이 문서에서는 UDR 관리의 개요, 중요한 이유, 작동 방식, UDR 관리를 사용하여 간소화하고 자동화할 수 있는 일반적인 라우팅 시나리오를 제공합니다.
UDR 관리란 무엇인가요?
Azure Virtual Network Manager를 사용하면 원하는 라우팅 동작을 설명하고 UDR(사용자 정의 경로)을 오케스트레이션하여 원하는 라우팅 동작을 만들고 유지할 수 있습니다. 사용자 정의 경로는 라우팅 동작 관리의 자동화 및 간소화 요구 사항을 해결합니다. 현재는 UDR(사용자 지정 경로)을 수동으로 만들거나 사용자 지정 스크립트를 활용합니다. 그러나 이러한 방법은 오류가 발생하기 쉽고 지나치게 복잡합니다. Virtual WAN에서 Azure 관리 허브를 활용할 수 있습니다. 이 옵션에는 조직과 관련이 없는 특정 제한 사항(예: 허브를 사용자 지정할 수 없음 또는 IPV6 지원 부족)이 있습니다. 가상 네트워크 관리자의 UDR 관리를 사용하면 라우팅 동작을 관리하고 유지 관리하기 위한 중앙 집중식 허브를 갖게 됩니다.
UDR 관리는 어떻게 작동하나요?
가상 네트워크 관리자에서 라우팅 구성을 만듭니다. 구성 내에서 네트워크 그룹(대상 네트워크 그룹)에 필요한 UDR을 설명하는 규칙 컬렉션을 만듭니다. 규칙 컬렉션에서 경로 규칙은 대상 네트워크 그룹의 서브넷 또는 가상 네트워크에 대해 원하는 라우팅 동작을 설명하는 데 사용됩니다. 구성이 만들어지면 리소스에 적용할 구성을 배포해야 합니다. 배포 시 기본적으로 모든 경로는 가상 네트워크 관리자 관리 리소스 그룹 내에 있는 경로 테이블에 저장됩니다. 대상 서브넷에 대한 기존 경로 테이블을 사용하고 업데이트하도록 선택할 수도 있습니다. Azure Virtual Network Manager는 필요한 경우에만 새 경로 테이블을 만듭니다. 기존 경로 테이블을 사용하고 업데이트하는 옵션은 현재 미리 보기 기능이며 API 버전 2025-01-01 이상이 필요합니다.
라우팅 구성은 라우팅 규칙이 지정하는 내용에 따라 UDR을 만듭니다. 예를 들어, 두 개의 가상 네트워크로 구성된 스포크 네트워크 그룹이 방화벽을 통해 DNS 서비스의 주소에 액세스하도록 지정할 수 있습니다. 네트워크 관리자는 이러한 라우팅 동작이 발생하도록 UDR을 만듭니다.
라우팅 구성
라우팅 구성은 UDR 관리의 구성 요소입니다. 이는 네트워크 그룹에 대해 원하는 라우팅 동작을 설명하는 데 사용됩니다. 라우팅 구성은 다음 설정으로 구성됩니다.
| Attribute | 설명 |
|---|---|
| 이름 | 라우팅 구성의 이름. |
| 설명 | 라우팅 구성에 대한 설명. |
경로 컬렉션 설정
경로 컬렉션은 다음 설정으로 구성됩니다.
| Attribute | 설명 |
|---|---|
| 이름 | 경로 컬렉션의 이름 |
| BGP 경로 전파 사용 | 경로 컬렉션을 위한 BGP 설정. |
| 대상 네트워크 그룹 | 경로 컬렉션을 위한 대상 네트워크 그룹. |
| 경로 규칙 | 대상 네트워크 그룹에 대해 원하는 라우팅 동작을 설명하는 라우팅 규칙. |
라우팅 규칙 설정
각 라우팅 규칙은 다음 설정으로 구성됩니다.
| Attribute | 설명 |
|---|---|
| 이름 | 라우팅 규칙의 이름 |
| 대상 유형 | |
| IP 주소 | 대상의 IP 주소. |
| 대상 IP 주소/CIDR 범위 | 대상의 IP 주소 또는 CIDR 범위. |
| 서비스 태그 | 대상의 서비스 태그. |
| 다음 홉 유형 | |
| 가상 네트워크 게이트웨이 | 다음 홉으로 가상 네트워크 게이트웨이 |
| 가상 네트워크 | 다음 홉으로 가상 네트워크. |
| 인터넷 | 다음 홉으로 인터넷. |
| 가상 어플라이언스 | 다음 홉으로 가상 어플라이언스 |
| 다음 홉 주소 | 다음 홉의 IP 주소. |
다음 홉의 각 형식에 대해서는 사용 정의 경로를 참조하세요.
IP 주소의 일반적인 대상 패턴
경로 규칙을 만들 때 대상 유형과 주소를 지정할 수 있습니다. 대상 유형을 IP 주소로 지정하면 IP 주소 정보를 지정할 수 있습니다. 다음은 일반적인 대상 패턴입니다. 다음은 일반적인 대상 패턴입니다.
| 트래픽 대상 | 설명 |
|---|---|
| 인터넷 > NVA | 네트워크 가상 어플라이언스를 통해 인터넷으로 향하는 트래픽의 경우 규칙의 대상으로 0.0.0.0/0을 입력합니다. |
| 프라이빗 트래픽 > NVA | 네트워크 가상 어플라이언스를 통해 프라이빗 공간으로 향하는 트래픽의 경우 규칙의 대상으로 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24를 입력합니다. 이러한 대상은 RFC1918 개인 IP 주소 공간을 기반으로 합니다. |
| 스포크 네트워크 > NVA | 네트워크 가상 어플라이언스를 통해 연결되는 두 개의 스포크 가상 네트워크 간에 바인딩된 트래픽의 경우 스포크의 CIDR을 규칙의 대상으로 입력합니다. |
Azure Firewall을 다음 홉으로 사용
라우팅 규칙을 만들 때 Azure Firewall 개인 IP 주소 가져오기를 선택하여 Azure Firewall을 다음 홉으로 쉽게 선택할 수도 있습니다. 그러면 Azure Firewall의 IP 주소가 다음 홉으로 사용됩니다.
단일 경로 테이블에서 더 많은 사용자 정의 경로 사용
Azure Virtual Network Manager UDR 관리에서 사용자는 이제 기존의 400개 경로 제한에 비해 단일 경로 테이블에 최대 1,000개의 사용자 정의 경로를 만들 수 있습니다. 이 높은 제한을 사용하면 온-프레미스 데이터 센터에서 방화벽을 통해 허브 및 스포크 토폴로지의 각 스포크 가상 네트워크로 트래픽을 전송하는 등 보다 복잡한 라우팅 구성을 사용할 수 있습니다. 이 확장된 용량은 다양한 스포크로 대규모 네트워크 아키텍처에서 트래픽 검사 및 보안을 관리하는 데 특히 유용합니다.
허브 및 스포크 토폴로지에서 사용자는 스포크 가상 네트워크에 도달하기 전에 허브 가상 네트워크에 있는 방화벽을 통해 네트워크 트래픽을 검사하거나 필터링하도록 요구하는 것이 일반적입니다. Azure Virtual Network Manager는 최대 1,000개의 스포크 가상 네트워크를 지원하며 최대 1,000개의 사용자 정의 경로를 포함하도록 게이트웨이 서브넷과 연결된 경로 테이블을 구성할 수 있습니다. 이를 설정하려면 다음 단계를 수행합니다.
- Azure Virtual Network Manager 인스턴스를 만듭니다.
- 네트워크 그룹을 만들고 이 네트워크 그룹에 게이트웨이 서브넷을 포함합니다.
- 라우팅 구성을 설정하고 규칙 컬렉션을 만들어 대상 네트워크 그룹을 2단계에서 만든 그룹으로 설정합니다.
- 스포크 가상 네트워크의 주소 공간을 추가하여 라우팅 규칙을 정의합니다. 다음 홉을 "가상 어플라이언스"로 설정하고 방화벽의 IP 주소를 다음 홉 주소로 지정합니다.
- 게이트웨이 서브넷이 있는 지역에 이 라우팅 구성을 배포합니다.
이 메서드를 사용하면 게이트웨이 서브넷의 경로 테이블이 최대 1,000개의 사용자 정의 경로를 수용할 수 있습니다. 새 스포크 가상 네트워크를 추가할 때는 기존 규칙에 주소 공간을 포함하고 라우팅 구성을 다시 배포하기만 하면 됩니다.
