Azure VMware 솔루션 – NSX-T Edge에서 공용 IP 사용

개요

• Azure VMware 솔루션에 대한 인터넷 액세스 옵션
  • Microsoft에서 관리하는 SNAT
  • 기본 경로를 광고하세요
  • NSX-T Edge에 공개된 공용 IP 주소
• Azure VMware Solution에 대한 공용 IP 주소 예약
• SNAT를 사용하여 아웃바운드 인터넷 액세스 활성화
• 인바운드 인터넷 액세스 활성화
  • DNAT를 통한 인바운드 연결
  • DNAT 및 포트 리디렉션을 통한 인바운드 연결
  • NSX-T 로드 밸런서를 사용한 인바운드 연결
• 결론
  • 크레딧

며칠 전, Microsoft는 Azure VMware 솔루션에 새로운 기능인 NSX Edge에 대한 공용 IP 활성화 기능을 출시했습니다 . 이 기회를 빌려 이 새로운 기능과 Azure VMware 솔루션에 인터넷 연결을 제공하기 위해 사용 가능한 다른 옵션(수신 및 발신 트래픽 모두)을 살펴보겠습니다.

Azure VMware 솔루션에 대한 인터넷 액세스 옵션

Azure VMware Solution 배포에 인터넷 액세스(인바운드 및/또는 아웃바운드)를 제공하기 위해 다음 3가지 옵션을 사용할 수 있습니다.

1. Microsoft에서 관리하는 SNAT(아웃바운드 연결만 해당)를 사용합니다( 문서 )
2. Azure Firewall, Azure vWAN 또는 타사 네트워크 가상 어플라이언스(NVA)를 사용하여 기본 경로를 광고합니다( 문서 )
3. NSX-T Edge에 게시된 공용 IP 주소를 사용하세요( 문서 )

각 옵션에는 고유한 장점과 단점이 있으며 , 아래에 요약되어 있습니다.

Microsoft에서 관리하는 SNAT

Microsoft에서 관리하는 SNAT 옵션( 문서 )은 공용 IP 주소를 Microsoft에서 완전히 무료로 관리하므로 아웃바운드 (전용) 연결을 위한 가장 쉽고 비용 효율적인 옵션입니다 .

이 시나리오에서는 2개의 공용 IP가 사용되고 순환되어 최대 128,000개의 동시 연결을 통해 Azure VMware Solution 워크로드에 대한 아웃바운드 연결을 제공합니다.

여기에는 다음과 같은 제한 사항이 있습니다.

• 인바운드 연결 없음
• 아웃바운드 SNAT 규칙 제어 없음
• 연결 로그 없음
• 동시 연결 수는 128,000개로 제한됩니다.

기본 경로를 광고하세요

Azure VMware Solution의 인터넷 연결을 위한 두 번째 옵션은 Azure 인프라의 다른 구성 요소에서의 기본 경로 알림을 기반으로 합니다( 문서 ).

이 광고는 다음을 사용하여 수행할 수 있습니다.

• Azure 방화벽
• Azure vWAN
• 타사 네트워크 가상 어플라이언스 (NVA)
• 온프레미스에 배포된 라우팅 구성 요소

AVS에 기본 경로가 광고되지 않으면 VM은 인터넷에 액세스할 수 없습니다. 이 옵션은 AVS 배포 시 인터넷 액세스를 비활성화하는 데에도 사용됩니다 .

이 옵션은 인바운드 연결, SNAT 및 DNAT 규칙 제어, 연결 로그를 제공할 수 있지만 배포가 더 복잡하고 추가 비용(공용 IP 주소, 방화벽 또는 라우팅 장치 등)이 발생합니다.

NSX-T Edge에 공개된 공용 IP 주소

최근 Azure VMware Solution의 새로운 GA 기능으로 발표된 기능은 NSX-T Edge에 공용 IP 주소를 게시하는 기능입니다( 문서 참조 ). 이는 Azure VMware Solution의 인터넷 연결을 위한 세 번째 옵션이며, 이전 두 가지 옵션 중 가장 뛰어난 기능을 제공합니다.

