Azure Virtual WAN 허브에서 네트워크 가상 어플라이언스에 대한 DNAT(대상 NAT)를 구성하는 방법

  • 아티클

다음 문서에서는 Virtual WAN 허브를 통해 배포된 차세대 방화벽 지원 네트워크 가상 어플라이언스에 대한 대상 NAT를 구성하는 방법을 설명합니다.

Important

Virtual WAN 통합 네트워크 가상 어플라이언스에 대한 DNAT(대상 NAT)는 현재 공개 미리 보기로 제공되며 서비스 수준 계약 없이 제공됩니다. 프로덕션 워크로드에는 사용하면 안 됩니다. 특정 기능이 지원되지 않거나, 기능이 제한되거나, 일부 Azure 위치에 제공되지 않을 수 있습니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

배경

Virtual WAN과 통합된 차세대 방화벽 기능이 있는 NVA(네트워크 가상 어플라이언스)를 사용하면 고객이 Virtual WAN에 연결된 개인 네트워크 간의 트래픽을 보호하고 검사할 수 있습니다.

Virtual WAN 허브의 네트워크 가상 어플라이언스에 대한 대상 NAT를 사용하면 애플리케이션이나 서버의 공용 IP를 직접 노출하지 않고도 인터넷의 사용자에게 애플리케이션을 게시할 수 있습니다. 소비자는 방화벽 네트워크 가상 어플라이언스에 할당된 공용 IP 주소를 통해 애플리케이션에 액세스합니다. NVA는 트래픽을 필터링 및 변환하고 백엔드 애플리케이션에 대한 액세스를 제어하도록 구성되어 있습니다.

Virtual WAN의 DNAT 사용 사례에 대한 인프라 관리 및 프로그래밍은 자동으로 수행됩니다. NVA 오케스트레이션 소프트웨어 또는 NVA 명령줄을 사용하여 NVA에서 DNAT 규칙을 프로그래밍하면 지원되는 NVA 파트너에 대한 DNAT 트래픽을 수락하고 라우팅하도록 Azure 인프라가 자동으로 프로그래밍됩니다. 지원되는 NVA 파트너 목록은 제한 사항 섹션을 참조하세요.

개념

DNAT 사용 사례를 사용하도록 설정하려면 하나 이상의 Azure 공용 IP 주소 리소스를 네트워크 가상 어플라이언스 리소스에 연결합니다. 이러한 IP는 인터넷 인바운드 또는 인터넷 수신 IP 주소라고 하며 사용자가 NVA 뒤에 있는 애플리케이션에 액세스하기 위해 연결 요청을 시작하는 대상 IP 주소입니다. 네트워크 가상 어플라이언스 오케스트레이터 및 관리 소프트웨어에서 DNAT 규칙을 구성하면(파트너 가이드 참조) NVA 관리 소프트웨어에서 자동으로 다음을 수행합니다.

  • Virtual WAN에서 실행되는 NVA 디바이스 소프트웨어를 프로그래밍하여 해당 트래픽을 검사하고 변환합니다(NVA 디바이스에서 NAT 규칙 및 방화벽 규칙 설정). NVA에 프로그래밍된 규칙을 NVA DNAT 규칙이라고 합니다.
  • Azure API와 상호 작용하여 인바운드 보안 규칙을 만들고 업데이트합니다. Virtual WAN 컨트롤 플레인은 인바운드 보안 규칙을 처리하고 Virtual WAN 및 Azure 관리 NVA 인프라 구성 요소를 프로그래밍하여 대상 NAT 사용 사례를 지원합니다.

예시

다음 예제에서는 사용자가 Azure Virtual Network(애플리케이션 IP 10.60.0.4)에서 호스팅되는 애플리케이션에 액세스하여 443 포트의 NVA에 할당된 DNAT 공용 IP(4.4.4.4)에 연결합니다.

다음과 같은 구성이 수행됩니다.

