안정성 및 Azure Virtual Network
프라이빗 네트워크의 기본 구성 요소인 Azure Virtual Network Azure 리소스를 통해 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다.
Azure Virtual Network 주요 기능은 다음과 같습니다.
자세한 내용은 Azure Virtual Network란?을 참조하세요.
Azure Virtual Network 신뢰할 수 있는 워크로드를 지원하는 방법을 이해하려면 다음 topics 참조하세요.
디자인 고려 사항
VNet(Virtual Network)에는 신뢰할 수 있는 Azure 워크로드에 대한 다음과 같은 디자인 고려 사항이 포함되어 있습니다.
- 온-프레미스 및 Azure 지역에서 IP 주소 공간이 겹치면 주요 경합 문제가 발생합니다.
- Virtual Network 주소 공간을 만든 후에 추가할 수 있지만 피어링을 통해 Virtual Network 이미 다른 Virtual Network 연결된 경우 이 프로세스는 중단이 필요합니다. Virtual Network 피어링이 삭제되고 다시 생성되므로 중단이 필요합니다.
- 피어링된 Virtual Network의 크기 조정은 공개 미리 보기 로 제공됩니다(2021년 8월 20일).
- 일부 Azure 서비스에는 다음과 같은 전용 서브넷이 필요합니다.
- Azure Firewall
- Azure Bastion
- Virtual Network 게이트웨이
- 서브넷은 특정 서비스에 위임되어 서브넷 내에서 해당 서비스의 인스턴스를 만들 수 있습니다.
- Azure는 각 서브넷 내에서 5개의 IP 주소를 예약하며, 가상 네트워크 및 포괄 서브넷의 크기를 조정할 때 고려해야 합니다.
검사 목록
안정성을 염두에 두고 Azure Virtual Network 구성했나요?
- Azure DDoS 표준 보호 계획을 사용하여 고객 Virtual Networks 내에서 호스트되는 모든 퍼블릭 엔드포인트를 보호합니다.
- 엔터프라이즈 고객은 고려된 온-프레미스 위치 및 Azure 지역에서 IP 주소 공간이 겹치지 않도록 Azure에서 IP 주소 지정을 계획해야 합니다.
- 개인 인터넷의 주소 할당에서 IP 주소를 사용합니다(RFC(Request for Comment) 1918).
- 제한된 개인 IP 주소(RFC 1918) 가용성이 있는 환경의 경우 IPv6 사용을 고려하세요.
- 불필요한 IP 주소 공간 낭비가 없도록 불필요하게 큰 Virtual Network(예:
/16)를 만들지 마세요. - 필요한 주소 공간을 미리 계획하지 않고 Virtual Network를 만들지 마세요.
- 특히 공용 IP 주소가 고객에 속하지 않는 경우 Virtual Network에 공용 IP 주소를 사용하지 마세요.
- VNet 서비스 엔드포인트를 사용하여 고객 VNet 내에서 Azure PaaS(Platform as a Service) 서비스에 대한 액세스를 보호합니다.
- 서비스 엔드포인트에서 데이터 반출 문제를 해결하려면 Azure Storage에 대한 NVA(네트워크 가상 어플라이언스) 필터링 및 VNet 서비스 엔드포인트 정책을 사용합니다.
- Azure 간 리소스의 통신을 사용하기 위해 강제 터널링을 구현하지 마세요.
- ExpressRoute 프라이빗 피어링을 통해 온-프레미스에서 Azure PaaS 서비스에 액세스합니다.
- VNet 삽입 또는 Private Link 사용할 수 없는 경우 온-프레미스 네트워크에서 Azure PaaS 서비스에 액세스하려면 데이터 반출 문제가 없는 경우 Microsoft 피어링과 함께 ExpressRoute를 사용합니다.
- 온-프레미스 경계 네트워크(DMZ, 완역 영역 및 스크린된 서브넷이라고도 함) 개념과 아키텍처를 Azure에 복제하지 마세요.
- Virtual Network 삽입된 Azure PaaS 서비스 간의 통신이 UDR(사용자 정의 경로) 및 NSG(네트워크 보안 그룹)를 사용하여 Virtual Network 내에서 잠겨 있는지 확인합니다.
- NVA 필터링을 사용하지 않는 한 데이터 반출 문제가 있는 경우 VNet 서비스 엔드포인트를 사용하지 마세요.
- 모든 서브넷에서 기본적으로 VNet 서비스 엔드포인트를 사용하도록 설정하지 마세요.
구성 권장 사항
Azure Virtual Network 구성할 때 안정성을 최적화하려면 다음 권장 사항을 고려하세요.
| 권장 | Description |
|---|---|
| 필요한 주소 공간을 미리 계획하지 않고 Virtual Network를 만들지 마세요. | 주소 공간을 추가하면 Virtual Network Virtual Network 피어링을 통해 연결되면 중단이 발생합니다. |
| VNet 서비스 엔드포인트를 사용하여 고객 VNet 내에서 Azure PaaS(Platform as a Service) 서비스에 대한 액세스를 보호합니다. | Private Link 사용할 수 없고 데이터 반출 문제가 없는 경우에만. |
| ExpressRoute 프라이빗 피어링을 통해 온-프레미스에서 Azure PaaS 서비스에 액세스합니다. | 전용 Azure 서비스에 VNet 삽입을 사용하거나 사용 가능한 공유 Azure 서비스에 Azure Private Link 사용합니다. |
| VNet 삽입 또는 Private Link 사용할 수 없는 경우 온-프레미스 네트워크에서 Azure PaaS 서비스에 액세스하려면 데이터 반출 문제가 없는 경우 Microsoft 피어링과 함께 ExpressRoute를 사용합니다. | 공용 인터넷을 통해 전송을 방지합니다. |
| 온-프레미스 경계 네트워크(DMZ, 완역 영역 및 스크린된 서브넷이라고도 함) 개념과 아키텍처를 Azure에 복제하지 마세요. | 고객은 Azure에서 온-프레미스와 유사한 보안 기능을 얻을 수 있지만 구현 및 아키텍처는 클라우드에 맞게 조정되어야 합니다. |
| Virtual Network 삽입된 Azure PaaS 서비스 간의 통신이 UDR(사용자 정의 경로) 및 NSG(네트워크 보안 그룹)를 사용하여 Virtual Network 내에서 잠겨 있는지 확인합니다. | Virtual Network 삽입된 Azure PaaS 서비스는 여전히 공용 IP 주소를 사용하여 관리 평면 작업을 수행합니다. |
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기