Azure Virtual WAN을 통한 End-to-End 연결하기 (1) ExpressRoute

안녕하세요. HYEN입니다. 

Azure Virtual WAN에 대해 이해하고 실제로 배포한 내용을 정리해 보도록 하겠습니다 🫡

---

Contents

1. Azure Virtual WAN이란?

[그림 1] Azure Virtual WAN 아키텍처

• 많은 네트워킹, 보안 및 라우팅 기능을 결합하여 단일 운영 인터페이스를 제공하는 네트워킹 서비스
• 다양한 파트너의 SD-WAN 장비를 통해 Azure에 대한 연결 설정이 가능함 
• P2S VPN, S2S VPN, ExpressRoute, VNet 간 연결 등을 위한 확장 및 성능이 기본 제공되는 허브 및 스포크 아키텍처
• 클라우드 호스팅된 네트워크 허브가 서로 다른 유형의 스포크에 분산될 수 있는 엔드포인트 간의 전이적 연결을 가능하게 함 
• 모든 허브는 표준 Virtual WAN에서 풀 메시로 연결됨
• 보안 가상 허브
  • Azure Firewall Manager에서 구성하는 연결된 보안 및 라우팅 정책을 포함하는 Azure Virtual WAN Hub 
  • Azure Firewall 뿐만 아니라 3rd Party NVA 등록 가능
  • zscaler, Check Point, iboss 등 web 기반 security 솔루션을 Azure Firewall과 연동해서 사용 가능해짐 
• SKU
  • Basic : S2S VPN 연결만 지원
  • Standard : ExpressRoute, P2S VPN, S2S, 허브 및 VNet 간 전송 구성 지원  
• 관련 링크 : https://learn.microsoft.com/ko-kr/azure/virtual-wan/virtual-wan-about 

2. 실습 전체 구성도

• 실습 전체 구성도는 다음과 같습니다. 

• Korea Central, East US, Japan East 지역에 총 3개의 가상 허브를 생성합니다.
• Korea Central 지역의 가상 허브에 ExpressRoute 게이트웨이를 연결합니다.
  • 단, [ExpressRoute Circuit]의 경우 [Virtual WAN]이 구성될 [구독]과 다른 [구독]에 존재합니다.
• East US 지역의 가상 허브에 P2S VPN 게이트웨이를 연결합니다. 
• Japan East 지역의 가상 허브에 VNet을 연결합니다.
• 설정을 마친 후 각 지역의 Spoke VM들간 통신 및 Throughput Test를 수행합니다.

3. Azure Virtual WAN 생성 및 ExpressRoute 연결 구성

1. Azure Virtual WAN 생성

• Azure Portal (https://portal.azure.com/)에 접속하여 상단의 검색창에서 [Virtual WAN]을 검색합니다.

• [+ 만들기] 버튼을 클릭하여 [Virtual WAN]을 생성합니다.

 

구독 : # 사용할 구독 선택
리소스 그룹 : rg-vwan-test  #원하는 이름 입력
지역 : Korea Central # Azure Virtual WAN은 전역 리소스이나 리소스 관리를 위하여 지역 선택 필요
이름 : vwan-test # Azure Virtual WAN에 대한 이름 입력   
유형 : 표준 # 기본 또는 표준, 상기 SKU 내용 참조

• 이후 [검토 + 만들기]를 통해 유효성 검사 후 [만들기]를 클릭하여 Virtual WAN을 생성합니다.

2. 가상 허브 생성 (Korea Central)

• 가상 허브는 S2S, ExpressRoute 또는 P2S, Hub-VNet 간 기능을 위한 게이트웨이를 포함할 수 있는 가상 네트워크입니다. 
• 단, 활성화된 ExpressRoute Circuit이 있어야 하기 과정을 수행할 수 있습니다. 

• 생성한 [Virtual WAN]을 클릭한 후 [연결] 블레이드의 [허브]를 선택합니다. 상단의 [+ 새 허브]를 클릭하여 허브를 생성합니다.

지역 : Korea Central # 가상 허브를 배포할 지역 선택
이름 : vhub-kr-01 # 가상 허브에 지정할 이름 입력
허브 프라이빗 주소 공간 : 100.0.0.0/24 # 허브의 주소 범위 (최소 /24)
가상 허브 용량 : 2 라우팅 인프라 단위, 3Gbps 라우터, 2000개 VM 지원
                           # 가상 허브 라우터의 가상 머신 및 집계 처리량 선택 (해당 실습에서는 최소 용량 선택)
허브 라우팅 기본 설정 : ExpressRoute # 가상 허브 라우터의 경로 선택 알고리즘과 관련된 설정 

• Korea Central 지역의 경우 ExpressRoute 게이트웨이만 연결할 것이므로 이전 탭은 [다음] 버튼을 클릭하여 이동합니다. 

ExpressRoute 게이트웨이를 만드시겠습니까? : 예
게이트웨이 배율 단위 : 1 배율 단위 - 2Gbps  
                                      # 게이트웨이 집계 처리량에 대해 정의된 단위 (해당 실습에서는 최소 단위 선택)

• 이후 [검토 + 만들기]를 통해 유효성 검사 후 [만들기]를 클릭하여 가상 허브를 생성합니다.
• 게이트웨이를 사용하여 허브를 생성할 경우 약 30분이 소요됩니다. 

3. 가상 허브에 ExpressRoute Circuit 연결하기 

• 해당 과정은 활성화된 ExpressRoute Circuit이 있어야 합니다. (없다면 4번 과정으로 이동합니다.)