UDR 관리를 사용하는 일반적인 라우팅 시나리오
UDR 관리를 사용하여 간소화하고 자동화할 수 있는 일반적인 라우팅 시나리오는 다음과 같습니다.
| 라우팅 시나리오 | 설명 |
|---|---|
| 스포크 네트워크 -> 네트워크 가상 어플라이언스 -> 스포크 네트워크 | 네트워크 가상 어플라이언스를 통해 연결되는 두 개의 스포크 가상 네트워크 사이에 바인딩된 트래픽에 이 시나리오를 사용합니다. |
| 스포크 네트워크 -> 네트워크 가상 어플라이언스 -> 허브 네트워크의 엔드포인트 또는 서비스 | 네트워크 가상 어플라이언스를 통해 연결하는 허브 네트워크의 서비스 엔드포인트에 대한 스포크 네트워크 트래픽에 이 시나리오를 사용합니다. |
| 서브넷 -> 네트워크 가상 어플라이언스 -> 동일한 가상 네트워크에 있는 경우에도 서브넷 | |
| 스포크 네트워크 -> 네트워크 가상 어플라이언스 -> 온-프레미스 네트워크/인터넷 | 하이브리드 네트워크 시나리오와 같이 네트워크 가상 어플라이언스 또는 온-프레미스 위치를 통해 아웃바운드하는 인터넷 트래픽이 있는 경우 이 시나리오를 사용합니다. |
| 각 허브의 네트워크 가상 어플라이언스를 통한 교차 허브 및 스포크 네트워크 | |
| 온-프레미스에 대한 스포크 네트워크가 있는 허브 및 스포크 네트워크는 네트워크 가상 어플라이언스를 통해 이동해야 함 | |
| 게이트웨이 -> 네트워크 가상 어플라이언스 -> 스포크 네트워크 |
AVNM UDR 관리에 대한 UseExisting 모드
개요
UseExisting 모드 를 사용하면 AVNM(Azure Virtual Network Manager)이 새 경로를 만드는 대신 기존 경로 테이블에 경로를 추가할 수 있습니다.
이 모드는 더 큰 제어를 제공하고, 조직 정책을 준수하며, 고객이 기존 리소스 명명 규칙, 태그 또는 리소스 그룹 구조를 유지해야 하는 경우 운영 복잡성 을 줄입니다.
비교:
- ManagedOnly(기본값): AVNM은 항상 자체 관리 경로 테이블을 만들거나 재사용합니다.
- UseExisting: AVNM은 기존 서브넷 관련 경로 테이블을 사용하여 해당 속성을 유지하면서 필요한 경로를 추가합니다.
단계별: UseExisting 모드 활성화
1. 포털 또는 API를 통해 사용
- AVNM 포털을 열거나 API를 사용합니다.
- 라우팅 구성을 선택합니다.
-
routeTableUsageMode속성을UseExisting으로 설정합니다.- 서브넷에 경로 테이블이 이미 있는 경우 AVNM은 필요한 경로를 추가 합니다.
- 경로 테이블이 없으면 AVNM이 자동으로 만듭니 다.
2. 모드 전환
- 언제든지
ManagedOnly와UseExisting사이에 전환할 수 있습니다. - ManagedOnly에서 UseExisting으로 전환하는 경우 기존 경로 테이블은 AVNM 관리되므로 구성을 정렬하려면 수동 업데이트 및 다시 연결이 필요할 수 있습니다.
- UseExisting에서 ManagedOnly로 전환하는 경우 고객 경로 테이블에서 AVNM에서 만든 경로를 제거합니다. AVNM이 새 경로 테이블을 자동으로 관리하기 때문에 다시 연결이 필요하지 않습니다 .
행동
| 측면 | Description |
|---|---|
| 보존 | 이름, 태그 및 리소스 그룹과 같은 기존 경로 테이블 속성이 유지됩니다. |
| 수동 변경 | AVNM은 수동 수정을 추적하지 않습니다. 수동으로 편집하면 구성 드리프트가 발생할 수 있습니다. |
| 규정 준수 | AVNM은 Azure Policy, RBAC 권한 및 리소스 잠금을 준수합니다. 사용 권한에서 업데이트를 허용하는지 확인합니다. |
| 공유 테이블 | 여러 서브넷이 단일 경로 테이블을 공유하는 경우 모두 AVNM 경로를 상속합니다. 활성화하기 전에 확인합니다. |
| 서브넷 연관 | AVNM은 기존 고객 경로 테이블에서 서브넷 연결을 자동으로 제거하지 않습니다. 서브넷이 네트워크 그룹에서 제거된 경우 해당 연결은 그대로 유지되므로 서브넷은 동일한 경로 테이블에 계속 연결됩니다. |
경로 테이블 공유 및 정리 동작
서로 다른 네트워크 그룹의 여러 서브넷이 동일한 경로 테이블을 공유하는 경우 AVNM이 특정 경로를 추가하는 서브넷을 추적하지 않으므로 의도하지 않은 경로가 나타날 수 있습니다. 원치 않는 경로가 발생하는 경우 고객은 서브넷을 수동으로 제거하거나 분리해야 합니다.
서브넷에서 같은 DisableBgpRoutePropagation속성을 사용하도록 설정하면 해당 설정이 전체 공유 테이블에 적용됩니다. 경로는 기여하는 모든 서브넷이 관리되지 않는 때까지 테이블에 남아 있습니다.
네트워크 그룹에서 서브넷이 제거되면 AVNM은 관리가 중지되지만 기존 테이블 연결을 수정하지는 않습니다. AVNM은 나머지 관리되는 서브넷이 종속되지 않는 경우에만 경로를 제거합니다. 정리 후 비워 둔 경우에도 고객이 만든 경로 테이블은 삭제되지 않습니다.
다른 가상 네트워크 추가
네트워크 그룹에 다른 가상 네트워크를 추가하면 라우팅 구성이 새 가상 네트워크에 자동으로 적용됩니다. 네트워크 관리자는 새 가상 네트워크를 자동으로 검색하고 라우팅 구성을 적용합니다. 네트워크 그룹에서 가상 네트워크를 제거하면 적용된 라우팅 구성도 자동으로 제거됩니다.
새로 만들거나 삭제된 서브넷에는 최종 일관성으로 업데이트된 경로 테이블이 있습니다. 처리 시간은 서브넷 생성 및 삭제 볼륨에 따라 달라질 수 있습니다.
경로 및 경로 테이블에 대한 UDR 관리의 영향
다음은 경로 및 경로 테이블에 대한 Azure Virtual Network Manager를 사용한 UDR 관리의 영향입니다.
- UDR 관리를 사용하면 사용자는 경로 테이블당 최대 1000개의 UDR을 만들 수 있습니다.
다음 항목은 사용자가 AVNM 관리 경로 테이블을 사용하도록 선택할 때 적용됩니다.
- 충돌하는 라우팅 규칙(대상은 같지만 다음 홉이 다른 규칙)이 있는 경우 충돌하는 규칙 중 하나만 적용되고 다른 규칙은 무시됩니다. 충돌하는 규칙은 임의로 선택할 수 있습니다. 동일한 가상 네트워크 또는 서브넷을 대상으로 하는 규칙 컬렉션 내 또는 규칙 컬렉션 간에 충돌하는 규칙은 지원되지 않는다는 점에 유의하는 것이 중요합니다.
- 경로 테이블의 기존 경로와 동일한 대상을 사용하여 라우팅 규칙을 만들면 라우팅 규칙이 무시됩니다.
- 기존 UDR이 있는 경로 테이블이 있는 경우 Azure Virtual Network Manager는 배포된 라우팅 구성에 따라 기존 경로와 새 경로를 모두 포함하는 새 관리 경로 테이블을 만듭니다.
- 관리되는 경로 테이블에 추가된 다른 UDR은 영향을 받지 않으며 라우팅 구성이 제거될 때 삭제되지 않습니다. Azure Virtual Network Manager에서 만든 경로만 제거됩니다.
- Azure Virtual Network Manager 관리 UDR이 경로 테이블에서 수동으로 편집되는 경우 해당 경로는 해당 지역에서 구성이 제거될 때 삭제됩니다.
- Azure Virtual Network Manager는 기존 UDR을 방해하지 않습니다. 단지 새 UDR을 현재 UDR에 추가하여 라우팅이 지금처럼 계속 작동하도록 합니다. 또한 특정 Azure 서비스에 대한 UDR은 새로운 제한 없이도 네트워크 관리자의 UDR과 함께 작동합니다.
- Azure Virtual Network Manager에는 경로 테이블을 저장하기 위한 관리되는 리소스 그룹이 필요합니다. Azure Policy가 리소스 그룹에 특정 태그 또는 속성을 적용하는 경우 배포 문제를 방지하려면 관리되는 리소스 그룹에 대해 해당 정책을 사용하지 않도록 설정하거나 조정해야 합니다. 또한 이 관리되는 리소스 그룹을 삭제해야 하는 경우 동일한 구독 내의 리소스에 대한 새 배포를 시작하기 전에 삭제가 발생하는지 확인합니다.
다음 항목은 사용자가 기존 경로 테이블을 사용하도록 선택할 때 적용됩니다.
- 공통 경로 테이블이 서로 다른 네트워크 그룹/컬렉션의 서브넷에 연결되면 모든 컬렉션의 규칙이 경로 테이블에 추가됩니다.
- 네트워크 그룹에서 서브넷이 제거된 경우 연결된 모든 서브넷이 제거되지 않는 한 해당 규칙이 경로 테이블에서 제거되지 않습니다.