깡민쓰~IT Story

중첩된 가상화는 Hyper-V VM(가상 머신) 내에서 Hyper-V를 실행할 수 있는 기능입니다. 중첩된 가상화는 가상 컴퓨터에서 Visual Studio 휴대폰 에뮬레이터를 실행하거나 일반적으로 여러 호스트가 필요한 구성을 테스트하는 데 유용합니다.

Dv3, Dv4, Ev3, Ev4처럼 nested virtualization을 지원하는 SKU를 사용해서 hyper-v를 사용 수 있습니다.

(위에서 언급한 SKU외에도 nested virtualization을 지원하는 SKU는 다수 있습니다)

필수 구성 요소

• Hyper-V 호스트는 Windows Server 2016 이상 또는 Windows 10 이상이어야 합니다.
• VM 구성 버전 8.0 이상.

• Hyper-V 호스트는 Windows Server 2022 이상 또는 Windows 11 이상이어야 합니다.
• VM 구성 버전 9.3 이상.
•  

Windows Server 2019를 첫 번째 수준 VM으로 사용하는 경우 vCPU 수는 225개 이하여야 합니다

중첩된 가상화를 사용하여 가상 컴퓨터에서 Hyper-V 실행Run Hyper-V in a Virtual Machine with Nested Virtualization | 마이크로소프트 런(Microsoft T

중첩된 가상화를 사용하여 가상 컴퓨터에서 Hyper-V 실행Run Hyper-V in a Virtual Machine with Nested Virtualization | 마이크로소프트 런(Microsoft T

Hyper-V 호스트 원격 관리 | 마이크로소프트 런(Microsoft T

Windows Server에 Hyper-V 역할 설치 | 마이크로소프트 런(Microsoft T

Install-WindowsFeature (ServerManager) | 마이크로소프트 런(Microsoft T

끝.

hub and spoke 구조는 Virtual WAN을 사용하지 않고 virtual network 로만 구성하고자 할때 Azure에서 권장하는 구조입니다. 일반적으로 온프레미스와 virtual network gateway간 연결해서 사용할 때 자주 볼 수 있는 아키텍쳐이며, 본 포스트는 아래와 같은 구조에서 virtual machine끼리 통신하도록 하는 예제입니다.

단순 vnet peering 만으로는 spoke1-vm과 spoke2-vm간 통신이 불가능하고, route tables라는 리소스를 생성해서 적용해 줘야 합니다. Azure 공식 문서에는 잠깐의 언급만 하고 자세히 다루지는 않아서 본 포스트에서 spoke1-vm과 spoke2-vm간 통신하는 예제를 다루어 보았습니다.

*링크 : Create, change, or delete an Azure virtual network peering | Microsoft Docs

리소스 그룹 생성

포털에 resource group 검색 후 create 버튼 클릭

virtual network 생성

총 3개의 vnet을 생성합니다.

hub-vnet : 10.50.0.0/16, default 10.50.1.0/24, GatewaySubnet 10.50.2.0/24

(게이트웨이 서브넷 이름은 무조건 'GatewaySubnet'이어야 함)

spoke1-vnet : 10.60.0.0/16, default 10.60.1.0/24

spoke2-vnet : 10.61.0.0/16, default 10.61.1.0/24

spoke1-vnet과 spoke2-vnet도 위와 같이 생성합니다.

Virtual network gateway 생성

포털에서 virtual network gateway 검색 후 create 클릭

피어링 설정

hub-vnet과 spoke1-vnet간 vnet peering을, hub-vnet과 spoke2-vnet간 vnet peering을 맺습니다

add 버튼 클릭

hub-vnet과 spoke2-vnet에 대해서도 위와 같이 설정해 줍니다.

Virtual Machine 생성

spoke1-vm과 spoke2-vm을 생성합니다.

아래 화면처럼 spoke1-vnet을 선택해 줍니다.

spoke2-vm에 대해서도 위와 같이 생성해 줍니다.

spoke1-vm에 ssh 연결해서 spoke2-vm으로 ping을 보내면 전부 packet loss 됨을 확인할 수 있습니다.

Route tables 생성 및 적용

spoke1-udr, spoke2-udr을 각각 만들어 줍니다

*udr : user defined route

Routes 탭에서 add 버튼을 클릭한 후, destination ip addresses에 spoke2-vnet의 대역을 입력합니다

(마찬가지로 spoke2-udr에는 spoke1-vnet의 대역을 입력합니다)

route 생성 후, 아래와 같이 spoke1-vnet의 default 서브넷, spoke2-vnet의 default 서브넷에 각각 적용시켜 줍니다

route table 을 각 서브넷에 적용 후, spoke1-vm에서 spoke2-vm으로 ping을 날리면 정상적으로 패킷 송수신이 되는 것을 확인하실 수 있습니다.

테스트가 완료되었을 경우 resource group을 삭제합니다.

Windows Server의 RRAS (Routing and Remote Access Service) 기능을 사용하여 Azure Virtual Network와 S2S VPN을 연결하는 방법을 소개합니다.

S2S (Site to Site) VPN은 온프레미스 네트워크와 Azure Virtual Network 간의 연결을 의미하는데, 온프레미스의 VPN 장비와 Azure의 VPN Gateway를 서로 연결해서 구성합니다.

S2S VPN 구성을 테스트하고 싶어도 온프레미스에 VPN 장비가 없으면 테스트가 거의 불가능합니다.

이 글에서는 Azure Virtual Network를 온프레미스 네트워크라고 가정하고, Windows Server에 RRAS 역할을 설치하여 VPN 장비처럼 동작하도록 구성하는 방법을 소개합니다.

테스트 구성도를 보시면 좀 더 쉽게 이해하실 수 있을겁니다.

왼쪽의 Virtual Network를 온프레미스 네트워크라고 가정하고, rras-vm을 VPN 장비처럼 동작하도록 구성하는 방법을 소개할 예정입니다.

테스트 환경 구성이 완료되면 온프레미스의 dmz-svr01과 Azure의 mgmt-vm간에 private ip 주소로 통신이 가능해집니다.

*중요 Microsoft는 Azure 의 Windows Server 가상 머신에서의 RRAS 사용을 공식적으로는 지원하지 않습니다. https://support.microsoft.com/en-us/help/2721672/microsoft-server-software-support-for-microsoft-azure-virtual-machines 따라서, Azure에서는 테스트 용도로만 RRAS를 사용해야 합니다. Azure에서 RRAS를 사용하다가 문제가 생기더라도 Microsoft로부터 지원을 받을 수 없습니다.

*테스트에서는 Azure Korea Central 지역을 사용합니다.

1. 가상 네트워크 구성

구성도와 같이 두 개의 가상 네트워크를 만듭니다.

2. VPN Gateway 생성

Hub-VNET에 VPN Gateway를 만듭니다.

저는 아래와 같이 설정하였습니다.

VPN Gateway가 생성되면 Public IP address를 확인합니다.

3. RRAS용 Windows VM 생성

Windows Server 2019 VM을 생성합니다.

저는 아래와 같이 설정했습니다만, 동일하게 설정하지 않으셔도 됩니다.

• Image : Windows Server 2019 Datacenter - Gen2
• Size : Standard D2as_v4

Virtual network와 Subnet은 아래와 동일하게 설정합니다.

• Virtual network : OnPrem-NW
• Subnet : RRAS-Subnet

RRAS VM 생성이 완료되면 VM을 중지합니다. 

VM이 중지되면 IP 주소를 테스트 구성도처럼 지정합니다.

첫 번째 NIC의 IP 주소를 테스트 구성도처럼 지정합니다. (192.168.100.101)

두 번째 NIC 추가 및 테스트 구성도처럼 IP 주소를 지정합니다. (192.168.200.101)

두 번째 NIC는 DMZ-Subnet에 연결합니다.

두 번째 NIC의 IP configurations 메뉴에서 IP forwarding을 Enabled로 변경합니다.

RRAS VM을 시작합니다.

4. RRAS VM Windows 방화벽 중지 및 NSG 설정

RRAS VM의 Windows 방화벽을 중지합니다.

VPN Gateway와 S2S VPN 연결을 위해, RRAS VM의 NSG의 Inbound 규칙에 아래의 Port들을 허용으로 추가합니다.
*Source는 VPN Gateway의 Public IP 주소, Destination은 RRAS VM의 첫 번째 NIC의 Private IP 주소
- TCP port 443 (SSTP)
- UDP port 500 (IKEv2)
- UDP port 4500 (IKEv2 NAT traversal)

5. VPN Gateway 설정

Local Network Gateway와 Connection 리소스를 생성합니다.

