NAT 게이트웨이 사용 - 생성한 후 관리 서브넷에 연결

Microsoft Azure 설명서에 따라 NAT 게이트웨이를 생성하려면 사용하기로 선택한 공용 IP 주소나 공용 IP 접두사 또는 둘 다 필요합니다.

Azure Portal의 [NAT 게이트웨이 생성] 마법사를 사용하려면 선택해야 합니다. 아래 단계에서는 NAT 게이트웨이에 사용할 새 공용 IP를 생성하도록 선택합니다.

1. Azure Portal에 로그인하고 검색 창을 사용하여 NAT 게이트웨이를 검색하고 해당 범주를 선택합니다.
   
   
2. + 생성을 클릭하여 [NAT 게이트웨이 생성] 마법사를 시작합니다.
3. [NAT 게이트웨이 생성] 마법사의 첫 번째 단계에서 포드 구독이 선택되었는지 확인하고 NAT 게이트웨이가 상주할 리소스 그룹을 선택합니다.
4. NAT 게이트웨이에 이름을 지정하고 선택한 지역이 포드의 Azure 지역인지 확인합니다. 단계가 채워지면 아웃바운드 IP 단계를 클릭합니다.

   다음 스크린샷은 NAT 게이트웨이 이름을 first-pod-migration으로 지정하는 예입니다. 이 게이트웨이는 Azure 지역 West US 2에 상주합니다.

   
   
   
5. 아웃바운드 IP 단계에서 화면 지침에 따라 이 NAT 게이트웨이에 대해 공용 IP 주소를 사용할지 또는 공용 IP 접두사를 사용할지를 선택합니다.

   다음 스크린샷은 이 NAT 게이트웨이에서 사용할 새 공용 IP를 생성하도록 선택하고 이름을 first-pod-NAT-gtway로 지정한 이 단계의 모습을 보여줍니다.

   이 단계가 채워지면 다음 마법사 단계인 서브넷을 클릭합니다.

   
   
   
6. 마법사의 서브넷 단계에서 다음 중 하나를 수행합니다.
   • VNet에서 AKS 제한 IP 주소를 사용하지 않으려는 경우 포드의 VNet 및 해당 관리 서브넷을 선택합니다.
   • 그렇지 않고 AKS 제한 IP 주소가 있는 포드의 VNet을 사용하도록 새 VNet 및 관리 서브넷을 생성한 경우 새 VNet 및 새 관리 서브넷을 선택합니다.

   다음 스크린샷은 포드의 VNet 및 해당 관리 서브넷을 선택하고 서브넷을 이 NAT 게이트웨이와 연결하는 이 단계를 보여 줍니다.

   
   
   
7. 검토 + 생성을 클릭합니다.

   검증이 통과되면 생성을 클릭하여 최종적으로 이 NAT 게이트웨이를 생성합니다.

이제 NAT 게이트웨이가 관리 서브넷과 연결되고 마이그레이션 마법사에서 선택할 준비가 되었습니다.

경로 테이블을 선택하는 경우 - 경로 테이블을 생성한 후 관리 서브넷에 연결

기본 경로 0.0.0.0/0으로 Virtual appliance 또는 Virtual network gateway 유형의 다음 홉을 가리키도록 하여 경로 테이블을 구성합니다.

