네트워크 토폴로지 및 연결

  • 아티클

네트워크 토폴로지 및 연결 디자인 영역은 클라우드 네트워크 디자인의 기초를 설정하는 데 중요합니다.

디자인 영역 검토

관련된 역할 또는 기능: 이 디자인 영역은 의사 결정을 내리고 구현하기 위해 하나 이상의 클라우드 플랫폼CCoE(Cloud Center of Excellence) 기능의 지원이 필요할 수 있습니다.

범위: 네트워크 디자인의 목표는 클라우드 네트워크 디자인을 전체 클라우드 채택 계획에 맞추는 것입니다. 클라우드 채택 계획에 하이브리드 또는 다중 클라우드 종속성이 포함되어 있거나 다른 이유로 연결이 필요한 경우 네트워크 디자인에도 이러한 연결 옵션과 예상 트래픽 패턴이 포함되어야 합니다.

범위 외: 이 디자인 영역은 네트워킹의 기반을 구축합니다. 고급 네트워크 보안 또는 자동화 적용 가드레일과 같은 규정 준수 관련 문제를 해결하지 않습니다. 이 지침은 보안거버넌스 규정 준수 디자인 영역을 검토할 때 제공됩니다. 보안 및 거버넌스에 대한 토론을 연기하면 클라우드 플랫폼 팀이 더 복잡한 토픽에 대한 대상 그룹을 확장하기 전에 초기 네트워킹 요구 사항을 해결할 수 있습니다.

디자인 영역 개요

네트워크 토폴로지 및 연결은 랜딩 존 디자인을 계획하는 조직의 기본 요소입니다. 네트워킹은 랜딩 존 내에 있는 거의 모든 항목의 중심입니다. 이를 통해 다른 Azure 서비스, 외부 사용자 및 온-프레미스 인프라에 연결할 수 있습니다. 네트워크 토폴로지 및 연결은 Azure 랜딩 존 디자인 영역의 환경 그룹에 있습니다. 이 그룹화는 핵심 디자인 및 구현 결정의 중요성을 기반으로 합니다.

ALZ 개념 관리 그룹 계층 구조의 네트워킹 영역 다이어그램

개념적 Azure 랜딩 존 아키텍처에는 워크로드를 호스팅하는 두 개의 기본 관리 그룹인 Corp 및 Online이 있습니다. 이러한 관리 그룹은 Azure 구독을 구성하고 관리하는 데 고유한 용도로 사용됩니다. 다양한 Azure 랜딩 존 관리 그룹 간의 네트워킹 관계는 organization 특정 요구 사항 및 네트워크 아키텍처에 따라 달라집니다. 다음 몇 섹션에서는 Azure 랜딩 존 가속기가 제공하는 것과 관련하여 Corp, Online연결 관리 그룹 간의 네트워킹 관계에 대해 설명합니다.

연결, 회사 및 온라인 관리 그룹의 목적은 무엇인가요?

  • 연결 관리 그룹: 이 관리 그룹에는 연결을 위한 전용 구독이 포함되어 있으며, 일반적으로 대부분의 조직에 대한 단일 구독입니다. 이러한 구독은 Azure Virtual WAN, Virtual Network Gateway, Azure Firewall 및 Azure DNS 프라이빗 영역과 같은 플랫폼에 필요한 Azure 네트워킹 리소스를 호스트합니다. 또한 ExpressRoute 등의 서비스를 사용하여 클라우드와 온-프레미스 환경 간에 하이브리드 연결이 설정됩니다.
  • 회사 관리 그룹: 회사 랜딩 존을 위한 전용 관리 그룹입니다. 이 그룹은 연결 구독의 허브를 통해 기존 IP 라우팅 연결 또는 회사 네트워크와의 하이브리드 연결이 필요한 워크로드를 호스트하여 동일한 라우팅 도메인의 일부를 구성하는 구독을 포함하기 위한 것입니다. 내부 시스템과 같은 워크로드는 인터넷에 직접 노출되지 않지만 Application Gateway와 같은 역방향 프록시 등을 통해 노출될 수 있습니다.
  • 온라인 관리 그룹: 온라인 랜딩 존에 대한 전용 관리 그룹입니다. 이 그룹은 웹 사이트, 전자 상거래 애플리케이션 및 고객 지향 서비스와 같은 공용 리소스에 사용되는 구독을 포함하기 위한 것입니다. 예를 들어 조직에서는 온라인 관리 그룹을 사용하여 Azure 환경의 나머지 부분과 공용 리소스를 격리하여 공격 표면을 줄이고 공용 리소스가 안전하고 고객이 사용할 수 있도록 할 수 있습니다.

워크로드를 분리하기 위해 Corp 및 Online 관리 그룹을 만든 이유는 무엇인가요?

개념적 Azure 랜딩 존 아키텍처에서 Corp 및 Online 관리 그룹 간의 네트워킹 고려 사항의 차이는 의도한 용도와 기본 목적에 있습니다.

Corp 관리 그룹은 LOB(기간 업무) 애플리케이션, 데이터베이스 및 사용자 관리와 같은 내부 리소스 및 서비스를 관리하고 보호하는 데 사용됩니다. Corp 관리 그룹에 대한 네트워킹 고려 사항은 내부 리소스 간에 안전하고 효율적인 연결을 제공하는 동시에 무단 액세스로부터 보호하기 위해 엄격한 보안 정책을 적용하는 데 중점을 두고 있습니다.

개념적 Azure 랜딩 존 아키텍처의 온라인 관리 그룹은 인터넷에서 액세스할 수 있는 공용 리소스 및 서비스를 관리하는 데 사용되는 격리된 환경으로 간주될 수 있습니다. 온라인 관리 그룹을 사용하여 공용 리소스를 관리함으로써 Azure 랜딩 존 아키텍처는 이러한 리소스를 내부 리소스에서 격리하여 무단 액세스 위험을 줄이고 공격 표면을 최소화하는 방법을 제공합니다.

개념적 Azure 랜딩 존 아키텍처에서 온라인 관리 그룹의 가상 네트워크는 필요에 따라 허브를 통해 직접 또는 간접적으로 Corp 관리 그룹의 가상 네트워크와 피어링되고 Azure Firewall 또는 NVA를 통해 연결된 라우팅 요구 사항을 통해 공용 리소스가 안전하고 제어된 방식으로 내부 리소스와 통신할 수 있습니다. 이 토폴로지는 리소스가 필요에 따라 통신할 수 있도록 허용하면서 공용 리소스와 내부 리소스 간의 네트워크 트래픽이 안전하고 제한되도록 합니다.

또한 Azure 랜딩 존의 일부로 각 관리 그룹에서 할당되고 상속되는 Azure 정책을 이해하고 검토하는 것도 중요합니다. 이러한 도움말은 이러한 관리 그룹에 있는 구독 내에 배포된 워크로드를 형성, 보호 및 제어하는 데 도움이 됩니다. Azure 랜딩 존에 대한 정책 할당은 여기에서 찾을 수 있습니다.