가상 데이터 센터: 네트워크 관점

온-프레미스에서 마이그레이션된 애플리케이션은 최소한의 애플리케이션 변경에도 불구하고 Azure의 안전하고 비용 효율적인 인프라를 활용할 수 있습니다. 기업은 민첩성을 향상시키고 Azure의 기능을 활용하기 위해 아키텍처를 조정하려고 할 수 있습니다.

Microsoft Azure는 엔터프라이즈급 기능과 안정성을 갖춘 하이퍼스케일 서비스 및 인프라를 제공합니다. 이러한 서비스 및 인프라는 하이브리드 연결에서 다양한 옵션을 제공하므로 고객이 인터넷 또는 개인 네트워크 연결을 통해 액세스할 수 있습니다. 또한 Microsoft 파트너는 Azure에서 실행하도록 최적화된 보안 서비스 및 가상 어플라이언스를 제공하여 향상된 기능을 제공할 수 있습니다.

고객은 Azure를 사용하여 인프라를 클라우드로 원활하게 확장하고 다중 계층 아키텍처를 구축할 수 있습니다.

가상 데이터 센터란 무엇일까요?

클라우드는 퍼블릭 애플리케이션을 호스트하는 플랫폼으로 시작되었습니다. 기업은 클라우드의 가치를 인식하고 내부 LOB(기간 업무) 애플리케이션을 마이그레이션하기 시작했습니다. 이러한 애플리케이션은 클라우드 서비스를 제공할 때 더 많은 유연성이 필요한 더 많은 보안, 안정성, 성능 및 비용 고려 사항을 가져왔습니다. 새로운 인프라와 네트워킹 서비스는 유연성을 제공하도록 설계되었습니다. 새로운 기능은 탄력적인 크기 조정, 재해 복구 및 기타 고려 사항을 제공합니다.

클라우드 솔루션은 처음에 공용 범위에서 비교적 격리된 단일 애플리케이션을 호스트하도록 설계되었으며 몇 년 동안 잘 작동했습니다. 클라우드 솔루션의 이점이 명확해짐에 따라 클라우드에서 여러 대규모 워크로드가 호스트되었습니다. 보안, 안정성, 성능 및 비용 문제를 해결하는 것은 클라우드 서비스의 배포 및 수명 주기에 매우 중요합니다.

아래 클라우드 배포 예제 다이어그램에서 빨간색 상자는 보안 격차를 강조 표시합니다. 노란색 상자는 워크로드 전체에서 네트워크 가상 어플라이언스를 최적화할 수 있는 기회를 보여 줍니다.

Diagram that shows a cloud deployment and networking virtual datacenter.

가상 데이터 센터는 엔터프라이즈 워크로드에 필요한 규모를 달성하는 데 도움이 됩니다. 이 규모는 퍼블릭 클라우드에서 대규모 애플리케이션을 실행할 때 발생하는 문제를 해결해야 합니다.

가상 데이터 센터 구현에는 클라우드의 애플리케이션 워크로드 이상이 포함됩니다. 또한 네트워크, 보안, 관리, DNS 및 Active Directory 서비스를 제공합니다. 기업에서 더 많은 워크로드를 Azure로 마이그레이션할 때 이러한 워크로드를 지원하는 인프라와 개체를 고려합니다. 적절한 리소스 관리는 독립적인 데이터 흐름, 보안 모델 및 규정 준수 문제를 통해 별도로 관리되는 "워크로드 아일랜드"의 증가를 방지하는 데 도움이 됩니다.

가상 데이터 센터 개념은 별도의 관련 엔터티 컬렉션을 구현하기 위한 권장 사항 및 고급 디자인을 제공합니다. 이러한 엔터티에는 일반적으로 지원하는 함수, 기능 및 인프라가 있는 경우가 많습니다. 워크로드를 가상 데이터 센터로 보는 것은 규모의 경제에서 절감된 비용을 실현하는 데 도움이 됩니다. 또한 구성 요소 및 데이터 흐름 중앙 집중화를 통한 최적화된 보안과 보다 쉬운 운영, 관리 및 규정 준수 감사를 지원합니다.

참고

가상 데이터 센터는 특정 Azure 서비스가 아닙니다. 대신 요구 사항을 충족하기 위해 다양한 Azure 특징과 기능이 결합됩니다. 가상 데이터 센터는 클라우드에서 리소스와 기능을 최적화하기 위해 워크로드 및 Azure 사용량을 고려하는 방법입니다. 기업의 조직 역할과 책임을 준수하면서 Azure에서 IT 서비스를 제공하는 모듈식 접근 방식을 제공합니다.

가상 데이터 센터는 다음 시나리오와 관련하여 기업이 Azure에서 워크로드 및 애플리케이션을 배포하는 데 도움이 됩니다.

  • 여러 관련 워크로드 호스트.
  • 온-프레미스 환경에서 Azure로 워크로드 마이그레이션.
  • 여러 워크로드에 걸쳐 공유 또는 중앙 집중식 보안과 액세스 요구 사항 구현.
  • 대기업에 적합하게 DevOps와 중앙 집중식 IT를 혼합합니다.

가상 데이터 센터를 구현해야 하는 고객은 누구입니까?

Azure를 채택하기로 결정한 고객은 모든 애플리케이션에서 일반적으로 사용할 리소스 집합을 구성하는 효율성을 활용할 수 있습니다. 크기에 따라 단일 애플리케이션도 VDC 구현을 구축하는 데 사용되는 패턴과 구성 요소를 활용할 수 있습니다.

일부 조직에서는 IT, 네트워킹, 보안 또는 규정 준수를 위한 팀 또는 부서를 중앙 집중화했습니다. VDC를 구현하면 정책 지점을 적용하고 책임을 분리하며 기본 공통 구성 요소의 일관성을 보장하는 데 도움이 될 수 있습니다. 애플리케이션 팀은 요구 사항에 적합한 자유와 제어를 유지할 수 있습니다.

또한 DevOps 접근 방식을 사용하는 조직은 VDC 개념을 사용하여 권한 있는 Azure 리소스 세트를 제공할 수 있습니다. 이 방법을 사용하면 DevOps 그룹이 구독 수준 또는 공통 구독의 리소스 그룹 내에서 해당 그룹 내에서 완전히 제어할 수 있습니다. 동시에 네트워크 및 보안 경계는 규정을 준수합니다. 규정 준수는 허브 네트워크 및 중앙 관리 리소스 그룹의 중앙 집중식 정책에 의해 정의됩니다.

가상 데이터 센터 구현에 대한 고려 사항

가상 데이터 센터를 설계하는 경우 고려해야 할 중요한 문제는 다음과 같습니다.

ID 및 디렉터리 서비스

ID 및 디렉터리 서비스는 온-프레미스 및 클라우드 데이터 센터 모두의 주요 기능입니다. ID는 VDC ​​구현 내 서비스에 대한 액세스 및 권한 부여의 모든 측면을 다룹니다. 권한 있는 사용자 및 프로세스만 Azure 리소스에 액세스할 수 있도록 Azure에서는 계정 암호, 암호화 키, 디지털 서명 및 인증서를 포함한 여러 유형의 인증 자격 증명을 사용합니다. Azure Active Directory Multi-Factor Authentication은 Azure 서비스에 액세스하기 위한 추가 보안 계층을 제공합니다. 다양한 간편한 확인 옵션(전화 통화, 문자 메시지 또는 모바일 앱 알림)을 사용하여 강력한 인증을 통해 고객이 선호하는 방법을 선택할 수 있습니다.

대기업은 VDC 내 또는 전체에서 개별 ID, 인증, 권한 부여, 역할 및 권한의 관리를 설명하는 ID 관리 프로세스를 정의해야 합니다. 이 프로세스의 목표는 비용, 가동 중지 시간 및 반복적인 수동 작업을 줄이면서 보안 및 생산성을 높일 수 있습니다.

Enterprise 조직은 다양한 비즈니스 라인에 까다로운 서비스를 혼합해야 할 수 있습니다. 직원들은 종종 다른 프로젝트에 참여할 때 서로 다른 역할을 갖습니다. VDC에는 서로 다른 팀 간에 좋은 협력이 필요하며, 각 팀은 적절한 거버넌스로 시스템을 실행하기 위해 특정 역할 정의를 가지고 있어야 합니다. 책임, 액세스 및 권한 구조가 복잡할 수 있습니다. VDC의 ID 관리는 Azure AD(Azure Active Directory) 및 Azure RBAC(Azure 역할 기반 액세스 제어)를 통해 구현됩니다.

디렉터리 서비스는 일상적인 항목과 네트워크 리소스를 찾고, 관리하고, 운영하고, 구성하기 위한 공유 정보 인프라입니다. 이러한 리소스에는 볼륨, 폴더, 파일, 프린터, 사용자, 그룹, 디바이스 및 기타 개체가 포함될 수 있습니다. 네트워크의 각 리소스는 디렉터리 서버에서 개체로 간주됩니다. 리소스에 대한 정보는 해당 리소스 또는 개체와 연결된 특성 모음으로 저장됩니다.

