Azure 네트워크 토폴로지 정의

  • 아티클

네트워크 토폴로지는 애플리케이션이 서로 통신하는 방법을 정의하기 때문에 랜딩 존 아키텍처의 중요한 요소입니다. 이 섹션에서는 Azure 배포에 대한 기술 및 토폴로지 접근 방식을 살펴봅니다. Azure Virtual WAN을 기반으로 하는 토폴로지와 기존 토폴로지의 두 가지 핵심 접근 방식에 중점을 둡니다.

Virtual WAN은 대규모 상호 연결 요구 사항을 충족하는 데 사용됩니다. Microsoft 관리형 서비스이므로 전반적인 네트워크 복잡성을 줄이고 조직의 네트워크를 현대화하는 데 도움이 됩니다. 다음 요구 사항이 조직에 적용되는 경우 Virtual WAN 토폴로지를 사용하는 것이 가장 적합할 수 있습니다.

  • 조직은 여러 Azure 지역에 리소스를 배포하려고 하며 이러한 Azure 지역의 가상 네트워크와 여러 온-프레미스 위치 간의 글로벌 연결이 필요합니다.
  • 조직에서는 SD-WAN(소프트웨어 정의 WAN) 배포를 통해 대규모 분기 네트워크를 Azure에 직접 통합하거나 네이티브 IPSec 종료를 위해 30개 이상의 분기 사이트가 필요합니다.
  • VPN(가상 사설망)과 Azure ExpressRoute 간에 전이적 라우팅이 필요합니다. 예를 들어 사이트 간 VPN을 통해 연결된 원격 분기 또는 지점 및 사이트 간 VPN을 통해 연결된 원격 사용자는 Azure를 통해 ExpressRoute에 연결된 DC에 연결해야 합니다.

기존의 허브 및 스포크 네트워크 토폴로지 로 Azure에서 사용자 지정되고 보안이 강화된 대규모 네트워크를 빌드할 수 있습니다. 이 토폴로지에서는 라우팅 및 보안을 관리합니다. 조직에 다음 요구 사항이 적용되는 경우 기존 토폴로지를 사용하는 것이 가장 적합할 수 있습니다.

  • 조직에서는 하나 또는 여러 Azure 지역에 리소스를 배포하려고 하며, Azure 지역 간 일부 트래픽(예: 서로 다른 두 Azure 지역의 두 가상 네트워크 간 트래픽)이 예상되는 반면, 모든 Azure 지역에 걸쳐 전체 메시 네트워크가 필요하지는 않습니다.
  • 지역당 원격 또는 분기 위치 수가 적습니다. 즉, 30개 미만의 IPSec 사이트-사이트 터널이 필요합니다.
  • Azure 네트워크 라우팅 정책을 수동으로 구성하려면 모든 권한과 세분성이 필요합니다.

Virtual WAN 네트워크 토폴로지(Microsoft에서 관리)

Diagram that illustrates a Virtual WAN network topology.

기존 Azure 네트워킹 토폴로지

Diagram that illustrates a traditional Azure network topology.

Azure 랜딩 존의 Azure Virtual Network Manager

Azure 랜딩 존 개념 아키텍처는 두 가지 네트워킹 토폴로지 중 하나인 Virtual WAN을 기반으로 하는 네트워크 토폴로지 또는 기존 허브 및 스포크 아키텍처를 기반으로 하는 네트워크 토폴로지 중 하나를 권장합니다. 시간이 지남에 따라 비즈니스 요구 사항이 변경됨에 따라(예: 하이브리드 연결이 필요한 온-프레미스 애플리케이션을 Azure로 마이그레이션) Virtual Network Manager를 사용하여 네트워킹 변경 내용을 확장하고 구현할 수 있습니다. 대부분의 경우 Azure에 이미 배포된 항목을 방해하지 않고 수행할 수 있습니다.

Virtual Network Manager를 사용하여 기존 및 새 가상 네트워크 모두에 대한 구독에서 세 가지 유형의 토폴로 지 만들기를 수행할 수 있습니다.

