편집

Traffic Manager, Azure Firewall 및 Application Gateway를 사용한 다중 지역 부하 분산

Azure Firewall
Azure Application Gateway
Azure Bastion
Azure Load Balancer
Azure Traffic Manager

이 아키텍처는 HTTP(S) 및 비 HTTP(S) 프로토콜을 사용하는 글로벌 인터넷 연결 애플리케이션을 위한 것입니다. DNS 기반 글로벌 부하 분산, 두 가지 형태의 지역 부하 분산 및 글로벌 가상 네트워크 피어링을 통해 지역 중단을 견딜 수 있는 고가용성 아키텍처를 만듭니다. 트래픽 검사는 Azure WAF(Web Application Firewall) 및 Azure Firewall에서 모두 제공됩니다.

아키텍처 참고 사항

이 문서의 아키텍처는 허브 및 스포크 가상 네트워크 디자인으로 쉽게 확장할 수 있습니다. 여기서 Azure Firewall은 허브 네트워크에 있고 Application Gateway는 허브 네트워크 또는 스포크에 있습니다. Application Gateway가 허브에 배포된 경우 RBAC 충돌을 방지하고 Application Gateway 제한에 도달하는 것을 방지하기 위해 지정된 애플리케이션 집합에 대해 각각 여러 Application Gateway를 원합니다(Application Gateway 제한 참조).

Virtual WAN 환경에서 Application Gateway는 허브에 배포할 수 없으므로 스포크 가상 네트워크에 설치됩니다.

제안된 아키텍처는 Azure Firewall 앞의 웹 애플리케이션 방화벽(Application Gateway 기반)을 통해 웹 콘텐츠의 이중 검사를 선택합니다. 가상 네트워크에 대한 방화벽 및 Application Gateway에 설명된 대로 다른 옵션이 존재하지만 이 옵션은 가장 유연하고 완전한 옵션입니다. 즉, 최종 애플리케이션에 대한 HTTP 헤더 X-Forwarded-For 에 클라이언트의 IP 주소를 노출하고, 엔드 투 엔드 암호화를 제공하며, 클라이언트가 WAF를 우회하여 애플리케이션에 액세스하지 못하게 합니다.

웹 애플리케이션만 노출되고(비 HTTP(S) 애플리케이션이 없음) 이 웹 트래픽의 WAF 및 Azure Firewall에 의한 이중 검사가 필요하지 않은 경우 Azure Front Door는 Traffic Manager보다 더 나은 글로벌 부하 분산 솔루션이 될 것입니다. Front Door는 캐싱, 트래픽 가속, SSL/TLS 종료, 인증서 관리, 상태 프로브 및 기타 기능을 제공하는 HTTP(S) 콘텐츠에 대한 계층 7 부하 분산 장치입니다. 그러나 Application Gateway는 계층화된 보호 접근 방식을 위해 Azure Firewall과 더 나은 통합을 제공합니다.

인바운드 HTTP(S) 트래픽 흐름

Diagram showing multi-region load balancing with Azure Firewall, Application Gateway and Traffic Manager for web traffic.

이 아키텍처의 Visio 파일을 다운로드합니다.

  1. Azure Traffic Manager는 DNS 기반 라우팅을 사용하여 두 지역 간에 들어오는 트래픽의 부하를 분산합니다. Traffic Manager는 애플리케이션에 대한 DNS 쿼리를 Azure 애플리케이션 게이트웨이 엔드포인트의 공용 IP 주소로 확인합니다. Application Gateway의 퍼블릭 엔드포인트는 HTTP(S) 트래픽에 대한 Traffic Manager의 백 엔드포인트 역할을 합니다. Traffic Manager는 다양한 라우팅 방법을 선택하여 DNS 쿼리를 확인합니다. 브라우저는 엔드포인트에 직접 연결합니다. Traffic Manager에 HTTP(S) 트래픽이 표시되지 않습니다.

