Azure의 허브-스포크 네트워크 토폴로지

Azure
방화벽
Virtual Network
Bastion
VPN Gateway

이 참조 아키텍처는 Azure의 허브-스포크 토폴로지를 자세히 설명 합니다. 허브 가상 네트워크는 여러 스포크 가상 네트워크에 대 한 연결의 중앙 지점 역할을 합니다. 허브는 온-프레미스 네트워크에 대 한 연결 지점으로도 사용할 수 있습니다. 허브와의 스포크 가상 네트워크 피어는 워크 로드를 격리 하는 데 사용할 수 있습니다.

허브 및 스포크 구성을 사용 하는 이점에는 비용 절감, 구독 제한 극복, 워크 로드 격리 등이 있습니다.

Azure의 허브-스포크 토폴로지

참조 배포

이 배포에는 하나의 허브 가상 네트워크와 두 개의 피어 링 스포크가 포함 됩니다. Azure 방화벽과 Azure 방호 호스트도 배포 됩니다. 필요에 따라 배포에는 첫 번째 스포크 네트워크와 VPN gateway의 가상 컴퓨터가 포함 될 수 있습니다.

다음 명령을 사용 하 여 배포에 대 한 리소스 그룹을 만듭니다. 사용해 보세요 단추를 클릭 하 여 포함 된 셸을 사용 합니다.

az group create --name hub-spoke --location eastus

다음 명령을 실행 하 여 허브 및 스포크 네트워크 구성, 허브와 스포크 간 VNet 피어 링 및 요새 호스트를 배포 합니다. 메시지가 표시 되 면 사용자 이름 및 암호를 입력 합니다. 이러한 값을 사용 하 여 스포크 네트워크에 있는 가상 컴퓨터에 액세스할 수 있습니다.

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/azure-hub-spoke/azuredeploy.json

자세한 정보 및 추가 배포 옵션은이 솔루션을 배포 하는 데 사용 되는 Azure Resource Manager (ARM) 템플릿을 참조 하세요.

사용 사례

이 아키텍처의 일반적인 용도는 다음과 같습니다.

  • 개발, 테스트, 생산과 같이 서로 다른 환경에 배포되고 DNS, IDS, NTP 또는 AD DS와 같은 공유 서비스가 필요한 워크로드. 공유 서비스는 허브 가상 네트워크에 배치 되는 반면 격리를 유지 하기 위해 각 환경은 스포크에 배포 됩니다.
  • 서로 연결할 필요가 없지만 공유 서비스에 대 한 액세스 권한이 필요한 작업입니다.
  • DMZ로 기능한 허브의 방화벽, 각 스포크에서 워크로드에 대한 별도의 관리 등 보안 측면에 대한 중앙 제어가 필요한 엔터프라이즈.

Architecture

이 아키텍처는 다음 구성 요소로 구성됩니다.

허브 가상 네트워크: 허브 가상 네트워크는 온-프레미스 네트워크에 대 한 연결의 중심점입니다. 스포크 가상 네트워크에서 호스트 되는 다른 워크 로드에서 사용할 수 있는 서비스를 호스트 하는 장소입니다.

스포크 가상 네트워크: 스포크 가상 네트워크는 다른 스포크와 별도로 관리 되는 자체 가상 네트워크에서 워크 로드를 격리 하는 데 사용 됩니다. 각 워크로드에는 Azure Load Balancer를 통해 여러 서브넷이 연결된 여러 계층이 포함될 수 있습니다.

가상 네트워크 피어 링: 피어 링 연결을 사용 하 여 두 개의 가상 네트워크를 연결할 수 있습니다. 피어 링 연결은 가상 네트워크 간 비 전이적, 짧은 대기 시간 연결입니다. 피어 링 하면 가상 네트워크는 라우터를 요구 하지 않고 Azure 백본을 사용 하 여 트래픽을 교환 합니다.

요새 호스트: Azure 방호를 사용 하면 브라우저와 Azure Portal를 사용 하 여 가상 컴퓨터에 안전 하 게 연결할 수 있습니다. Azure 방호 호스트는 Azure Virtual Network 내에 배포 되며 VNet 또는 피어 링 Vnet의 가상 컴퓨터에 있는 가상 컴퓨터에 액세스할 수 있습니다.

