VPN과 VPN Gateway의 특징에 대해 많이 나오니 꼭 알아두어야 합니다
VPN
- VPN은 다른 네트워크 내에서 암호화된 터널을 사용
- on-premise network에 대한 VPN 연결을 생성할 때 사용
- 일반적으로 둘 이상의 신뢰할 수 있는 사설망을 신뢰할 수 없는 네트워크(일반적으로 공용 인터넷)를 통해 서로 연결하기 위해 배포
- 신뢰할 수 없는 네트워크를 통해 이동하는 동안 도청이나 기타 공격을 방지하기 위해 트래픽이 암호화
- VPN을 사용하여 지사에서 중요한 정보를 위치 간에 공유할 수 있음
VPN Gateway
- 가상 네트워크 게이트웨이의 유형
- Azure Virtual Network 인스턴스에 배포 됨
⇒ 사이트 간(site-to-site) 연결을 통해 on-premise 데이터 센터를 가상 네트워크에 연결
⇒ 지점 및 사이트(point-to-site) 간 연결을 통해 개별 디바이스를 가상 네트워크에 연결
⇒ 네트워크 간 연결을 통해 가상 네트워크를 다른 가상 네트워크에 연결
- 전송 되는 모든 데이터는 인터넷을 통과할 때 프라이빗 터널에서 암호화
- 각 가상 네트워크에 VPN Gateway는 하나만 배포 가능
- But, 하나의 게이트웨이를 사용하여 다른 가상 네트워크 또는 on-premise 데이터 센터를 포함한 여러 위치에 연결할 수 있음
- Public Internet을 통해 Azure Virtual Network와 on-premise 간에 암호화된 트래픽을 전송하는데 사용되는 특정 유형의 가상 네트워크 게이트웨이
- Azure Virtual Network 간에 암호화된 트래픽 전송 가능
- Virtual network Gateway는 gateway subnet이라고 하는 특정 subnet에 배포된 두 개 이상의 VM으로 구성
- virtual network gateway의 VM은 라우팅 테이블 포함. 이는 virtual network gateway를 생성할때 생성 됨. virtual network gateway의 일부인 VM은 직접 구성 불가
- VPN Gateway는 Azure Availability zone에 배포 가능 ⇒ 복원력, 확장성, HA 제공
virtual network gateway의 유형
- Vpn
생성된 가상 네트워크 게이트웨이의 유형을 VPN gateway로 지정
- ExpressRoute gateway
암호화할 트래픽 지정
0. 공통
- 미리 공유한 키를 인증 방법으로 사용
- 버전 1 또는 버전 2의 IKE(Internet Key Exchange)와 IPSec(Internet Protocol Security)을 사용
- IKE는 두 엔드포인트 간에 보안 연결을 설정하는데 사용.
- 그 다음, 이러한 연결이 IPSec 도구 모음으로 전달되면 VPN 터널에 캡슐화된 데이터 패킷이 암호화 및 암호 해독 됨
1. 정책 기반(Policy-based) VPN
각 터널을 통해 암호하되어야 하는 패킷의 IP 주소를 정적으로 지정
- IKEv1만 지원
- 두 네트워크의 주소 접두사 조합에 따라 VPN 터널을 통해 트래픽을 암호화 및 암호를 해독하는 방법이 결정되는 정적 라우팅 을 사용합니다. 터널링된 네트워크의 원본 및 대상이 정책에 선언되며, 라우팅 테이블에서 선언할 필요가 없습니다.
- 정책 기반 VPN은 이러한 VPN이 필요한 특정 시나리오에 사용해야 합니다(예: 레거시 온-프레미스 VPN 디바이스와의 호환되어야 하는 경우).
- 일반적으로 패킷 필터링을 수행하는 방화벽 장치에 구축
2. 경로 기반(Route-based) VPN
이를 사용하면 IPSec 터널이 네트워크 인터페이스 또는 가상 터널 인터페이스로 모델링
임의의(wild-card) 트래픽 선택기를 사용하며 라우팅/전달 테이블이 트래픽을 다른 IPsec 터널로 향하도록 한다.
- 온 프레미스 디바이스에서 애용되는 방법.
- 토폴로지 변경에 대한 복원력이 더 좋음
다음의 경우 경로기반 VPN 사용
- 가상 네트워크 간 연결
- 지점 및 사이트 간 연결
- 다중 사이트 연결
- Azure ExpressRoute 게이트웨이와 동시 사용
주요 기능
- IKEv2를 지원합니다.
- 임의(와일드카드) 트래픽 선택기를 사용합니다.
- 라우팅/전달 테이블이 다른 IPSec 터널로 트래픽을 전달하는 ‘동적 라우팅 프로토콜’을 사용할 수 있습니다. 이 경우 원본 네트워크와 대상 네트워크는 정책 기반 VPN에 포함되거나 정적 라우팅이 포함된 라우팅 기반 VPN에 포함되므로 통계적으로 정의되지 않습니다. 대신, BGP(Border Gateway Protocol)와 같은 라우팅 프로토콜을 사용하여 동적으로 생성되는 네트워크 라우팅 테이블을 기반으로 데이터 패킷이 암호화됩니다.
VPN 게이트웨이 배포
필요한 Azure 리소스
- 가상 네트워크: VPN 게이트웨이에 필요한 추가 서브넷을 수용할 주소 공간이 충분히 있는 가상 네트워크를 배포합니다. 이 가상 네트워크의 주소 공간은 연결할 온-프레미스 네트워크와 겹치지 않아야 합니다. 한 가상 네트워크 내에는 VPN 게이트웨이를 하나만 배포할 수 있습니다.
- GatewaySubnet: VPN 게이트웨이용 서브넷 배포. 적어도 /27 subnet 마스크 사용
- 공용 IP 주소: IP 주소는 동적이지만, VPN 게이트웨이를 삭제하고 다시 만들기 전에는 변경되지 않습니다.
- 로컬 네트워크 게이트웨이
- 가상 네트워크 게이트웨이
- 연결
데이터 센터를 VPN Gateway 연결 시 필요한 On-premise 소스
- 정책 기반 또는 경로기반 VPN 게이트웨이를 지원하는 VPN 디바이스
- 공용 IPv4 주소
고가용성 시나리오
활성/대기
- VPN Gateway 리소스가 하나로 표시 되지만 실제로는 활성-대기 구성 상태에 있는 두 인스턴스로 배포 됨
- 계획된 유지 관리 또는 계획되지 않은 중단이 활성 인스턴스에 영향을 줄 경우 대기 인스턴스는 사용자 개입 없이 자동으로 연결 역할을 수행
활성/활성
- BGP 라우팅 프로토콜에 대한 지원 도입으로 활성/활성 구성에서 VPN 게이트웨이 배포 가능
- 각 인스턴스에 고유한 공용 IP 주소를 할당
ExpressRoute 장애 조치
VPN 게이트웨이를 ExpressRoute 연결의 보안 장애 조치(failover) 경로로 구성
영역 중복 게이트웨이
- 가용성 영역을 지원하는 지역에서는 VPN 게이트웨이 및 ExpressRoute 게이트웨이를 영역 중복 구성으로 배포 가능
네트워크의 토폴로지를 변경하고 윈도우즈 VPN 클라이언트가 있는 경우 변경 내용을 클라이언트에 적용하려면 윈도우즈 클라이언트용 VPN 클라이언트 패키지를 재설치 해야 함