• 인바운드 및 아웃바운드 연결
• SNAT 및 DNAT 규칙 제어
• 연결 로그
• 배포할 추가 구성 요소 없음(Azure Firewall, Azure vWAN, 타사 NVA)

이 외에도 이 새로운 기능을 사용하면 다음 작업도 가능합니다.

• AVS 기본 구성 요소만을 기반으로 하는 통합 환경: Azure Resource Manager 및 NSX-T
• 최대 64개의 공용 IP 수신 가능(소프트 리미트)
  • 필요한 경우 이 할당량은 요청에 따라 최대 1000개의 공용 IP로 할당될 수 있습니다.
• DDoS 보안은 인터넷의 네트워크 트래픽을 보호합니다.
• 공용 인터넷을 통한 HCX 마이그레이션 지원.

가격 고려 사항

이 새로운 기능을 사용하면 AVS 인스턴스에 대해 게시된 공용 IP 주소는 다른 Azure 목적으로 사용되는 IP 주소로 AVS 인스턴스 자체와 별도로 요금이 청구됩니다.

가격 세부 사항은 여기에 설명되어 있습니다: IP 주소 가격 및 요약:

유형표준(ARM)

공용 IP 접두사(주소 블록)

IP당 시간당 0.006달러

공용 IP 주소 가격

IP 주소를 구매하기 전에 항상 공식 Azure 설명서에서 가격 정보를 확인하세요 . 위 표는 이 글을 쓰는 시점을 기준으로 발췌한 것입니다.

Azure VMware Solution에 대한 공용 IP 주소 예약

NSX-T Edge에서 공용 IP를 제공하는 새로운 기능이 게시된 이후 Azure Portal에서 AVS 인터넷 액세스 옵션을 관리하기 위한 새로운 섹션인 인터넷 연결이 제공됩니다.

Azure Portal의 AVS 인터넷 연결 섹션

NSX-T Edge에서 공용 IP로 인터넷에 접속하려면 최소 하나의 공용 IP 블록이 필요합니다. 이름과 할당할 IP 개수를 입력하여 IP 블록을 생성할 수 있습니다.

공개 IP 차단 생성

차단 요청이 제출되면 새로운 인터넷 접속 설정을 저장할 수 있습니다. 차단이 생성되고, 차단이 AVS 배포에 광고되는 동안 백그라운드에서 IP가 할당됩니다.

새로운 인터넷 연결 옵션을 저장합니다

새 구성을 완료하는 데 약 10~15분이 소요될 수 있습니다. AVS 배포 환경에서 인터넷 접속이 이미 활성화된 경우, 재구성 과정에서 다운타임이 예상되며 NSX-T 구성이 필요합니다.

구성이 완료되면 공개 IP 블록 목록에서 새 블록을 사용할 수 있습니다.

현재 AVS 인스턴스에 대해 프로비저닝된 공용 IP 공간 목록

SNAT를 사용하여 아웃바운드 인터넷 액세스 활성화

아웃바운드 인터넷 액세스를 활성화하려면 NSX-T T1 라우터에서 (최소한) SNAT 규칙을 구성해야 합니다.

1. NSX-T 관리자에 로그인
2. 네트워킹 탭 에서 NAT 섹션 에 액세스합니다.
3. SNAT 규칙을 프로비저닝할 적절한 T1 라우터를 선택하세요.
4. 이름과 프로비저닝된 블록의 IP 주소를 사용하여 아웃바운드 연결에 사용할 새 SNAT 규칙을 만듭니다.
5. 구하다

아웃바운드 인터넷 연결을 활성화하기 위한 NSX-T SNAT 규칙 생성

방화벽 구성

NSX-T의 방화벽 구성에 따라 트래픽 통과를 허용하기 위한 방화벽 규칙을 만들어야 할 수도 있습니다.

