SQL Server를 사용 하는 Azure Stack 허브의 Windows N 계층 응용 프로그램Windows N-tier application on Azure Stack Hub with SQL Server

이 참조 아키텍처에서는 데이터 계층에 대해 Windows에서 SQL Server를 사용 하 여 N 계층 응용 프로그램에 대해 구성 된 vm (가상 컴퓨터) 및 가상 네트워크를 배포 하는 방법을 보여 줍니다.This reference architecture shows how to deploy virtual machines (VMs) and a virtual network configured for an N-tier application, using SQL Server on Windows for the data tier.

ArchitectureArchitecture

이 아키텍처의 구성 요소는 다음과 같습니다.The architecture has the following components.

다이어그램은 Application Gateway, 관리, 웹 계층, 비즈니스 계층, 데이터 계층 및 Active Directory의 6 개 서브넷을 구성 하는 가상 네트워크를 보여 줍니다.

일반General

  • 리소스 그룹.Resource group. 리소스 그룹 은 Azure 리소스를 관리 하는 데 사용 되며, 수명, 소유자 또는 기타 기준에 따라 관리 될 수 있습니다.Resource groups are used to group Azure resources so they can be managed by lifetime, owner, or other criteria.

  • 가용성 집합.Availability Set. 가용성 집합은 VM 중복성 및 가용성을 제공 하는 데이터 센터 구성입니다.Availability set is a datacenter configuration to provide VM redundancy and availability. Azure Stack 허브 스탬프 내에서이 구성을 사용 하면 계획 되거나 계획 되지 않은 유지 관리 이벤트 중에 하나 이상의 가상 컴퓨터를 사용할 수 있습니다.This configuration within an Azure Stack Hub stamp ensures that during either a planned or unplanned maintenance event, at least one virtual machine is available. Vm은 여러 장애 도메인 (Azure Stack 허브 호스트)에 분산 되는 가용성 집합에 배치 됩니다.VMs are placed in an availability set that spreads them across multiple fault domains (Azure Stack Hub hosts)

네트워킹 및 부하 분산Networking and load balancing

  • 가상 네트워크 및 서브넷.Virtual network and subnets. 모든 Azure VM은 서브넷으로 분할 될 수 있는 가상 네트워크에 배포 됩니다.Every Azure VM is deployed into a virtual network that can be segmented into subnets. 각 계층에 대해 별도의 서브넷을 만듭니다.Create a separate subnet for each tier.

  • 계층 7 Load Balancer입니다.Layer 7 Load Balancer. Application Gateway를 Azure Stack hub에서 아직 사용할 수 없으므로 Azure Stack 허브 시장 환경 에서 사용할 수 있는 대체 항목이 있습니다. 예를 들어 kemp loadmaster Load Balancer ADC 콘텐츠 전환 / f5 빅 IP 가상 버전 또는 A10 vthunder 고 adcAs Application Gateway is not yet available on Azure Stack Hub, there are alternatives available on Azure Stack Hub Market place such as: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition or A10 vThunder ADC

  • 부하 분산 장치.Load balancers. Azure Load Balancer 를 사용 하 여 웹 계층에서 비즈니스 계층으로, 비즈니스 계층에서 SQL Server로 네트워크 트래픽을 분산 합니다.Use Azure Load Balancer to distribute network traffic from the web tier to the business tier, and from the business tier to SQL Server.

  • Nsgs ( 네트워크 보안 그룹 ).Network security groups (NSGs). NSGs를 사용 하 여 가상 네트워크 내의 네트워크 트래픽을 제한 합니다.Use NSGs to restrict network traffic within the virtual network. 예를 들어 여기에 표시된 3계층 아키텍처에서 데이터베이스 계층은 비즈니스 계층 및 관리 서브넷뿐 아니라 웹 프론트 엔드의 트래픽을 허용하지 않습니다.For example, in the three-tier architecture shown here, the database tier does not accept traffic from the web front end, only from the business tier and the management subnet.

  • DNS.DNS. Azure Stack 허브가 자체 DNS 호스팅 서비스를 제공 하지 않으므로 추가에서 DNS 서버를 사용 하세요.Azure Stack Hub does not provide its own DNS hosting service, so please use the DNS server in your ADDS.

가상 머신Virtual machines

  • Always On 가용성 그룹을 SQL Server 합니다.SQL Server Always On Availability Group. 복제 및 장애 조치(failover)를 사용하여 데이터 계층에서 높은 가용성을 제공합니다.Provides high availability at the data tier, by enabling replication and failover. 장애 조치(failover)에 대해 WSFC(Windows Server 장애 조치 클러스터) 기술을 사용합니다.It uses Windows Server Failover Cluster (WSFC) technology for failover.

  • AD DS(Active Directory Domain Services) 서버.Active Directory Domain Services (AD DS) Servers. 장애 조치(failover) 클러스터 및 관련 클러스터형 역할에 대한 컴퓨터 개체는 AD DS(Active Directory Domain Services)에서 만들어집니다.The computer objects for the failover cluster and its associated clustered roles are created in Active Directory Domain Services (AD DS). 다른 Vm을 AD DS에 조인 하려면 동일한 가상 네트워크의 Vm에 AD DS 서버를 설정 하는 것이 좋습니다.Set up AD DS servers in VMs in the same virtual network are preferred method to join other VMs to AD DS. VPN 연결을 사용 하 여 엔터프라이즈 네트워크에 가상 네트워크를 연결 하 여 Vm을 기존 엔터프라이즈 AD DS에 조인할 수도 있습니다.You can also join the VMs to existing Enterprise AD DS by connecting virtual network to Enterprise network with VPN connection. 두 방법을 모두 사용 하는 경우 가상 네트워크 DNS를 가상 네트워크 또는 기존 엔터프라이즈 네트워크에서 AD DS DNS 서버로 변경 하 여 AD DS 도메인 FQDN을 확인 해야 합니다.With both approaches, you need to change the virtual network DNS to your AD DS DNS server (in virtual network or existing Enterprise network) to resolve the AD DS domain FQDN.

  • 클라우드 미러링 모니터 서버.Cloud Witness. 장애 조치(failover) 클러스터는 쿼럼이 있는 것으로 알려진 해당 노드의 절반을 초과하여 실행되어야 합니다.A failover cluster requires more than half of its nodes to be running, which is known as having quorum. 클러스터에 두 개의 노드만 있는 경우 네트워크 파티션은 각 노드가 마스터 노드라고 인지하게 할 수 있습니다.If the cluster has just two nodes, a network partition could cause each node to think it's the master node. 그 경우에 연결을 차단하고 쿼럼을 설정할 감시 가 필요합니다.In that case, you need a witness to break ties and establish quorum. 감시는 쿼럼을 설정하려면 연결 차단기로 작동할 수 있는 공유 디스크 같은 리소스입니다.A witness is a resource such as a shared disk that can act as a tie breaker to establish quorum. 클라우드 감시는 Azure Blob Storage를 사용하는 감시의 한 유형입니다.Cloud Witness is a type of witness that uses Azure Blob Storage. 쿼럼의 개념에 대한 자세한 알려면 클러스터 및 풀 쿼럼 이해를 참조합니다.To learn more about the concept of quorum, see Understanding cluster and pool quorum. 클라우드 감시에 대한 자세한 내용은 장애 조치(Failover) 클러스터에 대한 클라우드 감시 배포를 참조하세요.For more information about Cloud Witness, see Deploy a Cloud Witness for a Failover Cluster. Azure Stack 허브에서 클라우드 감시 끝점은 글로벌 Azure와 다릅니다.In Azure Stack Hub, the Cloud Witness endpoint is different from global Azure.

다음과 같이 표시 될 수 있습니다.It may look like:

  • 글로벌 Azure의 경우:For global Azure:
    https://mywitness.blob.core.windows.net/

  • Azure Stack 허브의 경우:For Azure Stack Hub:
    https://mywitness.blob.<region>.<FQDN>

  • Jumpbox.Jumpbox. 요새 호스트라고도 합니다.Also called a bastion host. 관리자가 다른 VM에 연결할 때 사용하는 네트워크의 보안 VM입니다.A secure VM on the network that administrators use to connect to the other VMs. jumpbox는 안전 목록에 있는 공용 IP 주소의 원격 트래픽만 허용하는 NSG를 사용합니다.The jumpbox has an NSG that allows remote traffic only from public IP addresses on a safe list. NSG는 RDP(원격 데스크톱) 트래픽을 허용해야 합니다.The NSG should permit remote desktop (RDP) traffic.

권장 사항Recommendations

개발자의 요구 사항이 여기에 설명된 아키텍처와 다를 수 있습니다.Your requirements might differ from the architecture described here. 여기서 추천하는 권장 사항을 단지 시작점으로 활용하세요.Use these recommendations as a starting point.

가상 머신Virtual machines

Vm을 구성 하는 방법에 대 한 권장 사항은 Azure Stack 허브에서 WINDOWS VM 실행을 참조 하세요.For recommendations on configuring the VMs, see Run a Windows VM on Azure Stack Hub.

가상 네트워크Virtual network

가상 네트워크를 만들 때 각 서브넷의 리소스에 필요한 IP 주소 수를 결정 합니다.When you create the virtual network, determine how many IP addresses your resources in each subnet require. CIDR 표기법을 사용 하 여 필요한 IP 주소에 사용할 수 있는 크기의 서브넷 마스크와 네트워크 주소 범위를 지정 합니다.Specify a subnet mask and a network address range large enough for the required IP addresses, using CIDR notation. 표준 개인 IP 주소 블록(10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16)에 해당하는 주소 공간을 사용합니다.Use an address space that falls within the standard private IP address blocks, which are 10.0.0.0/8, 172.16.0.0/12, and 192.168.0.0/16.

나중에 가상 네트워크와 온-프레미스 네트워크 간에 게이트웨이를 설정 해야 하는 경우 온-프레미스 네트워크와 겹치지 않는 주소 범위를 선택 합니다.Choose an address range that does not overlap with your on-premises network, in case you need to set up a gateway between the virtual network and your on-premises network later. 가상 네트워크를 만든 후에는 주소 범위를 변경할 수 없습니다.Once you create the virtual network, you can't change the address range.

기능 및 보안 요구 사항을 염두에 두고 서브넷을 구성합니다.Design subnets with functionality and security requirements in mind. 동일한 계층이나 역할에 속한 모든 VM은 동일한 서브넷에 속해야 합니다. 이때 서브넷은 보안 경계가 될 수 있습니다.All VMs within the same tier or role should go into the same subnet, which can be a security boundary. 가상 네트워크 및 서브넷을 설계 하는 방법에 대 한 자세한 내용은 Azure Virtual Network 계획 및 디자인을 참조 하세요.For more information about designing virtual networks and subnets, see Plan and design Azure Virtual Networks.

부하 분산 장치Load balancers

VM을 인터넷에 직접 노출시키는 대신 각 VM에 개인 IP 주소를 부여합니다.Don't expose the VMs directly to the Internet, but instead give each VM a private IP address. 클라이언트는 계층 7 Load Balancer와 연결 된 공용 IP 주소를 사용 하 여 연결 합니다.Clients connect using the public IP address associated with the Layer 7 Load Balancer.

네트워크 트래픽이 VM으로 전달되도록 부하 분산 장치 규칙을 정의합니다.Define load balancer rules to direct network traffic to the VMs. 예를 들어 HTTP 트래픽을 허용하려면 프론트 엔드 구성의 포트 80을 백엔드 주소 풀의 포트 80으로 매핑합니다.For example, to enable HTTP traffic, map port 80 from the front-end configuration to port 80 on the back-end address pool. 클라이언트가 포트 80으로 HTTP 요청을 전송하면 부하 분산 장치가 소스 IP 주소를 포함하는 해싱 알고리즘을 사용하여 백엔드 IP 주소를 선택합니다.When a client sends an HTTP request to port 80, the load balancer selects a back-end IP address by using a hashing algorithm that includes the source IP address. 클라이언트 요청은 백 엔드 주소 풀의 모든 VM에 걸쳐 분산됩니다.Client requests are distributed across all the VMs in the back-end address pool.

네트워크 보안 그룹Network security groups

NSG 규칙을 사용하여 계층 사이의 트래픽을 제한합니다.Use NSG rules to restrict traffic between tiers. 위에 표시된 3계층 아키텍처에서 웹 계층은 데이터베이스 계층과 직접 통신하지 않습니다.In the three-tier architecture shown above, the web tier does not communicate directly with the database tier. 이 규칙을 적용 하려면 데이터베이스 계층이 웹 계층 서브넷에서 들어오는 트래픽을 차단 해야 합니다.To enforce this rule, the database tier should block incoming traffic from the web tier subnet.

  1. 가상 네트워크의 모든 인바운드 트래픽을 거부 합니다.Deny all inbound traffic from the virtual network. 규칙에 VIRTUAL_NETWORK 태그를 사용 합니다.(Use the VIRTUAL_NETWORK tag in the rule.)

  2. 비즈니스 계층 서브넷의 인바운드 트래픽을 허용합니다.Allow inbound traffic from the business tier subnet.

  3. 데이터베이스 계층 서브넷 자체의 인바운드 트래픽을 허용합니다.Allow inbound traffic from the database tier subnet itself. 이 규칙은 데이터베이스 복제와 장애 조치에 필요한 데이터베이스 VM 간 통신을 허용합니다.This rule allows communication between the database VMs, which is needed for database replication and failover.

  4. jumpbox 서브넷에서 RDP 트래픽(3389 포트)을 허용합니다.Allow RDP traffic (port 3389) from the jumpbox subnet. 관리자는 이 규칙을 사용하여 jumpbox에서 데이터베이스 계층에 연결할 수 있습니다.This rule lets administrators connect to the database tier from the jumpbox.

첫 번째 규칙 보다 우선 순위가 높은 규칙 2 – 4를 만들어 재정의 합니다.Create rules 2 – 4 with higher priority than the first rule, so they override it.

SQL Server Always On 가용성 그룹SQL Server Always On Availability Groups

SQL Server의 고가용성을 위해 Always On 가용성 그룹을 사용하는 것이 좋습니다.We recommend Always On Availability Groups for SQL Server high availability. Windows Server 2016 전 버전에서는 Always On 가용성 그룹에 도메인 컨트롤러가 필요하며, 가용성 그룹의 모든 노드가 동일한 AD 도메인에 속해야 합니다.Prior to Windows Server 2016, Always On Availability Groups require a domain controller, and all nodes in the availability group must be in the same AD domain.

VM 계층 고가용성의 경우 모든 SQL Vm이 가용성 집합에 있어야 합니다.For VM layer high availability, all SQL VMs should be in an Availability Set.

다른 계층은 가용성 그룹 수신기를 통해 데이터베이스에 연결됩니다.Other tiers connect to the database through an availability group listener. 수신기는 SQL 클라이언트가 SQL Server의 물리적 인스턴스의 이름을 알지 못해도 연결할 수 있도록 해 줍니다.The listener enables a SQL client to connect without knowing the name of the physical instance of SQL Server. 데이터베이스에 액세스하는 VM은 도메인에 연결되어야 합니다.VMs that access the database must be joined to the domain. 클라이언트(여기서는 다른 계층)는 DNS를 사용하여 수신기의 가상 네트워크 이름을 IP 주소로 해석합니다.The client (in this case, another tier) uses DNS to resolve the listener's virtual network name into IP addresses.

다음과 같이 SQL Server Always On 가용성 그룹을 구성합니다.Configure the SQL Server Always On Availability Group as follows:

  1. WSFC(Windows Server 장애 조치 클러스터링) 클러스터, SQL Server Always On 가용성 그룹과 주 복제본을 만듭니다.Create a Windows Server Failover Clustering (WSFC) cluster, a SQL Server Always On Availability Group, and a primary replica. 자세한 내용은 Always On 가용성 그룹 시작을 참조하세요.For more information, see Getting Started with Always On Availability Groups.

  2. 고정 개인 IP 주소를 사용하여 내부 부하 분산 장치를 만듭니다.Create an internal load balancer with a static private IP address.

  3. 가용성 그룹 수신기를 만든 다음 수신기의 DNS 이름을 내부 부하 분산 장치의 IP 주소로 매핑합니다.Create an availability group listener, and map the listener's DNS name to the IP address of an internal load balancer.

  4. SQL Server 수신 포트(기본값: TCP 포트 1433)에 대한 부하 분산 장치 규칙을 만듭니다.Create a load balancer rule for the SQL Server listening port (TCP port 1433 by default). 부하 분산 장치 규칙은 Direct Server Return이라고도 불리는 부동 IP 를 지원해야 합니다.The load balancer rule must enable floating IP, also called Direct Server Return. 이로 인해 VM은 클라이언트에 직접 응답하여 주 복제본에 대한 직접 연결을 지원하게 됩니다.This causes the VM to reply directly to the client, which enables a direct connection to the primary replica.

참고

부동 IP가 지원된 경우에는 부하 분산 장치 규칙의 프론트 엔드 포트 번호가 백엔드 포트 번호와 같아야 합니다.When floating IP is enabled, the front-end port number must be the same as the back-end port number in the load balancer rule.

SQL 클라이언트가 연결을 시도하면 부하 분산 장치가 연결 요청을 주 복제본으로 라우팅합니다.When a SQL client tries to connect, the load balancer routes the connection request to the primary replica. 다른 복제본으로의 장애 조치(failover)가 이루어지면 부하 분산 장치는 자동으로 새로운 요청을 새로운 주 복제본에 라우팅합니다.If there is a failover to another replica, the load balancer automatically routes new requests to a new primary replica. 자세한 내용은 SQL Server Always On 가용성 그룹에 대한 ILB 수신기 구성을 참조하세요.For more information, see Configure an ILB listener for SQL Server Always On Availability Groups.

