Azure의 허브-스포크 네트워크 토폴로지

Azure
방화벽
Virtual Network
Bastion
VPN Gateway

이 참조 아키텍처는 Azure의 허브-스포크 토폴로지를 자세히 설명 합니다. 허브 가상 네트워크는 여러 스포크 가상 네트워크에 대 한 연결의 중앙 지점 역할을 합니다. 허브는 온-프레미스 네트워크에 대 한 연결 지점으로도 사용할 수 있습니다. 허브와의 스포크 가상 네트워크 피어는 워크 로드를 격리 하는 데 사용할 수 있습니다.

허브 및 스포크 구성을 사용 하는 이점에는 비용 절감, 구독 제한 극복, 워크 로드 격리 등이 있습니다.

Azure의 허브-스포크 토폴로지

참조 배포

이 배포에는 하나의 허브 가상 네트워크와 두 개의 피어 링 스포크가 포함 됩니다. Azure 방화벽과 Azure 방호 호스트도 배포 됩니다. 필요에 따라 배포에는 첫 번째 스포크 네트워크와 VPN gateway의 가상 컴퓨터가 포함 될 수 있습니다.

다음 명령을 사용 하 여 배포에 대 한 리소스 그룹을 만듭니다. 사용해 보세요 단추를 클릭 하 여 포함 된 셸을 사용 합니다.

az group create --name hub-spoke --location eastus

다음 명령을 실행 하 여 허브 및 스포크 네트워크 구성, 허브와 스포크 간 VNet 피어 링 및 요새 호스트를 배포 합니다. 메시지가 표시 되 면 사용자 이름 및 암호를 입력 합니다. 이러한 값을 사용 하 여 스포크 네트워크에 있는 가상 컴퓨터에 액세스할 수 있습니다.

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/azure-hub-spoke/azuredeploy.json

자세한 정보 및 추가 배포 옵션은이 솔루션을 배포 하는 데 사용 되는 Azure Resource Manager (ARM) 템플릿을 참조 하세요.

사용 사례

이 아키텍처의 일반적인 용도는 다음과 같습니다.

  • 개발, 테스트, 생산과 같이 서로 다른 환경에 배포되고 DNS, IDS, NTP 또는 AD DS와 같은 공유 서비스가 필요한 워크로드. 공유 서비스는 허브 가상 네트워크에 배치 되는 반면 격리를 유지 하기 위해 각 환경은 스포크에 배포 됩니다.
  • 서로 연결할 필요가 없지만 공유 서비스에 대 한 액세스 권한이 필요한 작업입니다.
  • DMZ로 기능한 허브의 방화벽, 각 스포크에서 워크로드에 대한 별도의 관리 등 보안 측면에 대한 중앙 제어가 필요한 엔터프라이즈.

Architecture

이 아키텍처는 다음 구성 요소로 구성됩니다.

허브 가상 네트워크: 허브 가상 네트워크는 온-프레미스 네트워크에 대 한 연결의 중심점입니다. 스포크 가상 네트워크에서 호스트 되는 다른 워크 로드에서 사용할 수 있는 서비스를 호스트 하는 장소입니다.

스포크 가상 네트워크: 스포크 가상 네트워크는 다른 스포크와 별도로 관리 되는 자체 가상 네트워크에서 워크 로드를 격리 하는 데 사용 됩니다. 각 워크로드에는 Azure Load Balancer를 통해 여러 서브넷이 연결된 여러 계층이 포함될 수 있습니다.

가상 네트워크 피어 링: 피어 링 연결을 사용 하 여 두 개의 가상 네트워크를 연결할 수 있습니다. 피어 링 연결은 가상 네트워크 간 비 전이적, 짧은 대기 시간 연결입니다. 피어 링 하면 가상 네트워크는 라우터를 요구 하지 않고 Azure 백본을 사용 하 여 트래픽을 교환 합니다.

요새 호스트: Azure 방호를 사용 하면 브라우저와 Azure Portal를 사용 하 여 가상 컴퓨터에 안전 하 게 연결할 수 있습니다. Azure 방호 호스트는 Azure Virtual Network 내에 배포 되며 VNet 또는 피어 링 Vnet의 가상 컴퓨터에 있는 가상 컴퓨터에 액세스할 수 있습니다.

