Cloud/AZURE

Azure Network Manager - Part 4

지기(ZIGI) 2022. 3. 25. 21:04

Today Keys : network, manager, management, VNET, connectivity, configuration, deploy, hub, spoke, global  


 이번 포스팅은 Azure에서 가상 네트워크를 전역적으로 그룹화, 구성, 배포 및 관리할 수 있는 관리 서비스인, Azure Virtual Network Manager의 네 번째 포스팅입니다.
 네 번째 포스팅에서는 Network Manager의 Connectivity Configuration을 Hub and Spoke로 구성하는 방법에 대해서 알아보고 Hub and Spoke 구성 시의 Spoke 속성 값에 따라서 어떻게 동작하는지 알아봅니다. 

 첫 번째로 Network Manager로 Hub & Spoke Topology를 확인 해 볼 구성입니다.
5개의 VNet이 있으며, 그 중 4개의 VNet은 West US 리전에 위치하며, 1개의 VNet만 다른 리전(East US2)에 있습니다.
VNet 1번과 4번은 같은 Network Group(ZIGI-NM-NG-1)에 있으며,
VNet 2, 3, 5번은 각각 개별 Network Group에 속해 있습니다.
각각이 VNet 대역은 VNet 번호를 IP 네트워크 대역의 3번째 옥텟에서 사용합니다.
가령, ZIGI-NM-VNET4의 IP대역은 10.0.4.0/24 입니다.
5개 VNet 이외에 Hub 역할을 할 VNet이 추가로 있으며, Hub VNet은 10.0.10.0/24 대역을 갖고 있으며,
4개의 VNet과 동일한 West US Region에 위치합니다.
 
 
 
Network Manager의 새로운 Configuration을 만듭니다.
여기에서는 Configuration 이름을 ZIGI-NM-CONN-Hub-CFG 라고 합니다.
 
 
Topology를 'Hub and spoke'라고 선택합니다.
Topology가 'Hub and spoke'인 경우에는 Hub로 사용 할 VNet을 선택 할 수 있습니다.
원하는 Hub VNet을 선택합니다.
다음은 Spoke로 사용 할 Network Group을 선택합니다.
ZIGI-NM-NG-1, ZIGI-NM-NG-2, ZIGI-NM-NG3 3개를 선택하고,
Direct Connectivity를 체크합니다.
 
 
 
설정 내용을 확인 후, Configuration을 생성합니다.
 
 
만든 Configuration을 배포합니다.
 
 
 
Network Group 'ZIGI-NM-NG-1'에 속해 있는 ZIGI-NM-VNET1의 ZIGI-VM1에서 유효 경로를 확인해보겠습니다.
같은 Network Group에 속해 있는 ZIGI-NM-VNET4의 네트워크 대역인 10.0.4.0/24가 Connected Group으로 연결된 것을 볼 수 있습니다.
그리고 Hub VNet의 네트워크 대역인 10.0.10.0/24는 VNet peering으로 연결되어 있습니다.
Direct Connectivity의 경우 동일한 Network Group에 속한 VNet 간의 연결을 설정하는 옵션이므로,
ZIGI-NM-NG-1에 속한 VNet의 경로만 유효 경로에 추가 되는 것을 볼 수 있습니다.
동일 Region에 있는 ZIGI-NM-NG-2의 VNet이나, 다른 Region에 있는 ZIGI-NM-NG-3의 VNet은
Direct Connectivitiy 옵션을 체크하였지만, ZIGI-NM-NG-1에 속한 VNet에서는 통신 경로가 없습니다.
 
 
 
ZIGI-NM-VNET1의 Peering 현황을 확인해 보면,
Hub VNet인 'ZIGI-NM-VNET-Hub-GW'이 Peer로 연결되어 있는 것을 볼 수 있습니다.
 
 
 
Hub VNet과 다른 Region에 있는 'ZIGI-NM-NG-3' Network Group 에 속해 있는 ZIGI-NM-VNET3의 ZIGI-VM3에서 유효 경로를 확인해 보면, Hub VNet과 다른 Region에 위치한 VNet과는 Global Peering으로 연결된 것을 볼 수 있습니다.
 
 
Hub VNet에 속한 ZIGI-Hub-VM에서 Hub VNet에서의 유효 경로를 살펴보면,
리전과 상관 없이 Network Group에 속한 모든 VNet과 Peering 혹은 Global Peering이 맺어진 것을 볼 수 있습니다.
 