  2. 가용성 영역에 배포된 Application Gateway는 브라우저에서 HTTP(S) 트래픽을 수신하고 웹 애플리케이션 방화벽 프리미엄은 트래픽을 검사하여 웹 공격을 검색합니다. Application Gateway는 프런트 엔드 가상 머신의 내부 부하 분산 장치인 백 엔드로 트래픽을 보냅니다. 이 특정 흐름의 경우 Application Gateway가 이 부하 분산 자체를 수행할 수 있으므로 웹 서버 앞의 내부 부하 분산 장치가 반드시 필요하지 않습니다. 그러나 비 HTTP(S) 애플리케이션에 대한 흐름과의 일관성을 위해 포함됩니다.

  3. Application Gateway와 프런트 엔드 내부 부하 분산 장치 간의 트래픽은 Application Gateway 서브넷에 적용된 사용자 정의 경로를 통해 Azure Firewall Premium에 의해 가로채게 됩니다. Azure Firewall 프리미엄은 추가 보안을 위해 트래픽에 TLS 검사를 적용합니다. Azure Firewall도 영역 중복입니다. Azure Firewall이 트래픽의 위협을 감지하면 패킷이 삭제됩니다. 그렇지 않으면 검사에 성공하면 Azure Firewall이 트래픽을 대상 웹 계층 내부 부하 분산 장치로 전달합니다.

  4. 웹 계층은 3계층 애플리케이션의 첫 번째 계층이며 사용자 인터페이스를 포함하고 사용자 상호 작용도 구문 분석합니다. 웹 계층 부하 분산 장치는 세 가지 가용성 영역에 분산되어 있으며 세 개의 웹 계층 가상 머신 각각에 트래픽을 분산합니다.

  5. 웹 계층 가상 머신은 세 가지 가용성 영역 모두에 분산되어 있으며 전용 내부 부하 분산 장치를 통해 비즈니스 계층과 통신합니다.

  6. 비즈니스 계층은 사용자 상호 작용을 처리하고 다음 단계를 결정하며 웹 계층과 데이터 계층 간에 배치됩니다. 비즈니스 계층 내부 부하 분산 장치는 세 가지 가용성 영역에 걸쳐 비즈니스 계층 가상 머신에 트래픽을 분산합니다. 비즈니스 계층 부하 분산 장치는 웹 계층 부하 분산 장치와 같은 영역 중복입니다.

  7. 비즈니스 계층 가상 머신은 가용성 영역에 분산되며, 트래픽을 데이터베이스의 가용성 그룹 수신기로 라우팅합니다.

  8. 데이터 계층은 애플리케이션 데이터를 일반적으로 데이터베이스, 개체 스토리지 또는 파일 공유에 저장합니다. 이 아키텍처에는 세 가지 가용성 영역에 분산된 가상 머신의 SQL Server가 있습니다. 이들은 가용성 그룹에 있으며 DNN(분산 네트워크 이름)을 사용하여 부하 분산을 위해 트래픽을 가용성 그룹 수신기로 라우팅합니다.

인바운드 비 HTTP(S) 트래픽 흐름

Diagram showing multi-region load balancing with Azure Firewall, Application Gateway and Traffic Manager for non-web traffic.

이 아키텍처의 Visio 파일을 다운로드합니다.

  1. Azure Traffic Manager는 DNS 기반 라우팅을 사용하여 두 지역 간에 들어오는 트래픽의 부하를 분산합니다. Traffic Manager는 애플리케이션에 대한 DNS 쿼리를 Azure 엔드포인트의 공용 IP 주소로 확인합니다. 애플리케이션 방화벽의 퍼블릭 엔드포인트는 비 HTTP(S) 트래픽에 대한 Traffic Manager의 백 엔드 엔드포인트 역할을 합니다. Traffic Manager는 다양한 라우팅 방법을 선택하여 DNS 쿼리를 확인합니다. 브라우저는 엔드포인트에 직접 연결합니다. Traffic Manager에 HTTP(S) 트래픽이 표시되지 않습니다.

  2. Azure Firewall 프리미엄은 영역 중복이며 보안을 위해 인바운드 트래픽을 검사합니다. Azure Firewall이 트래픽의 위협을 감지하면 패킷이 삭제됩니다. 그렇지 않은 경우 검사에 성공하면 Azure Firewall은 인바운드 패킷에서 DNAT(대상 네트워크 주소 변환)를 수행하는 웹 계층 내부 부하 분산 장치에 트래픽을 전달합니다.