Azure 방화벽: Azure 방화벽은 서비스로 서 관리 되는 방화벽입니다. 방화벽 인스턴스는 자체 서브넷에 배치 됩니다.

VPN 가상 네트워크 게이트웨이 또는 ExpressRoute 게이트웨이. 가상 네트워크 게이트웨이를 사용 하면 가상 네트워크가 온-프레미스 네트워크와의 연결에 사용 되는 VPN 장치 또는 Express 경로 회로에 연결할 수 있습니다. 자세한 내용은 온-프레미스 네트워크를 Microsoft Azure virtual network에 연결을 참조하세요.

VPN 디바이스. 온-프레미스 네트워크에 외부 연결을 제공하는 디바이스 또는 서비스입니다. VPN 장치는 Windows Server 2012의 RRAS (라우팅 및 원격 액세스 서비스)와 같은 소프트웨어 솔루션 이거나 하드웨어 장치 일 수 있습니다. 자세한 내용은 사이트 간 VPN Gateway 연결에 대 한 VPN 장치 정보를 참조 하세요.

권장 사항

다음 권장 사항은 대부분의 시나리오에 적용 됩니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

리소스 그룹

이 문서에 포함 된 샘플 솔루션은 단일 Azure 리소스 그룹을 사용 합니다. 실제로 허브와 각 스포크는 서로 다른 리소스 그룹 및 다른 구독에서 구현 될 수 있습니다. 서로 다른 구독에 있는 가상 네트워크를 피어 링 하는 경우 두 구독 모두 같거나 다른 Azure Active Directory 테 넌 트에 연결할 수 있습니다. 이러한 유연성을 통해 허브에서 유지 관리 되는 서비스를 공유 하면서 각 워크 로드를 중앙에서 관리할 수 있습니다.

가상 네트워크 및 게이트웨이 서브넷

이름이 GatewaySubnet 인 서브넷을 만듭니다. 주소 범위는 /27로 합니다. 가상 네트워크 게이트웨이에는이 서브넷이 필요 합니다. 이 서브넷에 32 주소를 제공 하면 향후 게이트웨이 크기 제한에 도달 하는 것을 방지할 수 있습니다.

게이트웨이 설정에 대한 자세한 내용은 연결 유형에 따라 다음과 같은 참조 아키텍처를 참조하세요.

고가용성이 필요한 경우 장애 조치(failover)를 위해 ExpressRoute와 VPN을 모두 사용할 수 있습니다. VPN 장애 조치(failover)를 사용하는 ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure에 연결을 참조하세요.

온-프레미스 네트워크와 연결 하지 않아도 되는 경우 게이트웨이 없이 허브-스포크 토폴로지를 사용할 수도 있습니다.

가상 네트워크 피어링

가상 네트워크 피어 링은 두 가상 네트워크 간의 비 전이적 관계입니다. 스포크를 서로 연결해야 한다면 스포크 사이에 별도의 피어링 연결을 추가하는 방법도 고려할 수 있습니다.

서로 연결 해야 하는 여러 개의 스포크가 있다고 가정해 보겠습니다. 이 경우 가상 네트워크 당 가상 네트워크 피어 링 수가 제한 되므로 가능한 피어 링 연결을 신속 하 게 실행할 수 있습니다. 자세한 내용은 네트워킹 제한을 참조 하세요. 이 시나리오에서는 UDRs (사용자 정의 경로)를 사용 하 여 스포크로 향하는 트래픽이 Azure 방화벽 또는 허브의 라우터 역할을 하는 네트워크 가상 어플라이언스로 전송 되도록 하는 것이 좋습니다. 이렇게 변경 하면 스포크를 서로 연결할 수 있습니다.

허브 게이트웨이를 사용 하 여 원격 네트워크와 통신 하도록 스포크를 구성할 수도 있습니다. 게이트웨이 트래픽이 스포크에서 허브로 이동 하 고 원격 네트워크에 연결 하도록 허용 하려면 다음을 수행 해야 합니다.

  • 게이트웨이가 전송 될 수 있도록 허브에서 피어 링 연결을 구성 합니다.
  • 원격 게이트웨이를 사용 하도록 각 스포크에서 피어 링 연결을 구성 합니다.
  • 모든 피어 링 연결이 전달 된 트래픽을 허용 하도록 구성 합니다.

자세한 내용은 VNet 피어 링 만들기를 참조 하세요.

스포크 연결

스포크 간 연결이 필요한 경우 Azure 방화벽 또는 다른 네트워크 가상 어플라이언스를 배포 하는 것이 좋습니다. 그런 다음, 스포크에서 방화벽 또는 네트워크 가상 어플라이언스로 트래픽을 전달 하는 경로를 만든 다음 두 번째 spoke로 라우팅합니다. 이 시나리오에서는 피어링 연결이 전달된 트래픽을 허용 하도록 구성해야 합니다.

Azure 방화벽을 사용 하 여 스포크 간 라우팅

이 선택은 대기 시간 및 처리량에 영향을 주지만, VPN gateway를 사용 하 여 스포크 간에 트래픽을 라우팅할 수도 있습니다. 구성 세부 정보는 가상 네트워크 피어 링에 대 한 VPN gateway 전송 구성 을 참조 하세요.

허브에서 더 많은 수의 스포크를 확장할 수 있도록 허브에서 공유 되는 서비스를 고려 합니다. 예를 들어 허브에서 방화벽 서비스를 제공 하는 경우 여러 스포크를 추가할 때 방화벽 솔루션의 대역폭 제한을 고려 합니다. 공유 서비스 중 일부를 두 번째 수준의 허브로 이동하는 것이 좋을 수 있습니다.

운영상의 고려 사항

허브 및 스포크 네트워크를 배포 하 고 관리 하는 경우 다음 정보를 고려 하세요.

네트워크 모니터링

Azure Network Watcher을 사용 하 여 네트워크 구성 요소를 모니터링 하 고 문제를 해결 합니다. 트래픽 분석와 같은 도구는 대부분의 트래픽을 생성 하는 가상 네트워크의 시스템을 보여 줍니다. 그런 다음 문제를 해결 하기 전에 병목 상태를 시각적으로 식별할 수 있습니다. 네트워크 성능 관리자는 Microsoft Express 경로 회로에 대 한 정보를 모니터링 하는 데 적합 한 도구입니다. VPN 진단은 응용 프로그램을 온-프레미스에 연결 하는 사이트 간 VPN 연결 문제를 해결 하는 데 도움이 될 수 있는 또 다른 도구입니다.

자세한 내용은 Azure Well-Architected Framework의 azure Network Watcher 를 참조 하세요.

비용 고려 사항

허브 및 스포크 네트워크를 배포 하 고 관리 하는 경우 다음 비용 관련 항목을 고려 하세요.

Azure Firewall

Azure 방화벽은이 아키텍처의 허브 네트워크에 배포 됩니다. 공유 솔루션으로 사용 하 고 여러 워크 로드에서 사용 하는 경우 Azure 방화벽은 다른 네트워크 가상 어플라이언스를 통해 최대 30-50%까지 절감할 수 있습니다. 자세한 내용은 Azure 방화벽 vs 네트워크 가상 어플라이언스를 참조 하세요.

가상 네트워크 피어링

가상 네트워크 피어 링을 사용 하 여 개인 IP 주소를 사용 하 여 가상 네트워크 간에 트래픽을 라우팅할 수 있습니다. 몇 가지 사항은 다음과 같습니다.

  • 피어 링 네트워크의 양 끝에서 수신 및 송신 트래픽이 청구 됩니다.
  • 각 영역에는 서로 다른 전송 속도가 있습니다.

예를 들어 영역 1의 가상 네트워크에서 영역 2의 다른 가상 네트워크로 데이터를 전송 하면 영역 1의 아웃 바운드 전송 비율과 영역 2에 대 한 인바운드 요금이 발생 합니다. 자세한 내용은 가상 네트워크 가격 책정을 참조 하세요.

다음 단계

구성 요소 기술에 대해 자세히 알아보세요.

관련 아키텍처 살펴보기: