네트워크 옵션 검토Review your network options

Azure 네트워킹 기능을 디자인하고 구현하는 것은 클라우드 채택 활동의 중요한 부분입니다.Designing and implementing Azure networking capabilities is a critical part of your cloud adoption efforts. 클라우드에서 호스트되는 워크로드 및 서비스를 적절하게 지원하도록 네트워킹 디자인을 결정해야 합니다.You'll need to make networking design decisions to properly support the workloads and services that will be hosted in the cloud. Azure 네트워킹 제품 및 서비스는 다양한 네트워킹 기능을 지원합니다.Azure networking products and services support a wide variety of networking capabilities. 이러한 서비스를 구성하는 방법과 선택한 네트워킹 아키텍처는 조직의 워크로드, 거버넌스 및 연결 요구 사항에 따라 달라집니다.How you structure these services and the networking architectures you choose depends on your organization's workload, governance, and connectivity requirements.

워크로드 네트워킹 요구 사항 파악Identify workload networking requirements

방문 영역 평가 및 준비의 일환으로, 방문 영역에서 지원해야 하는 네트워킹 기능을 식별해야 합니다.As part of your landing zone evaluation and preparation, you need to identify the networking capabilities that your landing zone needs to support. 이 프로세스에는 연결 네트워크 제어 요구 사항을 확인하기 위해 워크로드를 구성하는 각 애플리케이션 및 서비스에 대한 평가가 포함됩니다.This process involves assessing each of the applications and services that make up your workloads to determine their connectivity network control requirements. 요구 사항을 파악하고 문서화한 후에는 워크로드 요구 사항에 따라 허용되는 네트워킹 리소스 및 구성을 제어하는 방문 영역에 대한 정책을 만들 수 있습니다.After you identify and document the requirements, you can create policies for your landing zone to control the allowed networking resources and configuration based on your workload needs.

방문 영역 환경에 배포할 각 애플리케이션 또는 서비스의 경우 다음 의사 결정 트리를 시작점으로 하여 사용할 네트워킹 도구나 서비스를 결정할 수 있습니다.For each application or service you'll deploy to your landing zone environment, use the following decision tree as a starting point to help you determine the networking tools or services to use:

Azure 네트워킹 서비스 의사 결정 트리 그림 1: azure 네트워킹 서비스 의사 결정 트리.Azure networking services decision tree Figure 1: The Azure networking service decision tree.

주요 질문Key questions

Azure 네트워킹 서비스 의사 결정 트리를 기반으로 결정을 내릴 수 있도록 워크로드에 대한 다음 질문에 대답해 주세요.Answer the following questions about your workloads to help you make decisions based on the Azure networking services decision tree:

  • 워크로드에 가상 네트워크가 필요한가요?Will your workloads require a virtual network? 관리되는 PaaS(Platform as a Service) 리소스 유형은 가상 네트워크가 항상 필요하지 않은 기본 플랫폼 네트워크 기능을 사용합니다.Managed platform as a service (PaaS) resource types use underlying platform network capabilities that don't always require a virtual network. 워크로드에 고급 네트워킹 기능이 필요하지 않으며 IaaS(서비스 제공 인프라) 리소스를 배포할 필요가 없는 경우 PaaS 리소스에서 제공하는 기본 네트워킹 기능이 워크로드 연결 및 트래픽 관리 요구 사항을 충족할 수 있습니다.If your workloads don't require advanced networking features and you don't need to deploy infrastructure as a service (IaaS) resources, the default native networking capabilities provided by PaaS resources might meet your workload connectivity and traffic management requirements.
  • 워크로드에 가상 네트워크와 온-프레미스 데이터 센터 간의 연결이 필요한가요?Will your workloads require connectivity between virtual networks and your on-premises datacenter? Azure는 하이브리드 네트워킹 기능을 설정 하기 위한 두 가지 방법, 즉 Azure VPN gateway와 Azure Express 경로를 제공 합니다.Azure provides two solutions for establishing hybrid networking capabilities: Azure VPN gateway and Azure ExpressRoute. AZURE VPN gateway 는 원격 지점 사무소를 설정 하 고 연결 하는 방법과 비슷한 방식으로 사이트 간 vpn을 통해 온-프레미스 네트워크를 Azure에 연결 합니다.Azure VPN gateway connects your on-premises networks to Azure through Site-to-Site VPNs similar to how you might set up and connect to a remote branch office. VPN gateway의 최대 대역폭은 10gbps입니다.VPN gateway has a maximum bandwidth of 10 Gbps. Azure ExpressRoute는 Azure와 온-프레미스 인프라 간의 프라이빗 연결을 사용하여 안정성을 높이고 대기 시간을 줄입니다.Azure ExpressRoute offers higher reliability and lower latency by using a private connection between Azure and your on-premises infrastructure. Express 경로에 대 한 대역폭 옵션은 50 Mbps에서 100 Gbps 사이입니다.Bandwidth options for ExpressRoute range from 50 Mbps to 100 Gbps.
  • 온-프레미스 네트워크 디바이스를 사용하여 나가는 트래픽을 검사 및 감사해야 하나요?Will you need to inspect and audit outgoing traffic by using on-premises network devices? 클라우드 기본 워크 로드의 경우 Azure 방화벽 또는 클라우드 호스팅 타사 nva (네트워크 가상 어플라이언스) 를 사용 하 여 공용 인터넷으로 이동 하는 트래픽을 검사 하 고 감사할 수 있습니다.For cloud-native workloads, you can use Azure Firewall or cloud-hosted, third-party network virtual appliances (NVAs) to inspect and audit traffic moving to or from the public internet. 그러나 대부분의 엔터프라이즈 IT 보안 정책에는 조직의 온-프레미스 환경에서 중앙에서 관리 되는 장치를 통과 하기 위해 인터넷에 바인딩된 나가는 트래픽이 필요 합니다.But many enterprise IT security policies require internet-bound outgoing traffic to pass through centrally managed devices in the organization's on-premises environment. 강제 터널링은 이러한 시나리오를 지원합니다.Forced tunneling supports these scenarios. 일부 관리되는 서비스는 강제 터널링을 지원하지 않습니다.Not all managed services support forced tunneling. Azure App Service, azure API Management, Azure KUBERNETES Service (AKS), azure SQL Managed Instance, Azure Databricksazure HDInsight 의 App Service Environment와 같은 서비스 및 기능은 가상 네트워크 내에 서비스 또는 기능이 배포 될 때이 구성을 지원 합니다.Services and features like App Service Environment in Azure App Service, Azure API Management, Azure Kubernetes Service (AKS), Azure SQL Managed Instance, Azure Databricks, and Azure HDInsight support this configuration when the service or feature is deployed inside a virtual network.
  • 여러 가상 네트워크를 연결 해야 하나요?Do you need to connect multiple virtual networks? 가상 네트워크 피어링을 사용하여 Azure Virtual Network의 여러 인스턴스를 연결할 수 있습니다.You can use virtual network peering to connect multiple instances of Azure Virtual Network. 피어링은 구독과 지역 간 연결을 지원할 수 있습니다.Peering can support connections across subscriptions and regions. 여러 구독에서 공유되는 서비스를 제공하거나 다수의 네트워크 피어링을 관리해야 하는 시나리오의 경우 허브 및 스포크 네트워킹 아키텍처를 채택하거나 Azure Virtual WAN을 사용하는 것이 좋습니다.For scenarios where you provide services that are shared across multiple subscriptions or need to manage a large number of network peerings, consider adopting a hub and spoke networking architecture or using Azure Virtual WAN. 가상 네트워크 피어링은 피어링된 네트워크 간의 연결만 제공합니다.Virtual network peering provides connectivity only between two peered networks. 기본적으로는 여러 피어링에서 전이적 연결을 제공하지 않습니다.By default, it doesn't provide transitive connectivity across multiple peerings.
  • 인터넷을 통해 워크로드에 액세스할 수 있나요?Will your workloads be accessible over the internet? Azure는 애플리케이션 및 서비스에 대한 외부 액세스를 관리하고 보호할 수 있도록 설계된 서비스를 제공합니다.Azure provides services that are designed to help you manage and secure external access to your applications and services:
  • 사용자 지정 DNS 관리를 지원해야 하나요?Will you need to support custom DNS management? Azure DNS는 DNS 도메인에 대한 호스팅 서비스입니다.Azure DNS is a hosting service for DNS domains. Azure DNS는 Azure 인프라를 사용하여 이름 확인을 제공합니다.Azure DNS provides name resolution by using the Azure infrastructure. 워크로드에 Azure DNS에서 제공하는 기능 외에 이름 확인이 필요한 경우 추가 솔루션을 배포해야 할 수 있습니다.If your workloads require name resolution that goes beyond the features that are provided by Azure DNS, you might need to deploy additional solutions. 워크로드에 Active Directory 서비스도 필요한 경우 Azure Active Directory Domain Services를 사용하여 Azure DNS 기능을 보강하는 것이 좋습니다.If your workloads also require Active Directory services, consider using Azure Active Directory Domain Services to augment Azure DNS capabilities. 더 많은 기능을 위해 사용자 지정 IaaS 가상 머신을 배포하여 요구 사항을 지원할 수도 있습니다.For more capabilities, you can also deploy custom IaaS virtual machines to support your requirements.