 

두 번째로 Network Manager로 Hub & Spoke Topology를 확인 해 볼 구성입니다.
3개의 VNet이 있으며, 그 중 2개의 VNet은 West US 리전에 위치하며, 1개의 VNet만 다른 리전(East US2)에 있습니다.
3개의 VNet은 모두 동일한 Network Group(ZIGI-NM-NG-1)에 있습니다.
각각이 VNet 대역은 VNet 번호를 IP 네트워크 대역의 3번째 옥텟에서 사용합니다.
가령, ZIGI-NM-VNET4의 IP대역은 10.0.4.0/24 입니다.
3개 VNet 이외에 Hub 역할을 할 VNet이 추가로 있으며, Hub VNet은 10.0.10.0/24 대역을 갖고 있으며,
2개의 VNet과 동일한 West US Region에 위치합니다.
 
 
이번에는 하나의 Network Group에 서로 다른 Region의 VNet이 있는 경우에 대한 구성입니다.
테스트를 위해서 먼저 ZIGI-NM-NG-1 Network Group에 기존 VNet과 다른 Reion에 있는  VNet(ZIGI-NM-VNET3)을 연결합니다.
 
 
 
새로운 Configration을 작성합니다.
 
 
 
Hub & spoke Topology를 선택하고, Spoke network Group에 ZIGI-NM-NG-1 Network Group을 추가합니다.
Network Group 내의 연결을 지원하는 Direct Connectivity를 체크합니다.
 
 
 
새로 생성한 Configuration을  Deploy까지 진행합니다.
Deploy 후에, ZIGI-NM-VNET1에 있는 ZIGI-VM1에서 유효 경로를 확인합니다.
ZIGI-NM-VNET1과 같은 리전 내에 위치한 ZIGI-NM-VNET4의 네트워크 대역인 10.0.4.0/24 이 Connected Group으로 연결 된 것을 볼 수 있습니다. 그런데, 서로 다른 Region에 위치한 ZIGI-NM-VNET3의 네트워크 대역인 10.0.3.0/24 는 유효 경로에 존재하지 않습니다.
 
 
 
이제 다른 Region에 위치한 VNet과 연결을 위해서 새로운 Configuration을 만듭니다.
Topology와 Spoke network groups을 등록하고,
Spoke network groups에서 Global mesh 설정을 추가로 체크해서 Configuration을 생성 후, 배포합니다.
 
 
 
Configuration이 배포되고 나면, 다시 ZIGI-VM1에서 유효 경로를 확인합니다.
이번에는 서로 다른 Region에 위치한 ZIGI-NM-VNET3의 네트워크 대역인 10.0.3.0/24 는 유효 경로가 Connected Group으로 연결된 것을 볼 수 있습니다.

 

 
 
정리하면, Hub&Spoke Topology에서 Spoke 간에는 기본적으로 통신이 되지 않으나,
Direct Connectivity 옵션을 체크하면, 동일한 Network Group의 Spoke 간에는 통신이 됩니다.
다만, 이 경우에도 Network Group 내에서 같은 리전에서만 가능하고 다른 리전의 VNet은 통신이 안됩니다.
 
Global Mesh 속성까지 설정해야, 다른 리전의 VNet과도 통신이 가능하게 됩니다.
다만 앞선 예시처럼, Global Mesh 속성을 체크하더라도 서로 다른 Network Group 간에는 통신은 불가 합니다.
 
 
 
다음 포스팅에서는 Hub & Spoke Configuration을 사용하면서 다른 Network Group 간의 통신이 되도록 구성해보고, Spoke에서 Hub의 Gateway를 이용해서 VPN 통신을 하는 예시에 대해서 다룹니다.
※ 참고
현재 Configuration 설정 시에, Global mesh를 체크하기 위해서는 Hub as gateway 속성을 체크해야 설정이 가능합니다.
위와 같이 Global mesh 체크 후에 Hub as gateway를 체크 해제하고, Configuration을 저장하더라도 실제는 Hub as gateway까지 함께 체크된 상태로 Configuration이 생성되는 것을 확인 할 수 있습니다. 현재 Preview 단계의 이슈인지 혹은 Global mesh 속성을 위한 Dependency가 있는지는 GA가 된 이후에 확인이 될 것 같습니다. (문서 상에서는 확인하지 못했습니다.)