  3. 웹 계층은 3계층 애플리케이션의 첫 번째 계층이며 사용자 인터페이스를 포함하고 사용자 상호 작용도 구문 분석합니다. 웹 계층 부하 분산 장치는 세 가지 가용성 영역에 분산되어 있으며 세 개의 웹 계층 가상 머신 각각에 트래픽을 분산합니다.

  4. 웹 계층 가상 머신은 세 가지 가용성 영역 모두에 분산되어 있으며 전용 내부 부하 분산 장치를 통해 비즈니스 계층과 통신합니다.

  5. 비즈니스 계층은 사용자 상호 작용을 처리하고 다음 단계를 결정하며 웹 계층과 데이터 계층 간에 배치됩니다. 비즈니스 계층 내부 부하 분산 장치는 세 가지 가용성 영역에 걸쳐 비즈니스 계층 가상 머신에 트래픽을 분산합니다. 비즈니스 계층 부하 분산 장치는 웹 계층 부하 분산 장치와 같은 영역 중복입니다.

  6. 비즈니스 계층 가상 머신은 가용성 영역에 분산되며, 트래픽을 데이터베이스의 가용성 그룹 수신기로 라우팅합니다.

  7. 데이터 계층은 애플리케이션 데이터를 일반적으로 데이터베이스, 개체 스토리지 또는 파일 공유에 저장합니다. 이 아키텍처에는 세 가지 가용성 영역에 분산된 가상 머신의 SQL Server가 있습니다. 이들은 가용성 그룹에 있으며 DNN(분산 네트워크 이름)을 사용하여 부하 분산을 위해 트래픽을 가용성 그룹 수신기로 라우팅합니다.

아웃바운드 트래픽 흐름(모든 프로토콜)

가상 머신 패치 업데이트 또는 인터넷에 대한 기타 연결에 대한 아웃바운드 트래픽 흐름은 사용자 정의 경로를 통해 워크로드 가상 머신에서 Azure Firewall로 이동합니다. Azure Firewall은 웹 범주와 네트워크 및 애플리케이션 규칙을 사용하여 연결 규칙을 적용하여 워크로드가 부적절한 콘텐츠 또는 데이터 반출 시나리오에 액세스하지 못하도록 합니다.

구성 요소

  • Azure Firewall 은 클라우드 기반의 Microsoft 관리형 차세대 방화벽으로, 북/남 및 동/서부 트래픽 흐름 모두에 대한 심층 패킷 검사를 제공합니다. 가용성 영역 분산할 수 있으며 애플리케이션 수요 변화에 대처하기 위해 자동 크기 조정을 제공합니다.
  • Azure 애플리케이션 Gateway는 선택적 WAF(웹 애플리케이션 방화벽) 기능이 있는 계층 7 부하 분산 장치입니다. Application Gateway의 v2 SKU는 가용성 영역 중복성을 지원하며 대부분의 시나리오에 권장됩니다. Application Gateway에는 구성 가능한 수평 자동 크기 조정이 포함되어 애플리케이션 수요 변경에 자동으로 대응할 수 있습니다.
  • Azure Traffic Manager 는 고가용성 및 응답성을 제공하면서 글로벌 Azure 지역에 걸쳐 서비스에 트래픽을 분산하는 DNS 기반 글로벌 트래픽 부하 분산 장치입니다. 자세한 내용은 Traffic Manager 구성 섹션을 참조하세요.
  • Azure Load Balancer는 계층 4 부하 분산 장치입니다. 영역 중복 부하 분산 장치는 가용성 영역 오류가 있는 트래픽을 다시 기본 영역에 분산합니다.
  • Azure DDoS Protection에는 DDoS(분산 서비스 거부) 공격으로부터 보호하는 향상된 기능이 있습니다.
  • Azure DNS는 DNS 도메인에 대한 호스팅 서비스입니다. 이 서비스는 Microsoft Azure 인프라를 사용하여 이름 확인을 제공합니다. Azure에 도메인을 호스트하면 다른 Azure 서비스와 동일한 자격 증명, API, 도구 및 대금 청구를 사용하여 DNS 레코드를 관리할 수 있습니다.
  • Azure 프라이빗 DNS 영역은 Azure DNS의 기능입니다. Azure DNS Private Zones는 가상 네트워크 간뿐 아니라 가상 네트워크 내에서의 이름 확인을 제공합니다. 프라이빗 DNS 영역에 포함된 레코드는 인터넷에서 확인할 수 없습니다. 프라이빗 DNS 영역에 대한 DNS 확인은 연결된 가상 네트워크에서만 작동합니다.
  • Azure Virtual Machines는 가상화의 유연성을 제공하지만 물리적 하드웨어의 기본 테넌트 요구를 제거하는 주문형 확장성 컴퓨팅 리소스입니다. 운영 체제는 Windows와 Linux 중에서 선택할 수 있습니다. 애플리케이션의 특정 구성 요소는 서비스로서의 플랫폼 Azure 리소스(예: 데이터베이스 및 프런트 엔드 계층)로 대체할 수 있지만, Private LinkApp Service VNet 통합을 사용하여 해당 PaaS 서비스를 가상 네트워크로 가져오는 경우 아키텍처는 크게 변경되지 않습니다.
  • Azure Virtual Machine Scale Sets 는 자동화되고 부하가 분산된 가상 머신 크기 조정으로 애플리케이션 관리를 간소화하고 가용성을 높입니다.
  • VM의 SQL Server를 사용하면 온-프레미스 하드웨어를 관리할 필요 없이 클라우드에서 전체 버전의 SQL Server를 사용할 수 있습니다.
  • Azure Virtual Network는 클라우드의 보안 사설망입니다. 가상 머신을 서로 연결하고, 인터넷에 연결하고, 프레미스 간 네트워크에 연결합니다.
  • 사용자 정의 경로 는 가상 네트워크의 기본 라우팅을 재정의하는 메커니즘입니다. 이 시나리오에서는 트래픽 인바운드 및 아웃바운드 트래픽 흐름이 Azure Firewall을 통과하도록 강제하는 데 사용됩니다.

솔루션 세부 정보

Traffic Manager - 성능 라우팅을 사용하도록 Traffic Manager를 구성했습니다. 사용자에 대한 대기 시간이 가장 짧은 엔드포인트로 트래픽을 라우팅합니다. Traffic Manager는 엔드포인트 대기 시간이 변경되면 부하 분산 알고리즘을 자동으로 조정합니다. Traffic Manager는 지역 중단이 있는 경우 자동 장애 조치(failover)를 제공합니다. 우선 순위 라우팅 및 정기적인 상태 확인을 사용하여 트래픽을 라우팅할 위치를 결정합니다.

가용성 영역 - 아키텍처는 3개의 가용성 영역을 사용합니다. 이 영역은 각 지역의 Application Gateway, 내부 부하 분산 장치 및 가상 머신에 대한 고가용성 아키텍처를 만듭니다. 영역 중단이 있는 경우 해당 지역의 다시 기본 가용성 영역이 부하를 인수하므로 지역 장애 조치(failover)가 트리거되지 않습니다.

Application Gateway - Traffic Manager는 DNS 기반 지역 부하 분산을 제공하지만 Application Gateway는 Azure Front Door와 동일한 많은 기능을 제공하지만 다음과 같은 지역 수준에서 제공합니다.

  • WAF(웹 애플리케이션 방화벽)
  • TLS(전송 계층 보안) 종료
  • 경로 기반 라우팅
  • 쿠키 기반 세션 선호도

Azure Firewall - Azure Firewall Premium은 이 아키텍처에서 세 가지 유형의 흐름을 검사하여 일반 애플리케이션(웹 및 비 웹 트래픽)에 대한 네트워크 보안을 제공합니다.

  • Application Gateway의 인바운드 HTTP(S) 흐름은 Azure Firewall Premium TLS 검사로 보호됩니다.
  • 공용 인터넷의 인바운드 비 HTTP(S) 흐름은 나머지 Azure Firewall Premium 기능을 사용하여 검사됩니다.
  • Azure Virtual Machines의 아웃바운드 흐름은 Azure Firewall에서 검사하여 데이터 반출 및 금지된 사이트 및 애플리케이션에 대한 액세스를 방지합니다.

가상 네트워크 피어링 - 지역 간 피어링을 "글로벌 가상 네트워크 피어링"이라고 합니다. 글로벌 가상 네트워크 피어링에서는 지역 간 대기 시간이 짧고 대역폭이 높은 데이터 복제본(replica)tion을 제공합니다. 이 글로벌 피어링을 사용하여 Azure 구독, Microsoft Entra 테넌트 및 배포 모델 간에 데이터를 전송할 수 있습니다. 허브-스포크 환경에서는 허브와 스포크 네트워크 간에 가상 네트워크 피어링이 존재합니다.

권장 사항

다음 권장 사항은 Azure WAF(Well-Architected Framework)의 원칙을 준수합니다. WAF 원칙은 클라우드 워크로드의 품질을 보장할 수 있도록 하는 원칙을 안내합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

안정성

지역 - 고가용성을 위해 두 개 이상의 Azure 지역을 사용합니다. 활성/수동 또는 활성/활성 구성으로 여러 Azure 지역에 애플리케이션을 배포할 수 있습니다. 여러 지역은 또한 애플리케이션의 하위 시스템이 실패하는 경우 애플리케이션 가동 중지 시간을 방지하는 데 도움이 됩니다.

  • 주 지역에 장애가 발생하면 Traffic Manager는 자동으로 보조 지역으로 장애 조치(failover)합니다.
  • 요구 사항에 가장 적합한 지역을 선택하려면 기술, 규정 고려 사항 및 가용성 영역 지원을 기반으로 해야 합니다.

지역 쌍 - 최고의 복원력을 위해 지역 쌍을 사용합니다. 두 지역 쌍이 애플리케이션에 필요한 모든 Azure 서비스를 지원하는지 확인합니다(지역별 서비스 참조). 다음은 지역 쌍의 두 가지 이점입니다.

  • 계획된 Azure 업데이트는 가동 중지 시간과 애플리케이션 중단 위험을 최소화하기 위해 한 번에 하나씩 쌍을 이루는 지역에 롤아웃됩니다.
  • 데이터는 세금 및 법적 목적을 위해 해당 지역 쌍(브라질 남부 제외)과 동일한 지역 내에 계속 상주합니다.

가용성 영역 - 여러 가용성 영역을 사용하여 사용 가능한 경우 Application Gateway, Azure Firewall, Azure Load Balancer 및 애플리케이션 계층을 지원합니다.

애플리케이션 게이트웨이 자동 크기 조정 및 인스턴스 - 가동 중지 시간을 방지하기 위해 최소 두 개의 인스턴스로 Application Gateway를 구성하고, 변화하는 애플리케이션 용량 요구에 동적 적응을 제공하도록 자동 크기 조정을 제공합니다.

자세한 내용은 다음을 참조하세요.

글로벌 라우팅

글로벌 라우팅 방법 - 고객의 요구를 가장 잘 충족하는 트래픽 라우팅 방법을 사용합니다. Traffic Manager는 여러 트래픽 라우팅 방법을 지원하여 트래픽을 다양한 서비스 엔드포인트로 결정적으로 라우팅합니다.

중첩 구성 - 지역 내에서 기본 설정하는 장애 조치(failover)를 선택하기 위해 보다 세부적인 제어가 필요한 경우 중첩 구성에서 Traffic Manager를 사용합니다.

자세한 내용은 다음을 참조하세요.

전역 트래픽 보기

Traffic Manager의 트래픽 보기를 사용하여 트래픽 패턴 및 대기 시간 메트릭을 확인합니다. 트래픽 보기는 새 Azure 지역으로 공간 확장을 계획하는 데 도움이 됩니다.

자세한 내용은 Traffic Manager 트래픽 보기를 참조하세요.

Application Gateway

즉시 사용 가능한 자동화된 복원력을 위해 Application Gateway v2 SKU를 사용합니다.

  • Application Gateway v2 SKU는 장애 도메인 및 업데이트 도메인에서 새 인스턴스가 생성되도록 자동으로 보장합니다. 영역 중복을 선택하면 내결함성을 제공하기 위해 최신 인스턴스도 가용성 영역 전체에 생성됩니다.

  • 인스턴스를 2개 이상 배포한 경우 Application Gateway v1 SKU는 고가용성 시나리오를 지원합니다. 인스턴스가 동시에 실패하는 일이 없도록, Azure는 이러한 인스턴스를 업데이트 및 장애 도메인에 배포합니다. v1 SKU는 로드를 공유하기 위해 동일한 게이트웨이의 여러 인스턴스를 추가하여 확장성을 지원합니다.

Application Gateway는 Azure Firewall의 CA 인증서를 신뢰해야 합니다.

Azure Firewall

TLS 검사를 제공하려면 이 디자인에서 Azure Firewall의 프리미엄 계층이 필요합니다. Azure Firewall은 자체 인증서를 생성하는 Application Gateway와 웹 계층 가상 머신 간의 TLS 세션을 가로채고 가상 네트워크에서 공용 인터넷으로의 아웃바운드 트래픽 흐름을 검사합니다. 이 디자인 에 대한 자세한 내용은 Azure Firewall 및 Application Gateway를 사용하는 웹 애플리케이션용 제로 트러스트 네트워크에서 찾을 수 있습니다.

상태 프로브 권장 사항

다음은 Traffic Manager, Application Gateway 및 Load Balancer의 상태 프로브에 대한 몇 가지 권장 사항입니다.

Traffic Manager

엔드포인트 상태 - 애플리케이션의 전반적인 상태를 보고하는 엔드포인트를 만듭니다. Traffic Manager는 HTTP(S) 프로브를 사용하여 각 지역의 가용성을 모니터링합니다. 프로브는 지정된 URL 경로에 대한 HTTP 200 응답을 확인합니다. 상태 프로브용으로 만든 엔드포인트를 사용합니다. 그렇지 않으면 애플리케이션의 중요한 부분이 실패할 때 프로브가 정상 엔드포인트를 보고할 수 있습니다.

자세한 내용은 상태 엔드포인트 모니터링 패턴을 참조하세요.

장애 조치(failover) 지연 - Traffic Manager에는 장애 조치(failover) 지연이 있습니다. 지연 기간은 다음 요소에 따라 결정됩니다.

  • 프로브 간격: 프로브가 엔드포인트의 상태를 확인하는 빈도.
  • 허용되는 실패 수: 엔드포인트를 비정상으로 표시하기 전에 프로브가 허용하는 실패 수.
  • 프로브 제한 시간: Traffic Manager가 엔드포인트를 비정상으로 간주하기까지 걸리는 시간.
  • TTL(Time-to-Live): DNS 서버는 IP 주소에 대해 캐시된 DNS 레코드를 업데이트해야 합니다. 걸리는 시간은 DNS TTL에 따라 다릅니다. 기본 TTL은 300초(5분)이지만 Traffic Manager 프로필을 만들 때 이 값을 구성할 수 있습니다.

자세한 내용은 Traffic Manager 모니터링을 참조하세요.

Application Gateway 및 Load Balancer

VM의 상태를 이해할 수 있도록 Application Gateway 및 부하 분산 장치의 상태 프로브 정책을 숙지합니다. 간략한 개요는 다음과 같습니다.

  • Application Gateway는 항상 HTTP 프로브를 사용합니다.

  • Load Balancer는 HTTP 또는 TCP를 평가할 수 있습니다. VM이 HTTP 서버를 실행하는 경우 HTTP 프로브를 사용합니다. 다른 모든 것에 TCP를 사용합니다.

  • HTTP 프로브는 지정된 경로에 HTTP GET 요청을 보내고 HTTP 200 응답을 수신 대기합니다. 이 경로는 루트 경로("/")일 수도 있고, 애플리케이션의 상태를 확인하는 사용자 지정 로직을 구현하는 상태 모니터링 엔드포인트일 수도 있습니다.

  • 엔드포인트는 익명의 HTTP 요청을 허용해야 합니다. 프로브가 제한 시간 내에 인스턴스에 연결할 수 없는 경우 Application Gateway 또는 Load Balancer는 해당 VM에 대한 트래픽 전송을 중지합니다. 프로브는 계속 확인하고 VM을 다시 사용할 수 있게 되면 VM을 백 엔드 풀로 반환합니다.

자세한 내용은 다음을 참조하세요.

운영 우수성

리소스 그룹 -리소스 그룹을 사용하여 수명, 소유자 및 기타 특성별로 Azure 리소스를 관리합니다.

가상 네트워크 피어링 -가상 네트워크 피어링을 사용하여 Azure에서 둘 이상의 가상 네트워크를 원활하게 연결합니다. 가상 네트워크는 연결하기 위해 하나로 표시됩니다. 피어링된 가상 네트워크에 있는 가상 머신 간의 트래픽은 Microsoft 백본 인프라를 사용합니다. 가상 네트워크의 주소 공간이 겹치지 않는지 확인합니다.

가상 네트워크 및 서브넷 - 서브넷의 각 계층에 대해 별도의 서브넷을 만듭니다. Application Gateway 및 Load Balancer와 같은 VM 및 리소스를 서브넷이 있는 가상 네트워크에 배포해야 합니다.

보안

웹 애플리케이션 방화벽 - Azure 애플리케이션 Gateway의 WAF 기능은 SQLi(SQL 삽입) 또는 CSS(교차 사이트 스크립팅)와 같은 HTTP 수준에서 공격을 감지하고 방지합니다.

차세대 방화벽 - Azure Firewall Premium은 HTTP(S) 또는 다른 프로토콜을 통해 업로드된 악성 파일과 같은 비 웹 공격에 대한 콘텐츠를 검사하여 추가 방어 계층을 제공합니다.

엔드 투 엔드 암호화 - 트래픽은 Azure 네트워크를 트래버스할 때 항상 암호화됩니다. Application Gateway와 Azure Firewall은 모두 해당 백 엔드 시스템으로 보내기 전에 트래픽을 암호화합니다.

DDoS(분산 서비스 거부) -Azure DDoS 네트워크 보호를 사용하여 Azure에서 제공하는 기본 보호보다 강력한 DDoS 보호를 제공합니다.

NSG(네트워크 보안 그룹) - NSG를 사용하여 가상 네트워크 내에서 네트워크 트래픽을 제한합니다. 예를 들어, 여기에 표시된 3계층 아키텍처에서 데이터 계층은 웹 프런트 엔드가 아닌 비즈니스 계층의 트래픽만 허용합니다. 비즈니스 계층만 데이터베이스 계층과 직접 통신할 수 있습니다. 이 규칙을 적용하려면 데이터베이스 계층이 비즈니스 계층 서브넷을 제외한 모든 수신 트래픽을 차단해야 합니다.

  1. 비즈니스 계층 서브넷의 인바운드 트래픽을 허용합니다.
  2. 데이터베이스 계층 서브넷 자체의 인바운드 트래픽을 허용합니다. 이 규칙은 데이터베이스 VM 간의 통신을 허용합니다. 데이터베이스 복제 및 장애 조치(failover)에는 이 규칙이 필요합니다.
  3. 규칙의 태그를 사용하여 VirtualNetwork 가상 네트워크의 모든 인바운드 트래픽을 거부)하여 기본 NSG 규칙에 포함된 허용 문을 덮어씁니다.

첫 번째 규칙보다 우선 순위가 낮은 규칙 3을 만듭니다(높은 수).

서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의할 수 있습니다.

자세한 내용은 애플리케이션 게이트웨이 인프라 구성을 참조하세요.

비용 최적화

자세한 내용은 다음을 참조하세요.

성능 효율성

가상 머신 확장 집합 - Virtual Machine Scale Sets를 사용하여 가상 머신의 확장성을 자동화합니다. 가상 머신 확장 집합은 모든 Windows 및 Linux 가상 머신 크기에서 사용할 수 있습니다. 배포된 가상 머신 및 사용된 기본 인프라 리소스에 대해서만 요금이 청구됩니다. 추가 요금은 없습니다. Virtual Machine Scale Sets의 이점은 다음과 같습니다.

  • 여러 가상 머신을 쉽게 만들고 관리
  • 고가용성 및 애플리케이션 복원력
  • 리소스 수요 변화에 따른 자동 조정

자세한 내용은 Virtual Machine Scale Sets를 참조하세요.

다음 단계

동일한 기술을 사용하는 더 많은 참조 아키텍처는 다음을 참조하세요.