1. 목적
VWAN(가상 WAN)의 Secure Hub를 사용하지 않고, Spoke VNet에 VPN Gateway를 구성하려는 경우, 일반적인 VWAN 설계에서 벗어난 구조이기 때문에 몇 가지 제약과 우회 방법을 고려해야 합니다.
2. 주요 문서 요약
- VWAN에서는 Site-to-Site VPN을 구성할 때 일반적으로 **VWAN Hub(VPN Gateway 포함)**에 설정합니다.
- VPN Gateway는 VWAN의 Hub에만 직접 생성 가능하며, Spoke VNet에는 기본적으로 만들 수 없습니다.
- VWAN과 기존 VPN Gateway를 가진 VNet을 연결할 수 있습니다.
- 즉, Spoke VNet에 VPN Gateway를 만든 후, 이 VNet을 **VWAN에 연결(링크)**하는 방식은 가능함.
- 단, 이 방식은 VWAN 관리 평면을 완전히 활용하지 않으며, 수동 구성이 필요합니다.
2.1 핵심 정리
| 항목 |
내용 |
| VWAN 허브 내 VPN Gateway |
하나의 VWAN 허브당 하나의 VPN Gateway만 허용 |
| Spoke VNet 내 VPN Gateway 구성 가능 여부 |
가능, 단 VWAN 허브와 병행 사용 시 주의 필요 |
| 제한 사항 |
VWAN 허브가 연결된 Spoke VNet에는 VPN Gateway 직접 배포 불가 (경고 메시지 발생) |
| 해결책 |
VPN Gateway를 배포할 VNet을 VWAN에 연결하지 않음, 이후 수동 라우팅 구성 |
3. VWAN이 VPN Gateway를 Hub에 두는 이유
기술적 이유
- 라우팅 단순화 및 BGP 활용
- 중앙 집중 관리
- 리전 간 글로벌 트래픽 처리 가능
보안적 이유
- 공인 IP 최소화
- Azure Firewall, NVA와 연계 가능
- 보안 정책 일관 적용
운영적 이유
- 통합 로깅, 모니터링 구성 가능
- 구성 일관성 및 비용 최적화
4. Spoke VNet에 VPN Gateway 구성 시 장단점
| 구분 |
장점 |
단점 |
| 보안 |
공인 IP를 Hub에 두지 않아 외부 노출 줄임 |
암호화 트래픽 제어 어려움, 보안 통합 통제 약화 |
| 네트워크 |
특정 VNet만 경유하는 단순화된 트래픽 경로 |
라우팅 일관성 붕괴, Shadow Path 발생 가능 |
| 운영 |
부서별 독립 운영 가능 |
중앙화된 정책 및 모니터링 어려움, 장애 시 분산 대응 필요 |
5. 가능한 구성 방식
A. VWAN Secure Hub + VPN Gateway (Hub에만)
- VWAN이 관리하는 Secure Hub에 VPN Gateway 배치
- Spoke VNet은 Hub와 연결되어 트래픽을 라우팅
(On-premises)
↓
[VPN Site]
↓
[VWAN Secure Hub]
↓
[Spoke VNet]
B. VWAN과 별도로 VPN Gateway를 가진 VNet 구성 → 연결
- 별도 VNet에 전통적 VPN Gateway 구성
- 이 VNet을 VWAN Spoke로 연결
(On-prem)
↓
[Custom VNet with VPN Gateway]
↓ ↘︎
[VWAN Secure Hub] — [Spoke VNet]
C. VWAN을 사용하지 않는 전통적 구성
- 전통적 Hub & Spoke + VPN Gateway 방식
- VWAN의 보안, 정책, 라우팅 관리 기능은 제외됨
⭐️ 권장 구성 아키텍처
[On-prem] --- VPN Tunnel --- [Spoke VNet w/ VPN Gateway] --- Peering --- [VWAN Secure Hub]
- VPN Gateway는 VWAN Hub가 아닌 Spoke VNet에 생성
- VWAN Secure Hub는 해당 Spoke와 VNet Peering 또는 **VWAN 연결(Attach)**을 통해 연동
- 경로 설정은 수동으로 관리하거나 UDR(사용자 정의 라우팅) 필요
6. 베스트 시나리오 (권장 구성)
구성 요소
- VWAN Secure Hub (Firewall 포함)
- Spoke VNet (업무용 자원 존재)
- 별도 VPN Gateway VNet (VWAN 연결 없음)
흐름
- VPN 연결 → VPN Gateway VNet
- VPN Gateway VNet ↔ Spoke VNet: Peering
- Spoke VNet ↔ Hub: 기존 VWAN 연결 유지
- 라우팅: UDR 또는 BGP 설정으로 트래픽 흐름 제어
장점
- VWAN 구조 활용 유지
- VPN Gateway 유연하게 사용 가능
- 라우팅 정책 별도 구성 가능
⚠ 주의사항
- VPN Gateway가 존재하는 VNet은 VWAN에 연결 하지 말 것
- Peering 및 라우팅 구성 시 전파 설정 조정 필요
7. 주의사항 및 제약
| 항목 |
설명 |
| 기본 동작 |
VWAN은 Hub 중심 구조로 설계되어 VPN Gateway는 Hub에만 생성 가능 |
| 예외적 허용 |
Spoke VNet에도 VPN Gateway 구성은 가능하나 VWAN의 이점을 상쇄함 |
| 라우팅 관리 |
트래픽 경로 충돌 가능성 있음 (VWAN Hub vs VNet Gateway) → UDR 필요 |
| 권장 케이스 |
특정 보안 요구사항으로 인해 VPN 트래픽을 Hub로 통하지 않도록 해야 하는 경우 |
8. 결론 및 설계 제안
- VWAN은 중앙 집중식 보안 및 관리, 라우팅 정책을 위해 Secure Hub 내 VPN Gateway 구성이 기본 원칙
- 단, 보안 정책상 공인 IP 노출이 불가하거나 분리된 관리 도메인이 필요한 경우 Spoke VNet에 VPN Gateway 구성 허용
설계 권고
- Spoke VPN Gateway 구성 시 VWAN과 분리하거나 Peering 사용
- 라우팅은 반드시 수동으로 구성하고, NSG/UDR 충돌 방지
- 모니터링 및 장애 대응 체계 별도 구성 필요