모든 Microsoft 온라인 비즈니스 서비스는 로그온 및 기타 ID 요구 사항에 대해 Azure AD(Azure Active Directory)를 사용합니다. Azure Active Directory는 핵심 디렉터리 서비스, 고급 ID 관리 및 애플리케이션 액세스 관리를 통합하는 포괄적이고 항상 사용가능한 ID 및 액세스 관리 클라우드 솔루션입니다. Azure AD는 온-프레미스 Active Directory와 통합되어 모든 클라우드 기반 및 로컬로 호스트된(온-프레미스) 애플리케이션에 대한 Single Sign-On을 허용할 수 있습니다. 온-프레미스 Active Directory의 사용자 특성은 Azure AD와 자동으로 동기화될 수 있습니다.

VDC 구현에서 모든 권한을 할당하기 위해 반드시 글로벌 관리자가 필요한 것은 아닙니다. 대신, 각 특정 부서(디렉터리 서비스의 사용자 또는 서비스 그룹)는 VDC 구현 내에서 자체 리소스를 관리하는 데 필요한 권한을 가질 수 있습니다. 사용 권한을 구성할 때는 균형을 유지해야 합니다. 너무 많은 권한을 부여하면 성능 효율성이 저하될 수 있고, 권한이 너무 적거나 느슨하면 보안 위험이 높아질 수 있습니다. Azure RBAC(Azure 역할 기반 액세스 제어)는 VDC 구현에서 리소스에 대한 세분화된 액세스 관리를 제공하여 이 문제를 해결하는 데 도움이 됩니다.

보안 인프라

보안 인프라는 VDC 구현의 특정 가상 네트워크 세그먼트에서 트래픽 분리를 가리킵니다. 이 인프라는 VDC ​​구현에서 수신 및 송신을 제어하는 ​​방법을 지정합니다. Azure는 배포 간의 무단 및 의도하지 않은 트래픽을 방지하는 다중 테넌트 아키텍처를 기반으로 합니다. 이 작업은 가상 네트워크 격리, 액세스 제어 목록, 부하 분산 장치, IP 필터 및 트래픽 흐름 정책을 사용하여 수행됩니다. NAT(네트워크 주소 변환)는 외부 트래픽에서 내부 네트워크 트래픽을 분리합니다.

Azure 패브릭은 인프라 리소스를 테넌트 워크로드에 할당하고 VM(Virtual Machines)과 통신을 관리합니다. Azure 하이퍼바이저는 VM 간의 메모리 및 프로세스 분리를 적용하고 네트워크 트래픽을 게스트 OS 테넌트로 안전하게 라우팅합니다.

클라우드에 대한 연결

가상 데이터 센터는 고객, 파트너 또는 내부 사용자에게 서비스를 제공하기 위해 외부 네트워크에 연결해야 합니다. 인터넷뿐 아니라 온-프레미스 네트워크 및 데이터 센터에도 연결되어야 합니다.

고객은 공용 인터넷에서 액세스하고 액세스할 수 있는 서비스를 제어합니다. Azure Firewall 또는 다른 유형의 가상 네트워크 어플라이언스(NVA)를 사용하여 이 액세스를 제어하고, 사용자 정의 경로를 사용하여 사용자 지정 라우팅 정책을 제어하고, 네트워크 보안 그룹을 사용하여 네트워크 필터링을 제어합니다. 모든 인터넷 연결 리소스는 Azure DDoS Protection 표준에 의해 보호되는 것이 좋습니다.

기업은 가상 데이터 센터를 온-프레미스 데이터 센터 또는 기타 리소스에 연결해야 할 수 있습니다. 효과적인 아키텍처를 디자인할 때 Azure와 온-프레미스 네트워크 간의 연결이 매우 중요합니다. 기업에는 이 상호 연결을 만드는 두 가지 방법, 즉 인터넷을 통한 전송 또는 프라이빗 직접 연결을 통한 전송이 있습니다.

Azure 사이트 간 VPN은 온-프레미스 네트워크를 Azure의 가상 데이터 센터에 연결합니다. 링크는 보안 암호화 연결(IPsec 터널)을 통해 설정됩니다. Azure 사이트간 VPN 연결은 유연하고 빠르게 만들 수 있으며 일반적으로 하드웨어 조달이 더 이상 필요하지 않습니다. 업계 표준 프로토콜에 따라 대부분의 최신 네트워크 디바이스는 인터넷 또는 기존 연결 경로를 통해 Azure에 대한 VPN 연결을 만들 수 있습니다.

ExpressRoute를 사용하면 가상 데이터 센터와 온-프레미스 네트워크 간의 프라이빗 연결을 설정할 수 있습니다. ExpressRoute 연결은 공용 인터넷을 거치지 않으며, 일관된 대기 시간과 함께 더 높은 보안과 안정성 및 더 빠른 속도(최대 100Gbps)를 제공합니다. ExpressRoute는 프라이빗 연결과 관련된 규정 준수 규칙의 이점을 제공합니다. ExpressRoute Direct를 사용하면 Microsoft 라우터에 직접 10Gbps 또는 100Gbps로 연결할 수 있습니다.

ExpressRoute 연결을 배포하려면 일반적으로 ExpressRoute 서비스 공급자와 협력해야 합니다(ExpressRoute Direct는 예외). 빠르게 시작해야 하는 고객의 경우 처음에는 사이트 간 VPN을 사용하여 가상 데이터 센터와 온-프레미스 리소스 간의 연결을 설정하는 것이 일반적입니다. 서비스 공급자와의 물리적 상호 연결이 완료되면 ExpressRoute 연결을 통해 연결을 마이그레이션합니다.

VPN 또는 ExpressRoute 연결이 많은 경우 Azure Virtual WAN은 Azure를 통해 최적화되고 자동화된 분기 간 연결을 제공하는 네트워킹 서비스입니다. Virtual WAN을 사용하면 Azure와 통신하도록 분기 디바이스에 연결하고 구성할 수 있습니다. 연결 및 구성은 수동으로 또는 Virtual WAN 파트너를 통해 기본 설정 공급자 디바이스를 사용하여 수행할 수 있습니다. 선호하는 공급자 디바이스를 사용하여 사용 편의성, 연결 및 구성 관리의 간소화를 얻을 수 있습니다. Azure WAN 기본 제공 대시보드는 시간을 절약하는 데 도움이 되는 즉각적인 문제 해결 인사이트를 제공하고, 대규모 사이트 간 연결을 쉽게 확인할 수 있는 방법을 제공합니다. 또한 Virtual WAN은 Virtual WAN 허브에서 Azure Firewall 및 Firewall Manager 옵션을 통해 보안 서비스를 제공합니다.

클라우드 내의 연결

Azure Virtual Network가상 네트워크 피어링은 가상 데이터 센터의 기본 네트워킹 구성 요소입니다. 가상 네트워크는 가상 데이터 센터 리소스에 대한 격리 경계를 보장합니다. 피어링을 사용하면 동일한 Azure 지역 내의 서로 다른 가상 네트워크 간, 지역 간, 심지어 다른 구독의 네트워크 간에도 상호 통신할 수 있습니다. 네트워크 보안 그룹, 방화벽 정책(Azure Firewall 또는 네트워크 가상 어플라이언스) 및 사용자 지정 사용자 정의 경로에 대해 지정된 보안 규칙 집합을 통해 가상 네트워크 내부 및 간에 트래픽 흐름을 제어할 수 있습니다.

가상 네트워크는 Azure Storage, Azure SQL 및 퍼블릭 엔드포인트가 있는 기타 통합 공용 서비스와 같은 PaaS(Platform as a Service) Azure 제품을 통합하기 위한 앵커 지점입니다. 서비스 엔드포인트Azure Private Link를 사용하면 퍼블릭 서비스를 프라이빗 네트워크와 통합할 수 있습니다. 퍼블릭 서비스를 프라이빗 서비스로 사용할 수도 있지만, 여전히 Azure 관리형 PaaS 서비스를 활용할 수 있습니다.

가상 데이터 센터 개요

토폴로지

가상 데이터 센터는 요구 사항과 크기 조정 요구 사항에 따라 다음과 같은 상위 수준 토폴로지 중 하나를 사용하여 구축할 수 있습니다.

플랫 토폴로지에서 모든 리소스는 단일 가상 네트워크에 배포됩니다. 서브넷은 흐름 제어 및 분리를 허용합니다.

11

메시 토폴로지에서 가상 네트워크 피어링은 모든 가상 네트워크를 직접 상호 연결합니다.

12

피어링 허브 및 스포크 토폴로지는 분산 애플리케이션 및 책임이 위임된 팀에 적합합니다.

13

Azure Virtual WAN 토폴로지는 대규모 지점 시나리오와 글로벌 WAN 서비스를 지원할 수 있습니다.

14

피어링 허브 및 스포크 토폴로지와 Azure Virtual WAN 토폴로지는 모두 통신, 공유 리소스 및 중앙 집중식 보안 정책에 최적화된 허브 및 스포크 디자인을 사용합니다. 허브는 가상 네트워크 피어링 허브(다이어그램에서 Hub Virtual Network 레이블로 지정됨) 또는 Virtual WAN 허브(다이어그램에서 Azure Virtual WAN 레이블로 지정됨)를 사용하여 구축됩니다. Azure Virtual WAN은 대규모 분기 간 및 분기-Azure 통신에 맞게 설계되거나 가상 네트워킹 피어링 허브에서 모든 구성 요소를 개별적으로 구축하는 복잡성을 방지하도록 설계되었습니다. 경우에 따라 허브의 네트워크 가상 어플라이언스에 대한 요구 사항과 같은 요구 사항에는 가상 네트워크 피어링 허브 디자인이 필요할 수 있습니다.