일반적인 네트워킹 시나리오Common networking scenarios

Azure 네트워킹은 다양한 네트워킹 기능을 제공하는 여러 제품 및 서비스로 구성됩니다.Azure networking is composed of multiple products and services that provide different networking capabilities. 네트워킹 디자인 프로세스의 일부로, 다음 표의 네트워킹 시나리오와 워크로드 요구 사항을 비교하여 이러한 네트워킹 기능을 제공하는 데 사용할 수 있는 Azure 도구 또는 서비스를 식별할 수 있습니다.As part of your networking design process, you can compare your workload requirements to the networking scenarios in the following table to identify the Azure tools or services you can use to provide these networking capabilities:

시나리오Scenario 네트워킹 제품 또는 서비스Networking product or service
가상 머신부터 들어오는 VPN 연결까지 모든 것을 연결하는 네트워킹 인프라가 필요합니다.I need the networking infrastructure to connect everything, from virtual machines to incoming VPN connections. Azure Virtual NetworkAzure Virtual Network
애플리케이션이나 서비스 끝점에 대한 인바운드/아웃바운드 연결 및 요청의 균형을 맞춰야 합니다.I need to balance inbound and outbound connections and requests to my applications or services. Azure Load BalancerAzure Load Balancer
웹 응용 프로그램 방화벽으로 응용 프로그램 보안을 강화 하면서 응용 프로그램 서버 팜에서 배달을 최적화 하려고 합니다.I want to optimize delivery from application server farms while increasing application security with a Web Application Firewall. Azure Application GatewayAzure Application Gateway
Azure Front DoorAzure Front Door
안전하게 인터넷을 사용하여 고성능 VPN 게이트웨이를 통해 Azure Virtual Network에 액세스해야 합니다.I need to securely use the internet to access Azure Virtual Network through high-performance VPN gateways. Azure VPN gatewayAzure VPN gateway
모든 도메인 요구 사항을 위한 매우 빠른 DNS 응답 및 매우 높은 가용성 보장하려고 합니다.I want to ensure ultra-fast DNS responses and ultra-high availability for all my domain needs. Azure DNSAzure DNS
애플리케이션 및 저장된 콘텐츠부터 비디오 스트리밍까지 전 세계의 고객에 대한 고대역폭 콘텐츠 제공을 가속화해야 합니다.I need to accelerate the delivery of high-bandwidth content to customers worldwide, from applications and stored content to streaming video. CDN (Azure Content Delivery Network)Azure Content Delivery Network (CDN)
Azure 애플리케이션을 DDoS 공격으로부터 보호해야 합니다.I need to protect my Azure applications from DDoS attacks. Azure DDoS ProtectionAzure DDoS protection
전 세계 Azure 지역에서 서비스 트래픽을 최적으로 분산하면서 고가용성 및 응답성을 제공해야 합니다.I need to distribute traffic optimally to services across global Azure regions, while providing high availability and responsiveness. Azure Traffic ManagerAzure Traffic Manager

