상세 컨텐츠

본문 제목

Azure VPN 게이트웨이에 대한 OpeaAI의 충분한 설명

IT

by 심장과영혼 2024. 12. 22. 17:53

본문

728x90
반응형

VPN 게이트웨이

1. Microsoft의 설명

 

VPN Gateway는 가상 네트워크 게이트웨이의 유형입니다. Azure VPN Gateway 인스턴스는 가상 네트워크의 전용 서브넷에 배포되며 다음과 같은 연결을 사용합니다.

  • 사이트 간 연결을 통해 온-프레미스 데이터 센터를 가상 네트워크에 연결합니다.
  • 지점 및 사이트 간 연결을 통해 개별 디바이스를 가상 네트워크에 연결합니다.
  • 네트워크 간 연결을 통해 가상 네트워크를 다른 가상 네트워크에 연결합니다.

모든 데이터 전송은 인터넷을 통과할 때 프라이빗 터널 내부에서 암호화됩니다. 각 가상 네트워크에는 한 개의 VPN Gateway만 배포할 수 있습니다. 하지만 하나의 게이트웨이를 사용하여 다른 가상 네트워크 또는 온-프레미스 데이터 센터를 포함한 여러 위치에 연결할 수 있습니다.

VPN 게이트웨이를 설정할 때 정책 기반 또는 경로 기반으로 VPN 유형을 지정해야 합니다. 이 두 유형 간의 주요 차이점은 암호화가 필요한 트래픽을 결정하는 방법입니다. Azure에서는 VPN 유형에 관계없이 미리 공유된 키를 인증 방법으로 사용합니다.

  • 정책 기반 VPN Gateway는 각 터널을 통해 암호화되어야 하는 패킷의 IP 주소를 정적으로 지정합니다. 이러한 유형의 디바이스는 해당 IP 주소 세트에 대해 모든 데이터 패킷을 평가하여 해당 패킷이 전송될 터널을 선택합니다.
  • 경로 기반 게이트웨이에서는 IPSec 터널이 네트워크 인터페이스 또는 가상 터널 인터페이스로 모델링됩니다. IP 라우팅(고정 경로 또는 동적 라우팅 프로토콜)에 따라 각 패킷을 전송할 때 사용할 터널 인터페이스 중 하나가 결정됩니다. 경로 기반 VPN은 온-프레미스 디바이스에서 애용되는 방법입니다. 토폴로지 변경(예: 새 서브넷 생성)에 대한 복원력이 더 좋습니다.

다음과 같은 유형의 연결이 필요한 경우 경로 기반 VPN Gateway를 사용하세요.

  • 가상 네트워크 간 연결
  • 지점 및 사이트 간 연결
  • 다중 사이트 연결
  • Azure ExpressRoute 게이트웨이와 동시 사용

 

2. OpeaAI의 설명

 

Azure VPN Gateway는 Azure 가상 네트워크(VNet)와 온프레미스(또는 다른 VNet) 환경 사이에 안전한 VPN(IPsec) 터널을 구성해 주는 서비스입니다. 이 VPN Gateway에는 두 가지 주요 구현 방식이 있습니다.

  1. 정책 기반 VPN Gateway(Policy-based)
  2. 경로 기반 VPN Gateway(Route-based)

아래에서는 이 두 가지 방식의 개념, 동작 방식, 장단점 및 Azure 환경에서의 특징을 정리해보겠습니다.


1. 정책 기반 VPN Gateway (Policy-based)

1) 개념

  • 정책(Policy)에 따라 트래픽을 암호화하는 방식의 VPN입니다.
  • IPsec 터널을 설정할 때 트래픽의 출발지·목적지 IP 또는 프로토콜·포트를 기준으로 **“필터”**를 구성하고,
    이와 일치하는 트래픽만 암호화/터널링 합니다.

2) 동작 방식

  1. 정책(트래픽 필터) 정의
    • 예: “10.0.0.0/24에서 192.168.0.0/24로 가는 트래픽만 암호화한다.”
  2. IPsec SA(Security Association) 생성
    • 정책과 일치하는 트래픽이 있을 때 IPsec SA가 형성되어 암호화 채널이 만들어집니다.
  3. 고정된 정책 기반
    • 새로운 트래픽 패턴을 추가하려면 새로운 정책과 SA를 만들어야 합니다.

3) 장점

  • 간단한 구조: 특정 트래픽만 선택적으로 암호화하므로, 트래픽 범위가 소규모·고정적인 경우 쉽게 구성 가능
  • 명확한 필터링: 정책으로 지정된 트래픽만 터널에 태우므로 보안 측면에서 명확하게 제어 가능

4) 단점 / 제한 사항

  • 확장성 떨어짐: 트래픽 패턴이 자주 바뀌거나, 여러 IP 대역을 연결해야 할 경우 정책이 복잡해지며 관리가 어려움
  • 동적 라우팅 불가: BGP 등의 라우팅 프로토콜을 사용할 수 없으며, 라우팅 테이블 기반으로 트래픽을 처리하는 시나리오와 궁합이 좋지 않음
  • Azure에서 제한적 지원:
    • 일반적으로 VNet-to-VNet 연결이나 멀티사이트 연결을 지원하지 않음
    • SKUs(예: Basic 등)에서만 일부 지원되며, 고급 기능(BGP 라우팅 등)은 불가능
    • 현재는 새로운 시나리오에서 “Policy-based VPN”을 권장하지 않음

2. 경로 기반 VPN Gateway (Route-based)

1) 개념

  • 라우팅 테이블(Route)에 따라 트래픽을 암호화하는 방식의 VPN입니다.
  • VPN 터널(가상 인터페이스, Virtual Tunnel Interface) 위에 라우팅 테이블을 구성하고, 해당 경로로 들어오는 트래픽은 자동으로 IPsec 터널을 통해 전달됩니다.

2) 동작 방식

  1. 가상 인터페이스(VTI) 생성
    • Azure VPN Gateway가 터널 인터페이스를 생성하고, 이 인터페이스에 대해 IPsec 암호화를 적용
  2. 라우팅 테이블 기반 트래픽 전달
    • 트래픽이 라우팅 테이블에 따라 이 인터페이스로 라우팅되면, 자동으로 VPN 터널을 통해 전송
  3. 동적 라우팅(BGP) 가능
    • BGP를 통해 온프레미스 라우터와 동적으로 경로를 교환해 확장 가능

3) 장점

  • 유연성 / 확장성: 다양한 온프레미스, 여러 VNet, 멀티사이트 연결 시나리오에 적합하며, 트래픽이 바뀌어도 라우팅만 수정하면 됨
  • BGP 지원: 동적 라우팅이 가능해, IP 주소 범위가 자주 변하거나 여러 서브넷을 연결해야 할 때 편리
  • 다양한 SKU 지원: 대부분의 Azure VPN Gateway SKU에서 사용 가능

4) 단점

  • 구성이 상대적으로 복잡: 라우팅 테이블 및 (필요 시) BGP 설정이 필요하므로, 네트워크 지식이 요구됨
  • 정책 기반 필터링보다는 세분화가 부족할 수 있으나, NSG(Network Security Group) 등 Azure 보안 기능으로 보완 가능

3. 비교 요약

구분 정책 기반 VPN(Policy-based) 경로 기반 VPN(Route-based)

트래픽 처리 기준 트래픽 필터(출발지·목적지 IP, 프로토콜 등) 라우팅 테이블(가상 인터페이스, 동적 라우팅 가능)
확장성 / 유연성 낮음 (새로운 트래픽에는 새로운 정책 필요) 높음 (라우팅 변경 / BGP 사용 가능)
VNet-to-VNet / 멀티사이트 지원 대부분 지원하지 않음 공식적으로 지원 (멀티 VNet, 멀티사이트, BGP 등)
Azure 지원 SKU 제한적 (Basic 등 일부만 지원, 신규에선 비권장) 대부분의 VPN Gateway SKU에서 지원 (예: VpnGw1, VpnGw2, VpnGw3, …)
사용 시나리오 소규모, 특정 IP 범위만 고정적으로 암호화가 필요한 경우 다양한 온프레미스 연결, 다중 VNet, 동적 라우팅(BGP)이 필요한 복잡한 네트워크

4. 선택 가이드

  1. 트래픽이 고정적이고 규모가 작다면?
    • 특정 IP 범위만 단일 VPN 터널로 연결해도 충분하고, 향후 확장이 거의 없다면 정책 기반 VPN을 고려할 수 있습니다(다만 Azure에선 대부분 경로 기반을 권장).
  2. 다양한 시나리오(멀티사이트, 다중 VNet, IP 대역 변경 가능성)가 있는 경우?
    • 경로 기반 VPN이 필수입니다.
    • BGP 라우팅이나 동적 라우팅, 멀티 VNet-to-VNet 연결이 가능한 SKU를 선택해야 합니다(VpnGw1~5 등).
  3. Azure 새로 구성 시?
    • 경로 기반 VPN을 기본적으로 고려하는 것이 좋습니다.
    • 정책 기반 VPN은 지원이 제한적이고, 앞으로의 확장이나 기능 활용 면에서도 이점이 적습니다.

5. 마무리

  • 정책 기반 VPN: 정책(트래픽 필터)에 따라 IPsec 터널을 설정하는 방식. 구성은 직관적이지만 확장성이 낮고, Azure에선 제한적으로만 사용 가능.
  • 경로 기반 VPN: 라우팅 테이블 또는 BGP 등 동적 라우팅을 기반으로 VPN 터널을 구성. 유연성과 확장성이 뛰어나고, Azure에서도 멀티 VNet·멀티사이트 연결에 활용할 수 있어 권장되는 방식.

실무 환경에서 확장성과 관리 편의성을 중시한다면, 대부분 경로 기반 VPN Gateway(Route-based) 방식을 사용하게 됩니다. 특히 Azure 환경에서 여러 리소스, 다양한 온프레미스 환경과 연결해야 하는 경우라면 경로 기반 VPN이 사실상 표준이라고 할 수 있습니다.

728x90
반응형

관련글 더보기