허브 및 스포크 토폴로지에서 허브는 인터넷, 온-프레미스 및 스포크와 같은 다양한 영역 간의 모든 트래픽을 제어하고 검사하는 중앙 네트워크 영역입니다. 허브 및 스포크 토폴로지를 사용하면 IT 부서가 중앙에서 보안 정책을 적용할 수 있습니다. 또한 구성 오류 및 노출 가능성을 줄입니다.

허브에는 종종 스포크에서 사용하는 일반적인 서비스 구성 요소가 포함됩니다. 다음은 일반적인 중앙 서비스의 예제입니다.

  • Windows Active Directory 인프라는 스포크에서 워크로드에 액세스하기 전에 신뢰할 수 없는 네트워크에서 액세스하는 타사의 사용자 인증에 필요합니다. 여기에는 관련 AD FS(Active Directory Federation Services)가 포함됩니다.
  • DNS(분산 이름 시스템) 서비스는 스포크에서 워크로드에 대한 명명을 확인하고 Azure DNS 를 사용하지 않는 경우 온-프레미스 및 인터넷에서 리소스에 액세스하는 데 사용됩니다.
  • PKI(공개 키 인프라)는 워크로드에서 Single Sign-On을 구현하는 데 사용됩니다.
  • Flow 스포크 네트워크 영역과 인터넷 간의 TCP 및 UDP 트래픽 제어
  • 스포크와 온-프레미스 간의 Flow 제어
  • 필요한 경우 한 스포크와 다른 스포크 간의 흐름 제어

가상 데이터 센터는 여러 스포크 간에 공유 허브 인프라를 사용하여 전체 비용을 줄입니다.

각 스포크의 역할은 서로 다른 유형의 워크로드를 호스트하는 것일 수 있습니다. 스포크는 동일한 워크로드를 반복해서 배포할 수 있는 모듈식 접근 방법도 제공합니다. 예를 들어 개발/테스트, 사용자 승인 테스트, 사전 프로덕션 및 프로덕션이 있습니다. 스포크는 조직 내 여러 그룹을 분리하고 사용하도록 설정할 수도 있습니다. DevOps 그룹은 스포크에서 수행할 수 있는 작업의 좋은 예입니다. 스포크 내에서 계층 간 트래픽 제어를 통해 기본 워크로드 또는 복잡한 다중 계층 워크로드를 배포할 수 있습니다.

구독 제한 및 다중 허브

중요

Azure 배포의 크기에 따라 여러 허브 전략이 필요할 수 있습니다. 허브 및 스포크 전략을 디자인할 때 "이 디자인 크기 조정을 통해 이 지역의 다른 허브 가상 네트워크를 사용할 수 있나요?" 및 "이 디자인 크기 조정이 여러 지역을 수용할 수 있나요?" 계획하지 않고 필요한 것보다 크기를 조정하고 필요하지 않은 디자인을 계획하는 것이 훨씬 낫습니다.

보조(또는 그 이상) 허브로 크기를 조정하는 경우 일반적으로 규모에 대한 내재된 제한에 따라 몇 가지 요인에 따라 달라집니다. 크기 조정을 설계하는 경우 구독, 가상 네트워크 및 가상 머신 제한을 검토해야 합니다.

Azure에서 모든 구성 요소는 유형에 관계없이 Azure 구독에 배포됩니다. 다른 Azure 구독에서 Azure 구성 요소를 분리하면 차별화된 액세스 및 권한 부여 수준을 설정하는 것과 같은 다양한 사업 부문에 대한 요구 사항을 충족할 수 있습니다.

단일 VDC 구현은 많은 수의 스포크로 확장할 수 있습니다. 모든 IT 시스템과 마찬가지로 플랫폼 제한이 있습니다. 허브 배포는 제약 조건 및 제한 사항(예: 최대 가상 네트워크 피어링 수)이 있는 특정 Azure 구독에 바인딩됩니다. 자세한 내용은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요. 제한이 문제가 될 수 있는 경우 단일 허브 스포크에서 허브 및 스포크 클러스터로 모델을 확장하여 아키텍처를 더욱 강화할 수 있습니다. 하나 이상의 Azure 지역에 있는 여러 허브는 가상 네트워크 피어링, ExpressRoute, Virtual WAN 또는 사이트 간 VPN을 사용하여 연결할 수 있습니다.

2

여러 허브를 도입하면 시스템 비용 및 관리 업무가 증가합니다. 확장성, 시스템 제한, 중복성, 최종 사용자 성능을 위한 지역 복제 또는 재해 복구로 인해 정당화됩니다. 여러 허브가 필요한 시나리오에서는 모든 허브가 작동 편의를 위해 동일한 서비스 집합을 제공하려고 합니다.

스포크 간 상호 연결

단일 스포크 또는 플랫 네트워크 디자인 내에서는 복잡한 다중 계층 워크로드를 구현할 수 있습니다. 다중 계층 구성은 동일한 가상 네트워크의 모든 계층 또는 애플리케이션에 대해 하나씩 서브넷을 사용하여 구현할 수 있습니다. 트래픽 제어 및 필터링은 네트워크 보안 그룹 및 사용자 정의 경로를 사용하여 수행됩니다.

설계자는 여러 가상 네트워크에 다중 계층 워크로드를 배포하려고 할 수 있습니다. 가상 네트워크 피어링을 사용하면 스포크는 동일한 허브 또는 다른 허브의 다른 스포크에 연결할 수 있습니다. 이 시나리오의 일반적인 예제는 애플리케이션 처리 서버가 한 스포크 또는 가상 네트워크에 있는 경우입니다. 데이터베이스는 다른 스포크 또는 가상 네트워크에 배포됩니다. 이 경우 스포크와 가상 네트워크 피어링을 쉽게 상호 연결하여 허브를 통한 전송을 방지할 수 있습니다. 허브를 우회해도 허브에만 존재할 수 있는 중요한 보안 또는 감사 지점을 우회하지 않도록 주의 깊은 아키텍처 및 보안 검토를 완료합니다.

3

스포크는 허브 역할을 하는 스포크와 상호 연결할 수도 있습니다. 이 방법은 2단계 계층 구조를 만듭니다. 상위 수준(수준 0)의 스포크는 계층 구조의 하위 스포크(수준 1)의 허브가 됩니다. VDC 구현을 위한 스포크는 트래픽을 중앙 허브로 전달하는 데 필요합니다. 그러면 트래픽이 온-프레미스 네트워크 또는 공용 인터넷에서 해당 대상으로 전송할 수 있습니다. 두 가지 수준의 허브가 있는 아키텍처는 간단한 허브-스포크 관계의 이점을 제거하는 복잡한 라우팅을 도입합니다.

Azure에서는 복잡한 토폴로지를 허용하지만 VDC 개념의 핵심 원리 중 하나는 반복성과 단순성입니다. 관리 업무를 최소화할 수 있도록, VDC 참조 아키텍처로 간단한 허브-스포크 디자인을 권장합니다.

구성 요소

가상 데이터 센터는 인프라, 경계 네트워크, 워크로드모니터링의 네 가지 기본 구성 요소 유형으로 구성됩니다.

각 구성 요소 유형은 다양한 Azure 기능 및 리소스로 구성됩니다. VDC 구현은 여러 구성 요소 형식의 인스턴스와 동일한 구성 요소 형식의 여러 변형으로 구성됩니다. 예를 들어 다른 애플리케이션을 나타내는 논리적으로 분리된 여러 다른 워크로드 인스턴스가 있을 수 있습니다. 이러한 다양한 구성 요소 유형 및 인스턴스를 사용하여 VDC를 빌드합니다.

4

앞에 나온 VDC의 대략적인 개념 아키텍처는 허브-스포크 토폴로지의 여러 영역에 사용되는 다양한 구성 요소 형식을 보여 줍니다. 이 다이어그램에서는 아키텍처의 여러 부분에 있는 인프라 구성 요소를 보여 줍니다.

일반적으로 액세스 권한 및 권한은 그룹 기반일 수 있습니다. 개별 사용자가 아닌 그룹을 처리하면 팀 전체에서 일관되게 관리할 수 있는 방법을 제공하여 액세스 정책을 쉽게 유지 관리할 수 있으므로 구성 오류를 최소화할 수 있습니다. 적절한 그룹에 사용자를 할당하고 제거하면 특정 사용자의 권한을 최신 상태로 유지하는 데 도움이 됩니다.

각 역할 그룹에는 이름에 고유한 접두사가 있을 수 있습니다. 이 접두사는 그룹이 연결된 워크로드를 쉽게 식별할 수 있도록 합니다. 예를 들어 인증 서비스를 호스트하는 워크로드에는 AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOpsAuthServiceInfraOps라는 그룹이 있을 수 있습니다. 중앙 집중식 역할 또는 특정 서비스와 관련이 없는 역할은 Corp 접두사를 붙일 수 있습니다(예: CorpNetOps).