1. Azure Portal에 로그인하고 검색 창을 사용하여 경로 테이블을 검색하고 해당 범주를 선택합니다.
   
   
2. + 생성을 클릭하여 [경로 테이블 생성] 마법사를 시작합니다.
3. [경로 테이블 생성] 마법사의 첫 번째 단계에서 포드 구독이 선택되었는지 확인하고 경로 테이블이 상주할 리소스 그룹을 선택합니다.
   참고: 경로 테이블이 VNet의 리소스 그룹과는 다른 리소스 그룹에 두기로 결정했으며 1세대 포드의 서비스 주체가 사용자 지정 역할을 사용하는 경우 사용자 지정 역할에 이 경로 테이블의 리소스 그룹에 대한 Network Contributor 사용 권한이 있어야 합니다. 1세대 배포에 사용자 지정 역할을 사용하는 것은 일반적이지 않습니다. 경로 테이블의 리소스 그룹에 대한 사용 권한이 필요한 이유는 AKS 배포 유형이 관리 서브넷과 연결된 경로 테이블에 항목을 추가해야 하기 때문입니다. 이러한 항목은 AKS 유형 Horizon Edge Gateway 배포 내에서 Kubernetes 포드의 내부 라우팅을 수행하기 위한 것입니다.
4. 경로 테이블에 이름을 지정하고 선택한 지역이 포드의 Azure 지역인지 확인합니다.

   게이트웨이 경로 전파의 경우 아니요를 선택합니다.

   다음 스크린샷은 경로 테이블 이름을 first-pod-migration으로 지정하는 예입니다. 이 게이트웨이는 Azure 지역 West US 2에 상주합니다.

   
   
   
5. [경로 테이블 생성] 양식이 채워지면 검토 + 생성을 클릭합니다.

   검증이 통과되면 생성을 클릭하여 최종적으로 이 경로 테이블을 생성합니다.

6. 이제 새로 생성된 경로 테이블로 이동하여 기본 경로 0.0.0.0/0으로 Virtual network gateway 또는 Virtual appliance 유형의 다음 홉을 가리키도록 구성합니다.

   AKS는 이러한 두 가지 다음 홉 유형만 지원하기 때문에 AKS 유형 Horizon Edge Gateway 배포는 이러한 두 가지 유형을 특별히 지원합니다.

   Virtual Appliance는 일반적으로 포드의 VNet과 공용 인터넷 간의 아웃바운드 트래픽 흐름을 제어하는 Azure NVA(네트워크 가상 장치)가 있는 경우에 사용됩니다. [경로 추가] 양식에서 아웃바운드 인터넷 연결을 제공할 수 있는 해당 NVA의 IP 주소를 제공해야 합니다. 관리 서브넷(Horizon Edge Gateway 배포가 배포될 서브넷)에서 IP 주소에 연결할 수 있는지 확인해야 합니다. 해당 NVA는 차세대 환경에서 AKS 배포 유형에 필요한 끝점으로의 트래픽을 허용해야 합니다.

7. 경로를 클릭한 다음, + 추가를 클릭하여 해당 기본 경로를 추가합니다.

   다음 스크린샷은 이 단계를 보여 줍니다. 이 그림에서 다음 홉 유형 메뉴가 확장되면서 지원되는 선택 항목 Virtual network gateway 및 Virtual appliance가 표시되는 위치를 보여줍니다. 또한 경로의 이름과 0.0.0.0/0 대상 IP 주소를 입력했습니다.

   
   
   

   다음 스크린샷은 Virtual Network Gateway의 다음 홉으로 채워진 [경로 추가] 양식을 보여줍니다.

   
   
   
8. 추가를 클릭하여 이 경로를 경로 테이블에 추가합니다.
9. 이제 서브넷 및 + 연결을 클릭하여 새 경로 테이블을 관리 서브넷과 연결합니다.

   다음 스크린샷은 이 단계를 보여 줍니다. 다음에 따라 적절한 VNet 및 관리 서브넷을 선택합니다.

   • VNet에서 AKS 제한 IP 주소를 사용하지 않으려는 경우 포드의 VNet 및 해당 관리 서브넷을 선택합니다.
   • 그렇지 않고 AKS 제한 IP 주소가 있는 포드의 VNet을 사용하도록 새 VNet 및 관리 서브넷을 생성한 경우 새 VNet 및 새 관리 서브넷을 선택합니다.
   
   
   
10. 서브넷을 선택한 후 확인을 클릭합니다.

이제 경로 테이블이 관리 서브넷과 연결되고 마이그레이션 마법사에서 선택할 준비가 되었습니다.

사용자 할당 관리 ID 생성

1. Azure Portal에 로그인하고 검색 창을 사용하여 사용자 할당을 검색한 다음, 사용자 할당 관리 ID 결과를 선택합니다.

   다음 스크린샷은 포털에서 검색하는 이 단계를 보여 줍니다.

   
   
   
2. 사용자 할당 관리 ID에 대한 검색 결과를 클릭하면 [사용자 할당 관리 ID 생성] 마법사가 시작됩니다.

   포드 구독 및 이 ID 리소스가 생성된 후 저장할 리소스 그룹을 선택합니다.

   포드의 Azure 지역을 선택하고 사용자가 할당한 이 관리 ID의 이름을 입력합니다.

   다음 스크린샷은 개인 정보 보호를 위해 수정된 부분과 함께 이 단계를 보여 줍니다. 여기서는 사용자가 할당한 관리 ID의 이름을 AKS-Edge-identity로 지정했습니다.

   
   
   
3. 검토 + 생성을 클릭하여 최종 마법사 단계로 이동합니다.
4. 해당 정보를 검토하고 생성을 클릭하여 마법사를 완료하고 사용자 할당 관리 ID를 생성합니다.

   이 스크린샷은 생성을 클릭하기 전의 최종 단계를 보여 줍니다.

   
   
   
5. 그런 다음 다음 섹션에 설명된 대로 새로 생성된 ID에 역할 사용 권한을 추가합니다.

필요한 역할 사용 권한 할당 - Azure 미리 보기 방법

이 섹션의 단계에서는 Azure 미리 보기 단계를 사용하여 관리 ID에 역할을 할당하는 방법을 보여 줍니다. 아래 단계를 수행했지만 사용자 할당 관리 ID의 Azure 역할 할당 영역을 확인할 때 + 역할 할당 추가(미리 보기) 버튼이 표시되지 않는 경우 대신 이 섹션에 나오는 대체 방법을 사용하여 역할 사용 권한을 할당할 수 있습니다.

사용자가 할당한 관리 ID에 추가할 수 있는 사용 권한은 다음과 같습니다.

1. Azure Portal에서 새로 생성된 사용자 할당 관리 ID로 이동하고 역할 할당 추가(미리 보기) 양식이 표시될 때까지 Azure 역할 할당 및 역할 할당 추가(미리 보기)를 클릭합니다.

   다음 스크린샷은 해당 단계를 보여 줍니다.

   
   
   
2. 역할 할당 추가(미리 보기) 양식에서 범위를 구독으로 선택하고 Managed Identity Operator 역할을 선택합니다.
   
   
3. 저장을 클릭하여 해당 Managed Identity Operator 역할 할당을 ID에 저장합니다.
4. 새로 고침을 클릭하여 새로 추가된 역할을 확인합니다.
   
   
5. 역할 할당 추가(미리 보기)를 클릭하여 역할 할당 추가(미리 보기) 양식을 다시 엽니다.
6. 이번에는 범위를 리소스 그룹으로 선택하고 적용 가능한 VNet의 리소스 그룹을 선택한 후 Network Contributor 역할을 선택합니다.
   
   
7. 저장을 클릭하여 해당 Network Contributor 역할 할당을 ID에 저장합니다.
8. 새로 고침을 클릭하여 새로 추가된 역할을 확인합니다. 이제 두 역할이 나열됩니다.
   
   

이제 필요한 사용자 할당 관리 ID가 있으며 AKS 배포 유형에 필요한 역할 사용 권한이 있습니다.

필요한 역할 사용 권한을 할당하는 대체 방법

사용자 할당 관리 ID의 Azure 역할 할당 영역을 확인할 때 + 역할 할당 추가(미리 보기) 버튼이 표시되지 않는 경우 대신 이 대체 방법을 사용하여 역할 사용 권한을 할당할 수 있습니다.