• 상단의 검색창에서 [ExpressRoute Circuits]를 검색합니다. 

3.1. [Azure Private Peering] 생성 

• [ExpressRoute Circuits]의 [개요] 탭에서 [피어링] 부분의 [Azure Private]을 선택합니다. 

피어 ASN : 65001 # ASN 넘버 입력
IPv4 주 서브넷 && 보조 서브넷 : 10.10.10.0/30 && 20.20.20.0/30 # 각 서브넷은 기본 링크 및 보조 링크에 사용됨
VLAN ID : 100 # Circuit에 사용할 VLAN ID 입력
공유 키 : # 타 구독에서 ExpressRoute Circuit을 사용하고자 할 경우 필요한 인증 키  

• 상기 정보를 입력한 후 하단의 [저장]을 클릭하여 [프라이빗 피어링] 구성을 완료합니다.

3.2. [가상 네트워크 게이트웨이] 생성 

• [ExpressRoute]에 대해 [프라이빗 피어링]을 구성한 후 [ExpressRoute 게이트웨이(가상 네트워크 게이트웨이)]를 만들어 가상 네트워크를 Circuit에 연결합니다. 

• 상단의 검색창에서 [가상 네트워크 게이트웨이]를 검색합니다.

구독 : # 사용할 구독 선택
이름 : vgw-er-01 # 가상 네트워크 게이트웨이에 대한 이름 입력
지역 : Korea Central # 가상 네트워크 게이트웨이가 위치할 지역 선택 
게이트웨이 유형 : ExpressRoute 
SKU : 표준 # 해당 실습에서는 가장 낮은 SKU 선택
가상 네트워크 : vnet-kr-er-01 # [가상 네트워크 만들기]를 선택하여 새 [가상 네트워크] 생성 필요
공용 IP 주소 : 새로 만들기 선택
공용 IP 주소 이름 : pip-ergw-01 # 공용 IP 주소 이름 입력
공용 IP 주소 SKU : 표준 

• 가상 네트워크 만들기

이름 : vnet-kr-er-01 # 가상 네트워크 이름 입력
주소 범위 : 10.0.0.0/16 # 가상 네트워크 대역 입력
서브넷 : snet-vm-01(10.0.0.0/24) # ERGW와 연결될 VM에 대한 subnet 
              GatewaySubnet(10.0.1.0/24) # ERGW가 생성될 Gateway subnet  

• [확인] 버튼을 클릭하여 새로운 [가상 네트워크]를 생성합니다. 
• 상기 구성이 완료된 경우 [검토 + 만들기] 버튼을 클릭하여 [가상 네트워크 게이트웨이]를 생성합니다. 

3.3 [가상 네트워크 게이트웨이] - [연결] 생성

• 생성된 [가상 네트워크 게이트웨이]의 [설정] 블레이드의 [연결] 탭을 클릭한 후 [+ 추가] 버튼을 클릭하여 [연결]을 생성합니다.

이름 : conn-er-01 # 연결에 대한 이름 입력
연결 형식 : ExpressRoute
ExpresRoute 회로 : er-seoul # 사용할 ExpressRoute Circuit 선택

• 필요한 내용 입력 후 하단의 [확인]을 클릭하여 [연결]을 생성합니다.

• [연결]이 성공적으로 실행될 경우 위와 같이 상태가 [Succeeded]로 변경됩니다. 
• 이 과정을 통해 [ExpressRoute Circuit]과 [가상 네트워크가] 연결되게 됩니다. 

3.4 가상 허브와 [ExpressRoute Circuit] 연결하기

3.4.1 [인증] 생성

• [ExpressRoute Circuit]과 가상 허브를 연결하기 위해서는 [리소스 ID]와 [인증 키]가 필요합니다.

• [ExpressRoute Circuit]의 [설정] 블레이드에서 [인증] 탭을 선택한 후 [인증 키]에 대한 이름을 입력합니다. [저장] 버튼을 눌러 [인증 키]를 생성합니다.
• [리소스 ID]와 [인증 키]를 복사한 후 메모장에 붙여 넣어 놓습니다.

3.4.2 [인증 키]를 통한 가상 허브 및 ExpressRoute Circuit 연결

• 가상 허브(vhub-kr-01)을 선택한 후 [연결] 블레이드의 [ExpressRoute] 탭을 클릭합니다.

• [+ 인증 키 사용]을 클릭하여 복사해 둔 [인증 키]와 [피어 회로 URI = 리소스ID]를 입력합니다.
• [추가] 버튼을 클릭하여 연결 작업을 진행합니다.

• 작업이 완료되면 위와 같이 er-seoul이라는 이름의 [ExpressRoute Circuit]이 가상 허브와 연결이 된 것을 확인할 수 있습니다. 

4. [ExpressRoute Circuit]의 경로 테이블을 통한 가상 허브와의 연결 확인 

• [ExpressRoute Circuit]의 [개요] 탭에서 [Azure Private 피어링]의 우측 더 보기 버튼을 클릭한 후 [경로 테이블 보기]를 클릭합니다.

• 가상 허브 대역인 100.0.0.0/24 대역이 보이는 것을 확인할 수 있습니다. 

---

다음 글에서는 가상허브와 ExpressRoute 연결에 이어 가상 허브와 P2S VPN 연결, 가상 허브와 VNet 연결에 대해 다뤄보도록 하겠습니다. 😊