Local Network Gateway를 생성할 때,

IP address에는 RRAS VM의 Public IP 주소를 입력하고,

Address Space에는 온프레미스 IP 대역을 입력합니다. (192.168.0.0/16)

Connection 리소스를 생성할 때, Connection type은 Site-to-site (IPsec)을 선택합니다.

Virtual network gateway, Local network gateway, Shared key(PSK)를 지정합니다.

나머지 옵션은 기본값을 사용합니다.

* Shared key는 RRAS 구성에서도 사용됩니다.

6. RRAS 역할 설치

RRAS VM에 원격으로 접속한 후 RRAS 역할을 설치하고 구성합니다.

Server Manager - Add Roles and Features

Server Roles에서 Remote Access를 선택합니다.

Role Services에서 DirectAccess and VPN (RAS), Routing을 선택합니다.

나머지 옵션들은 기본값을 사용해서 RRAS 역할을 설치합니다.

7. RRAS 구성

* 이 부분이 이번 글에서 핵심입니다.

RRAS 역할이 설치된 후 Azure VPN Gateway와 연결하기 위해 RRAS를 구성합니다.

Routing and Remote Access 관리 콘솔을 실행합니다.

RRAS VM을 오른쪽 버튼 클릭하고 'Configure and Enable Routing and Remote Access'를 클릭합니다.

Routing and Remote Access Server Setup Wizard

• [Next]

Configuration

• 'Secure connection between two private networks' 
• [Next]

Demand-Dial Connections

• 'No' 
• [Next]

Completing the Routing and Remote Access Server Setup Wizard

• [Finish]

Network Interfaces 오른쪽 버튼 클릭 - 'New Demand-dial Interface' 클릭

Demand-Dial Interface Wizard

• [Next]

Interface Name

• Interface name : AzureVPNGW
• [Next]

Connection Type

• Connect using virtual private networking(VPN)
• [Next]

VPN Type

• IKEv2
• [Next]

Destination Address

• VPN Gateway의 Public IP 주소 입력
• [Next]

Protocols and Security

• Route IP packets on this interface
• [Next]

Static Routes for Remote Networks

• [Add]
• Azure IP 대역 등록 (172.16.0.0/16)
• [Next]

Dial-Out Credentials

• [Next]

Completing the Demand-Dial Interface Wizard

• [Finish]

*Preshared key를 지정합니다.

새로 생성된 Network Interface 오른쪽 버튼 클릭 - 'Properties'

[Security] 탭

• Use preshared key for authentication - Preshared key 입력 ('12345')
• [OK]

*Azure VPN Gateway와 연결합니다.

AzureVPNGW 오른쪽 버튼 클릭 - 'Connect'

연결 완료 (Connection State가 Connected로 표시됩니다.)

VPN Gateway Connection 리소스를 확인해보면, Status가 Connected로 표시됩니다.

(Connected로 표시되기까지 약 3~5분 정도 걸립니다.)

이제 S2S VPN 연결이 완료되었습니다.

8. 테스트용 VM 생성

네트워크 통신 테스트를 위한 VM들을 온프레미스 네트워크(OnPrem-NW)와 Azure Virtual Network(Hub-VNET)에 생성합니다.

(dmz-svr01, mgmt-vm)

*VM을 생성하는 과정에 대한 설명은 생략합니다.

9. 온프레미스 서브넷에 UDR 설정

*이 부분도 중요합니다.

온프레미스(OnPrem-NW)에서 Azure Virtual network(Hub-VNET)의 IP 대역으로 나가는 트래픽이 RRAS를 통과하도록 하기위해 UDR을 사용합니다.

Routes에서

• Address prefix는 Azure IP 대역을 지정하고 (172.16.0.0/16),
• Next hop type은 'Virtual appliance',
• Next hop IP address는 RRAS의 두 번째 NIC의 IP 주소를 입력합니다 (192.168.200.101).

UDR을 온프레미스 서브넷(DMZ-Subnet)에 연결합니다.

10. 네트워크 통신 테스트

테스트를 위해 VM의 Windows 방화벽은 중지합니다.

두 VM 간에 Private IP 주소로 통신이 가능한지 확인해봅니다.

끝.