장애 조치(failover)가 진행되는 동안에는 기존 클라이언트 연결이 닫힙니다.During a failover, existing client connections are closed. 장애 조치(failover)가 완료되면 새로운 연결이 새로운 주 복제본으로 라우팅됩니다.After the failover completes, new connections will be routed to the new primary replica.

응용 프로그램에서 쓰기 보다 많은 읽기를 수행 하는 경우 읽기 전용 쿼리 중 일부를 보조 복제본으로 오프 로드할 수 있습니다.If your application makes more reads than writes, you can offload some of the read-only queries to a secondary replica. 수신기를 사용하여 읽기 전용 보조 복제본에 연결(읽기 전용 라우팅)을 참조하세요.See Using a Listener to Connect to a Read-Only Secondary Replica (Read-Only Routing).

가용성 그룹의 수동 장애 조치(failover)를 강제로 수행하여 배포 환경을 테스트합니다.Test your deployment by forcing a manual failover of the availability group.

SQL 성능 최적화를 위해 sql server 모범 사례 문서에서 Azure Stack 허브의 성능 최적화문서를 참조할 수도 있습니다.For SQL performance optimization, you can also refer the article SQL server best practices to optimize performance in Azure Stack Hub.

JumpboxJumpbox

공용 인터넷으로부터 애플리케이션 워크로드를 실행하는 VM에 대한 RDP 액세스를 허용하지 않습니다.Don't allow RDP access from the public Internet to the VMs that run the application workload. 대신 이러한 Vm에 대 한 모든 RDP 액세스는 jumpbox을 통과 해야 합니다.Instead, all RDP access to these VMs should go through the jumpbox. 관리자는 jumpbox에 로그인한 다음, jumpbox에서 다른 VM에 로그인하게 됩니다.An administrator logs into the jumpbox, and then logs into the other VM from the jumpbox. jumpbox는 인터넷에서 수신되는 RDP 트래픽 중 알려진 안전한 IP 주소만을 허용합니다.The jumpbox allows RDP traffic from the Internet, but only from known, safe IP addresses.

jumpbox에는 최소 성능 요구 사항이 있으므로 작은 VM 크기를 선택합니다.The jumpbox has minimal performance requirements, so select a small VM size. jumpbox에 대한 공용 IP 주소를 만듭니다.Create a public IP address for the jumpbox. 다른 Vm과 동일한 가상 네트워크에 jumpbox를 추가 하 고 별도의 관리 서브넷에 추가 합니다.Place the jumpbox in the same virtual network as the other VMs, but in a separate management subnet.

jumpbox를 보호하려면 안전한 공용 IP 주소 집합의 RDP 연결만 허용하는 NSG 규칙을 추가합니다.To secure the jumpbox, add an NSG rule that allows RDP connections only from a safe set of public IP addresses. 관리 서브넷으로부터 수신되는 RDP 트래픽을 허용하도록 다른 서브넷에 대한 NSG를 구성합니다.Configure the NSGs for the other subnets to allow RDP traffic from the management subnet.

확장성 고려 사항Scalability considerations

확장 집합Scale sets

웹 및 비즈니스 계층의 경우 별도의 Vm을 배포 하는 대신 가상 머신 확장 집합 을 사용 하는 것이 좋습니다.For the web and business tiers, consider using virtual machine scale sets instead of deploying separate VMs. 확장 집합을 사용 하면 동일한 Vm 집합을 쉽게 배포 하 고 관리할 수 있습니다.A scale set makes it easy to deploy and manage a set of identical VMs. Vm을 신속 하 게 확장 해야 하는 경우 확장 집합을 고려 합니다.Consider scale sets if you need to quickly scale out VMs.

확장 집합에 배포된 VM을 구성하는 방법에는 두 가지가 있습니다.There are two basic ways to configure VMs deployed in a scale set:

  • VM이 배포된 후에 확장명을 사용하여 VM을 구성합니다.Use extensions to configure the VM after it's deployed. 이렇게 하면 확장명이 없는 VM보다 새 VM 인스턴스를 시작하는 데 시간이 더 오래 걸릴 수 있습니다.With this approach, new VM instances may take longer to start up than a VM with no extensions.