사용자가 할당한 관리 ID에 추가할 수 있는 사용 권한은 다음과 같습니다.

1. 먼저 포드 구독 범위에 Managed Identity Operator 사용 권한을 추가합니다.
   1. Azure Portal에서 구독으로 이동합니다.
   2. 해당 구독 페이지에서 액세스 제어(IAM)를 클릭한 다음, 역할 할당 탭을 클릭합니다.
      
      
   3. + 추가 > 역할 할당 추가를 클릭합니다.
      
      

      역할 할당 추가 마법사가 나타납니다.

   4. 이 마법사의 역할 탭에서 Managed Identity Operator 역할을 검색하고 선택합니다. 다음을 클릭하기 전에 해당 행이 선택되었는지 확인합니다.
      
      
   5. 다음을 클릭하여 멤버 탭으로 이동합니다.
   6. 멤버 탭에서 관리형 ID를 선택하고 + 멤버 선택을 선택합니다. 그러면 관리형 ID 선택 양식이 표시됩니다.

      다음 단계에는 스크린샷 예가 나와 있습니다.

   7. 관리형 ID 선택 양식의 관리형 ID 메뉴에서 사용자 할당 관리 ID를 선택합니다.
      
      
   8. 그런 다음, 생성한 사용자 할당 관리 ID를 선택하고 선택 버튼을 클릭하여 멤버 탭에 추가합니다.
      
      
   9. 이제 검토 + 할당을 클릭하여 마법사의 검토 + 할당 탭으로 이동합니다.
      
      
   10. 검토 + 할당 탭에서 최종 검토 + 할당 버튼을 클릭하여 구독 범위의 ID에 대한 이 역할 할당을 완료합니다.
       
       
2. 이제 VNet의 리소스 그룹 범위에 Network Contributor 사용 권한을 추가합니다.
   1. Azure Portal에서 해당 VNet의 리소스 그룹으로 이동합니다. 해당 VNet에는 다음이 적용됩니다.
      • VNet에서 AKS 제한 IP 주소를 사용하여 작업을 진행하지 않는 경우 포드의 VNet 리소스 그룹입니다.
      • 그렇지 않으면 AKS 제한 IP 주소가 있는 포드의 VNet에서 작업을 수행하기 위해 새 VNet을 생성한 경우 해당 VNet의 리소스 그룹입니다.
   2. 해당 리소스 그룹의 페이지에서 구독 사용 권한에 대해 위에서 수행했던 것과 유사한 단계를 사용합니다.

      액세스 제어(IAM)를 클릭하고 역할 할당 탭을 클릭합니다.

      이 스크린샷은 vNet의 리소스 그룹인 hcsvnet-RG에 대한 이 단계를 보여 줍니다.

      
      
      
   3. + 추가 > 역할 할당 추가를 클릭합니다. 역할 할당 추가 마법사가 나타납니다.
   4. 이 마법사의 역할 탭에서 Network Contributor 역할을 검색하고 선택합니다. 다음을 클릭하기 전에 해당 행이 선택되었는지 확인합니다.
      
      
   5. 그런 다음, 다른 사용 권한에 대해 이전과 동일하게 다음을 클릭하여 멤버 탭으로 이동한 다음, 관리형 ID를 선택하고 + 멤버 선택을 선택합니다. 그러면 관리형 ID 선택 양식이 표시됩니다.
      
      
   6. 관리형 ID 선택 양식의 관리형 ID 메뉴에서 사용자 할당 관리 ID를 선택합니다.
   7. 그런 다음, 생성한 사용자 할당 관리 ID를 선택하고 선택 버튼을 클릭하여 멤버 탭에 추가합니다.
      
      
   8. 이제 마법사의 검토 + 할당 탭으로 이동하고 검토 + 할당 버튼을 클릭하여 VNet의 리소스 그룹 범위의 ID에 대한 이 역할 할당을 완료합니다.

      이 스크린샷은 vNet의 리소스 그룹인 hcsvnet-RG에 대한 이 단계를 보여 줍니다.

      
      
      

이제 필요한 사용자 할당 관리 ID가 있으며 AKS 배포 유형에 필요한 역할 사용 권한이 있습니다.

사용자 할당 관리 ID에 두 가지 역할이 있는지 확인하려면 Azure Portal에서 해당 ID로 이동하여 해당 [Azure 역할 할당] 페이지를 표시합니다.

다음 스크린샷은 Azure 역할 할당에 두 가지 역할이 나열된 사용자 할당 관리 ID를 보여 줍니다.

소개

이러한 범위는 AKS 유형 Horizon Edge Gateway의 전용 사용을 위해 예약해야 하는 가상 IP 범위입니다.

기본 설계상, Kubernetes는 Horizon Edge Gateway 내부의 Kubernetes 클러스터 내에 가상 네트워크를 생성합니다.

이러한 가상 네트워크는 클러스터 내에서 실행되는 컨테이너를 호스팅합니다.

이러한 범위가 Edge 내부인 경우 예약해야 하는 이유는 무엇입니까?

이러한 범위를 예약하는 목적은 네트워크 공간의 다른 시스템에 해당 IP 주소가 할당되어 해당 IP 주소를 사용하지 못하도록 하기 위한 것입니다.

Edge Kubernetes 클러스터의 가상 네트워크가 Horizon Edge Gateway 내부에 있고 실제로 관리 네트워크에 있지 않더라도 클러스터의 가상 네트워크는 Azure VNet의 관리 서브넷에 연결됩니다.

AKS 클러스터 외부에서 실행되는 서비스는 AKS 클러스터 내부 네트워크로 트래픽을 라우팅합니다. 예를 들어 VDI 데스크톱의 Horizon Agent는 이 AKS 클러스터에서 실행되는 서비스에 데이터를 보내야 합니다.

따라서 범위가 예약되지 않고 네트워크의 다른 시스템이 해당 범위의 IP 주소를 할당받으면 라우팅에 영향을 미치고 AKS 클러스터 내부 네트워크로 전송되는 필요한 서비스 트래픽에서 충돌이 발생할 수 있습니다.

포드 마이그레이션 전에 IP 주소 관리 시스템의 IP 범위를 예약하면 이러한 잠재적 충돌을 방지할 수 있습니다.

이러한 범위의 서브넷을 생성해야 합니까?

아니요, 이러한 범위의 서브넷은 생성할 필요가 없습니다.

이러한 가상 IP 범위는 Horizon Edge가 마이그레이션 프로세스의 일부로 배포될 때 Horizon Edge Gateway의 AKS 클러스터 가상 네트워크 내부에 상주합니다.

포드 마이그레이션의 경우 내 예약된 범위가 무엇인지 알아야 합니까?

예. AKS 배포 유형을 선택하려는 경우 여러분 본인과 팀이 해당 배포를 위해 예약한 범위를 알아야 합니다.

마이그레이션 마법사 UI에서는 서비스 CIDR 및 포드 CIDR 필드에 두 IP 범위(CIDR)를 입력해야 합니다.

따라서 마이그레이션 마법사를 실행하기 전에 여러분 본인과 팀이 예약용으로 선택한 범위를 결정해야 합니다.

예약해야 하는 범위 유형은 무엇입니까?

AKS 유형 Horizon Edge Gateway를 사용하려면 두 개의 가상 IP 범위를 예약해야 합니다.

• 서비스 CIDR이라고 하는 최소 /27의 CIDR 범위
• 포드 CIDR이라고 하는 최소 /21의 CIDR 범위

이러한 두 IP 범위는 서로 겹치거나 충돌하지 않아야 합니다.