합니다.

• IPsec 터널: 지역 NVA 간에 암호화된 통신 제공
• VXLAN 오버레이: 지역 간에 계층 2 확장 사용

BGP AS 경로 조작

라우팅 루프를 방지하기 위해 BGP AS 경로를 수정하도록 NVA를 구성합니다.

일반적인 AS 경로 기술

AS 경로 프리펜딩 - 경로가 더 길어 보이게 하여 라우팅 결정에 영향을 미치도록 합니다.

# Example for Cisco NVA
route-map PREPEND-AS permit 10
 set as-path prepend 65001 65001

AS 경로 필터링 - 특정 AS 경로를 사용하여 경로를 차단합니다.

# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
 match as-path 1

고가용성 고려 사항

복원력 있는 다중 지역 연결의 경우:

• 여러 NVA: 각 지역에 여러 NVA 배포(Route Server는 최대 8개의 BGP 피어 지원)
• AS 경로 전치: AS 경로 전치를 사용하여 활성/대기 NVA 관계를 설정하세요.
• 중복 터널: 장애 조치(failover)를 위해 지역 간에 여러 터널 연결 구성

ExpressRoute 통합

다중 지역 경로 서버 아키텍처는 ExpressRoute 회로와 통합하여 온-프레미스 네트워크에 대한 연결을 확장할 수 있습니다.

ExpressRoute 통합의 이점

• 간소화된 라우팅: 온-프레미스 접두사는 NVA 광고를 통해서만 Azure에 표시됩니다.
• 중앙 집중식 제어: 일관된 정책 적용을 위해 모든 트래픽이 허브 NVA를 통해 흐릅니다.
• 오버레이 최적화: ExpressRoute 회로는 NVA 간의 오버레이 네트워크를 지원합니다.

디자인 고려 사항

• 경로 광고: ExpressRoute 게이트웨이에만 의존하지 않고 온-프레미스 경로를 보급하도록 NVA 구성
• 대역폭 계획: ExpressRoute 회로가 지역 간 트래픽 부하를 처리할 수 있는지 확인
• 중복성: 고가용성을 위해 여러 ExpressRoute 회로 고려

오버레이 네트워크가 없는 대체 디자인

오버레이 터널은 권장되는 방법이지만 UDR(사용자 정의 경로)을 사용하여 터널 없이 다중 지역 연결을 구현할 수 있습니다.

터널이 권장되는 이유

오버레이 터널은 다중 지역 아키텍처에서 라우팅 루프에 대한 필수 보호를 제공합니다. 오버레이 터널이 없으면 지역 1의 NVA가 지역 2의 접두사를 학습하고 로컬 경로 서버에 보급할 때 라우팅 루프가 발생할 수 있습니다. 그런 다음 경로 서버는 NVA를 다음 홉으로 사용하여 모든 지역 1 서브넷에서 이러한 경로를 프로그래밍합니다. NVA가 지역 2로 트래픽을 보내려고 하면 자체 서브넷 경로가 다시 자신을 가리키며 성공적인 지역 간 통신을 방지하는 라우팅 루프를 만듭니다. 오버레이 터널은 언더레이 네트워크(터널 설정에 사용됨)와 오버레이 네트워크(애플리케이션 트래픽에 사용됨) 간에 논리적 분리를 만들어 트래픽이 루프를 만들지 않고 지역 간에 올바르게 흐를 수 있도록 하여 이 문제를 해결합니다.

UDR 기반 대체

사용자 환경에서 오버레이 터널을 사용할 수 없는 경우 UDR(사용자 정의 경로)을 사용하여 대체 방법을 구현할 수 있습니다. 이 메서드는 충돌을 일으킬 수 있는 자동 경로 학습을 방지하기 위해 NVA 서브넷에서 BGP 경로 전파를 사용하지 않도록 설정해야 합니다. 그런 다음 적절한 네트워크 경로를 통해 지역 간 트래픽을 명시적으로 전송하는 UDR을 만들어 정적 경로를 구성해야 합니다. 이 방법은 작동할 수 있지만 네트워크 토폴로지 시간이 지남에 따라 이러한 정적 경로를 수동으로 유지 관리하는 작업 오버헤드를 허용해야 합니다.

Trade-offs

다음 단계

이러한 리소스를 탐색하여 다중 지역 경로 서버 아키텍처를 구현하고 최적화합니다.

• ExpressRoute 및 Azure VPN에 대한 Azure Route Server 지원
• Azure Route Server와 네트워크 가상 어플라이언스 간의 피어링 구성
• Azure Route Server란?
• Azure Monitor를 사용하여 Azure Route Server 모니터링