인바운드 인터넷 액세스 활성화

DNAT를 통한 인바운드 연결

인바운드 인터넷 액세스는 DNAT 규칙에 따라 공용 IP 주소에서 워크로드(VM 또는 네트워크 서비스)의 내부 IP 주소로 트래픽을 전달할 수 있습니다.

1. NSX-T 관리자에 로그인
2. 네트워킹 탭 에서 NAT 섹션 에 액세스합니다.
3. DNAT 규칙을 프로비저닝하려면 적절한 T1 라우터를 선택하세요.
4. 프로비저닝된 블록의 이름, 공용 IP 주소 및 트래픽을 전달할 내부 IP 주소를 제공합니다.
5. 구하다

인바운드 인터넷 연결을 활성화하기 위한 NSX-T DNAT 규칙을 만듭니다.

방화벽 구성

NSX-T의 방화벽 구성에 따라 트래픽 통과를 허용하기 위한 방화벽 규칙을 만들어야 할 수도 있습니다.

DNAT 및 포트 리디렉션을 통한 인바운드 연결

DNAT 규칙을 사용하면 트래픽을 다른 포트로 리디렉션할 수도 있습니다. 예를 들어, 포트 80의 공용 IP 주소에서 내부 워크로드의 다른 포트(예: 8000)로 트래픽을 리디렉션할 수 있습니다.

이를 위해 DNAT 규칙을 생성하는 동안 내부 워크로드의 포트와 일치하는 서비스를 지정해야 합니다 (예에서는 8000).

포트 8000과 일치하는 dev-http 서비스 생성

그런 다음 변환된 포트로 지정하여 공용 IP 주소(예에서는 80)에 노출된 포트를 지정합니다.

포트 리디렉션을 통해 인바운드 인터넷 연결을 활성화하기 위한 NSX-T DNAT 규칙을 만듭니다.

NSX-T 로드 밸런서를 사용한 인바운드 연결

이제 공용 IP 주소가 NSX-T 에지에 직접 연결될 수 있으므로 AVS 워크로드에 대한 인바운드 연결을 제공하기 위해 NSX-T 부하 분산 장치를 설정할 수 있습니다.

첫 번째 단계는 NSX-T T1 게이트웨이에 연결된 로드 밸런서 서비스를 만들고 크기를 지정하는 것입니다.

로드 밸런서 서비스 생성

두 번째 단계는 로드 밸런서 서비스에 연결된 가상 서버를 만들고 워크로드의 포트와 IP 주소를 지정하는 것입니다.

가상 서버 생성

그런 다음 서버 풀이 생성되어 가상 서버 에 연결됩니다 . 여기에는 로드 밸런서 애플리케이션을 호스팅하는 작업자 목록이 포함됩니다.

서버 풀 생성

마지막으로 서버 풀을 모니터링하기 위해 Active Monitor가 생성됩니다 .

활성 모니터 생성

결론

AVS에서 NSX-T 엣지 기능까지 새로운 공용 IP 주소를 제공함으로써 AVS 워크로드의 인터넷 연결을 관리하는 새로운 기능을 사용할 수 있습니다. 가장 중요한 장점 중 하나는 NSX-T 구성 요소를 활용하여 인바운드 및 아웃바운드 인터넷 연결을 구성하고 보호할 수 있다는 것입니다. 또한 로드 밸런서나 VPN과 같은 NSX-T 서비스에서 공용 IP 주소를 직접 사용할 수도 있습니다.

물론, 이러한 설정은 생각할 수 있는 모든 인터넷 연결 요구 사항을 충족하지는 않지만 새로운 가능성을 제공하며 인터넷에 연결된 애플리케이션을 호스팅하거나 발신 인터넷 연결을 제어하는 ​​데 있어 실제로 고려할 만한 자산입니다.