  • NVA에 할당된 인터넷 인바운드 IP 주소는 4.4.4.4 및 5.5.5.5입니다.
  • NVA DNAT 규칙은 대상이 4.4.4.4:443인 트래픽을 10.60.0.4:443으로 변환하도록 프로그래밍됩니다.
  • NVA 오케스트레이터는 Azure API와 상호 작용하여 인바운드 보안 규칙 및 Virtual WAN 컨트롤 플레인 프로그램 인프라를 적절하게 만들어 트래픽 흐름을 지원합니다.

인바운드 트래픽 흐름

인바운드 트래픽 흐름을 보여 주는 스크린샷

아래 목록은 위의 다이어그램에 해당하며 인바운드 연결의 패킷 흐름을 설명합니다.

  1. 사용자는 NVA에 연결된 DNAT에 사용되는 공용 IP 중 하나를 사용하여 연결을 시작합니다.
  2. Azure는 방화벽 NVA 인스턴스 중 하나에 연결 요청의 부하를 분산합니다. 트래픽은 NVA의 외부/신뢰할 수 없는 인터페이스로 전송됩니다.
  3. NVA는 트래픽을 검사하고 규칙 구성에 따라 패킷을 변환합니다. 이 경우 NVA는 NAT로 구성되고 인바운드 트래픽을 10.60.0.4:443으로 전달합니다. 패킷의 원본도 흐름 대칭을 보장하기 위해 선택한 방화벽 인스턴스의 개인 IP(신뢰할 수 있는/내부 인터페이스의 IP)로 변환됩니다. NVA는 패킷을 전달하고 Virtual WAN은 패킷을 최종 대상으로 라우팅합니다.

아웃바운드 트래픽 흐름

아웃바운드 트래픽 흐름을 보여 주는 스크린샷

아래 목록은 위의 다이어그램에 해당하며 아웃바운드 응답의 패킷 흐름을 설명합니다.

  1. 서버가 응답하고 방화벽 개인 IP를 통해 응답 패킷을 NVA 방화벽 인스턴스로 전송합니다.
  2. NAT 변환이 취소되고 응답이 신뢰할 수 없는 인터페이스로 전송됩니다. 그런 다음 Azure가 패킷을 사용자에게 다시 전송합니다.

알려진 제한 사항 및 고려 사항

제한 사항

  • 대상 NAT는 검사점, fortinet-sdwan-and-ngfwfortinet-ngfw와 같은 NVA에 대해서만 지원됩니다.
  • 대상 NAT에 사용되는 공용 IP는 다음 요구 사항을 충족해야 합니다.
    • 대상 NAT 공용 IP는 NVA 리소스와 동일한 지역에서 가져와야 합니다. 예를 들어 NVA가 미국 동부 지역에서 배포된 경우 공용 IP도 미국 동부 지역에서 가져와야 합니다.
    • 대상 NAT 공용 IP는 다른 Azure 리소스에서 사용할 수 없습니다. 예를 들어 Virtual Machine 네트워크 인터페이스 IP 구성 또는 표준 Load Balancer 프런트 엔드 구성에서 사용 중인 IP 주소를 사용할 수 없습니다.
    • 공용 IP는 IPv4 주소 공간에서가 가져와야 합니다. Virtual WAN은 IPv6 주소를 지원하지 않습니다.
    • 공용 IP는 표준 SKU를 사용하여 배포해야 합니다. 기본 SKU 공용 IP는 지원되지 않습니다.
  • 대상 NAT는 하나 이상의 대상 NAT 공용 IP를 사용하여 만든 새 NVA 배포에서만 지원됩니다. NVA를 만들 때 연결된 대상 NAT 공용 IP가 없었던 NVA 배포 또는 기존 NVA 배포는 대상 NAT를 사용할 수 없습니다.
  • DNAT 시나리오를 지원하도록 Azure 인프라 구성 요소를 프로그래밍하는 작업은 DNAT 규칙을 만들 때 NVA 오케스트레이션 소프트웨어에서 자동으로 수행됩니다. 따라서 Azure Portal을 통해 NVA 규칙을 프로그래밍할 수 없습니다. 그러나 각 인터넷 인바운드 공용 IP에 연결된 인바운드 보안 규칙을 볼 수 있습니다.
  • Virtual WAN의 DNAT 트래픽은 NVA와 동일한 허브에 대한 연결로만 라우팅할 수 있습니다. DNAT를 사용하는 허브 간 트래픽 패턴은 지원되지 않습니다.