Azure 방화벽: Azure 방화벽은 서비스로 서 관리 되는 방화벽입니다. 방화벽 인스턴스는 자체 서브넷에 배치 됩니다.

VPN 가상 네트워크 게이트웨이 또는 ExpressRoute 게이트웨이. 가상 네트워크 게이트웨이를 사용 하면 가상 네트워크가 온-프레미스 네트워크와의 연결에 사용 되는 VPN 장치 또는 Express 경로 회로에 연결할 수 있습니다. 자세한 내용은 온-프레미스 네트워크를 Microsoft Azure virtual network에 연결을 참조하세요.

VPN 디바이스. 온-프레미스 네트워크에 외부 연결을 제공하는 디바이스 또는 서비스입니다. VPN 장치는 Windows Server 2012의 RRAS (라우팅 및 원격 액세스 서비스)와 같은 소프트웨어 솔루션 이거나 하드웨어 장치 일 수 있습니다. 자세한 내용은 사이트 간 VPN Gateway 연결에 대 한 VPN 장치 정보를 참조 하세요.

권장 사항

다음 권장 사항은 대부분의 시나리오에 적용 됩니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

리소스 그룹

이 문서에 포함 된 샘플 솔루션은 단일 Azure 리소스 그룹을 사용 합니다. 실제로 허브와 각 스포크는 서로 다른 리소스 그룹 및 다른 구독에서 구현 될 수 있습니다. 서로 다른 구독에 있는 가상 네트워크를 피어 링 하는 경우 두 구독 모두 같거나 다른 Azure Active Directory 테 넌 트에 연결할 수 있습니다. 이러한 유연성을 통해 허브에서 유지 관리 되는 서비스를 공유 하면서 각 워크 로드를 중앙에서 관리할 수 있습니다.

가상 네트워크 및 게이트웨이 서브넷

이름이 GatewaySubnet 인 서브넷을 만듭니다. 주소 범위는 /27로 합니다. 가상 네트워크 게이트웨이에는이 서브넷이 필요 합니다. 이 서브넷에 32 주소를 제공 하면 향후 게이트웨이 크기 제한에 도달 하는 것을 방지할 수 있습니다.

게이트웨이 설정에 대한 자세한 내용은 연결 유형에 따라 다음과 같은 참조 아키텍처를 참조하세요.

고가용성이 필요한 경우 장애 조치(failover)를 위해 ExpressRoute와 VPN을 모두 사용할 수 있습니다. VPN 장애 조치(failover)를 사용하는 ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure에 연결을 참조하세요.

온-프레미스 네트워크와 연결 하지 않아도 되는 경우 게이트웨이 없이 허브-스포크 토폴로지를 사용할 수도 있습니다.

가상 네트워크 피어링

가상 네트워크 피어 링은 두 가상 네트워크 간의 비 전이적 관계입니다. 스포크를 서로 연결해야 한다면 스포크 사이에 별도의 피어링 연결을 추가하는 방법도 고려할 수 있습니다.

서로 연결 해야 하는 여러 개의 스포크가 있다고 가정해 보겠습니다. 이 경우 가상 네트워크 당 가상 네트워크 피어 링 수가 제한 되므로 가능한 피어 링 연결을 신속 하 게 실행할 수 있습니다. 자세한 내용은 네트워킹 제한을 참조 하세요. 이 시나리오에서는 UDRs (사용자 정의 경로)를 사용 하 여 스포크로 향하는 트래픽이 Azure 방화벽 또는 허브의 라우터 역할을 하는 네트워크 가상 어플라이언스로 전송 되도록 하는 것이 좋습니다. 이렇게 변경 하면 스포크를 서로 연결할 수 있습니다.

허브 게이트웨이를 사용 하 여 원격 네트워크와 통신 하도록 스포크를 구성할 수도 있습니다. 게이트웨이 트래픽이 스포크에서 허브로 이동 하 고 원격 네트워크에 연결 하도록 허용 하려면 다음을 수행 해야 합니다.

  • 게이트웨이가 전송 될 수 있도록 허브에서 피어 링 연결을 구성 합니다.
  • 원격 게이트웨이를 사용 하도록 각 스포크에서 피어 링 연결을 구성 합니다.
  • 모든 피어 링 연결이 전달 된 트래픽을 허용 하도록 구성 합니다.

자세한 내용은 VNet 피어 링 만들기를 참조 하세요.

스포크 연결

스포크 간 연결이 필요한 경우 Azure 방화벽 또는 다른 네트워크 가상 어플라이언스를 배포 하는 것이 좋습니다. 그런 다음, 스포크에서 방화벽 또는 네트워크 가상 어플라이언스로 트래픽을 전달 하는 경로를 만든 다음 두 번째 spoke로 라우팅합니다. 이 시나리오에서는 피어링 연결이 전달된 트래픽을 허용 하도록 구성해야 합니다.

Azure 방화벽을 사용 하 여 스포크 간 라우팅

이 선택은 대기 시간 및 처리량에 영향을 주지만, VPN gateway를 사용 하 여 스포크 간에 트래픽을 라우팅할 수도 있습니다. 구성 세부 정보는 가상 네트워크 피어 링에 대 한 VPN gateway 전송 구성 을 참조 하세요.

허브에서 더 많은 수의 스포크를 확장할 수 있도록 허브에서 공유 되는 서비스를 고려 합니다. 예를 들어 허브에서 방화벽 서비스를 제공하는 경우 여러 스포크 추가 시 방화벽 솔루션의 대역폭 제한을 고려합니다. 공유 서비스 중 일부를 두 번째 수준의 허브로 이동하는 것이 좋을 수 있습니다.

운영상의 고려 사항

허브 및 스포크 네트워크를 배포하고 관리할 때 다음 정보를 고려합니다.

네트워크 모니터링

Azure Network Watcher 사용하여 네트워크 구성 요소를 모니터링하고 문제를 해결합니다. 트래픽 분석 같은 도구는 가장 많은 트래픽을 생성하는 가상 네트워크의 시스템을 보여 줍니다. 그런 다음, 문제가 발생하기 전에 병목 현상을 시각적으로 식별할 수 있습니다. 네트워크 성능 관리자는 Microsoft ExpressRoute 회로에 대한 정보를 모니터링하는 데 적합한 도구입니다. VPN 진단은 애플리케이션을 온-프레미스 사용자에 연결하는 사이트 간 VPN 연결 문제를 해결하는 데 도움이 되는 또 다른 도구입니다.

자세한 내용은 Azure Well-Architected Framework의 Azure Network Watcher 참조하세요.

비용 고려 사항

허브 및 스포크 네트워크를 배포하고 관리할 때 다음 비용 관련 항목을 고려합니다.

Azure Firewall

Azure Firewall 이 아키텍처의 허브 네트워크에 배포됩니다. 공유 솔루션으로 사용되고 여러 워크로드에서 사용되는 경우 Azure Firewall 다른 네트워크 가상 어플라이언스에 비해 최대 30-50%까지 절약할 수 있습니다. 자세한 내용은 Azure Firewall 및 네트워크 가상 어플라이언스 를 참조하세요.

가상 네트워크 피어링

가상 네트워크 피어링을 사용하여 개인 IP 주소를 사용하여 가상 네트워크 간에 트래픽을 라우팅할 수 있습니다. 몇 가지 사항은 다음과 같습니다.

  • 수신 및 송신 트래픽은 피어된 네트워크의 양쪽 끝에서 요금이 청구됩니다.
  • 영역별로 전송 속도가 다릅니다.

예를 들어 영역 1의 가상 네트워크에서 영역 2의 다른 가상 네트워크로 데이터를 전송하면 영역 1에 대한 아웃바운드 전송 속도와 영역 2에 대한 인바운드 전송 속도가 발생합니다. 자세한 내용은 가상 네트워크 가격 책정을 참조하세요.

다음 단계

구성 요소 기술에 대해 자세히 알아보세요.

관련 아키텍처 살펴보기: