Azure VPN 게이트웨이에 대한 OpeaAI의 충분한 설명

VPN 게이트웨이

1. Microsoft의 설명

 

VPN Gateway는 가상 네트워크 게이트웨이의 유형입니다. Azure VPN Gateway 인스턴스는 가상 네트워크의 전용 서브넷에 배포되며 다음과 같은 연결을 사용합니다.

• 사이트 간 연결을 통해 온-프레미스 데이터 센터를 가상 네트워크에 연결합니다.
• 지점 및 사이트 간 연결을 통해 개별 디바이스를 가상 네트워크에 연결합니다.
• 네트워크 간 연결을 통해 가상 네트워크를 다른 가상 네트워크에 연결합니다.

모든 데이터 전송은 인터넷을 통과할 때 프라이빗 터널 내부에서 암호화됩니다. 각 가상 네트워크에는 한 개의 VPN Gateway만 배포할 수 있습니다. 하지만 하나의 게이트웨이를 사용하여 다른 가상 네트워크 또는 온-프레미스 데이터 센터를 포함한 여러 위치에 연결할 수 있습니다.

VPN 게이트웨이를 설정할 때 정책 기반 또는 경로 기반으로 VPN 유형을 지정해야 합니다. 이 두 유형 간의 주요 차이점은 암호화가 필요한 트래픽을 결정하는 방법입니다. Azure에서는 VPN 유형에 관계없이 미리 공유된 키를 인증 방법으로 사용합니다.

• 정책 기반 VPN Gateway는 각 터널을 통해 암호화되어야 하는 패킷의 IP 주소를 정적으로 지정합니다. 이러한 유형의 디바이스는 해당 IP 주소 세트에 대해 모든 데이터 패킷을 평가하여 해당 패킷이 전송될 터널을 선택합니다.
• 경로 기반 게이트웨이에서는 IPSec 터널이 네트워크 인터페이스 또는 가상 터널 인터페이스로 모델링됩니다. IP 라우팅(고정 경로 또는 동적 라우팅 프로토콜)에 따라 각 패킷을 전송할 때 사용할 터널 인터페이스 중 하나가 결정됩니다. 경로 기반 VPN은 온-프레미스 디바이스에서 애용되는 방법입니다. 토폴로지 변경(예: 새 서브넷 생성)에 대한 복원력이 더 좋습니다.

다음과 같은 유형의 연결이 필요한 경우 경로 기반 VPN Gateway를 사용하세요.

• 가상 네트워크 간 연결
• 지점 및 사이트 간 연결
• 다중 사이트 연결
• Azure ExpressRoute 게이트웨이와 동시 사용

 

2. OpeaAI의 설명

 

Azure VPN Gateway는 Azure 가상 네트워크(VNet)와 온프레미스(또는 다른 VNet) 환경 사이에 안전한 VPN(IPsec) 터널을 구성해 주는 서비스입니다. 이 VPN Gateway에는 두 가지 주요 구현 방식이 있습니다.

1. 정책 기반 VPN Gateway(Policy-based)
2. 경로 기반 VPN Gateway(Route-based)

아래에서는 이 두 가지 방식의 개념, 동작 방식, 장단점 및 Azure 환경에서의 특징을 정리해보겠습니다.

---

1. 정책 기반 VPN Gateway (Policy-based)

1) 개념

• 정책(Policy)에 따라 트래픽을 암호화하는 방식의 VPN입니다.
• IPsec 터널을 설정할 때 트래픽의 출발지·목적지 IP 또는 프로토콜·포트를 기준으로 **“필터”**를 구성하고,
  이와 일치하는 트래픽만 암호화/터널링 합니다.

2) 동작 방식

1. 정책(트래픽 필터) 정의
   • 예: “10.0.0.0/24에서 192.168.0.0/24로 가는 트래픽만 암호화한다.”
2. IPsec SA(Security Association) 생성
   • 정책과 일치하는 트래픽이 있을 때 IPsec SA가 형성되어 암호화 채널이 만들어집니다.
3. 고정된 정책 기반
   • 새로운 트래픽 패턴을 추가하려면 새로운 정책과 SA를 만들어야 합니다.

3) 장점

• 간단한 구조: 특정 트래픽만 선택적으로 암호화하므로, 트래픽 범위가 소규모·고정적인 경우 쉽게 구성 가능
• 명확한 필터링: 정책으로 지정된 트래픽만 터널에 태우므로 보안 측면에서 명확하게 제어 가능

4) 단점 / 제한 사항

• 확장성 떨어짐: 트래픽 패턴이 자주 바뀌거나, 여러 IP 대역을 연결해야 할 경우 정책이 복잡해지며 관리가 어려움
• 동적 라우팅 불가: BGP 등의 라우팅 프로토콜을 사용할 수 없으며, 라우팅 테이블 기반으로 트래픽을 처리하는 시나리오와 궁합이 좋지 않음
• Azure에서 제한적 지원:
  • 일반적으로 VNet-to-VNet 연결이나 멀티사이트 연결을 지원하지 않음
  • SKUs(예: Basic 등)에서만 일부 지원되며, 고급 기능(BGP 라우팅 등)은 불가능
  • 현재는 새로운 시나리오에서 “Policy-based VPN”을 권장하지 않음

---

2. 경로 기반 VPN Gateway (Route-based)

1) 개념

• 라우팅 테이블(Route)에 따라 트래픽을 암호화하는 방식의 VPN입니다.
• VPN 터널(가상 인터페이스, Virtual Tunnel Interface) 위에 라우팅 테이블을 구성하고, 해당 경로로 들어오는 트래픽은 자동으로 IPsec 터널을 통해 전달됩니다.

2) 동작 방식

1. 가상 인터페이스(VTI) 생성
   • Azure VPN Gateway가 터널 인터페이스를 생성하고, 이 인터페이스에 대해 IPsec 암호화를 적용
2. 라우팅 테이블 기반 트래픽 전달
   • 트래픽이 라우팅 테이블에 따라 이 인터페이스로 라우팅되면, 자동으로 VPN 터널을 통해 전송
3. 동적 라우팅(BGP) 가능
   • BGP를 통해 온프레미스 라우터와 동적으로 경로를 교환해 확장 가능

3) 장점

• 유연성 / 확장성: 다양한 온프레미스, 여러 VNet, 멀티사이트 연결 시나리오에 적합하며, 트래픽이 바뀌어도 라우팅만 수정하면 됨
• BGP 지원: 동적 라우팅이 가능해, IP 주소 범위가 자주 변하거나 여러 서브넷을 연결해야 할 때 편리
• 다양한 SKU 지원: 대부분의 Azure VPN Gateway SKU에서 사용 가능

4) 단점

• 구성이 상대적으로 복잡: 라우팅 테이블 및 (필요 시) BGP 설정이 필요하므로, 네트워크 지식이 요구됨
• 정책 기반 필터링보다는 세분화가 부족할 수 있으나, NSG(Network Security Group) 등 Azure 보안 기능으로 보완 가능

---

3. 비교 요약

구분 정책 기반 VPN(Policy-based) 경로 기반 VPN(Route-based)

트래픽 처리 기준	트래픽 필터(출발지·목적지 IP, 프로토콜 등)	라우팅 테이블(가상 인터페이스, 동적 라우팅 가능)
확장성 / 유연성	낮음 (새로운 트래픽에는 새로운 정책 필요)	높음 (라우팅 변경 / BGP 사용 가능)
VNet-to-VNet / 멀티사이트 지원	대부분 지원하지 않음	공식적으로 지원 (멀티 VNet, 멀티사이트, BGP 등)
Azure 지원 SKU	제한적 (Basic 등 일부만 지원, 신규에선 비권장)	대부분의 VPN Gateway SKU에서 지원 (예: VpnGw1, VpnGw2, VpnGw3, …)
사용 시나리오	소규모, 특정 IP 범위만 고정적으로 암호화가 필요한 경우	다양한 온프레미스 연결, 다중 VNet, 동적 라우팅(BGP)이 필요한 복잡한 네트워크

---

4. 선택 가이드

1. 트래픽이 고정적이고 규모가 작다면?
   • 특정 IP 범위만 단일 VPN 터널로 연결해도 충분하고, 향후 확장이 거의 없다면 정책 기반 VPN을 고려할 수 있습니다(다만 Azure에선 대부분 경로 기반을 권장).
2. 다양한 시나리오(멀티사이트, 다중 VNet, IP 대역 변경 가능성)가 있는 경우?
   • 경로 기반 VPN이 필수입니다.
   • BGP 라우팅이나 동적 라우팅, 멀티 VNet-to-VNet 연결이 가능한 SKU를 선택해야 합니다(VpnGw1~5 등).
3. Azure 새로 구성 시?
   • 경로 기반 VPN을 기본적으로 고려하는 것이 좋습니다.
   • 정책 기반 VPN은 지원이 제한적이고, 앞으로의 확장이나 기능 활용 면에서도 이점이 적습니다.

---

5. 마무리

• 정책 기반 VPN: 정책(트래픽 필터)에 따라 IPsec 터널을 설정하는 방식. 구성은 직관적이지만 확장성이 낮고, Azure에선 제한적으로만 사용 가능.
• 경로 기반 VPN: 라우팅 테이블 또는 BGP 등 동적 라우팅을 기반으로 VPN 터널을 구성. 유연성과 확장성이 뛰어나고, Azure에서도 멀티 VNet·멀티사이트 연결에 활용할 수 있어 권장되는 방식.

실무 환경에서 확장성과 관리 편의성을 중시한다면, 대부분 경로 기반 VPN Gateway(Route-based) 방식을 사용하게 됩니다. 특히 Azure 환경에서 여러 리소스, 다양한 온프레미스 환경과 연결해야 하는 경우라면 경로 기반 VPN이 사실상 표준이라고 할 수 있습니다.