  • 사용자 지정 디스크 이미지를 사용하여 관리 디스크를 배포합니다.Deploy a managed disk with a custom disk image. 이 옵션을 사용하면 배포 시간이 단축될 수 있습니다.This option may be quicker to deploy. 하지만 그러러면 이미지를 최신 상태로 유지해야 합니다.However, it requires you to keep the image up-to-date.

자세한 내용은 확장 집합 디자인 고려 사항을 참조하세요.For more information, see Design considerations for scale sets. 이러한 설계 고려 사항은 대부분 Azure Stack 허브에 적용 되지만 몇 가지 주의 사항이 있습니다.This design consideration is mostly true for Azure Stack Hub, however there are some caveats:

  • Azure Stack Hub의 가상 머신 확장 집합은 과도 한 프로 비전 또는 롤링 업그레이드를 지원 하지 않습니다.Virtual machine scale sets on Azure Stack Hub do not support overprovisioning or rolling upgrades.

  • Azure Stack 허브에서는 가상 머신 확장 집합을 자동 크기 조정할 수 없습니다.You cannot autoscale virtual machine scale sets on Azure Stack Hub.

  • 가상 머신 확장 집합에 대해 관리 되지 않는 디스크 대신 Azure Stack 허브에서 관리 디스크를 사용 하는 것이 좋습니다.We strongly recommend using Managed disks on Azure Stack Hub instead of unmanaged disks for virtual machine scale set

  • 현재 Azure Stack 허브에는 700 VM 제한이 있으며, 모든 Azure Stack 허브 인프라 Vm, 개별 Vm 및 확장 집합 인스턴스를 계정으로 합니다.Currently, there is a 700 VM limit on Azure Stack Hub, which accounts for all Azure Stack Hub infrastructure VMs, individual VMs, and scale set instances.

구독 제한Subscription limits

각 Azure Stack Hub 테 넌 트 구독에는 Azure Stack Hub 연산자로 구성 된 지역별 최대 Vm 수를 포함 하 여 기본 제한이 적용 됩니다.Each Azure Stack Hub tenant subscription has default limits in place, including a maximum number of VMs per region configured by the Azure Stack Hub operator. 자세한 내용은 Azure Stack Hub 서비스, 계획, 제품, 구독 개요를 참조 하세요.For more information, see Azure Stack Hub services, plans, offers, subscriptions overview. 또한 Azure Stack Hub의 할당량 유형을 참조 하세요.Also refer to Quota types in Azure Stack Hub.

보안 고려 사항Security considerations

가상 네트워크는 Azure의 트래픽 격리 경계입니다.Virtual networks are a traffic isolation boundary in Azure. 기본적으로 하나의 가상 네트워크에 있는 Vm은 다른 가상 네트워크의 Vm과 직접 통신할 수 없습니다.By default, VMs in one virtual network can't communicate directly with VMs in a different virtual network.

Nsgs.NSGs. Nsgs ( 네트워크 보안 그룹 )를 사용 하 여 인터넷으로 들어오고 나가는 트래픽을 제한 합니다.Use network security groups (NSGs) to restrict traffic to and from the internet. 자세한 내용은 Microsoft 클라우드 서비스 및 네트워크 보안을 참조하세요.For more information, see Microsoft cloud services and network security.

DMZ.DMZ. NVA(네트워크 가상 어플라이언스)를 추가하여 인터넷과 Azure 가상 네트워크 사이에 DMZ를 만드는 것도 좋은 방법입니다.Consider adding a network virtual appliance (NVA) to create a DMZ between the Internet and the Azure virtual network. NVA는 방화벽, 패킷 조사, 감사, 사용자 지정 라우팅과 같은 네트워크 관련 작업을 수행하는 가상 어플라이언스를 통칭하는 용어입니다.NVA is a generic term for a virtual appliance that can perform network-related tasks, such as firewall, packet inspection, auditing, and custom routing.

암호화.Encryption. 휴지 상태의 중요 한 데이터를 암호화 하 고 Azure Stack 허브의 Key Vault 를 사용 하 여 데이터베이스 암호화 키를 관리 합니다.Encrypt sensitive data at rest and use Key Vault in Azure Stack Hub to manage the database encryption keys. 자세한 내용은 Azure VM에서 SQL Server에 대한 Azure Key Vault 통합 구성을 참조하세요.For more information, see Configure Azure Key Vault Integration for SQL Server on Azure VMs. 또한 Key Vault에 데이터베이스 연결 문자열과 같은 애플리케이션 비밀을 저장하는 것이 좋습니다.It's also recommended to store application secrets, such as database connection strings, in Key Vault.

다음 단계Next steps