  • 허브 및 스포크 토폴로지
  • 스포크 간 직접 연결을 사용하는 허브 및 스포크 토폴로지
  • 메시 토폴로지(미리 보기)

Diagram that shows Azure virtual network topologies.

참고 항목

Virtual Network Manager는 가상 WAN 허브를 네트워크 그룹의 일부 또는 토폴로지의 허브로 지원하지 않습니다. 자세한 내용은 Azure Virtual Network Manager FAQ를 참조 하세요.

스포크가 서로 직접 연결되는 Virtual Network Manager에서 직접 연결을 사용하여 허브 및 스포크 토폴로지 만들기를 수행할 때 동일한 네트워크 그룹의 스포크 가상 네트워크 간 직접 연결은 커넥트 그룹 기능을 통해 양방향으로 자동으로 사용하도록 설정됩니다.

Virtual Network Manager를 사용하여 특정 네트워크 그룹에 가상 네트워크를 정적으로 또는 동적으로 추가할 수 있습니다. 이렇게 하면 Virtual Network Manager의 연결 구성에 따라 원하는 토폴로지 정의 및 생성됩니다.

여러 네트워크 그룹을 만들어 직접 연결에서 가상 네트워크 그룹을 격리할 수 있습니다. 각 네트워크 그룹은 스포크 간 연결에 대해 동일한 지역 및 다중 지역 지원을 제공합니다. Azure Virtual Network Manager FAQ에 설명된 Virtual Network Manager에 대해 정의된 제한 내에서 유지해야 합니다.

보안 관점에서 Virtual Network Manager는 NSG에 정의된 내용에 관계없이 트래픽 흐름을 중앙에서 거부하거나 허용하는 보안 관리자 규칙을 적용하는 효율적인 방법을 제공합니다. 이 기능을 사용하면 네트워크 보안 관리자가 액세스 제어를 적용하고 애플리케이션 소유자가 NSG에서 자체 하위 수준 규칙을 관리할 수 있습니다.

Virtual Network Manager를 사용하여 가상 네트워크를 그룹화할 수 있습니다. 그런 다음 개별 가상 네트워크가 아닌 그룹에 구성을 적용할 수 있습니다. 이 기능을 사용하면 세분화된 제어를 잃지 않고도 하나 이상의 지역에 대한 연결, 구성 및 토폴로지, 보안 규칙 및 배포를 보다 효율적으로 관리할 수 있습니다.

환경, 팀, 위치, 비즈니스 라인 또는 요구 사항에 맞는 기타 기능별로 네트워크를 분할할 수 있습니다. 그룹 멤버 자격을 제어하는 조건 집합을 만들어 네트워크 그룹을 정적 또는 동적으로 정의할 수 있습니다.

Virtual Network Manager를 사용하여 모든 애플리케이션 마이그레이션, 현대화 및 혁신을 대규모로 수용하기 위해 Azure 랜딩 존 디자인 원칙을 구현할 수 있습니다.

디자인 고려 사항

  • 기존 허브 및 스포크 배포에서는 가상 네트워크 피어링 연결이 수동으로 생성되고 기본. Virtual Network Manager는 가상 네트워크 피어링을 위한 자동화 계층을 도입하여 메시와 같은 크고 복잡한 네트워크 토폴로지에서 대규모로 쉽게 관리할 수 있도록 합니다. 자세한 내용은 네트워크 그룹 개요를 참조하세요.
  • 다양한 비즈니스 기능의 보안 요구 사항에 따라 네트워크 그룹을 만들어야 하는 필요성이 결정됩니다. 네트워크 그룹은 이 문서의 앞부분에서 설명한 대로 수동으로 또는 조건문을 통해 선택된 가상 네트워크 집합입니다. 네트워크 그룹을 만들 때 정책을 지정해야 하거나, 명시적으로 허용하는 경우 Virtual Network Manager에서 정책을 만들 수 있습니다. 이 정책을 사용하면 Virtual Network Manager에 변경 내용에 대한 알림을 받을 수 있습니다. 기존 Azure 정책 이니셔티브를 업데이트하려면 Virtual Network Manager 리소스 내에서 네트워크 그룹에 변경 내용을 배포해야 합니다.
  • 적절한 네트워크 그룹을 디자인하려면 네트워크의 어느 부분이 일반적인 보안 특성을 공유하는지 평가해야 합니다. 예를 들어 회사 및 온라인용 네트워크 그룹을 만들어 연결 및 보안 규칙을 대규모로 관리할 수 있습니다.
  • 조직의 구독에서 여러 가상 네트워크가 동일한 보안 특성을 공유하는 경우 Virtual Network Manager를 사용하여 효율적으로 적용할 수 있습니다. 예를 들어 HR 또는 Finance와 같은 사업부에서 사용하는 모든 시스템을 별도의 네트워크 그룹에 배치해야 합니다. 다른 관리 규칙을 적용해야 하기 때문입니다.
  • Virtual Network Manager는 서브넷 수준에서 적용되는 NSG 규칙보다 우선 순위가 높은 보안 관리자 규칙을 중앙에서 적용할 수 있습니다. (이 기능은 미리 보기로 제공됩니다.) 이 기능을 사용하면 네트워크 및 보안 팀이 회사 정책을 효과적으로 적용하고 대규모 보안 가드레일을 만들 수 있지만 제품 팀이 랜딩 존 구독 내에서 NSG를 동시에 제어할 기본 수 있습니다.
  • Virtual Network Manager 보안 관리자 규칙 기능을 사용하여 서브넷 또는 네트워크 인터페이스 수준의 NSG 구성에 관계없이 특정 네트워크 흐름을 명시적으로 허용하거나 거부할 수 있습니다. 예를 들어 이 기능을 사용하여 관리 서비스 네트워크 흐름이 항상 허용되도록 허용할 수 있습니다. 애플리케이션 팀에서 제어하는 NSG는 이러한 규칙을 재정의할 수 없습니다.
  • 가상 네트워크는 연결된 두 그룹의 일부일 수 있습니다.

디자인 권장 사항

  • Virtual Network Manager의 범위를 정의합니다. 루트 관리 그룹(테넌트)에서 조직 수준 규칙을 적용하는 보안 관리자 규칙을 적용합니다. 이렇게 하면 기존 및 새 리소스 및 연결된 모든 관리 그룹에 규칙이 자동으로 계층적으로 적용됩니다.
  • 중간 루트 관리 그룹(예: Contoso)의 범위를 사용하여 커넥트ivity 구독에 Virtual Network Manager 인스턴스를 만듭니다. 이 인스턴스에서 보안 관리자 기능을 사용하도록 설정합니다. 이 구성을 사용하면 Azure 랜딩 존 계층 구조의 모든 가상 네트워크 및 서브넷에 적용되는 보안 관리자 규칙을 정의할 수 있으며 애플리케이션 랜딩 존 소유자 및 팀에 NSG를 민주화할 수 있습니다.
  • 가상 네트워크를 정적으로(수동) 또는 동적(정책 기반)으로 그룹화하여 네트워크를 분할합니다.
  • 선택한 스포크에서 허브의 공통 서비스 또는 NVA에 액세스하는 것 외에도 대기 시간이 짧고 처리량이 높은 자주 통신해야 하는 경우 스포크 간에 직접 연결을 사용하도록 설정합니다.
  • 지역 간 모든 가상 네트워크가 서로 통신해야 하는 경우 전역 메시를 사용하도록 설정합니다.
  • 규칙 컬렉션의 각 보안 관리자 규칙에 우선 순위 값을 할당합니다. 값이 낮을수록 규칙의 우선 순위가 높습니다.
  • 보안 관리자 규칙을 사용하여 애플리케이션 팀에서 제어하는 NSG 구성에 관계없이 네트워크 흐름을 명시적으로 허용하거나 거부합니다. 이렇게 하면 NSG 및 해당 규칙의 제어를 애플리케이션 팀에 완전히 위임할 수 있습니다.