대부분의 조직에서는 다음과 같은 그룹 변형을 사용하여 역할을 기본적으로 분류합니다.

  • Corp라는 중앙 IT 팀에는 인프라 구성 요소를 제어할 수 있는 소유권이 있습니다. 네트워킹 및 보안을 예로 들 수 있습니다. 그룹은 스포크에서 구독의 기여자 역할, 허브 제어, 네트워크 기여자 권한이 있어야 합니다. 대규모 조직에서는 이러한 관리 책임을 여러 팀에 분산하는 경우가 많습니다. 예를 들어 네트워크 작업 CorpNetOps 그룹은 네트워킹에만 집중하고, 보안 작업 CorpSecOps 그룹은 방화벽과 보안 정책을 담당합니다. 이러한 특정 경우 이러한 사용자 지정 역할 할당을 위해 2개의 다른 그룹을 만들어야 합니다.
  • AppDevOps라는 개발/테스트 그룹은 앱 또는 서비스 워크로드를 배포해야 합니다. 이 그룹은 IaaS 배포에 대한 가상 머신 기여자 역할 또는 하나 이상의 PaaS 기여자 역할을 수행합니다. 자세한 정보는 Azure 기본 제공 역할을 참조하세요. 필요에 따라 개발/테스트 팀에는 허브 또는 특정 스포크 내의 보안 정책(네트워크 보안 그룹) 및 라우팅 정책(사용자 정의 경로)에 대한 가시성이 필요할 수 있습니다. 이 그룹은 워크로드에 대한 기여자 역할 외에도 네트워크 읽기 권한자 역할이 필요합니다.
  • CorpInfraOps 또는 AppInfraOps라는 운영 및 유지 관리 그룹은 프로덕션에서 워크로드를 관리해야 합니다. 이 그룹은 프로덕션 구독에서 워크로드에 대해 구독 참가자여야 합니다. 일부 조직에서는 프로덕션 및 중앙 허브 구독에서 구독 기여자 역할을 맡은 에스컬레이션 지원 팀 그룹이 필요한지 평가할 수도 있습니다. 다른 그룹은 프로덕션 환경에서 잠재적인 구성 문제를 해결합니다.

VDC는 허브를 관리하는 중앙 IT 팀 그룹이 워크로드 수준에서 해당 그룹을 갖도록 설계되었습니다. 중앙 IT 팀은 허브 리소스 관리 외에도 구독에 대한 외부 액세스 및 최상위 권한을 제어할 수 있습니다. 또한 워크로드 그룹은 중앙 IT 팀과 독립적으로 가상 네트워크의 리소스와 권한을 제어할 수 있습니다.

가상 데이터 센터는 여러 사업 부문에서 여러 프로젝트를 안전하게 호스트할 수 있도록 분할됩니다. 모든 프로젝트에는 격리된 다른 환경(개발, UAT 및 프로덕션)이 필요합니다. 이러한 각 환경에 대해 별도의 Azure 구독을 통해 자연스럽게 격리할 수 있습니다.

5

위의 다이어그램은 조직의 프로젝트, 사용자, 그룹 및 Azure 구성 요소가 배포되는 환경 간의 관계를 보여 줍니다.

일반적으로 IT 부서에서 환경(또는 계층)은 여러 애플리케이션이 배포되고 실행되는 시스템입니다. 대기업은 개발 환경(변경 및 테스트가 수행되는 환경)과 프로덕션 환경(최종 사용자가 사용하는 환경)을 사용합니다. 이러한 환경은 종종 여러 스테이징 환경과 함께 분리되어 문제가 발생하는 경우 단계적 배포(롤아웃), 테스트 및 롤백을 허용합니다. 배포 아키텍처는 매우 다양하지만 일반적으로 개발(DEV)에서 시작하고 프로덕션(PROD)에서 끝나는 기본적인 프로세스가 계속 유지됩니다.

이러한 유형의 다중 계층 환경에 대한 일반적인 아키텍처에는 개발 및 테스트에 대한 DevOps, 스테이징용 UAT 및 프로덕션 환경이 포함됩니다. 조직에서는 단일 또는 여러 Azure AD 테넌트를 사용하여 이러한 환경에 대한 액세스 및 권한을 정의할 수 있습니다. 위 다이어그램에서는 DevOps 및 UAT에 사용되는 하나의 Azure AD 테넌트와 프로덕션에만 사용되는 Azure 테넌트가 있는 경우를 보여 줍니다.

다른 Azure AD 테넌트가 존재하므로 환경이 격리됩니다. 중앙 IT 팀과 같은 동일한 사용자 그룹은 다른 URI를 사용하여 다른 Azure AD 테넌트에 액세스하여 인증해야 합니다. 이렇게 하면 팀에서 프로젝트의 DevOps 또는 프로덕션 환경의 역할 또는 권한을 수정할 수 있습니다. 다른 환경에 액세스할 때마다 다른 사용자 인증을 사용하면 작동 중단 및 인간의 오류로 인한 기타 문제를 줄일 수 있습니다.

구성 요소 유형: 인프라

이 구성 요소 유형은 대부분의 지원 인프라가 있는 위치입니다. 중앙 집중식 IT, 보안 및 규정 준수 팀이 대부분의 시간을 보내는 위치이기도 합니다.

6

인프라 구성 요소는 VDC 구현의 다양한 구성 요소에 대한 상호 연결을 제공하며 허브 및 스포크 둘 다에 존재합니다. 인프라 구성 요소를 관리하고 유지 관리하는 책임은 일반적으로 중앙 IT 팀 또는 보안 팀에 할당됩니다.

IT 인프라 팀의 주요 작업 중 하나는 엔터프라이즈에서 IP 주소 스키마의 일관성을 보장하는 것입니다. VDC 구현에 할당된 개인 IP 주소 공간은 일관되어야 하며, 온-프레미스 네트워크에 할당된 개인 IP 주소와 겹치지 않아야 합니다.

온-프레미스 Edge 라우터 또는 Azure 환경의 NAT는 IP 주소 충돌을 방지할 수 있으나 인프라 구성 요소를 더 복잡하게 만듭니다. 관리의 간편성은 VDC의 주요 목표 중 하나입니다. NAT를 사용하여 IP 문제를 처리하지만 유효한 솔루션은 권장되지 않습니다.

인프라 구성 요소는 다음과 같은 기능을 갖고 있습니다.

  • ID 및 디렉터리 서비스: Azure의 모든 리소스 종류에 대한 액세스는 디렉터리 서비스에 저장된 ID에 의해 제어됩니다. 디렉터리 서비스는 사용자 목록 뿐만 아니라 특정 Azure 구독의 리소스에 대한 액세스 권한도 저장합니다. 이러한 서비스는 클라우드에 존재하거나 Active Directory에 저장된 온-프레미스 ID와 동기화할 수 있습니다.
  • 가상 네트워크: 가상 네트워크는 VDC의 주요 구성 요소 중 하나이며 Azure 플랫폼에서 트래픽 격리 경계를 만들 수 있습니다. 가상 네트워크는 각각 특정 IP 네트워크 접두사(서브넷, IPv4 또는 이중 스택 IPv4/IPv6)가 있는 단일 또는 여러 가상 네트워크 세그먼트로 구성됩니다. 가상 네트워크는 IaaS 가상 머신 및 PaaS 서비스가 프라이빗 통신을 구성할 수 있는 내부 경계 영역을 정의합니다. 한 가상 네트워크의 VM(및 PaaS 서비스)은 다른 가상 네트워크의 VM(및 PaaS 서비스)과 직접 통신할 수 없습니다. 동일한 고객이 동일한 구독에서 두 가상 네트워크를 만든 경우에도 마찬가지입니다. 격리는 고객 VM과 통신이 가상 네트워크 안에서 프라이빗 상태를 유지하는 데 있어 중요한 속성입니다. 네트워크 간 연결이 필요한 경우 다음 기능은 이를 수행하는 방법을 설명합니다.
  • 가상 네트워크 피어링: VDC의 인프라를 만드는 데 사용되는 기본 기능은 동일한 지역에 있는 두 가상 네트워크를 연결하는 가상 네트워크 피어링입니다. 이 연결은 Azure 데이터 센터 네트워크를 통해 또는 지역 전체의 Azure 전 세계 백본을 사용하여 발생합니다.
  • Virtual Network 서비스 엔드포인트: 서비스 엔드포인트는 PaaS 공간을 포함하도록 가상 네트워크 개인 주소 공간을 확장합니다. 또한 엔드포인트는 직접 연결을 통해 가상 네트워크의 ID를 Azure 서비스로 확장합니다. 엔드포인트를 사용하면 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있습니다.
  • Private Link: Azure Private Link를 사용하면 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure PaaS Services(예: Azure Storage, Azure Cosmos DBAzure SQL Database)와 Azure 호스팅 고객/파트너 서비스에 액세스할 수 있습니다. 가상 네트워크와 서비스 간의 트래픽은 Microsoft 백본 네트워크를 통해 이동하여 공용 인터넷에서 노출을 제거합니다. 또한 가상 네트워크에서 자체 Private Link 서비스를 만들어 고객에게 개인적으로 제공할 수 있습니다. Azure Private Link를 사용하는 설정 및 사용 환경은 Azure PaaS, 고객 소유/공유 파트너 서비스에서 일관적입니다.
  • 사용자 정의 경로: 가상 네트워크의 트래픽은 기본적으로 시스템 라우팅 테이블에 따라 라우팅됩니다. 사용자 정의 경로는 네트워크 관리자가 하나 이상의 서브넷에 연결하여 시스템 라우팅 테이블의 동작을 재정의하고 가상 네트워크 내에서 통신 경로를 정의할 수 있는 사용자 지정 라우팅 테이블입니다. 사용자 정의 경로가 있으면 허브와 스포크 모두에 있는 특정 사용자 지정 VM 또는 네트워크 가상 어플라이언스 및 부하 분산 장치를 통해 스포크 전송의 트래픽을 보장합니다.
  • 네트워크 보안 그룹: 네트워크 보안 그룹은 IP 원본, IP 대상, 프로토콜, IP 원본 포트 및 IP 대상 포트(계층 4 5 튜플이라고도 함)에서 트래픽 필터링 역할을 하는 보안 규칙 목록입니다. 네트워크 보안 그룹은 서브넷, Azure VM과 연결된 가상 NIC 또는 둘 다에 적용할 수 있습니다. 네트워크 보안 그룹은 허브와 스포크에서 올바른 흐름 제어를 구현하는 데 필수적입니다. 네트워크 보안 그룹에서 제공하는 보안 수준은 여는 포트와 용도에 따라 달라집니다. 고객은 iptables 또는 Windows 방화벽과 같은 호스트 기반 방화벽을 사용하여 VM별 필터를 더 많이 적용할 수 있습니다.
  • DNS: DNS는 가상 데이터 센터의 리소스에 대한 이름 확인을 제공합니다. Azure는 퍼블릭프라이빗 이름 확인 모두에 대한 DNS 서비스를 제공합니다. 프라이빗 영역은 가상 네트워크 내 및 가상 네트워크를 통해 이름 확인을 제공합니다. 프라이빗 영역은 동일한 지역의 가상 네트워크와 지역 및 구독에 걸쳐 확장할 수 있습니다. 공용 확인을 위해 Azure DNS는 DNS 도메인에 대한 호스팅 서비스를 제공하고 Microsoft Azure 인프라를 사용하는 이름 확인을 제공합니다. Azure에 도메인을 호스트하면 다른 Azure 서비스와 동일한 자격 증명, API, 도구 및 대금 청구를 사용하여 DNS 레코드를 관리할 수 있습니다.
  • 관리 그룹, 구독리소스 그룹 관리. 구독은 Azure에서 여러 리소스 그룹을 만들기 위한 기본 경계를 정의합니다. 이 분리는 기능, 역할 분리 또는 청구를 위한 것일 수 있습니다. 구독의 리소스는 '리소스 그룹'이라는 논리 컨테이너에서 함께 어셈블됩니다. 리소스 그룹은 가상 데이터 센터에서 리소스를 구성하기 위한 논리 그룹을 나타냅니다. 조직에 구독이 많은 경우 해당 구독에 대한 액세스, 정책 및 규정 준수를 효율적으로 관리하는 방법이 필요할 수 있습니다. Azure 관리 그룹은 구독 상위 수준의 범위를 제공합니다. 구독을 '관리 그룹'이라는 컨테이너에 구성하고 거버넌스 조건을 관리 그룹에 적용합니다. 관리 그룹에 속하는 모든 구독은 관리 그룹에 적용되는 조건을 자동으로 상속합니다. 계층 구조 보기에서 이러한 세 가지 기능을 보려면 클라우드 채택 프레임워크에서 리소스 구성을 참조하세요.
  • Azure RBAC(Azure 역할 기반 액세스 제어): Azure RBAC는 조직 역할 및 권한을 매핑하여 특정 Azure 리소스에 액세스할 수 있습니다. 이렇게 하면 특정 작업 하위 집합으로만 사용자를 제한할 수 있습니다. Azure Active Directory를 온-프레미스 Active Directory와 동기화하는 경우 온-프레미스에서 사용하는 것과 동일한 Active Directory 그룹을 Azure에서 사용할 수 있습니다. Azure RBAC를 사용하면 관련 범위 내에서 적절한 역할을 사용자, 그룹 및 애플리케이션에 할당하여 액세스 권한을 부여할 수 있습니다. 역할 할당의 범위는 Azure 구독, 리소스 그룹 또는 단일 리소스일 수 있습니다. Azure RBAC는 권한 상속을 허용합니다. 부모 범위에서 할당된 역할은 역할 내에 포함된 하위 항목에 대한 액세스를 부여합니다. Azure RBAC를 사용하면 업무를 분리하고 작업을 수행하는 데 필요한 사용자에 대한 액세스 권한만 부여할 수 있습니다. 예를 들어 한 직원은 구독에서 가상 머신을 관리할 수 있고, 다른 직원은 동일한 구독에서 SQL Server 데이터베이스를 관리할 수 있습니다.

구성 요소 유형: 경계 네트워크

경계 네트워크(DMZ 네트워크라고도 함)의 구성 요소는 인터넷 연결과 함께 온-프레미스 또는 물리적 데이터 센터 네트워크를 연결합니다. 경계에는 일반적으로 네트워크 및 보안 팀의 상당한 시간 투자가 필요합니다.

들어오는 패킷은 스포크에서 백 엔드 서버 및 서비스에 도달하기 전에 허브의 보안 어플라이언스를 통해 흐를 수 있습니다. 예를 들어 방화벽, IDS 및 IPS가 있습니다. 네트워크를 나가기 전에 워크로드의 인터넷 바인딩된 패킷은 경계 네트워크의 보안 어플라이언스를 통해 흐를 수도 있습니다. 이 흐름을 통해 정책 적용, 검사 및 감사를 수행할 수 있습니다.

경계 네트워크 구성 요소는 다음과 같습니다.

일반적으로 중앙 IT 팀과 보안 팀은 경계 네트워크에 대한 요구 사항을 정의하고 운영해야 합니다.

7

앞의 다이어그램에서는 인터넷 및 온-프레미스 네트워크에 액세스할 수 있는 두 개의 경계(모두 DMZ 허브에 상주)를 적용하는 것을 보여 줍니다. DMZ 허브에서 인터넷에 대한 경계 네트워크는 WAF(웹 애플리케이션 방화벽) 또는 Azure Firewall의 여러 팜을 사용하여 여러 사업 부문을 지원하도록 스케일 업할 수 있습니다. 또한 허브는 필요에 따라 VPN 또는 ExpressRoute를 통한 온-프레미스 연결을 허용합니다.

참고

위의 다이어그램에서 DMZ Hub다음의 많은 기능은 Azure Virtual WAN 허브(예: 가상 네트워크, 사용자 정의 경로, 네트워크 보안 그룹, VPN 게이트웨이, ExpressRoute 게이트웨이, Azure Load Balancer, Azure Firewalls, Firewall Manager 및 DDOS)에서 함께 번들로 제공될 수 있습니다. Azure Virtual WAN 허브를 사용하면 Azure Virtual WAN 허브를 배포할 때 대부분의 엔지니어링 복잡성이 Azure에서 처리되므로 허브 가상 네트워크 및 VDC를 훨씬 쉽게 만들 수 있습니다.

가상 네트워크 허브는 일반적으로 다양한 유형의 서비스를 호스트하는 여러 서브넷이 있는 가상 네트워크에 빌드됩니다. 이러한 서비스는 Azure Firewall, NVA, WAF 및 Azure Application Gateway 인스턴스를 통해 인터넷 간 트래픽을 필터링하고 검사합니다.

사용자 정의 경로. 사용자 정의 경로를 사용하면 고객은 방화벽, IDS/IPS 및 기타 가상 어플라이언스를 배포할 수 있습니다. 고객은 보안 경계 정책 적용, 감사 및 검사를 위해 이러한 보안 어플라이언스를 통해 네트워크 트래픽을 라우팅할 수 있습니다. 트래픽이 VDC 구현에서 사용되는 특정 사용자 지정 VM, 네트워크 가상 어플라이언스 및 부하 분산 장치를 통해 전송되도록 허브와 스포크 모두에서 사용자 정의 경로를 만들 수 있습니다. 스포크에 있는 가상 머신에서 생성된 트래픽이 올바른 가상 어플라이언스로 전송되도록 하려면 스포크 서브넷에서 사용자 정의 경로를 설정해야 합니다. 이 작업은 내부 부하 분산 장치의 프런트 엔드 IP 주소를 다음 홉으로 설정하여 수행됩니다. 내부 부하 분산 장치는 내부 트래픽을 가상 어플라이언스(부하 분산 장치 백 엔드 풀)에 배포합니다.

Azure Firewall은 Azure Virtual Network 리소스를 보호하는 관리형 네트워크 보안 서비스입니다. 고가용성과 클라우드 확장성을 갖춘 상태 저장 관리형 방화벽입니다. 구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다. Azure Firewall은 가상 네트워크 리소스에 고정 공용 IP 주소를 사용합니다. 외부 방화벽이 사용자의 가상 네트워크에서 시작되는 트래픽을 식별할 수 있습니다. 이 서비스는 로깅 및 분석을 위해 Azure Monitor와 완전히 통합됩니다.

Azure Virtual WAN 토폴로지를 사용하는 경우 Azure Firewall Manager는 클라우드 기반 보안 경계에 대한 중앙 보안 정책 및 경로 관리를 제공하는 보안 관리 서비스입니다. 허브 및 스포크 아키텍처를 쉽게 만들 수 있는 Microsoft 관리 리소스인 Azure Virtual WAN 허브에서 작동합니다. 보안 및 라우팅 정책이 허브와 연결된 경우 이를 보안 가상 허브라고 합니다.

네트워크 가상 어플라이언스. 허브에서 인터넷에 액세스할 수 있는 경계 네트워크는 일반적으로 Azure Firewall 인스턴스 또는 방화벽이나 WAF(웹 애플리케이션 방화벽) 팜을 통해 관리됩니다.

다양한 사업 부문에서는 일반적으로 다양한 취약성과 잠재적인 악용으로 고통받는 경향이 있는 많은 웹 애플리케이션을 사용합니다. 웹 애플리케이션 방화벽은 일반 방화벽보다 웹 애플리케이션 및 HTTP/HTTPS에 대한 공격을 검색하는 데 사용되는 특수한 유형의 제품입니다. 전형적인 방화벽 기술에 비해 WAF는 위협으로부터 내부 웹 서버를 보호하기 위한 특정 기능 집합을 포함합니다.

Azure Firewall 또는 NVA 방화벽은 스포크에서 호스트되는 워크로드를 보호하고 온-프레미스 네트워크에 대한 액세스를 제어하는 보안 규칙 집합과 함께 공통 관리 평면을 사용합니다. Azure Firewall은 확장성이 내장되어 있고, NVA 방화벽은 부하 분산 장치 뒤에서 수동으로 확장할 수 있습니다. 일반적으로 방화벽 팜은 WAF에 비해 덜 특수한 소프트웨어를 사용하지만, 송신 및 수신 중인 트래픽 유형을 필터링하고 검사하기 위한 광범위한 애플리케이션 범위를 유지합니다. NVA 접근 방식을 사용하는 경우 Azure Marketplace에서 찾아서 배포할 수 있습니다.

인터넷에서 시작되는 트래픽에 하나의 Azure Firewall 인스턴스 또는 NVA 집합을 사용하고, 온-프레미스에서 시작되는 트래픽에는 또 다른 집합을 사용하는 것이 좋습니다. 방화벽 집합 하나를 두 트래픽에 모두 사용하면 두 네트워크 트래픽 집합 사이에 보안 경계가 없어지므로 보안 위험이 초래됩니다. 별도의 방화벽 계층을 사용하면 보안 규칙을 확인하는 복잡성이 줄어들어 들어오는 네트워크 요청에 해당하는 규칙이 명확해집니다.

Azure Load Balancer는 들어오는 트래픽을 부하 분산 집합에 정의된 서비스 인스턴스 간에 분산할 수 있는 고가용성 계층 4(TCP/UDP) 서비스를 제공합니다. 프런트 엔드 엔드포인트(공용 IP 엔드포인트 또는 개인 IP 엔드포인트)에서 부하 분산 장치로 전송된 트래픽은 주소 변환을 사용하거나 사용하지 않고 백 엔드 IP 주소 풀 집합(예: 네트워크 가상 어플라이언스 또는 가상 머신)으로 재배포할 수 있습니다.

Azure Load Balancer 다양한 서버 인스턴스의 상태를 검색할 수 있습니다. 인스턴스가 프로브에 응답하지 않으면 부하 분산 장치는 더 이상 비정상 인스턴스로 트래픽을 전송하지 않습니다. 데이터 센터에서 외부 부하 분산 장치는 허브 및 스포크에 배포됩니다. 허브에서 부하 분산 장치는 방화벽 인스턴스 간에 트래픽을 효율적으로 라우팅하는 데 사용됩니다. 스포크에서 부하 분산 장치는 애플리케이션 트래픽을 관리하는 데 사용됩니다.

AFD(Azure Front Door)는 Microsoft의 고가용성 및 확장성 있는 웹 애플리케이션 가속 플랫폼, 글로벌 HTTP 부하 분산 장치, 애플리케이션 보호 및 콘텐츠 배달 네트워크입니다. Microsoft 글로벌 네트워크의 에지에 있는 100개가 넘는 위치에서 실행되는 AFD를 사용하면 동적 웹 애플리케이션 및 정적 콘텐츠를 구축, 운영 및 스케일 아웃할 수 있습니다. AFD는 애플리케이션에 세계적 수준의 최종 사용자 성능, 통합된 지역/스탬프 유지 관리 자동화, BCDR 자동화, 통합 클라이언트/사용자 정보, 캐싱 및 서비스 인사이트를 제공합니다.

플랫폼에서 제공하는 것은 다음과 같습니다.

  • 성능, 안정성 및 지원 SLA(서비스 수준 계약).
  • 규정 준수 인증
  • Azure에서 개발, 운영 및 기본적으로 지원하는 감사 가능한 보안 사례

Azure Front Door는 일반적인 취약성 및 노출로부터 웹 애플리케이션을 보호하는 WAF(웹 애플리케이션 방화벽)도 제공합니다.

Azure Application Gateway는 관리되는 애플리케이션 전송 컨트롤러를 제공하는 전용 가상 어플라이언스입니다. 애플리케이션에 대한 다양한 계층 7 부하 분산 기능을 제공합니다. 이를 통해 CPU 집약적인 SSL 종료를 애플리케이션 게이트웨이에 오프로드하여 웹 팜 성능을 최적화할 수 있습니다. 또한 들어오는 트래픽의 라운드 로빈 배포, 쿠키 기반 세션 선호도, URL 경로 기반 라우팅 및 단일 애플리케이션 게이트웨이 내부에서 여러 웹 사이트를 호스트할 수 있는 기능과 같은 다른 계층 7 라우팅 기능을 제공합니다. WAF(웹 애플리케이션 방화벽) 또한 Application Gateway WAF SKU의 일부로 제공됩니다. 이 SKU 기능은 일반적인 웹 취약점 및 악용으로부터 웹 애플리케이션을 보호합니다. 애플리케이션 게이트웨이는 인터넷 연결 게이트웨이, 내부 전용 게이트웨이 또는 둘의 조합으로 구성할 수 있습니다.

공용 IP. 일부 Azure 기능을 사용하면 인터넷에서 리소스에 액세스할 수 있도록 서비스 엔드포인트를 공용 IP 주소에 연결할 수 있습니다. 이 엔드포인트는 NAT를 사용하여 트래픽을 Azure의 가상 네트워크에 있는 내부 주소 및 포트로 라우팅합니다. 이 경로가 외부 트래픽을 가상 네트워크 내부로 전달하는 기본 방법입니다. 공용 IP 주소를 구성하여 어떤 트래픽을 안으로 들일 것인지, 가상 네트워크의 어느 부분에서 어떻게 전환할 것인지 결정할 수 있습니다.

Azure DDoS Protection 표준 은 Azure 가상 네트워크 리소스에 맞게 특별히 조정된 기본 서비스 계층에 대해 더 많은 완화 기능을 제공합니다. DDoS Protection 표준은 간단히 사용하도록 설정할 수 있고 애플리케이션을 변경할 필요가 없습니다. 보호 정책은 전용 트래픽 모니터링 및 기계 학습 알고리즘을 통해 조정됩니다. 정책은 가상 네트워크에 배포된 리소스와 연결된 공용 IP 주소에 적용됩니다. 예를 들어 Azure 부하 분산 장치, Azure 애플리케이션 게이트웨이 및 Azure 서비스 패브릭 인스턴스가 있습니다. 거의 실시간에 가까운 시스템 생성 로그는 공격 중 Azure 모니터 뷰 및 기록을 통해 사용할 수 있습니다. 애플리케이션 계층 보호는 Azure Application Gateway 웹 애플리케이션 방화벽을 통해 추가할 수 있습니다. IPv4 및 IPv6 Azure 공용 IP 주소에 대해 보호가 제공됩니다.

허브 및 스포크 토폴로지는 가상 네트워크 피어링 및 사용자 정의 경로를 사용하여 트래픽을 적절하게 라우팅합니다.

8

다이어그램에서 사용자 정의 경로는 트래픽이 ExpressRoute 게이트웨이를 통해 온-프레미스로 전달되기 전에 스포크에서 방화벽으로 이동하도록 합니다(방화벽 정책에서 해당 흐름을 허용하는 경우).

구성 요소 유형: 모니터링

모니터링 구성 요소는 다른 모든 구성 요소 유형의 가시성 및 경고를 제공합니다. 모든 팀은 액세스 권한이 있는 구성 요소 및 서비스에 대한 모니터링에 액세스할 수 있습니다. 중앙 지원 센터 또는 작업 팀이 있는 경우 이러한 구성 요소에서 제공하는 데이터에 대한 통합된 액세스 권한이 필요합니다.

Azure는 Azure 호스팅 리소스의 동작을 추적하기 위한 다양한 유형의 로깅 및 모니터링 서비스를 제공합니다. Azure에서 워크로드의 거버넌스 및 제어는 로그 데이터 수집뿐만 아니라 보고된 특정 이벤트를 기반으로 작업을 트리거하는 기능도 기반으로 합니다.

Azure Monitor Azure에는 모니터링 공간에서 특정 역할이나 태스크를 개별적으로 수행하는 여러 서비스가 포함됩니다. 이러한 서비스는 모두 애플리케이션 및 이를 지원하는 Azure 리소스로부터 시스템 생성 로그를 수집하고 분석하고 처리하는 종합적인 솔루션을 제공합니다. 또한 중요한 온-프레미스 리소스를 모니터링하여 하이브리드 모니터링 환경을 제공할 수도 있습니다. 사용 가능한 도구와 데이터를 이해하는 것은 애플리케이션에 대한 전체 모니터링 전략을 개발하는 첫 번째 단계입니다.

Azure Monitor에는 두 가지 기본 유형의 로그가 있습니다.

  • 메트릭은 시간상 특정 지점에서 시스템의 일부 측면을 설명하는 숫자 값입니다. 경량이며 거의 실시간 시나리오를 지원할 수 있습니다. 많은 Azure 리소스의 경우 Azure Portal의 개요 페이지에 Azure Monitor에서 수집한 데이터가 표시됩니다. 예를 들어 가상 머신을 살펴보면 성능 메트릭을 표시하는 여러 차트를 볼 수 있습니다. 그래프 중 하나를 선택하여 Azure Portal의 메트릭 탐색기에서 데이터를 열면 시간 경과에 따른 여러 메트릭 값을 차트로 표시할 수 있습니다. 대화형으로 차트를 보거나 다른 시각화 요소를 사용하여 보려는 대시보드에 고정할 수 있습니다.

  • 로그에는 각 형식에 대해 다양한 속성 집합이 포함된 레코드로 구성된 다양한 데이터 형식이 포함됩니다. 이벤트 및 추적은 분석을 위해 모두 결합할 수 있는 성능 데이터와 함께 로그로 저장됩니다. Azure Monitor로 수집한 로그 데이터는 수집된 데이터를 신속하게 검색, 통합 및 분석하는 쿼리로 분석할 수 있습니다. 로그는 로그 분석에서 저장되고 쿼리됩니다. Azure Portal에서 로그 분석을 사용하여 쿼리를 만들고 테스트하고, 이러한 도구를 사용하여 데이터를 직접 분석하거나 시각화 또는 경고 규칙과 함께 사용할 쿼리를 저장할 수 있습니다.

9

Azure Monitor는 다양한 원본에서 데이터를 수집할 수 있습니다. 애플리케이션, 운영 체제 및 사용하는 서비스에서 Azure 플랫폼 자체에 이르기까지 계층의 애플리케이션에 대한 데이터 모니터링을 생각할 수 있습니다. Azure Monitor는 다음과 같은 각 계층에서 데이터를 수집합니다.

  • 애플리케이션 모니터링 데이터: 플랫폼에 관계없이 작성한 코드의 성능 및 기능에 대한 데이터입니다.
  • 게스트 OS 모니터링 데이터: 애플리케이션이 실행되고 있는 운영 체제에 대한 데이터입니다. 이 OS는 Azure, 다른 클라우드 또는 온-프레미스에서 실행될 수 있습니다.
  • Azure 리소스 모니터링 데이터: Azure 리소스의 작업에 대한 데이터입니다.
  • Azure 구독 모니터링 데이터: Azure 구독의 작업 및 관리, Azure 자체의 상태 및 운영에 대한 데이터입니다.
  • Azure 테넌트 모니터링 데이터: Azure Active Directory 같은 테넌트 수준 Azure 서비스의 작업에 대한 데이터입니다.
  • 사용자 지정 원본: 온-프레미스 원본에서 보낸 로그도 포함될 수 있습니다. 예를 들어 온-프레미스 서버 이벤트 또는 네트워크 디바이스 syslog 출력이 있습니다.

데이터 모니터링은 계산 환경의 작업에 대한 가시성을 높일 수 있는 경우에만 유용합니다. Azure Monitor에는 애플리케이션 및 종속되는 기타 리소스에 대한 유용한 인사이트를 제공하는 여러 기능과 도구가 포함되어 있습니다. 애플리케이션 인사이트 및 컨테이너용 Azure Monitor와 같은 솔루션 및 기능을 모니터링하면 애플리케이션 및 특정 Azure 서비스의 다양한 측면에 대한 심층적인 인사이트를 제공합니다.

Azure Monitor의 관리 솔루션은 특정 애플리케이션이나 서비스를 깊이 있게 이해하도록 하는 패키지된 논리 집합입니다. 여기에는 애플리케이션 또는 서비스에 대한 모니터링 데이터를 수집하기 위한 논리, 해당 데이터를 분석하기 위한 쿼리 및 시각화를 위한 뷰가 포함됩니다. 모니터링 솔루션은 다양한 Azure 서비스 및 다른 애플리케이션에 대한 모니터링이 가능하도록 Microsoft 및 파트너 업체에서 제공합니다.

이러한 풍부한 데이터 컬렉션을 사용하면 사용자 환경에서 발생하는 이벤트에 대해 사전 조치를 취하는 것이 중요합니다. 특히 수동 쿼리만으로는 충분하지 않습니다. Azure Monitor의 경고는 위험한 상황을 사전에 알리고 잠재적으로 조치를 취합니다. 메트릭을 기반으로 하는 경고 규칙은 숫자 값을 기반으로 거의 실시간 경고를 제공합니다. 로그를 기반으로 하는 경고 규칙은 여러 원본의 데이터 간에 복잡한 논리를 허용합니다. Azure Monitor의 경고 규칙은 고유한 수신자 집합 및 여러 규칙 간에 공유할 수 있는 작업을 포함하는 작업 그룹을 사용합니다. 요구 사항에 따라 작업 그룹은 경고가 외부 작업을 시작하거나 ITSM 도구와 통합되도록 하는 웹후크를 사용할 수 있습니다.

또한 Azure Monitor를 사용하면 사용자 지정 대시보드를 만들 수 있습니다. Azure 대시보드를 사용하면 메트릭 및 로그를 포함한 여러 종류의 데이터를 Azure Portal의 단일 창으로 결합할 수 있습니다. 필요에 따라 대시보드를 다른 Azure 사용자와 공유할 수 있습니다. 로그 쿼리 또는 메트릭 차트의 출력 외에도 Azure Monitor 전체의 요소를 Azure 대시보드에 추가할 수 있습니다. 예를 들어 메트릭 그래프, 활동 로그 테이블, Application Insights의 사용 현황 차트 및 로그 쿼리의 출력을 보여 주는 타일을 결합하는 대시보드를 만들 수 있습니다.

마지막으로 Azure Monitor 데이터는 Power BI에 대한 네이티브 원본입니다. Power BI 다양한 데이터 원본에서 대화형 시각화를 제공하는 비즈니스 분석 서비스입니다. 또한 조직 내부 및 외부의 다른 사용자가 데이터를 사용할 수 있도록 하는 효과적인 수단이기도 합니다. 이러한 더 많은 시각화를 활용하도록 Azure Monitor에서 로그 데이터를 자동으로 가져오도록 Power BI 구성할 수 있습니다.

Azure Network Watcher는 메트릭을 모니터링, 진단 및 확인하고, Azure의 가상 네트워크에 있는 리소스에 대한 로그를 사용하거나 사용하지 않도록 설정하는 도구를 제공합니다. 다음과 같은 기능을 허용하는 다면적 서비스입니다.

  • 가상 머신과 엔드포인트 간의 통신 모니터링.
  • 가상 네트워크의 리소스와 해당 리소스의 관계 보기.
  • VM에 대한 네트워크 트래픽 필터링 문제 진단.
  • VM에서 네트워크 경로 설정 문제 진단.
  • VM에서 아웃바운드 연결 진단.
  • VM에 대한 패킷 캡처.
  • 가상 네트워크 게이트웨이 및 연결 문제를 진단합니다.
  • Azure 지역과 인터넷 서비스 공급자 간의 상대 대기 시간 결정.
  • 네트워크 인터페이스에 대한 보안 규칙 보기.
  • 네트워크 메트릭 보기.
  • 네트워크 보안 그룹에 대한 트래픽 분석.
  • 네트워크 리소스에 대한 진단 로그 보기.

구성 요소 유형: 워크로드

워크로드 구성 요소는 실제 애플리케이션 및 서비스가 있는 위치입니다. 애플리케이션 개발 팀에서 대부분의 시간을 보내는 위치입니다.

워크로드 가능성은 무궁무진합니다. 다음은 몇 가지 가능한 워크로드 유형입니다.

내부 애플리케이션: LOB(기간 업무) 애플리케이션은 기업 운영에 매우 중요합니다. 이러한 애플리케이션에는 다음과 같은 몇 가지 공통적인 특성이 있습니다.

  • 대화형: 데이터가 입력되고 결과 또는 보고서가 반환됩니다.
  • 데이터 기반: 데이터베이스 또는 기타 스토리지에 자주 액세스하는 데이터 집약적입니다.
  • 통합: 조직 내부 또는 외부의 다른 시스템과의 통합을 제공합니다.

고객 연결 웹사이트(인터넷 연결 또는 내부 연결): 대부분의 인터넷 애플리케이션은 웹사이트입니다. Azure는 IaaS 가상 머신 또는 Azure Web Apps 사이트(PaaS)를 통해 웹 사이트를 실행할 수 있습니다. Azure 웹앱은 가상 네트워크와 통합되어 스포크 네트워크 영역에 웹앱을 배포합니다. 내부 연결 웹 사이트는 개인 가상 네트워크에서 인터넷으로 라우팅할 수 없는 개인 주소를 통해 리소스에 액세스할 수 있으므로 퍼블릭 인터넷 엔드포인트를 공개할 필요가 없습니다.

빅 데이터 분석: 데이터를 더 큰 볼륨으로 확장해야 하는 경우 관계형 데이터베이스는 데이터의 극단적인 부하 또는 구조화되지 않은 특성 하에서 잘 수행되지 않을 수 있습니다. Azure HDInsight는 엔터프라이즈용 클라우드의 전체 범위 관리형 오픈 소스 분석 서비스입니다. Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm 및 R. HDInsight와 같은 오픈 소스 프레임워크를 사용할 수 있습니다. 이렇게 하면 가상 데이터 센터의 스포크에서 클러스터에 배포할 수 있는 위치 기반 가상 네트워크에 배포할 수 있습니다.

이벤트 및 메시징:Azure Event Hubs 는 빅 데이터 스트리밍 플랫폼 및 이벤트 수집 서비스입니다. 초당 수백만 개의 이벤트를 수신하고 처리할 수 있습니다. 짧은 대기 시간과 구성 가능한 시간 보존을 제공하므로 대량의 데이터를 Azure로 수집하고 여러 애플리케이션에서 읽을 수 있습니다. 단일 스트림은 실시간 및 일괄 처리 기반 파이프라인을 모두 지원할 수 있습니다.

Azure Service Bus를 통해 애플리케이션과 서비스 간에 매우 안정적인 클라우드 메시지 서비스를 구현할 수 있습니다. 클라이언트와 서버 간의 조정된 비동기 메시징, 구조적 FIFO(선입 선출) 메시징 및 게시/구독 기능을 제공합니다.

10

이러한 예제는 Azure에서 만들 수 있는 워크로드 유형의 표면을 거의 긁지 않습니다. 기본 웹 및 SQL 앱에서 최신 IoT, 빅 데이터, 기계 학습, AI 등에 이르기까지 모든 것을 만들 수 있습니다.

고가용성: 여러 가상 데이터 센터

지금까지 이 문서에서는 단일 VDC 디자인에 집중하여 복원력에 기여하는 기본 구성 요소와 아키텍처를 설명했습니다. 프로덕션 서비스에 견고한 SLA 수준을 포함하는 데 도움이 되는 Azure Load Balancer, NVA, 가용성 영역, 가용성 집합, 확장 집합 및 기타 기능과 같은 Azure 기능

그러나 가상 데이터 센터는 일반적으로 단일 지역 내에서 구현되므로 전체 지역에 영향을 주는 가동 중단에 취약할 수 있습니다. 고가용성이 필요한 고객은 서로 다른 지역에 배포된 둘 이상의 VDC 구현에서 동일한 프로젝트를 배포하여 서비스를 보호해야 합니다.

SLA 문제 외에도 여러 가상 데이터 센터를 실행하면 다음과 같은 몇 가지 일반적인 시나리오에서 이점을 얻을 수 있습니다.

  • 최종 사용자 또는 파트너의 지역 또는 글로벌 영향력
  • 재해 복구 요구 사항
  • 부하 또는 성능을 위해 트래픽을 데이터 센터 간에 전환하는 메커니즘

지역/글로벌 서비스

Azure 데이터 센터는 전 세계 여러 지역에 있습니다. 여러 Azure 데이터 센터를 선택하는 경우 지리적 거리와 대기 시간이라는 두 가지 관련 요소를 고려합니다. 사용자 환경을 최적화하려면 각 가상 데이터 센터 간의 거리와 각 가상 데이터 센터에서 최종 사용자까지의 거리를 평가합니다.

가상 데이터 센터를 호스트하는 Azure 지역은 조직이 운영되는 모든 법적 관할권의 규정 요구 사항을 준수해야 합니다.

재해 복구

재해 복구 계획의 디자인은 워크로드 유형과 여러 VDC 구현 간에 해당 워크로드의 상태를 동기화하는 기능에 따라 달라집니다. 이상적으로 대부분의 고객은 빠른 장애 조치(failover) 메커니즘을 원하며, 이 요구 사항은 여러 VDC 구현에서 실행되는 배포 간의 애플리케이션 데이터 동기화가 필요할 수 있습니다. 그러자 재해 복구 계획을 설계할 때는 대부분의 애플리케이션이 이러한 데이터 동기화로 인해 발생할 수 있는 대기 시간에 민감하다는 사실을 감안하는 것이 중요합니다.

여러 VDC 구현에 있는 애플리케이션의 동기화 및 하트비트 모니터링을 위해서는 이러한 VDC 구현이 네트워크를 통해 통신할 수 있어야 합니다. 서로 다른 지역의 여러 VDC 구현은 다음을 통해 연결할 수 있습니다.

  • 동일한 Virtual WAN의 지역 간에 Azure Virtual WAN 허브에 기본 제공되는 허브 간 통신
  • 지역 간에 허브를 연결하는 가상 네트워크 피어링
  • ExpressRoute 개인 피어링(각 VDC 구현의 허브가 동일한 ExpressRoute 회로에 연결되는 경우)
  • 회사 백본을 통해 연결된 여러 ExpressRoute 회로 및 ExpressRoute 회로에 연결된 여러 VDC 구현
  • 각 Azure 지역에 있는 VDC 구현의 허브 영역 사이의 사이트 간 VPN 연결

일반적으로 Virtual WAN 허브, 가상 네트워크 피어링 또는 ExpressRoute 연결은 Microsoft 백본을 통과할 때 더 높은 대역폭과 일관된 대기 시간 수준으로 인해 네트워크 연결에 대해 기본적으로 설정됩니다.

네트워크 적격 테스트를 실행하여 이러한 연결의 대기 시간과 대역폭을 확인하고, 결과에 따라 동기 또는 비동기 데이터 복제가 적절한지 여부를 결정합니다. 또한 최적의 복구 시간 목표(RTO) 관점에서 이러한 결과를 저울질하는 것이 중요합니다.

재해 복구: 다른 지역으로 트래픽 우회

Azure Traffic ManagerAzure Front Door는 서로 다른 VDC 구현에서 수신 대기 엔드포인트의 서비스 상태를 주기적으로 확인합니다. 이러한 엔드포인트가 실패하면 Azure Traffic Manager Azure Front Door는 다음으로 가장 가까운 VDC로 자동으로 라우팅됩니다. Traffic Manager는 실시간 사용자 측정 및 DNS를 사용하여 사용자를 가장 가까운(또는 실패 시 다음으로 가까운) 엔드포인트로 라우팅합니다. Azure Front Door는 100개가 넘는 Microsoft 백본 에지 사이트에서 역방향 프록시이며, 애니캐스트를 사용하여 사용자를 가장 가까운 수신 대기 엔드포인트로 라우팅합니다.

요약

마이그레이션에 대한 가상 데이터 센터 접근 방식은 Azure 리소스 사용을 최적화하고, 비용을 절감하고, 시스템 거버넌스를 간소화하는 확장 가능한 아키텍처를 만드는 것입니다. 가상 데이터 센터는 일반적으로 허브 및 스포크 네트워크 토폴로지(가상 네트워크 피어링 또는 Virtual WAN 허브 사용)를 기반으로 합니다. 허브에서 제공되는 공통 공유 서비스와 특정 애플리케이션 및 워크로드가 스포크에 배포됩니다. 또한 가상 데이터 센터는 중앙 IT, DevOps, 운영 및 유지 관리와 같은 여러 부서가 특정 역할을 수행하는 동안 함께 작동하는 회사 역할의 구조와 일치합니다. 가상 데이터 센터는 기존 온-프레미스 워크로드를 Azure로 마이그레이션하도록 지원하지만, 클라우드 네이티브 배포에도 많은 이점을 제공합니다.

참조

이 문서에서 설명하는 Azure 기능에 대해 자세히 알아봅니다.

다음 단계

  • 허브 및 스포크 토폴로지의 핵심 기술인 가상 네트워크 피어링에 대해 자세히 알아봅니다.
  • Azure 역할 기반 액세스 제어를 사용하는 Azure Active Directory를 구현합니다.
  • 조직의 구조, 요구 사항 및 정책에 맞는 Azure 역할 기반 액세스 제어를 사용하여 구독 및 리소스 관리 모델을 개발합니다. 가장 중요한 작업은 계획입니다. 재구성, 합병, 신제품 라인 및 기타 고려 사항이 초기 모델에 미치는 영향을 분석하여 향후 요구 사항과 성장에 맞게 크기 조정할 수 있도록 합니다.