가상 네트워크 피어링을 사용한 서비스 연결
가상 네트워크 피어링을 사용하여 직접 Azure 가상 네트워크를 함께 연결할 수 있습니다. 피어링을 사용하여 가상 네트워크에 연결하는 경우 이러한 네트워크의 VM(가상 머신)이 마치 같은 네트워크에 있는 것처럼 서로 통신할 수 있습니다.
피어링된 가상 네트워크에서 가상 머신 간의 트래픽은 Azure 네트워크를 통해 라우팅됩니다. 트래픽은 프라이빗 IP 주소를 사용합니다. 인터넷 연결, 게이트웨이 또는 암호화된 연결을 사용하지 않습니다. 트래픽은 항상 프라이빗이며 Azure 백본 네트워크의 높은 대역폭과 낮은 대기 시간을 활용합니다.
두 가지 종류의 피어링 연결이 동일한 방법으로 생성됩니다.
- 가상 네트워크 피어링은 북유럽의 두 가상 네트워크처럼 동일한 Azure 지역의 가상 네트워크를 연결합니다.
- 글로벌 가상 네트워크 피어링은 북유럽의 가상 네트워크와 서유럽의 가상 네트워크처럼 서로 다른 Azure 지역에 있는 가상 네트워크를 연결합니다.
가상 네트워크 피어링은 이미 가상 네트워크에 배포한 리소스에 영향을 주거나 방해하지 않습니다. 가상 네트워크 피어링을 사용하는 경우 다음 섹션에 정의된 주요 기능을 고려합니다.
상호 연결
Azure PowerShell 또는 Azure CLI를 사용하여 가상 네트워크 피어링 연결을 만들면 피어링의 한 쪽만 만들어집니다. 가상 네트워크 피어링 구성을 완료하려면 연결을 설정하기 위해 피어링을 역방향으로 구성해야 합니다. Azure Portal을 통해 가상 네트워크 피어링 연결을 만들면 양쪽에 대한 구성이 동시에 완료됩니다.
두 네트워크 스위치를 서로 어떻게 연결할지 생각해 봅니다. 각 스위치에 케이블을 연결하고 스위치가 통신할 수 있도록 일부 설정을 구성할 수 있습니다. 가상 네트워크 피어링에는 각 가상 네트워크에서 비슷한 연결이 필요합니다. 상호 연결은 이 기능을 제공합니다.
구독 간 가상 네트워크 피어링
두 가상 네트워크가 서로 다른 구독에 있더라도 가상 네트워크 피어링을 사용할 수 있습니다. 이 설정은 인수/합병 또는 다른 부서에서 관리하는 구독에서 가상 네트워크를 연결하는 데 필요할 수 있습니다. 가상 네트워크는 서로 다른 구독에 있을 수 있으며 구독은 동일하거나 다른 Microsoft Entra 테넌트를 사용할 수 있습니다.
가상 네트워크를 사용하여 여러 구독을 한번에 관리하는 경우, 한 구독 관리자가 피어 네트워크의 구독을 관리하지 않을 수 있습니다, 관리자는 양쪽의 연결을 구성하지 못할 수도 있습니다. 두 구독이 서로 다른 Microsoft Entra 테넌트에 있을 때 가상 네트워크를 피어링하려면 각 구독의 관리자가 피어 구독의 관리자에게 가상 네트워크에 대한 Network Contributor 역할을 부여해야 합니다.
전이성
가상 네트워크 피어링은 비전이적입니다. 직접 피어링된 가상 네트워크만 서로 통신할 수 있습니다. 가상 네트워크는 해당 피어의 피어와 통신할 수 없습니다.
예를 들어, 다음과 같은 3개의 가상 네트워크(A, B, C)가 피어링되었다고 가정해보겠습니다. A <-> B <-> C. 트래픽은 가상 네트워크 B를 통해 전송할 수 없으므로 A의 리소스는 C의 리소스와 통신할 수 없습니다. 가상 네트워크 A와 가상 네트워크 C 간에 통신해야 하는 경우 이러한 두 가상 네트워크를 명시적으로 피어링해야 합니다.
게이트웨이 전송
VPN 게이트웨이가 있는 가상 네트워크에서 게이트웨이 전송을 사용하도록 설정하는 경우 피어링된 가상 네트워크에서 온-프레미스 네트워크에 연결할 수 있습니다. 게이트웨이 전송을 사용하면 모든 가상 네트워크에 가상 네트워크 게이트웨이를 배포하지 않고도 온-프레미스 연결을 설정할 수 있습니다. 이 방법을 사용하면 네트워크의 전반적인 비용과 복잡성을 줄일 수 있습니다. 게이트웨이 전송과 함께 가상 네트워크 피어링을 사용하여 단일 가상 네트워크를 허브 네트워크로 구성할 수 있습니다. 이 허브 네트워크를 온-프레미스 데이터 센터에 연결하고 가상 네트워크 게이트웨이를 피어와 공유합니다.
게이트웨이 전송을 사용하도록 설정하려면 온-프레미스 네트워크에 게이트웨이 연결을 배포한 허브 가상 네트워크에서 게이트웨이 전송 허용 옵션을 구성합니다. 또한 모든 스포크 가상 네트워크에서 원격 게이트웨이 사용 옵션을 구성합니다.
참고
스포크 네트워크 피어링에서 원격 게이트웨이 사용 옵션을 사용하도록 설정하려는 경우 스포크 가상 네트워크에 가상 네트워크 게이트웨이를 배포할 수 없습니다.
겹치는 주소 공간
Azure 내부 및 Azure와 온-프레미스 네트워크 간 연결된 네트워크의 IP 주소 공간은 겹칠 수 없습니다. 또한 이는 피어링된 가상 네트워크에 대해서도 마찬가지입니다. 네트워크 디자인을 계획할 때 이 규칙을 염두에 두세요. 가상 네트워크 피어링, VPN 또는 ExpressRoute를 통해 연결하는 네트워크에서 겹치지 않는 다른 주소 공간을 할당합니다.
대체 연결 방법
가상 네트워크 피어링은 가상 네트워크를 함께 연결하는 가장 덜 복잡한 방법입니다. 다른 방법은 네트워크 간 연결이 아닌 온-프레미스와 Azure 네트워크 간 연결에 주로 중점을 둡니다.
또한 ExpressRoute 회로를 통해 가상 네트워크를 함께 연결할 수 있습니다. ExpressRoute는 온-프레미스 데이터 센터와 Azure 백본 네트워크를 잇는 전용 프라이빗 연결입니다. ExpressRoute 회로에 연결되는 가상 네트워크는 동일한 라우팅 도메인의 일부이며 서로 통신할 수 있습니다. ExpressRoute 연결은 공용 인터넷을 사용하지 않으므로 가능한 안전하게 Azure 서비스와 통신할 수 있습니다.
VPN은 인터넷을 사용하여 암호화된 터널을 통해 온-프레미스 데이터 센터를 Azure 백본에 연결합니다. 또한 사이트 간 구성을 사용하여 VPN 게이트웨이를 통해 가상 네트워크를 함께 연결할 수 있습니다. VPN 게이트웨이는 가상 네트워크 피어링 설정보다 지연 시간이 더 깁니다. 더 복잡하며 관리 비용도 더 많이 들 수 있습니다.
가상 네트워크가 게이트웨이 및 가상 네트워크 피어링 모두로 연결되어 있는 경우 트래픽은 피어링 구성을 통해 흐릅니다.
가상 네트워크 피어링을 선택하는 경우
가상 네트워크 피어링은 다른 가상 네트워크에 있는 서비스 간 네트워크 연결을 활성화하기에 적합한 방법이 될 수 있습니다. 구현 및 배포가 쉽고 지역 및 구독 전반에서 잘 작동하므로 Azure Virtual Networks를 통합해야 하는 경우 가상 네트워크 피어링을 가장 먼저 선택해야 합니다.
피어링된 가상 네트워크에서 액세스되는 Azure Basic Load Balancer 뒤에 기존 VPN 또는 ExpressRoute 연결이나 서비스가 있는 경우 피어링은 최상의 선택이 아닐 수도 있습니다. 이러한 경우 다른 방법을 찾아야 합니다.