고려 사항

  • 인바운드 트래픽은 네트워크 가상 어플라이언스의 모든 정상 인스턴스에서 자동으로 부하가 분산됩니다.
  • 대부분의 경우 NVA는 흐름 대칭을 보장하기 위해 대상 NAT 외에도 방화벽 개인 IP에 대한 원본 NAT를 수행해야 합니다. 특정 NVA 형식에는 원본 NAT가 필요하지 않을 수 있습니다. 원본 NAT에 대한 모범 사례는 NVA 공급자에게 문의하세요.
  • 유휴 흐름에 대한 시간 제한은 4분으로 자동 설정됩니다.
  • IP 주소 접두사에서 생성된 개별 IP 주소 리소스를 인터넷 인바운드 IP로 NVA에 할당할 수 있습니다. 접두사에서 각 IP 주소를 개별적으로 할당합니다.

DNAT/인터넷 인바운드 구성 관리

다음 섹션에서는 인터넷 인바운드 및 DNAT와 관련된 NVA 구성을 관리하는 방법을 설명합니다.

  1. Virtual WAN 허브로 이동합니다. 타사 공급자에서 네트워크 가상 어플라이언스를 선택합니다. NVA 옆에 있는 구성 관리를 클릭합니다. NVA에 대한 구성을 관리하는 방법을 보여 주는 스크린샷

  2. 설정에서 인터넷 인바운드를 선택합니다. NVA에 추가할 IP를 선택하는 방법을 보여 주는 스크린샷

인터넷 인바운드용 NVA에 IP 주소 연결

  1. NVA가 인터넷 인바운드에 적합하고 현재 NVA에 연결된 인터넷 인바운드 IP 주소가 없는 경우 공용 IP를 이 네트워크 가상 어플라이언스에 연결하여 인터넷 인바운드(대상 NAT) 사용을 선택합니다. IP가 이 NVA에 이미 연결되어 있는 경우 추가를 선택합니다. IP를 NVA에 추가하는 방법을 보여 주는 스크린샷

  2. 드롭다운에서 인터넷 인바운드에 사용할 리소스 그룹 및 IP 주소 리소스를 선택합니다. IP를 선택하는 방법을 보여 주는 스크린샷

  3. 저장을 클릭합니다. IP를 저장하는 방법을 보여 주는 스크린샷

인터넷 인바운드 공용 IP를 사용하여 활성 인바운드 보안 규칙 보기

  1. 확인하려는 공용 IP를 찾고 규칙 보기를 클릭합니다. NVA에 연결된 규칙을 보는 방법을 보여 주는 스크린샷
  2. 공용 IP에 연결된 규칙을 봅니다. NVA에 연결된 규칙을 보여 주는 스크린샷

기존 NVA에서 인터넷 인바운드 공용 IP 제거

참고 항목

IP 주소는 해당 IP에 연결된 규칙이 없는 경우에만 제거할 수 있습니다. NVA 관리 소프트웨어에서 해당 IP에 할당된 DNAT 규칙을 제거하여 IP에 연결된 모든 규칙을 제거합니다.

표에서 제거할 IP를 선택하고 삭제를 클릭합니다. NVA에서 IP를 삭제하는 방법을 보여 주는 스크린샷

DNAT 규칙 프로그래밍

다음 섹션에는 Virtual WAN에서 NVA를 사용하여 DNAT 규칙을 구성하는 방법에 대한 NVA 공급자별 지침이 포함되어 있습니다.

파트너 지침
checkpoint Check Point 문서
fortinet-sdwan-and-ngfw Fortinet SD-WAN 및 NGFW 문서
fortinet-ngfw Fortinet NGFW 문서

문제 해결

다음 섹션에서는 몇 가지 일반적인 문제 해결 시나리오를 설명합니다.

공용 IP 연결/연결 해제

  • Azure Portal을 통해 사용할 수 없는 NVA 리소스에 IP를 연결할 수 없는 옵션: 배포 시 DNAT/인터넷 인바운드 IP로 만든 NVA만 DNAT 기능을 사용할 수 있습니다. 배포 시 할당된 인터넷 인바운드 IP를 사용하여 NVA를 삭제하고 다시 만듭니다.
  • 드롭다운 Azure Portal에 IP 주소가 표시되지 않음: 공용 IP는 IP 주소가 NVA와 동일한 지역에 있는 IPv4이고 다른 Azure 리소스에 사용/할당되지 않은 경우에만 드롭다운 메뉴에 표시됩니다. 사용할 IP 주소가 위의 요구 사항을 충족하는지 확인하거나 새 IP 주소를 만듭니다.
  • NVA에서 공용 IP를 삭제/연결 해제할 수 없음: 연결된 규칙이 없는 IP 주소만 삭제할 수 있습니다. NVA 오케스트레이션 소프트웨어를 사용하여 해당 IP 주소에 연결된 DNAT 규칙을 제거합니다.
  • NVA 프로비전 상태가 정상이 아님: NVA에 진행 중인 작업이 있거나 NVA의 프로비전 상태가 정상이 아닌 경우 IP 주소 연결에 실패합니다. 기존 작업이 모두 종료될 때까지 대기합니다.

Load Balancer 상태 프로브

인터넷 인바운드/DNAT 기능이 있는 NVA는 NVA가 예상대로 작동하고 트래픽을 라우팅하도록 세 가지 다른 Azure Load Balancer 상태 프로브에 응답하는 NVA를 사용합니다. 상태 프로브 요청은 항상 비공개로 라우팅할 수 있는 Azure IP 주소 168.63.129.16에서 이루어집니다. NVA 로그에서 168.63.129.16으로 수행된 3방향 TCP 핸드셰이크가 표시됩니다.

Azure Load Balancer 상태 프로브에 대한 자세한 내용은 상태 프로브 문서를 참조하세요.

Virtual WAN에 필요한 상태 프로브는 다음과 같습니다.

  • 인터넷 인바운드 또는 DNAT 상태 프로브: 인터넷 인바운드 트래픽을 NVA 신뢰할 수 없는/외부 인터페이스로 전달하는 데 사용됩니다. 이 상태 프로브는 NVA의 신뢰할 수 없는/외부 인터페이스의 상태만 확인합니다.

    NVA 공급자 포트
    fortinet 8008
    checkpoint 8117

  • 데이터 경로 상태 프로브: 프라이빗(VNET/온-프레미스) 트래픽을 NVA 신뢰할 수 있는/내부 인터페이스로 전달하는 데 사용됩니다. 프라이빗 라우팅 정책에 필요합니다. 이 상태 프로브는 NVA의 신뢰할 수 있는/내부 인터페이스의 상태만 확인합니다.

    NVA 공급자 포트
    fortinet 8008
    checkpoint 8117

  • NVA 상태 프로브: NVA 소프트웨어를 실행하는 Virtual Machine Scale Set의 상태를 확인하는 데 사용됩니다. 이 상태 프로브는 NVA의 모든 인터페이스 상태(신뢰할 수 없는/외부신뢰할 수 있는/내부)의 상태를 확인합니다.

    NVA 공급자 포트
    fortinet 8008
    checkpoint 8117

NVA가 3개의 상태 프로브에 올바르게 응답하도록 구성되어 있는지 확인합니다. 일반적인 문제는 다음과 같습니다.

  • 상태 프로브 응답이 잘못된 포트로 설정되어 있습니다.
  • 상태 프로브 응답이 내부/신뢰할 수 있는 인터페이스에만 잘못 설정되어 있습니다.
  • 방화벽 규칙이 상태 프로브 응답을 차단합니다.

DNAT 규칙 만들기

  • DNAT 규칙 만들기 실패: NVA의 프로비전 상태가 정상으로 표시되고 모든 NVA 인스턴스가 정상인지 확인합니다. 문제 해결 방법에 대한 자세한 내용은 NVA 공급자 설명서를 참조하거나 공급업체에 문의하여 추가 지원을 요청하세요.

    또한 NVA가 모든 인터페이스에서 NVA 상태 프로브에 응답하는지 확인합니다. 자세한 내용은 상태 프로브 섹션을 참조하세요.

Datapath

  • 사용자가 공용 IP에 대한 연결을 시작한 후 NVA에 패킷이 표시되지 않음: NVA가 외부/신뢰할 수 없는 인터페이스에서만 DNAT 상태 프로브에 응답하는지 확인합니다. 자세한 내용은 상태 프로브 섹션을 참조하세요.

  • NVA 변환 후에 대상 서버에 패킷이 표시되지 않음: 패킷이 최종 대상 서버로 전달되지 않는 경우 다음 문제 해결 메커니즘을 고려하세요.

    • Azure 라우팅 문제: Azure Virtual WAN 포털을 사용하여 defaultRouteTable의 유효 경로 또는 네트워크 가상 어플라이언스의 유효 경로를 확인합니다. 유효 경로에 대상 응용 프로그램의 서브넷이 표시됩니다.
    • NVA 운영 체제 라우팅 문제: NVA 운영 체제의 내부 라우팅 테이블을 확인합니다. NVA에서 동적으로 학습한 대상 서브넷에 해당하는 경로가 표시됩니다. 관련 접두사를 삭제하는 경로 필터/맵이 없는지 확인합니다.
    • 허브 간 대상에 연결할 수 없음: DNAT 사용 사례에 대한 허브 간 라우팅은 지원되지 않습니다. 액세스하려는 리소스가 DNAT 규칙이 구성된 NVA와 동일한 허브에 연결되어 있는지 확인합니다.
    • NVA 인터페이스의 패킷 캡처: NVA 신뢰할 수 없는/신뢰할 수 있는 인터페이스에서 패킷 캡처를 수행합니다. 신뢰할 수 없는 인터페이스에는 원본 IP가 사용자의 공용 IP이고 대상 IP가 NVA에 할당된 인터넷 인바운드 IP 주소인 원래 패킷이 표시됩니다. 신뢰할 수 있는 인터페이스에는 NAT 이후에 변환된 패킷이 표시됩니다(원본 NAT 및 대상 NAT가 모두 적용됨). 방화벽 규칙이 적용되기 전과 후의 패킷 캡처를 비교하여 적절한 방화벽 규칙 구성을 확인합니다.
    • SNAT 포트 소모: 각 NVA 인스턴스에 대해 단일 백엔드 애플리케이션에 대한 인바운드 연결은 NVA 인스턴스의 개인 IP에 대한 NAT 트래픽에 고유한 포트를 사용해야 합니다. 따라서 각 NVA 인스턴스는 동일한 대상에 대한 약 65,000개의 동시 연결을 처리할 수 있습니다. 대규모 사용 사례의 경우 편리한 포트 재사용을 하기 위해 NVA가 여러 응용 프로그램 IP 주소로 전달되도록 구성되어 있는지 확인합니다.

  • NVA로 반환되지 않는 트래픽 반환:

    • Azure에서 호스팅되는 애플리케이션: Azure Portal을 사용하여 애플리케이션 서버의 유효 경로를 확인합니다. 응용 프로그램 서버의 유효 경로에 허브 주소 공간이 표시됩니다.
    • 온-프레미스에서 호스팅되는 애플리케이션: 허브 주소 공간에 해당하는 경로를 필터링하는 온-프레미스 쪽에 경로 필터가 없는지 확인합니다. 방화벽 개인 IP에 대한 NVA 원본 NAT의 트래픽으로 인해 온-프레미스는 허브 주소 공간을 허용해야 합니다.
    • 허브 간 애플리케이션: DNAT 사용 사례에 대한 허브 간 라우팅은 지원되지 않습니다. 액세스하려는 리소스가 DNAT 규칙이 구성된 NVA와 동일한 허브에 연결되어 있는지 확인합니다.
    • NVA 인터페이스의 패킷 캡처: NVA 신뢰할 수 있는 인터페이스에서 패킷 캡처를 수행합니다. 응용 프로그램 서버가 NVA 인스턴스로 직접 반환 트래픽을 보내는 것이 표시됩니다. 방화벽 규칙이 적용되기 전과 후의 패킷 캡처를 비교하여 패킷이 올바르게 방화벽 규칙에 구성되었는지 확인합니다.