Azure 네트워크를 설계할 때 가장 먼저 결정해야 하는 것이 Hub-Spoke 토폴로지로 갈 것인지, Virtual WAN(vWAN)으로 갈 것인지입니다. 둘 다 허브-스포크 개념이지만 운영 관점에서 차이가 큽니다. 이번 글에서는 실제 vWAN을 구축하고 운영해본 경험을 바탕으로 선택 기준을 정리합니다.
Hub-Spoke vs Virtual WAN 핵심 차이
전통적인 Hub-Spoke
- VNet Peering으로 Hub와 Spoke를 직접 연결
- Hub VNet에 NVA(Network Virtual Appliance)나 Azure Firewall 배치
- 라우팅은 UDR(User Defined Route)로 수동 관리
- 단일 리전 또는 소규모 다중 리전에 적합
Virtual WAN
- Microsoft가 관리하는 글로벌 백본 활용
- Hub는 관리형 서비스로 자동 제공
- 라우팅 테이블 기반 자동 라우팅
- 멀티 리전, 멀티 브랜치 환경에 적합
언제 vWAN을 선택해야 할까
vWAN이 적합한 경우
- 3개 이상의 Azure 리전 사용
- 전국/전 세계 지점과 VPN 연결 필요
- SD-WAN 디바이스 통합이 필요한 경우
- 관리 오버헤드를 최소화하고 싶은 조직
- 지점 간 Transitive 연결이 필요한 경우
전통 Hub-Spoke가 적합한 경우
- 단일 리전 또는 2개 리전 이하
- 세밀한 네트워크 제어가 필요한 경우
- 기존 NVA(Fortinet, Palo Alto)를 유지해야 하는 경우
- 예산 제약이 큰 중소규모 환경
vWAN 구성 요소
- Virtual WAN: 최상위 리소스. 전체 네트워크의 컨테이너
- Virtual Hub: 리전별로 배치되는 관리형 허브. VPN/ExpressRoute 게이트웨이 포함
- Hub Virtual Network Connection: Spoke VNet을 Hub에 연결
- VPN Site: 온프레미스 사이트 연결
- Routing Intent / Route Table: 라우팅 정책 제어
실전 구축 과정
1단계: Virtual WAN 생성
Azure Portal 또는 Bicep/Terraform으로 Virtual WAN 리소스 생성. Type은 Standard 선택이 일반적입니다. Basic은 VPN만 지원하고 ExpressRoute는 안 되므로 엔터프라이즈에는 부적합합니다.
2단계: Virtual Hub 배치
리전별로 Hub를 하나씩 생성합니다. 한국 프로젝트에서는 보통 다음과 같이 배치합니다.
- Primary Hub: Korea Central (10.0.0.0/16)
- DR Hub: Korea South (10.1.0.0/16)
- Global Hub: Japan East (10.2.0.0/16) — 글로벌 확장 시
Hub 주소 공간은 /24 이상을 권장합니다. Microsoft가 관리 리소스를 내부에 배치하기 때문입니다.
3단계: Hub에 게이트웨이 추가
- VPN Gateway: Site-to-Site 연결용
- ExpressRoute Gateway: 전용선 연결용
- Azure Firewall: 중앙 집중 보안 제어
각 게이트웨이는 Hub 생성 후 개별적으로 프로비저닝합니다. 생성에 20~40분 정도 걸리므로 사전 계획이 필요합니다.
4단계: Spoke VNet 연결
기존 VNet을 Hub에 연결합니다. VNet Peering이 아닌 Hub Virtual Network Connection을 사용합니다. 이때 주의할 점은 Spoke VNet이 Hub와 다른 주소 공간을 사용해야 한다는 것입니다.
5단계: Routing Intent 설정
vWAN의 진정한 가치는 Routing Intent에 있습니다. 인터넷 트래픽과 Private 트래픽을 Azure Firewall로 자동 라우팅하는 설정을 GUI에서 단 몇 번의 클릭으로 완료할 수 있습니다.
- Internet Traffic → Azure Firewall
- Private Traffic → Azure Firewall
이 설정만으로 모든 Spoke와 VPN Site의 트래픽이 Firewall을 경유하도록 강제됩니다. 전통 Hub-Spoke에서 UDR로 수동 관리하던 작업을 Microsoft가 자동으로 해주는 셈입니다.
실전에서 겪은 이슈
이슈 1: Hub 주소 공간 변경 불가
한 번 생성된 Hub의 주소 공간은 변경할 수 없습니다. 초기 설계 시 충분히 큰 대역을 할당해야 합니다. 실제로 /26으로 설정했다가 Azure Firewall Premium SKU를 추가하면서 주소 부족으로 Hub를 재생성한 사례가 있습니다.
이슈 2: ExpressRoute 게이트웨이 생성 실패
특정 리전에서 ExpressRoute 게이트웨이 생성이 반복적으로 실패하는 경우가 있었습니다. 원인은 구독의 Private Peering 쿼터 부족이었고, Microsoft Support를 통해 쿼터 증설 후 해결했습니다. 엔터프라이즈 프로젝트에서는 사전 쿼터 확인이 필수입니다.
이슈 3: Routing Intent와 기존 UDR 충돌
기존 Hub-Spoke에서 vWAN으로 마이그레이션할 때, Spoke VNet에 남아있던 UDR이 Routing Intent와 충돌해 트래픽이 블랙홀로 빠진 사례가 있었습니다. 마이그레이션 전 UDR 전수 조사가 필요합니다.
비용 비교
- vWAN Standard Hub: 시간당 약 0.25달러 (월 약 180달러)
- 전통 Hub-Spoke: VNet Peering 무료 + NVA/Firewall 비용
Hub가 2~3개 리전에 배치되면 vWAN 비용이 상당합니다. 다만 인력 운영 비용과 오류 감소 효과를 고려하면 장기적으로 더 경제적일 수 있습니다.
vWAN 선택 시 주의사항
- 세밀한 라우팅 제어는 Hub-Spoke 대비 제약 있음
- NVA 통합은 가능하지만 Routing Intent와 함께 쓰기 복잡
- Hub 삭제는 연결된 리소스 모두 제거 후에만 가능
- Azure Firewall Manager와의 통합은 점진적으로 축소 중. 최신 방식(Routing Intent)으로 바로 시작 권장
마무리
Virtual WAN은 복잡한 글로벌 네트워크를 단순하게 관리할 수 있게 해주는 강력한 도구입니다. 하지만 단순한 환경에서는 오버스펙이 될 수 있습니다. 프로젝트 규모와 팀 역량을 고려해 적절한 토폴로지를 선택하세요.