Azure Front DoorAzure Front Door
전용 네트워크 연결을 추가하여 회사 네트워크에서 자체 데이터 센터에 상주하는 온-프레미스인 것처럼 Microsoft 클라우드 서비스에 액세스해야 합니다.I need to add private network connectivity to access Microsoft cloud services from my corporate networks, as if they were on-premises and residing in my own datacenter. Azure ExpressRouteAzure ExpressRoute
네트워크 시나리오 수준에서 상태를 모니터링 및 진단하려고 합니다.I want to monitor and diagnose conditions at a network-scenario level. Azure Network WatcherAzure Network Watcher
기본 제공 되는 고가용성, 무제한 클라우드 확장성 및 유지 관리 작업을 제공 하는 기본 방화벽 기능이 필요 합니다.I need native firewall capabilities, with built-in high availability, unrestricted cloud scalability, and zero maintenance. Azure FirewallAzure Firewall
비즈니스 사무실, 소매점 및 사이트를 안전하게 연결해야 합니다.I need to connect business offices, retail locations, and sites securely. Azure 가상 WANAzure Virtual WAN
글로벌 마이크로 서비스 기반 웹 애플리케이션을 위한 확장성 있는 보안이 강화된 제공 지점이 필요합니다.I need a scalable, security-enhanced delivery point for global microservices-based web applications. Azure Front DoorAzure Front Door

네트워킹 아키텍처 선택Choose a networking architecture

워크로드를 지원해야 하는 Azure 네트워킹 서비스를 확인한 후에는 방문 영역의 클라우드 네트워킹 인프라를 제공하도록 이러한 서비스를 결합하는 아키텍처도 디자인해야 합니다.After you identify the Azure networking services that you need to support your workloads, you also need to design the architecture that will combine these services to provide your landing zone's cloud networking infrastructure. 클라우드 채택 프레임워크 소프트웨어 정의 네트워킹 의사 결정 가이드에서 Azure에서 사용되는 가장 일반적인 몇 가지 네트워킹 아키텍처 패턴에 대한 세부 정보를 제공합니다.The Cloud Adoption Framework Software Defined Networking decision guide provides details about some of the most common networking architecture patterns used on Azure.

다음 표에 이러한 패턴이 지원하는 기본 시나리오가 요약되어 있습니다.The following table summarizes the primary scenarios that these patterns support:

시나리오Scenario 추천 네트워크 아키텍처Suggested network architecture
방문 영역에 배포 되는 모든 Azure 호스팅 워크 로드는 완전히 PaaS 기반 이며, 가상 네트워크가 필요 하지 않으며, IaaS 리소스를 포함 하는 광범위 한 클라우드 도입 활동의 일부가 아닙니다.All of the Azure-hosted workloads deployed to your landing zone will be entirely PaaS-based, won't require a virtual network, and aren't part of a wider cloud adoption effort that includes IaaS resources. PaaS 전용PaaS-only
Azure 호스티드 워크로드는 가상 머신과 같은 IaaS 기반 리소스를 배포하거나 가상 네트워크가 필요하지만 온-프레미스 환경에 대한 연결은 필요하지 않습니다.Your Azure-hosted workloads will deploy IaaS-based resources like virtual machines or otherwise require a virtual network, but don't require connectivity to your on-premises environment. 클라우드 네이티브Cloud-native
Azure 호스티드 워크로드에는 온-프레미스 리소스에 대한 제한된 액세스가 필요하지만 클라우드 연결을 신뢰할 수 없는 것으로 처리해야 합니다.Your Azure-hosted workloads require limited access to on-premises resources, but you're required to treat cloud connections as untrusted. 클라우드 DMZCloud DMZ
Azure 호스티드 워크로드에는 온-프레미스 리소스에 대한 제한된 액세스가 필요하며, 클라우드와 온-프레미스 환경 간에 완성도 높은 보안 정책 및 보안 연결을 구현할 수 있습니다.Your Azure-hosted workloads require limited access to on-premises resources, and you plan to implement mature security policies and secure connectivity between the cloud and your on-premises environment. 하이브리드.Hybrid
많은 수의 VM 및 워크로드를 배포하고 관리해야 하거나(Azure 구독 제한을 초과할 수 있음) 구독 간에 서비스를 공유해야 하거나 보다 분할된 구조의 역할, 애플리케이션 또는 권한 분리가 필요합니다.You need to deploy and manage a large number of VMs and workloads, potentially exceeding Azure subscription limits, you need to share services across subscriptions, or you need a more segmented structure for role, application, or permission segregation. 허브 및 스포크Hub and spoke
상호 연결하고 Azure에 연결해야 하는 다수의 지점이 있습니다.You have many branch offices that need to connect to each other and to Azure. Azure 가상 WANAzure Virtual WAN

Azure Virtual DatacenterAzure Virtual Datacenter

이러한 아키텍처 패턴 중 하나를 사용 하는 것은 엔터프라이즈 IT 그룹이 대규모 클라우드 환경을 관리 하는 경우 Caf 엔터프라이즈급 방문 영역을 참조 하는 것입니다.In addition using one of these architecture patterns, if your enterprise IT group manages large cloud environments, consider consulting the CAF enterprise-scale landing zone. Azure 기반 클라우드 인프라를 설계할 때, CF 엔터프라이즈 규모의 방문 영역에서는 클라우드 내에서 1000 개 이상의 자산 (응용 프로그램, 인프라 또는 데이터 자산)을 호스트 하는 중간 목표 (24 개월 이내)가 있는 경우 네트워킹, 보안, 관리 및 인프라에 대 한 결합 된 접근 방식을 제공 합니다.When you design your Azure-based cloud infrastructure, the CAF enterprise-scale landing zone provides a combined approach to networking, security, management, and infrastructure if you have a mid-term objective (within 24 months) to host more than 1,000 assets (applications, infrastructure, or data assets) in the cloud.

다음 기준을 충족하는 조직의 경우 CAF 엔터프라이즈 규모 랜딩 존으로 시작하는 것이 좋습니다.For organizations that meet the following criteria, you may also want to start with the CAF enterprise-scale landing zone:

  • 엔터프라이즈는 중앙 모니터링 및 감사 기능이 필요한 규정 준수 요구 사항을 따라야 합니다.Your enterprise is subject to regulatory compliance requirements that require centralized monitoring and audit capabilities.
  • 핵심 서비스에 대한 공통 정책, 거버넌스 규정 준수 및 중앙 집중식 IT 제어를 유지 관리해야 합니다.You need to maintain common policy and governance compliance and centralized IT control over core services.
  • 업계는 플랫폼을 관리하는 복잡한 컨트롤과 심층적인 도메인 전문 지식이 필요한 복잡한 플랫폼에 의존하고 있습니다.Your industry depends on a complex platform which requires complex controls and deep domain expertise to govern the platform. 이런 상황은 금융, 석유 및 가스 또는 제조 분야의 대규모 엔터프라이즈에서 가장 일반적입니다.This is most common in large enterprises within finance, oil and gas, or manufacturing.
  • 기존 IT 거버넌스 정책의 경우 초기 단계 채택 동안에도 기존 기능과 반드시 일치해야 합니다.Your existing IT governance policies require tighter parity with existing features, even during early stage adoption.

Azure 네트워킹 모범 사례 활용Follow Azure networking best practices

네트워킹 디자인 프로세스의 일부로 다음 문서를 참조하세요.As part of your networking design process, see these articles: