가상 데이터 센터: 네트워크 관점

온-프레미스에서 마이그레이션된 응용 프로그램은 최소한의 응용 프로그램 변경으로도 Azure의 안전 하 고 비용 효율적인 인프라를 활용 합니다. 따라서 기업은 유연성을 개선 하 고 Azure의 기능을 활용 하기 위해 아키텍처를 조정 해야 합니다.

Microsoft Azure는 엔터프라이즈급 기능 및 안정성을 제공 하는 하이퍼 규모의 서비스와 인프라를 제공 합니다. 이러한 서비스 및 인프라는 하이브리드 연결에서 다양 한 옵션을 제공 하므로 고객이 인터넷 또는 개인 네트워크 연결을 통해 액세스 하도록 선택할 수 있습니다. Microsoft 파트너는 Azure에서 실행 하도록 최적화 된 보안 서비스 및 가상 어플라이언스를 제공 하 여 향상 된 기능을 제공할 수도 있습니다.

고객은 Azure를 사용 하 여 인프라를 클라우드로 원활 하 게 확장 하 고 다중 계층 아키텍처를 구축할 수 있습니다.

가상 데이터 센터란 무엇일까요?

클라우드는 공용 응용 프로그램을 호스팅하기 위한 플랫폼으로 시작 되었습니다. 기업은 클라우드의 가치를 인식 하 고 내부 lob (기간 업무) 응용 프로그램의 마이그레이션을 시작 했습니다. 이러한 응용 프로그램은 클라우드 서비스를 제공할 때 추가 유연성을 필요로 하는 추가 보안, 안정성, 성능 및 비용 고려 사항을 제공 합니다. 새로운 인프라 및 네트워킹 서비스는 이러한 유연성과 탄력적 확장, 재해 복구 및 기타 고려 사항에 대해 제공 되는 새로운 기능을 제공 하도록 설계 되었습니다.

클라우드 솔루션은 처음에는 비교적 격리 된 단일 응용 프로그램을 공용 스펙트럼에서 호스팅하도록 설계 되었습니다. 이 접근 방식은 몇 년 동안은 문제가 없었습니다. 클라우드 솔루션의 이점이 명확 하 게 제공 되는 것은 여러 대규모 작업을 클라우드에서 호스트 하는 것입니다. 하나 이상의 지역에서 배포에 대 한 보안, 안정성, 성능 및 비용 문제를 해결 하는 것은 클라우드 서비스의 수명 주기 내내 매우 중요 합니다.

아래 예제 클라우드 배포 다이어그램에서 빨간색 상자에는 보안 간격이 강조 표시 되어 있습니다. 노란색 상자는 워크 로드 간에 네트워크 가상 어플라이언스를 최적화할 수 있는 기회를 보여 줍니다.

0

가상 데이터 센터를 통해 엔터프라이즈 워크 로드에 필요한 규모를 달성할 수 있습니다. 이 규모는 공용 클라우드에서 대규모 응용 프로그램을 실행할 때 도입 된 과제를 해결 해야 합니다.

VDC (가상 데이터 센터) 구현에는 클라우드의 응용 프로그램 워크 로드 이상이 포함 됩니다. 또한 DNS 및 Active Directory 서비스와 같은 네트워크, 보안, 관리 및 기타 인프라를 제공 합니다. 기업은 추가 워크 로드를 Azure로 마이그레이션할 때 이러한 워크 로드를 지 원하는 인프라 및 개체를 고려 합니다. 리소스를 신중 하 게 구조화 하면 독립적인 데이터 흐름, 보안 모델 및 규정 준수 문제를 포함 하는 수백 개의 별도로 관리 되는 "워크 로드 아일랜드"의 확산을 방지할 수 있습니다.

가상 데이터 센터 개념은 별도의 관련 엔터티 컬렉션을 구현 하기 위한 권장 사항 및 높은 수준의 디자인을 제공 합니다. 이러한 엔터티에는 일반적으로 지원 되는 기능, 기능 및 인프라가 포함 되어 있습니다. 워크 로드를 가상 데이터 센터로 보면 규모의 경제적, 구성 요소 및 데이터 흐름 중앙화를 통해 최적화 된 보안, 더 쉬운 작업, 관리 및 규정 준수 감사를 통해 비용을 절감 하는 데 도움이 됩니다.

참고

가상 데이터 센터가 특정 Azure 서비스가 아닙니다 . 사용자 요구 사항에 맞게 다양 한 Azure 기능 및 기능이 결합 됩니다. 가상 데이터 센터는 클라우드에서 리소스 및 기능을 최적화 하기 위해 워크 로드 및 Azure 사용에 대해 생각 하는 방법입니다. 엔터프라이즈의 조직 역할 및 책임을 준수 하면서 Azure에서 IT 서비스를 제공 하는 모듈식 접근 방식을 제공 합니다.

가상 데이터 센터는 다음과 같은 시나리오에 대해 기업은 Azure에서 워크 로드 및 응용 프로그램을 배포 하는 데 도움이 됩니다.

  • 여러 관련 워크로드 호스트.
  • 온-프레미스 환경에서 Azure로 워크로드 마이그레이션.
  • 여러 워크로드에 걸쳐 공유 또는 중앙 집중식 보안과 액세스 요구 사항 구현.
  • DevOps와 중앙 집중식 IT를 대기업에 맞게 적절히 혼합 합니다.

가상 데이터 센터를 구현해야 하는 고객은 누구입니까?

Azure를 도입 하기로 결정 한 고객은 모든 응용 프로그램에서 일반적으로 사용 하기 위해 리소스 집합을 구성 하는 효율성을 활용할 수 있습니다. 크기에 따라 단일 응용 프로그램 에서도 VDC 구현을 빌드하는 데 사용 되는 패턴 및 구성 요소를 사용할 수 있습니다.

일부 조직에는 IT, 네트워킹, 보안 또는 규정 준수를 위한 중앙 집중식 팀 또는 부서가 있습니다. VDC를 구현 하면 정책 지점의 적용, 개별 책임 및 기본 공통 구성 요소의 일관성을 유지할 수 있습니다. 응용 프로그램 팀은 요구 사항에 적합 한 자유롭게 제어를 유지할 수 있습니다.

DevOps 방법을 사용 하는 조직은 VDC 개념을 사용 하 여 Azure 리소스에 대 한 권한 있는 포켓을 제공할 수도 있습니다. 이 방법을 통해 DevOps 그룹은 구독 수준 또는 공통 구독의 리소스 그룹에 있는 해당 그룹 내에서 전체 제어를 유지할 수 있습니다. 동시에 네트워크 및 보안 경계는 허브 네트워크 및 중앙에서 관리 되는 리소스 그룹의 중앙 집중식 정책에 정의 된 대로 규격을 유지 합니다.

가상 데이터 센터 구현에 대 한 고려 사항

가상 데이터 센터를 디자인할 때는 다음과 같은 pivotal 문제를 고려해 야 합니다.

Id 및 디렉터리 서비스

Id 및 디렉터리 서비스는 온-프레미스 및 클라우드 데이터 센터의 핵심 기능입니다. Id는 VDC 구현 내에서 서비스에 대 한 액세스 및 권한 부여의 모든 측면을 포함 합니다. 권한 있는 사용자 및 프로세스 에서만 Azure 리소스에 액세스할 수 있도록 Azure는 계정 암호, 암호화 키, 디지털 서명 및 인증서를 포함 하 여 인증에 여러 유형의 자격 증명을 사용 합니다. Azure Multi-Factor Authentication 는 고객이 선호 하는 방법을 선택할 수 있는 다양 한 손쉬운 확인 옵션 (전화 통화, 문자 메시지 또는 모바일 앱 알림)을 통해 강력한 인증을 사용 하 여 azure 서비스에 액세스 하기 위한 추가적인 보안 계층을 제공 합니다.

모든 대기업은 개별 id, 해당 인증, 권한 부여, 역할 및 권한이 VDC 내에서 또는 해당 VDC 내에서 관리 되는 것을 설명 하는 id 관리 프로세스를 정의 해야 합니다. 이 프로세스의 목표는 비용, 가동 중지 시간 및 반복적인 수동 작업을 줄이는 동시에 보안과 생산성을 높이는 것입니다.

기업 조직은 다양 한 기간 업무에 대 한 다양 한 서비스를 필요로 할 수 있으며, 직원 들이 다른 프로젝트와 관련 하 여 다른 역할을 하는 경우가 많습니다. VDC에서는 적절한 거버넌스에 따라 시스템이 실행되도록 하기 위해 구체적으로 역할이 정의된 각 팀 간에 적절한 협력이 필요합니다. 책임, 액세스 및 권한 구조가 복잡할 수 있습니다. VDC의 id 관리는 Azure Active Directory (AZURE AD) 및 azure 역할 기반 액세스 제어 (azure RBAC)를 통해 구현 됩니다.

디렉터리 서비스는 일상적인 항목과 네트워크 리소스를 찾고, 관리하고, 운영하고, 구성하기 위한 공유 정보 인프라입니다. 이러한 리소스에는 볼륨, 폴더, 파일, 프린터, 사용자, 그룹, 디바이스 및 기타 개체가 포함될 수 있습니다. 네트워크의 각 리소스는 디렉터리 서버에서 개체로 간주됩니다. 리소스에 대한 정보는 해당 리소스 또는 개체와 연결된 특성 모음으로 저장됩니다.

모든 Microsoft online 비즈니스 서비스는 로그온 및 기타 id 요구에 Azure Active Directory (Azure AD)를 사용 합니다. Azure Active Directory는 핵심 디렉터리 서비스, 고급 ID 관리 및 애플리케이션 액세스 관리를 통합하는 포괄적이고 항상 사용가능한 ID 및 액세스 관리 클라우드 솔루션입니다. Azure AD는 온-프레미스 Active Directory와 통합되어 모든 클라우드 기반 및 로컬로 호스트된(온-프레미스) 애플리케이션에 대한 Single Sign-On을 허용할 수 있습니다. 온-프레미스 Active Directory의 사용자 특성은 Azure AD와 자동으로 동기화될 수 있습니다.

VDC 구현에서 모든 권한을 할당하기 위해 반드시 글로벌 관리자가 필요한 것은 아닙니다. 대신, 각 특정 부서(디렉터리 서비스의 사용자 또는 서비스 그룹)는 VDC 구현 내에서 자체 리소스를 관리하는 데 필요한 권한을 가질 수 있습니다. 사용 권한을 구성할 때는 균형을 유지해야 합니다. 너무 많은 권한을 부여하면 성능 효율성이 저하될 수 있고, 권한이 너무 적거나 느슨하면 보안 위험이 높아질 수 있습니다. Azure RBAC (역할 기반 액세스 제어)는 VDC 구현에서 리소스에 대 한 세분화 된 액세스 관리를 제공 하 여이 문제를 해결 하는 데 도움이 됩니다.

보안 인프라

보안 인프라는 VDC 구현의 특정 가상 네트워크 세그먼트에서 트래픽 분리를 가리킵니다. 이 인프라는 VDC 구현에서 수신 및 송신을 제어 하는 방법을 지정 합니다. Azure는 가상 네트워크 격리, 액세스 제어 목록, 부하 분산 장치, IP 필터 및 트래픽 흐름 정책을 사용 하 여 배포 간에 무단 및 의도 하지 않은 트래픽을 방지 하는 다중 테 넌 트 아키텍처를 기반으로 합니다. NAT(네트워크 주소 변환)는 외부 트래픽에서 내부 네트워크 트래픽을 분리합니다.

Azure 패브릭은 인프라 리소스를 테넌트 워크로드에 할당하고 VM(가상 머신)와의 통신을 관리합니다. Azure 하이퍼바이저는 VM 간의 메모리 및 프로세스 분리를 적용하고 네트워크 트래픽을 게스트 OS 테넌트로 안전하게 라우팅합니다.

클라우드에 대한 연결

가상 데이터 센터는 고객, 파트너 또는 내부 사용자에 게 서비스를 제공 하기 위해 외부 네트워크에 연결 해야 합니다. 인터넷뿐 아니라 온-프레미스 네트워크 및 데이터 센터에도 연결되어야 합니다.

고객은 공용 인터넷에서 액세스 하 고 액세스할 수 있는 서비스를 제어 합니다. 이 액세스는 Azure 방화벽 또는 다른 유형의 nva (가상 네트워크 어플라이언스), 사용자 정의 경로를 사용 하 여 사용자 지정 라우팅 정책 및 네트워크 보안 그룹을 사용 하는 네트워크 필터링을 사용 하 여 제어 됩니다. 또한 Azure DDoS Protection Standard를 사용하여 모든 인터넷 연결 리소스를 보호하는 것이 좋습니다.

기업은 가상 데이터 센터를 온-프레미스 데이터 센터 또는 다른 리소스에 연결 해야 할 수 있습니다. 효과적인 아키텍처를 디자인할 때 Azure와 온-프레미스 네트워크 간의 연결이 매우 중요합니다. 기업에는 두 가지 방법으로이 연결을 만들 수 있습니다. 즉, 인터넷을 통해 전송 하거나 개인 직접 연결을 통해 전송 합니다.

Azure 사이트 간 VPN 은 온-프레미스 네트워크를 azure의 가상 데이터 센터에 연결 합니다. 이 링크는 보안 암호화 된 연결 (IPsec 터널)을 통해 설정 됩니다. Azure 사이트 간 VPN 연결은 유연 하 고 신속 하 게 만들 수 있으며 일반적으로 추가 하드웨어 조달이 필요 하지 않습니다. 업계 표준 프로토콜을 기반으로 대부분의 현재 네트워크 장치는 인터넷 또는 기존 연결 경로를 통해 Azure에 대 한 VPN 연결을 만들 수 있습니다.

Express 경로를 사용 하면 가상 데이터 센터와 온-프레미스 네트워크 간에 개인 연결을 설정할 수 있습니다. Express 경로 연결은 공용 인터넷을 사용 하지 않으며 일관성 있는 대기 시간과 함께 더 높은 보안, 안정성 및 더 높은 속도 (최대 100 Gbps)를 제공 합니다. Express 경로는 개인 연결과 관련 된 준수 규칙의 이점을 제공 합니다. Express 경로 다이렉트를 사용 하 여 10mbps 또는 100 Gbps의 Microsoft 라우터에 직접 연결할 수 있습니다.

Express 경로 연결을 배포 하는 작업은 일반적으로 Express 경로 서비스 공급자 (예외가 되는 Express 경로 직접)와 관련이 있습니다. 신속 하 게 시작 해야 하는 고객의 경우 처음에는 사이트 간 VPN을 사용 하 여 가상 데이터 센터와 온-프레미스 리소스 간의 연결을 설정 하는 것이 일반적입니다. 서비스 공급자와의 물리적 연결이 완료 되 면 Express 경로 연결을 통해 연결을 마이그레이션합니다.

많은 수의 VPN 또는 Express 경로 연결의 경우 azure 가상 WAN 은 azure를 통해 최적화 및 자동 분기 간 연결을 제공 하는 네트워킹 서비스입니다. 가상 WAN을 사용 하면 Azure와 통신 하도록 분기 장치에 연결 하 고 구성할 수 있습니다. 수동으로 연결 하 고 구성 하는 작업은 가상 WAN 파트너를 통해 기본 설정 된 공급자 장치를 사용 하거나 수동으로 수행할 수 있습니다. 선호하는 공급자 디바이스를 사용하여 사용 편의성, 연결 및 구성 관리의 간소화를 얻을 수 있습니다. Azure WAN 기본 제공 대시보드는 시간을 절약 하는 데 도움이 되는 즉각적인 문제 해결 정보를 제공 하며 대규모 사이트 간 연결을 쉽게 볼 수 있는 방법을 제공 합니다. 가상 WAN은 또한 가상 WAN 허브의 선택적 Azure 방화벽 및 방화벽 관리자를 사용 하 여 보안 서비스를 제공 합니다.

클라우드 내의 연결

Azure 가상 네트워크 및 가상 네트워크 피어 링 은 가상 데이터 센터의 기본 네트워킹 구성 요소입니다. 가상 네트워크는 가상 데이터 센터 리소스에 대 한 격리 경계를 보장 합니다. 피어 링을 사용 하면 동일한 Azure 지역 내에서 여러 지역에 걸쳐 서로 다른 구독의 네트워크 간에 상호 통신할 수 있습니다. 네트워크 보안 그룹, 방화벽 정책 (Azure 방화벽 또는 네트워크 가상 어플라이언스) 및 사용자 지정 사용자 정의 경로에 대해 지정 된 보안 규칙 집합을 사용 하 여 트래픽 흐름을 제어할 수 있습니다.

가상 네트워크는 Azure Storage, azure SQL및 공용 끝점이 있는 기타 통합 된 공용 서비스와 같은 PaaS (platform As a service) Azure 제품을 통합 하기 위한 앵커 위치 이기도 합니다. 서비스 끝점과 Azure 개인 링크를 사용 하 여 공용 서비스를 개인 네트워크와 통합할 수 있습니다. 공용 서비스를 개인으로 사용할 수도 있지만 Azure에서 관리 하는 PaaS 서비스의 이점을 누릴 수 있습니다.

가상 데이터 센터 개요

토폴로지

사용자의 요구 및 확장 요구 사항에 따라 이러한 개략적인 토폴로지 중 하나를 사용 하 여 가상 데이터 센터를 빌드할 수 있습니다.

플랫 토폴로지에서 모든 리소스는 단일 가상 네트워크에 배포 됩니다. 서브넷은 흐름 제어 및 분리를 허용 합니다.

11

메시 토폴로지에서 가상 네트워크 피어 링은 모든 가상 네트워크를 다른 가상 네트워크에 직접 연결 합니다.

12

피어 링 허브 및 스포크 토폴로지 는 위임 된 책임이 있는 분산 응용 프로그램 및 팀에 적합 합니다.

13

Azure 가상 WAN 토폴로지 는 대규모 지점 시나리오와 글로벌 WAN 서비스를 지원할 수 있습니다.

14

피어 링 허브 및 스포크 토폴로지와 Azure 가상 WAN 토폴로지에서는 모두 허브 및 스포크 디자인을 사용 하며이는 통신, 공유 리소스 및 중앙 보안 정책에 가장 적합 합니다. 허브는 가상 네트워크 피어 링 허브 (다이어그램에서로 레이블이 지정 됨 Hub Virtual Network ) 또는 가상 WAN 허브 (다이어그램에서로 레이블이 지정 됨) 중 하나를 사용 하 여 빌드됩니다 Azure Virtual WAN . Azure 가상 WAN은 대규모 분기 간 및 지점 및 Azure 간 통신을 위해 설계 되었거나, 가상 네트워킹 피어 링 허브에서 모든 구성 요소를 개별적으로 빌드하는 복잡성을 방지 하는 데 사용할 수 있습니다. 일부 경우에는 요구 사항에 따라 허브의 네트워크 가상 어플라이언스와 같은 가상 네트워크 피어 링 허브 디자인이 필요할 수 있습니다.

허브 및 스포크 토폴로지에서 허브는 서로 다른 영역 (인터넷, 온-프레미스 및 스포크) 간의 모든 트래픽을 제어 하 고 검사 하는 중앙 네트워크 영역입니다. 허브 및 스포크 토폴로지를 사용 하면 IT 부서에서 보안 정책을 중앙에서 적용할 수 있습니다. 또한 구성 오류 및 노출 가능성을 줄입니다.

허브는 스포크에서 사용 되는 공통 서비스 구성 요소를 포함 하는 경우가 많습니다. 다음은 일반적인 중앙 서비스의 예제입니다.

  • 신뢰할 수 없는 네트워크에서 액세스하는 제3자가 스포크의 워크로드에 대한 액세스 권한을 얻기 위해 사용자 인증을 받는 데 필요한 Windows Active Directory 인프라. 여기에는 관련 AD FS(Active Directory Federation Services)가 포함됩니다.
  • 스포크에서 작업의 이름을 확인 하는 DNS (Distributed Name System) 서비스를 사용 하 여 온-프레미스 리소스에 액세스 하 고 Azure DNS 를 사용 하지 않는 경우 인터넷에 액세스할 수 있습니다.
  • 워크로드에 대한 Single Sign-On을 구현하기 위한 PKI(공개 키 인프라) 인프라.
  • 스포크 네트워크 영역과 인터넷 간의 TCP 및 UDP 트래픽 흐름 제어.
  • 스포크와 온-프레미스 간의 흐름 제어.
  • 필요한 경우 한 스포크와 또 다른 스포크 간의 흐름 제어.

가상 데이터 센터는 여러 스포크 간에 공유 허브 인프라를 사용 하 여 전체 비용을 절감 합니다.

각 스포크의 역할은 서로 다른 유형의 워크로드를 호스트하는 것일 수 있습니다. 스포크는 동일한 워크로드를 반복해서 배포할 수 있는 모듈식 접근 방법도 제공합니다. 이러한 예로는 개발/테스트, 사용자 승인 테스트, 사전 프로덕션, 프로덕션 등이 있습니다. 스포크는 조직 내 여러 그룹을 분리하고 사용하도록 설정할 수도 있습니다. 예를 들어 DevOps 그룹이 있습니다. 스포크 내에서 계층 간 트래픽 제어를 통해 기본 워크로드 또는 복잡한 다중 계층 워크로드를 배포할 수 있습니다.

구독 제한 및 다중 허브

중요

Azure 배포의 크기에 따라 여러 허브 전략이 필요할 수 있습니다. 허브 및 스포크 전략을 설계할 때 "이 디자인 규모에서이 지역에서 다른 허브 가상 네트워크를 사용할 수 있나요?"를 확인 하 고 "이 디자인은 여러 지역을 수용 하도록 할 수 있나요?"를 참조 하세요. 계획 및 요구에 실패 하는 것 보다 크기를 조정 하 고 필요 하지 않은 디자인을 계획 하는 것이 훨씬 더 좋습니다.

보조 (또는 그 이상) 허브로 크기를 조정 하는 경우 일반적으로 규모에 대 한 내재 된 제한을 기반으로 하는 많은 요소에 따라 달라 집니다. 규모에 맞게 디자인할 때 구독, 가상 네트워크 및 가상 머신 제한을 검토 해야 합니다.

Azure에서 모든 구성 요소는 유형에 관계없이 Azure 구독에 배포됩니다. 다른 Azure 구독에서 Azure 구성 요소를 분리하면 차별화된 액세스 및 권한 부여 수준을 설정하는 것과 같은 다양한 사업 부문에 대한 요구 사항을 충족할 수 있습니다.

단일 VDC 구현은 모든 IT 시스템에서와 마찬가지로 플랫폼 제한이 있더라도 스포크를 많은 수로 확장할 수 있습니다. 허브 배포는 제한 및 제한 (예: 최대 수의 가상 네트워크 피어 링)을 포함 하는 특정 Azure 구독에 바인딩됩니다. 자세한 내용은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조 하세요. 이러한 한도가 문제가 될 수 있는 경우 단일 허브-스포크에서 허브 및 스포크 클러스터로 모델을 확장함으로써 아키텍처를 추가적으로 확장할 수 있습니다. 하나 이상의 Azure 지역에 있는 여러 허브는 가상 네트워크 피어 링, Express 경로, 가상 WAN 또는 사이트 간 VPN을 사용 하 여 연결할 수 있습니다.

2

여러 허브를 도입하면 시스템 비용 및 관리 업무가 증가합니다. 확장성, 시스템 제한, 중복성, 최종 사용자 성능을 위한 지역 복제 또는 재해 복구로 인해만 정당화 됩니다. 여러 허브가 필요한 시나리오에서는 모든 허브가 작동 편의를 위해 동일한 서비스 집합을 제공하려고 합니다.

스포크 간 상호 연결

단일 스포크 또는 플랫 네트워크 설계 내에서 복잡 한 다중 계층 워크 로드를 구현할 수 있습니다. 다계층 구성은 모든 계층 또는 응용 프로그램에 대해 동일한 가상 네트워크의 서브넷을 사용 하 여 구현할 수 있습니다. 트래픽 제어 및 필터링은 네트워크 보안 그룹 및 사용자 정의 경로를 사용 하 여 수행 됩니다.

설계자는 여러 가상 네트워크에 다중 계층 워크로드를 배포하려고 할 수 있습니다. 가상 네트워크 피어링을 사용하면 스포크는 동일한 허브 또는 다른 허브의 다른 스포크에 연결할 수 있습니다. 이 시나리오의 일반적인 예제는 애플리케이션 처리 서버가 한 스포크 또는 가상 네트워크에 있는 경우입니다. 데이터베이스는 다른 스포크 또는 가상 네트워크에 배포됩니다. 이 경우에는 가상 네트워크 피어 링과 스포크를 상호 연결 하 고, 허브를 통한 전송을을 방지 하는 것이 좋습니다. 허브를 우회 해도 허브에만 존재할 수 있는 중요 한 보안 또는 감사 지점은 무시 하지 않도록 신중한 아키텍처 및 보안 검토를 수행 해야 합니다.

3

또한 스포크를 허브로 작동하는 스포크에 상호 연결할 수도 있습니다. 이 접근법은 두 수준의 계층 구조를 만듭니다. 여기서는 상위 수준(수준 0)의 스포크가 계층 구조에서 하위 스포크(수준 1)의 허브가 됩니다. 트래픽이 온-프레미스 네트워크 또는 공용 인터넷에서 대상으로 전송 될 수 있도록 중앙 허브로 트래픽을 전달 하려면 VDC 구현의 스포크가 필요 합니다. 두 수준의 허브가 있는 아키텍처는 간단한 허브-스포크 관계의 이점을 제거 하는 복잡 한 라우팅을 도입 합니다.

Azure에서는 복잡한 토폴로지를 허용하지만 VDC 개념의 핵심 원리 중 하나는 반복성과 단순성입니다. 관리 업무를 최소화할 수 있도록, VDC 참조 아키텍처로 간단한 허브-스포크 디자인을 권장합니다.

구성 요소

가상 데이터 센터는 인프라, 경계 네트워크, 워크 로드모니터링 의 네 가지 기본 구성 요소 유형으로 구성 됩니다.

각 구성 요소 유형은 다양한 Azure 기능 및 리소스로 구성됩니다. VDC 구현은 여러 구성 요소 유형 및 동일한 구성 요소 유형의 다양한 변형 인스턴스로 구성됩니다. 예를 들어 서로 다른 응용 프로그램을 나타내는 논리적으로 분리 된 여러 작업 인스턴스가 있을 수 있습니다. 이러한 다양한 구성 요소 형식 및 인스턴스를 사용하여 궁극적으로 VDC를 구축합니다.

4

앞에 나온 VDC의 대략적인 개념 아키텍처는 허브-스포크 토폴로지의 여러 영역에 사용되는 다양한 구성 요소 형식을 보여 줍니다. 이 다이어그램에서는 아키텍처의 여러 부분에 있는 인프라 구성 요소를 보여 줍니다.

일반적으로 액세스 권한 및 사용 권한을 그룹 기반으로 구성하는 것이 좋습니다. 개별 사용자가 아닌 그룹을 사용 하면 팀 간에 일관 된 방식으로 관리 하는 일관 된 방법을 제공 하 여 액세스 정책을 쉽게 유지 관리 하 고 구성 오류를 최소화 하는 데 도움이 됩니다. 사용자를 적절 한 그룹에 할당 하 고 제거 하면 특정 사용자의 권한을 최신 상태로 유지 하는 데 도움이 됩니다.

각 역할 그룹의 이름에 고유한 접두사가 있어야 합니다. 이 접두사를 보면 어떤 그룹이 어떤 워크로드와 연결되었는지 쉽게 식별할 수 있습니다. 예를 들어 인증 서비스를 호스트하는 워크로드에는 AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOpsAuthServiceInfraOps 라는 그룹이 있을 수 있습니다. 중앙 집중식 역할 또는 특정 서비스와 관련 되지 않은 역할은 Corp 앞에 있을 수 있습니다. 예를 들면 CorpNetOps 입니다.

대부분의 조직에서는 다음과 같은 그룹 변형을 사용하여 역할을 기본적으로 분류합니다.

  • Corp 라는 중앙 IT 팀에는 인프라 구성 요소를 제어 하는 소유권 권한이 있습니다. 네트워킹 및 보안을 예로 들 수 있습니다. 그룹은 스포크에서 구독의 기여자 역할, 허브 제어, 네트워크 기여자 권한이 있어야 합니다. 대규모 조직에서는 이러한 관리 책임을 여러 팀에 분산하는 경우가 많습니다. 예를 들어 네트워크 작업 CorpNetOps 그룹은 네트워킹에만 집중하고, 보안 작업 CorpSecOps 그룹은 방화벽과 보안 정책을 담당합니다. 이러한 특정 경우 이러한 사용자 지정 역할 할당을 위해 2개의 다른 그룹을 만들어야 합니다.
  • Appdevops 라는 개발/테스트 그룹에는 앱 또는 서비스 작업을 배포 하는 책임이 있습니다. 이 그룹은 IaaS 배포 또는 하나 이상의 PaaS 기여자 역할에 대 한 가상 머신 참가자 역할을 수행 합니다. 자세한 정보는 Azure 기본 제공 역할을 참조하세요. 필요에 따라 개발/테스트 팀에서 보안 정책 (네트워크 보안 그룹) 및 라우팅 정책 (사용자 정의 경로)을 허브 내에 표시 해야 하거나 특정 스포크를 설정할 수 있습니다. 이 그룹은 워크로드에 대한 기여자 역할 외에도 네트워크 읽기 권한자 역할이 필요합니다.
  • CorpInfraOps 또는 AppInfraOps 이라는 작업 및 유지 관리 그룹은 프로덕션 환경에서 워크 로드를 관리 하는 책임이 있습니다. 이 그룹은 프로덕션 구독에서 워크로드에 대해 구독 참가자여야 합니다. 일부 조직에서는 프로덕션 및 중앙 허브 구독에서 구독 기여자 역할을 갖는 추가 에스컬레이션 지원 팀 그룹이 필요한지 평가할 수도 있습니다. 추가 그룹은 프로덕션 환경의 잠재적 구성 문제를 해결합니다.

VDC는 중앙 IT 팀을 위해 생성 된 그룹 (허브 관리)에 해당 하는 그룹을 워크 로드 수준에 포함 하도록 설계 되었습니다. 중앙 IT 팀은 허브 리소스를 관리 하는 것 외에 구독에 대 한 외부 액세스 및 최상위 권한을 제어할 수 있습니다. 또한 작업 그룹은 중앙 IT 팀과 독립적으로 가상 네트워크의 리소스 및 권한을 제어할 수 있습니다.

가상 데이터 센터는 여러 기간 업무에서 여러 프로젝트를 안전 하 게 호스팅하도록 분할 됩니다. 모든 프로젝트에는 격리 된 다른 환경 (개발, UAT 및 프로덕션)이 필요 합니다. 이러한 각 환경에 대해 별도의 Azure 구독을 통해 자연스럽 게 격리할 수 있습니다.

5

위의 다이어그램은 조직의 프로젝트, 사용자, 그룹 및 Azure 구성 요소가 배포되는 환경 간의 관계를 보여줍니다.

일반적으로 IT 부서에서 환경(또는 계층)은 여러 애플리케이션이 배포되고 실행되는 시스템입니다. 대기업은 개발 환경 (변경이 수행 되 고 테스트 되는 위치) 및 프로덕션 환경 (최종 사용자가 사용 하는 환경)을 사용 합니다. 이러한 환경은 분리되며, 각 환경 사이에는 단계별 배포(롤아웃), 테스트 및 롤백(문제가 있는 경우)을 허용하는 몇 개의 스테이징 환경이 있습니다. 배포 아키텍처는 매우 다양하지만 일반적으로 개발(DEV)에서 시작하고 프로덕션(PROD)에서 끝나는 기본적인 프로세스가 계속 유지됩니다.

이러한 유형의 다계층 환경에 대 한 일반적인 아키텍처는 개발 및 테스트를 위한 DevOps, 스테이징 및 프로덕션 환경에 대 한 UAT 구성 됩니다. 조직은 단일 또는 여러 Azure AD 테 넌 트를 사용 하 여 이러한 환경에 대 한 액세스 및 권한을 정의할 수 있습니다. 위 다이어그램에서는 DevOps 및 UAT에 사용되는 하나의 Azure AD 테넌트와 프로덕션에만 사용되는 Azure 테넌트가 있는 경우를 보여 줍니다.

다른 Azure AD 테넌트가 존재하므로 환경이 격리됩니다. 중앙 IT 팀과 같은 사용자 그룹은 다른 Azure AD 테 넌 트에 액세스 하 여 프로젝트의 DevOps 또는 프로덕션 환경에 대 한 역할 또는 사용 권한을 수정 하는 방법으로 인증 해야 합니다. 다른 환경에 액세스할 때마다 다른 사용자 인증을 사용하면 작동 중단 및 인간의 오류로 인한 기타 문제를 줄일 수 있습니다.

구성 요소 유형: 인프라

이 구성 요소 유형은 대부분의 지원 인프라가 있는 위치입니다. 중앙 집중식 IT, 보안 및 규정 준수 팀이 대부분의 시간을 보내는 위치이기도 합니다.

6

인프라 구성 요소는 VDC 구현의 다양한 구성 요소에 대한 상호 연결을 제공하며 허브 및 스포크 둘 다에 존재합니다. 인프라 구성 요소를 관리 하 고 유지 관리 하는 책임은 일반적으로 중앙 IT 팀 또는 보안 팀에 게 할당 됩니다.

IT 인프라 팀의 주요 작업 중 하나는 엔터프라이즈에서 IP 주소 스키마의 일관성을 보장하는 것입니다. VDC 구현에 할당 된 개인 IP 주소 공간은 일관성을 유지 하 고 온-프레미스 네트워크에 할당 된 개인 IP 주소 와 겹치지 않아야 합니다.

온-프레미스 Edge 라우터 또는 Azure 환경의 NAT는 IP 주소 충돌을 방지할 수 있으나 인프라 구성 요소를 더 복잡하게 만듭니다. 관리의 단순성은 VDC의 핵심 목표 중 하나 이므로 NAT를 사용 하 여 IP 문제를 처리 하는 것은 좋은 솔루션은 아닙니다.

인프라 구성 요소는 다음과 같은 기능을 갖고 있습니다.

  • Id 및 디렉터리 서비스. Azure의 모든 리소스 종류에 대한 액세스는 디렉터리 서비스에 저장된 ID에 의해 제어됩니다. 디렉터리 서비스는 사용자 목록 뿐만 아니라 특정 Azure 구독의 리소스에 대한 액세스 권한도 저장합니다. 이러한 서비스는 클라우드 전용으로 존재하거나 Active Directory에 저장된 온-프레미스 ID와 동기화될 수 있습니다.
  • Virtual Network. 가상 네트워크는 VDC의 주요 구성 요소 중 하나 이며, Azure 플랫폼에서 트래픽 격리 경계를 만들 수 있습니다. 가상 네트워크는 단일 또는 여러 가상 네트워크 세그먼트로 구성 되며 각각은 특정 IP 네트워크 접두사 (서브넷, IPv4 또는 이중 스택 IPv4/IPv6)를 포함 합니다. 가상 네트워크는 IaaS 가상 머신 및 PaaS 서비스가 프라이빗 통신을 구성할 수 있는 내부 경계 영역을 정의합니다. 한 가상 네트워크의 Vm (및 PaaS 서비스)은 동일한 구독에서 동일한 고객이 두 가상 네트워크를 만든 경우에도 다른 가상 네트워크의 Vm (및 paas 서비스)과 직접 통신할 수 없습니다. 격리는 고객 VM과 통신이 가상 네트워크 안에서 프라이빗 상태를 유지하는 데 있어 중요한 속성입니다. 네트워크 간 연결이 필요한 경우 다음 기능을 통해이를 수행할 수 있는 방법을 설명 합니다.
  • 가상 네트워크 피어 링. VDC의 인프라를 만드는 데 사용 되는 기본 기능은 가상 네트워크 피어 링입니다. 가상 네트워크 피어 링은 Azure 데이터 센터 네트워크를 통해 또는 지역에서 Azure 세계적인 백본를 사용 하 여 동일한 지역에 있는 두 개의 가상 네트워크를 연결 합니다.
  • 서비스 끝점을 Virtual Network합니다. 서비스 끝점은 PaaS 공간을 포함 하도록 가상 네트워크 개인 주소 공간을 확장 합니다. 또한 끝점은 직접 연결을 통해 Azure 서비스에 대 한 가상 네트워크 id를 확장 합니다. 엔드포인트를 사용하면 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있습니다.
  • 개인 링크. Azure 개인 링크를 사용 하면 가상 네트워크의 개인 끝점을 통해 azure PaaS 서비스 (예: Azure Storage, Azure Cosmos DBAzure SQL Database)와 azure 호스트 된 고객/파트너 서비스에 액세스할 수 있습니다. 가상 네트워크와 서비스 간의 트래픽은 Microsoft 백본 네트워크를 통해 이동하여 공용 인터넷에서 노출을 제거합니다. 가상 네트워크에서 개인 링크 서비스 를 만들어 고객에 게 개인적으로 제공할 수도 있습니다. Azure Private Link를 사용하는 설정 및 사용 환경은 Azure PaaS, 고객 소유/공유 파트너 서비스에서 일관적입니다.
  • 사용자 정의 경로입니다. 가상 네트워크의 트래픽은 기본적으로 시스템 라우팅 테이블을 기준으로 라우팅됩니다. 사용자 정의 경로는 네트워크 관리자가 시스템 라우팅 테이블의 동작을 재정의 하 고 가상 네트워크 내에서 통신 경로를 정의 하기 위해 하나 이상의 서브넷에 연결할 수 있는 사용자 지정 라우팅 테이블입니다. 사용자 정의 경로가 있는 경우 스포크의 송신 트래픽이 특정 사용자 지정 Vm 또는 네트워크 가상 어플라이언스와 허브 및 스포크 둘 다에 있는 부하 분산 장치를 통해 전송 됩니다.
  • 네트워크 보안 그룹. 네트워크 보안 그룹은 IP 원본, IP 대상, 프로토콜, IP 원본 포트 및 IP 대상 포트 (계층 4 5 튜플이 라고도 함)에 대 한 트래픽 필터링의 역할을 하는 보안 규칙의 목록입니다. 네트워크 보안 그룹은 서브넷, Azure VM에 연결 된 가상 NIC 또는 둘 다에 적용할 수 있습니다. 네트워크 보안 그룹은 허브 및 스포크에서 올바른 흐름 제어를 구현 하는 데 필수적입니다. 네트워크 보안 그룹에서 제공 하는 보안 수준은 사용자가 여는 포트 및 용도에 대 한 기능입니다. 고객은 iptables 또는 Windows 방화벽과 같은 호스트 기반 방화벽을 사용 하 여 VM 별 추가 필터를 적용 해야 합니다.
  • DNS. DNS는 가상 데이터 센터의 리소스에 대 한 이름 확인을 제공 합니다. Azure는 공용개인 이름 확인을 위해 DNS 서비스를 제공 합니다. 프라이빗 영역은 가상 네트워크 내와 가상 네트워크 간에서 이름 확인을 제공합니다. 프라이빗 영역은 동일한 지역의 가상 네트워크 간뿐만 아니라 지역 및 구독 간에도 걸쳐 있습니다. 공용 확인을 위해 Azure DNS는 DNS 도메인에 대한 호스팅 서비스를 제공하고 Microsoft Azure 인프라를 사용하는 이름 확인을 제공합니다. Azure에 도메인을 호스트하면 다른 Azure 서비스와 동일한 자격 증명, API, 도구 및 대금 청구를 사용하여 DNS 레코드를 관리할 수 있습니다.
  • 관리 그룹, 구독리소스 그룹 관리입니다. 구독은 Azure에서 여러 리소스 그룹을 만들기 위한 기본 경계를 정의합니다. 이 분리는 함수, 역할 분리 또는 요금 청구에 사용할 수 있습니다. 구독의 리소스는 리소스 그룹 이라고 하는 논리적 컨테이너에서 함께 조합 됩니다. 리소스 그룹은 가상 데이터 센터에서 리소스를 구성 하는 논리 그룹을 나타냅니다. 조직에 구독이 많으면 구독에 대한 액세스, 정책 및 준수를 효율적으로 관리하는 방법이 필요할 수 있습니다. Azure 관리 그룹은 구독 상위 수준의 범위를 제공합니다. 구독을 관리 그룹 이라고 하는 컨테이너에 구성 하 고 관리 되는 조건을 관리 그룹에 적용 합니다. 관리 그룹에 속하는 모든 구독은 관리 그룹에 적용되는 조건을 자동으로 상속합니다. 계층 구조 보기에서 이러한 세 가지 기능을 확인 하려면 클라우드 채택 프레임 워크에서 리소스 구성 을 참조 하세요.
  • Azure RBAC (역할 기반 액세스 제어). Azure RBAC는 조직의 역할 및 권한을 매핑하여 특정 Azure 리소스에 액세스 하 여 특정 작업 하위 집합 으로만 사용자를 제한할 수 있도록 합니다. 온-프레미스 Active Directory와 Azure Active Directory를 동기화 하는 경우 온-프레미스에서 사용 하는 것과 동일한 Active Directory 그룹을 Azure에서 사용할 수 있습니다. Azure RBAC를 사용 하면 관련 범위 내에서 사용자, 그룹 및 응용 프로그램에 적절 한 역할을 할당 하 여 액세스 권한을 부여할 수 있습니다. 역할 할당의 범위는 Azure 구독, 리소스 그룹 또는 단일 리소스일 수 있습니다. Azure RBAC는 사용 권한 상속을 허용 합니다. 부모 범위에서 할당된 역할은 역할 내에 포함된 하위 항목에 대한 액세스를 부여합니다. Azure RBAC를 사용 하 여 업무를 분리 하 고 사용자에 게 해당 작업을 수행 하는 데 필요한 만큼의 권한만 부여할 수 있습니다. 예를 들어 한 직원은 구독의 가상 머신을 관리할 수 있지만 다른 직원은 동일한 구독에서 SQL Server 데이터베이스를 관리할 수 있습니다.

구성 요소 유형: 경계 네트워크

경계 네트워크 (DMZ 네트워크 라고도 함)의 구성 요소는 인터넷 연결을 비롯 하 여 온-프레미스 또는 실제 데이터 센터 네트워크를 연결 합니다. 일반적으로 경계는 네트워크 및 보안 팀에서 상당한 시간을 투자 해야 합니다.

들어오는 패킷은 스포크의 백 엔드 서버 및 서비스에 도달 하기 전에 허브의 보안 어플라이언스를 통과 해야 합니다. 예로는 방화벽, ID 및 IP가 있습니다. 워크로드의 인터넷 바인딩 패킷도 네트워크에 도착하기 전에 경계 네트워크의 보안 어플라이언스를 통과합니다. 이 흐름은 정책 적용, 검사 및 감사를 사용 하도록 설정 합니다.

경계 네트워크 구성 요소는 다음과 같습니다.

일반적으로 중앙 IT 팀 및 보안 팀은 경계 네트워크에 대 한 요구 사항 정의 및 운영을 담당 합니다.

7

위의 다이어그램은 인터넷 및 온-프레미스 네트워크에 대 한 액세스 권한이 있는 두 경계의 적용을 보여 줍니다. 둘 다 DMZ 허브에 상주 합니다. DMZ 허브에서 인터넷에 대 한 경계 네트워크는 WAFs (웹 응용 프로그램 방화벽) 또는 Azure 방화벽의 여러 팜을 사용 하 여 여러 줄의 비즈니스를 지원 하도록 확장할 수 있습니다. 또한 허브는 필요에 따라 VPN 또는 Express 경로를 통해 온-프레미스 연결을 허용 합니다.

참고

위의 다이어그램에서 "DMZ 허브"에서는 Azure 가상 WAN 허브 (예: 가상 네트워크, 사용자 정의 경로, 네트워크 보안 그룹, VPN gateway, Express 경로 게이트웨이, Azure 부하 분산 장치, Azure 방화벽, 방화벽 관리자 및 DDOS)에 다음 기능 중 상당수를 함께 묶을 수 있습니다. Azure 가상 wan 허브를 사용 하면 azure 가상 WAN 허브를 배포할 때 대부분의 엔지니어링 복잡성이 Azure에 의해 처리 되므로 허브 가상 네트워크를 만들 수 있기 때문에 VDC를 훨씬 쉽게 만들 수 있습니다.

가상 네트워크. 허브는 일반적으로 여러 서브넷이 있는 가상 네트워크를 기반으로 하 여 Azure 방화벽, Nva, WAF 및 Azure 애플리케이션 게이트웨이 인스턴스를 통해 인터넷에서 들어오고 나가는 트래픽을 필터링 하 고 검사 하는 다양 한 유형의 서비스를 호스팅합니다.

사용자 정의 경로입니다. 사용자 정의 경로를 사용 하 여 고객은 방화벽, IDS/IPS 및 기타 가상 어플라이언스를 배포 하 고 보안 경계 정책 적용, 감사 및 검사를 위해 이러한 보안 어플라이언스를 통해 네트워크 트래픽을 라우팅할 수 있습니다. 허브 및 스포크 둘 다에서 사용자 정의 경로를 만들어 VDC 구현에 사용 되는 특정 사용자 지정 Vm, 네트워크 가상 어플라이언스 및 부하 분산 장치를 통해 트래픽을 전송은 보장할 수 있습니다. 스포크에 있는 가상 머신에서 생성 된 트래픽이 올바른 가상 어플라이언스로 전송은 하려면 내부 부하 분산 장치의 프런트 엔드 IP 주소를 다음 홉으로 설정 하 여 사용자 정의 경로를 스포크 서브넷에 설정 해야 합니다. 내부 부하 분산 장치는 내부 트래픽을 가상 어플라이언스(부하 분산 장치 백 엔드 풀)에 배포합니다.

Azure 방화벽 은 azure Virtual Network 리소스를 보호 하는 관리 되는 네트워크 보안 서비스입니다. 고가용성 및 클라우드 확장성이 있는 상태 저장 방화벽입니다. 구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다. Azure Firewall은 가상 네트워크 리소스에 고정 공용 IP 주소를 사용합니다. 외부 방화벽이 사용자의 가상 네트워크에서 시작되는 트래픽을 식별할 수 있습니다. 이 서비스는 로깅 및 분석을 위해 Azure Monitor와 완전히 통합됩니다.

Azure 가상 WAN 토폴로지를 사용 하는 경우 Azure 방화벽 관리자 는 클라우드 기반 보안 경계에 대 한 중앙 보안 정책 및 경로 관리를 제공 하는 보안 관리 서비스입니다. 허브 및 스포크 아키텍처를 쉽게 만들 수 있도록 하는 Microsoft 관리 리소스인 Azure Virtual WAN 허브와 함께 작동 합니다. 보안 및 라우팅 정책이 이러한 허브와 연결 된 경우 보안 가상 허브 라고 합니다.

네트워크 가상 어플라이언스. 허브에서 인터넷에 액세스할 수 있는 경계 네트워크는 일반적으로 Azure Firewall 인스턴스 또는 방화벽이나 WAF(웹 애플리케이션 방화벽) 팜을 통해 관리됩니다.

비즈니스에 따라 일반적으로 여러 웹 응용 프로그램을 사용 하 여 다양 한 취약성 및 잠재적 악용에서 발생 하는 경향이 있습니다. 웹 애플리케이션 방화벽은 일반적인 방화벽보다는 좀 더 심도 있는 방식으로 웹 애플리케이션 HTTP/HTTPS에 대한 공격을 감지하는 데 사용되는 특수한 제품입니다. 전형적인 방화벽 기술에 비해 WAF는 위협으로부터 내부 웹 서버를 보호하기 위한 특정 기능 집합을 포함합니다.

Azure Firewall 또는 NVA 방화벽은 모두 공통 관리 평면을 사용하며, 스포크에 호스트되는 워크로드를 보호하고 온-프레미스 네트워크에 대한 액세스를 제어하는 보안 규칙 세트를 적용합니다. Azure Firewall은 확장성이 내장되어 있고, NVA 방화벽은 부하 분산 장치 뒤에서 수동으로 확장할 수 있습니다. 일반적으로 방화벽 팜은 WAF에 비해 덜 특수한 소프트웨어를 사용하지만, 송신 및 수신 중인 트래픽 유형을 필터링하고 검사하기 위한 광범위한 애플리케이션 범위를 유지합니다. NVA 방법을 사용 하는 경우 Azure Marketplace에서 검색 하 고 배포할 수 있습니다.

인터넷에서 시작되는 트래픽에 하나의 Azure Firewall 인스턴스 또는 NVA 집합을 사용하고, 온-프레미스에서 시작되는 트래픽에는 또 다른 집합을 사용하는 것이 좋습니다. 방화벽 집합 하나를 두 트래픽에 모두 사용하면 두 네트워크 트래픽 집합 사이에 보안 경계가 없어지므로 보안 위험이 초래됩니다. 별도의 방화벽 레이어를 사용하면 보안 규칙을 검사하는 복잡성이 줄어들고 들어오는 네트워크 요청에 해당하는 규칙이 명확해집니다.

Azure Load Balancer 은 부하 분산 집합에 정의 된 서비스 인스턴스 간에 들어오는 트래픽을 분산할 수 있는 고가용성 계층 4 (TCP/UDP) 서비스를 제공 합니다. 프런트 엔드 끝점 (공용 IP 끝점 또는 개인 IP 끝점)에서 부하 분산 장치로 전송 되는 트래픽은 백 엔드 IP 주소 풀 집합 (예: 네트워크 가상 어플라이언스 또는 가상 컴퓨터)에 대 한 주소 변환을 사용 하거나 사용 하지 않고 재배포할 수 있습니다.

Azure Load Balancer는 다양 한 서버 인스턴스의 상태를 검색할 수 있으며, 인스턴스가 프로브에 응답 하지 못하는 경우 부하 분산 장치는 비정상 인스턴스로 트래픽을 전송 하지 않습니다. 가상 데이터 센터에서 외부 부하 분산 장치는 허브 및 스포크에 배포 됩니다. 허브에서 부하 분산 장치는 방화벽 인스턴스 간에 트래픽을 효율적으로 라우팅하는 데 사용 되며, 스포크에서 부하 분산 장치는 응용 프로그램 트래픽을 관리 하는 데 사용 됩니다.

AFD(Azure Front Door)는 가용성과 확장성이 우수한 Microsoft의 웹 애플리케이션 가속 플랫폼, 글로벌 HTTP 부하 분산 장치, 애플리케이션 보호 및 Content Delivery Network입니다. Microsoft의 글로벌 네트워크에 지에서 100 개 이상의 위치에서 실행 되는 AFD는 동적 웹 응용 프로그램 및 정적 콘텐츠를 빌드, 운영 및 확장 하는 데 사용할 수 있습니다. AFD는 애플리케이션에 세계적 수준의 최종 사용자 성능, 통합된 지역/스탬프 유지 관리 자동화, BCDR 자동화, 통합 클라이언트/사용자 정보, 캐싱 및 서비스 인사이트를 제공합니다. 플랫폼에서 제공 하는 기능은 다음과 같습니다.

  • 성능, 안정성 및 Sla (서비스 수준 계약)를 지원 합니다.
  • 규정 준수 인증.
  • Azure에서 개발, 운영 및 기본적으로 지원 되는 감사 가능한 보안 방법

또한 Azure Front 도어가 웹 응용 프로그램 방화벽 (WAF)을 제공 하며,이는 일반적인 취약성 및 악용 으로부터 웹 응용 프로그램을 보호 합니다.

Azure 애플리케이션 게이트웨이 는 관리 되는 응용 프로그램 배달 컨트롤러를 제공 하는 전용 가상 어플라이언스입니다. 응용 프로그램에 대 한 다양 한 계층 7 부하 분산 기능을 제공 합니다. 이를 통해 응용 프로그램 게이트웨이에 CPU 집약적 SSL 종료를 오프 로드 하 여 웹 팜 성능을 최적화할 수 있습니다. 또한 들어오는 트래픽의 라운드 로빈 배포, 쿠키 기반 세션 선호도, URL 경로 기반 라우팅 및 단일 application gateway 뒤에 여러 웹 사이트를 호스트 하는 기능과 같은 다른 계층 7 라우팅 기능도 제공 합니다. WAF(웹 애플리케이션 방화벽) 또한 Application Gateway WAF SKU의 일부로 제공됩니다. 이 SKU 기능은 일반적인 웹 취약점 및 악용으로부터 웹 애플리케이션을 보호합니다. Application Gateway는 인터넷 연결 게이트웨이, 내부 전용 게이트웨이 또는 둘의 조합으로 구성할 수 있습니다.

공용 ip. 일부 Azure 기능을 사용 하면 인터넷에서 리소스에 액세스할 수 있도록 서비스 끝점을 공용 IP 주소에 연결할 수 있습니다. 이 끝점은 NAT를 사용 하 여 Azure의 가상 네트워크에 있는 내부 주소 및 포트로 트래픽을 라우팅합니다. 이 경로가 외부 트래픽을 가상 네트워크 내부로 전달하는 기본 방법입니다. 공용 IP 주소를 구성하여 어떤 트래픽을 안으로 들일 것인지, 가상 네트워크의 어느 부분에서 어떻게 전환할 것인지 결정할 수 있습니다.

Azure DDoS Protection Standard기본 서비스 계층에 대해 Azure Virtual Network 리소스에 맞게 특별히 조정된 추가적인 완화 기능을 제공합니다. DDoS Protection 표준은 간단히 사용하도록 설정할 수 있고 애플리케이션을 변경할 필요가 없습니다. 보호 정책은 전용 트래픽 모니터링 및 기계 학습 알고리즘을 통해 조정됩니다. 정책은 가상 네트워크에 배포된 리소스와 연결된 공용 IP 주소에 적용됩니다. 예를 들면 Azure Load Balancer, Azure 애플리케이션 Gateway 및 Azure Service Fabric 인스턴스가 있습니다. 거의 실시간으로 시스템 생성 로그는 공격 중에 Azure Monitor 보기를 통해 사용 가능 하 고 기록에 사용 가능 합니다. Azure Application Gateway 웹 애플리케이션 방화벽을 통해 애플리케이션 레이어 보호를 추가할 수 있습니다. IPv4 및 IPv6 Azure 공용 IP 주소에 대해 보호가 제공됩니다.

허브 및 스포크 토폴로지는 가상 네트워크 피어 링 및 사용자 정의 경로를 사용 하 여 트래픽을 적절히 라우팅합니다.

8

다이어그램에서 사용자 정의 경로는 Express 경로 게이트웨이를 통해 온-프레미스에 전달 하기 전에 트래픽이 스포크에서 방화벽으로 흐르도록 합니다 (방화벽 정책에서 해당 흐름을 허용 하는 경우).

구성 요소 유형: 모니터링

모니터링 구성 요소 는 다른 모든 구성 요소 유형의 가시성과 경고를 제공 합니다. 모든 팀은 액세스 권한이 있는 구성 요소 및 서비스에 대한 모니터링에 액세스할 수 있습니다. 중앙 지원 센터 또는 작업 팀이 있는 경우 이러한 구성 요소에서 제공하는 데이터에 대한 통합된 액세스 권한이 필요합니다.

Azure는 Azure 호스팅 리소스의 동작을 추적하기 위한 다양한 유형의 로깅 및 모니터링 서비스를 제공합니다. Azure의 워크로드 거버넌스 및 제어는 로그 데이터 수집뿐 아니라 보고된 특정 이벤트를 기준으로 작업을 트리거하는 기능을 토대로 제공됩니다.

Azure Monitor Azure에는 모니터링 공간에서 특정 역할이나 태스크를 개별적으로 수행하는 여러 서비스가 포함됩니다. 이러한 서비스는 응용 프로그램 및 응용 프로그램을 지 원하는 Azure 리소스에서 시스템 생성 로그를 수집, 분석 및 작동 하기 위한 종합적인 솔루션을 제공 합니다. 이러한 서비스가 하이브리드 모니터링 환경을 제공하기 위해 중요한 온-프레미스 리소스를 모니터링하기 위해 작동할 수도 있습니다. 응용 프로그램에 대 한 전체 모니터링 전략을 개발 하는 첫 번째 단계는 사용할 수 있는 도구 및 데이터를 이해 하는 것입니다.

Azure Monitor에는 다음과 같은 두 가지 기본 유형의 로그가 있습니다.

  • 메트릭은 시간상 특정 지점에서 시스템의 일부 측면을 설명하는 숫자 값입니다. 메트릭은 간단하며 실시간에 가까운 시나리오를 지원할 수 있습니다. 많은 Azure 리소스의 경우 Azure Monitor가 수집한 데이터는 Azure Portal의 [개요] 페이지에서 바로 볼 수 있습니다. 예를 들어 가상 컴퓨터를 살펴보면 성능 메트릭을 표시 하는 여러 차트가 표시 됩니다. 그래프 중 하나를 선택 하 여 Azure Portal의 메트릭 탐색기에서 데이터를 열 수 있습니다 .이를 통해 시간에 따라 여러 메트릭의 값을 차트로 표시할 수 있습니다. 대화형으로 차트를 보거나 다른 시각화 요소를 사용하여 보려는 대시보드에 고정할 수 있습니다.

  • 로그에는 각 형식에 대해 다양한 속성 집합이 포함된 레코드로 구성된 다양한 데이터 형식이 포함됩니다. 이벤트와 추적은 모두 분석을 위해 결합 될 수 있는 성능 데이터와 함께 로그로 저장 됩니다. Azure Monitor로 수집한 로그 데이터는 수집된 데이터를 신속하게 검색, 통합 및 분석하는 쿼리로 분석할 수 있습니다. Log Analytics에서 로그를 저장 하 고 쿼리 합니다. Azure Portal에서 Log Analytics를 사용하여 쿼리를 만들고 테스트한 다음, 이러한 도구를 사용하여 데이터를 직접 분석하거나 시각화 또는 경고 규칙에 사용하기 위해 쿼리를 저장할 수 있습니다.

9

Azure Monitor는 다양한 원본에서 데이터를 수집할 수 있습니다. 응용 프로그램, 운영 체제 및 해당 응용 프로그램에서 사용 하는 서비스에서 Azure 플랫폼 자체까지 응용 프로그램에 대 한 모니터링 데이터를 고려할 수 있습니다. Azure Monitor는 다음과 같은 각 계층에서 데이터를 수집합니다.

  • 응용 프로그램 모니터링 데이터: 플랫폼에 관계 없이 작성 한 코드의 성능 및 기능에 대 한 데이터입니다.
  • 게스트 OS 모니터링 데이터: 응용 프로그램이 실행 되 고 있는 운영 체제에 대 한 데이터입니다. 이 OS는 Azure, 다른 클라우드 또는 온-프레미스에서 실행 될 수 있습니다.
  • Azure 리소스 모니터링 데이터: Azure 리소스 작업에 대 한 데이터입니다.
  • Azure 구독 모니터링 데이터: Azure 구독의 작업 및 관리에 대 한 데이터 뿐만 아니라 Azure 자체의 상태 및 작업에 대 한 데이터입니다.
  • Azure 테 넌 트 모니터링 데이터: Azure Active Directory와 같은 테 넌 트 수준의 Azure 서비스 작업에 대 한 데이터입니다.
  • 사용자 지정 원본: 온-프레미스 소스에서 보낸 로그도 포함 될 수 있습니다. 예를 들어 온-프레미스 서버 이벤트 또는 네트워크 장치 syslog 출력이 있습니다.

데이터 모니터링은 계산 환경의 작업에 대한 가시성을 높일 수 있는 경우에만 유용합니다. Azure Monitor는 애플리케이션 및 애플리케이션에서 사용하는 다른 리소스에 대한 소중한 인사이트를 제공하는 여러 기능과 도구를 포함하고 있습니다. 모니터링 솔루션 및 기능(예: Application Insights 및 컨테이너용 Azure Monitor)은 애플리케이션 및 특정 Azure 서비스의 다양한 측면에 대한 심층적인 인사이트를 제공합니다.

Azure Monitor의 관리 솔루션은 특정 애플리케이션이나 서비스를 깊이 있게 이해하도록 하는 패키지된 논리 집합입니다. 여기에는 애플리케이션 또는 서비스에 대한 모니터링 데이터를 수집하기 위한 논리, 해당 데이터를 분석하기 위한 쿼리 및 시각화를 위한 뷰가 포함됩니다. 모니터링 솔루션은 다양한 Azure 서비스 및 다른 애플리케이션에 대한 모니터링이 가능하도록 Microsoft 및 파트너 업체에서 제공합니다.

이 풍부한 데이터를 모두 수집 하 여 수동 쿼리 만으로는 충분 하지 않은 환경에서 발생 하는 이벤트에 대 한 사전 조치를 취하는 것이 중요 합니다. Azure Monitor의 경고는 위험한 상황을 사전에 알리고 잠재적으로 조치를 취합니다. 메트릭을 기반으로 하는 경고 규칙은 숫자 값을 기준으로 거의 실시간으로 경고를 제공 하는 반면, 로그를 기반으로 하는 규칙은 여러 소스의 데이터에서 복잡 한 논리를 허용 합니다. Azure Monitor의 경고 규칙은 고유한 수신자 집합 및 여러 규칙 간에 공유할 수 있는 작업을 포함하는 작업 그룹을 사용합니다. 사용자의 요구 사항에 따라 작업 그룹은 경고가 외부 작업을 시작 하거나 ITSM 도구와 통합 되도록 하는 웹 후크를 사용 하는 것과 같은 작업을 수행할 수 있습니다.

Azure Monitor를 사용 하 여 사용자 지정 대시보드를 만들 수도 있습니다. Azure 대시보드를 사용하면 메트릭 및 로그를 포함한 여러 종류의 데이터를 Azure Portal의 단일 창으로 결합할 수 있습니다. 필요에 따라 대시보드를 다른 Azure 사용자와 공유할 수 있습니다. 로그 쿼리 또는 메트릭 차트의 출력 외에도 Azure Monitor 전체의 요소를 Azure 대시보드에 추가할 수 있습니다. 예를 들어 메트릭 그래프, 활동 로그 표, Application Insights의 사용량 차트, 로그 쿼리를 나타내는 타일이 조합된 대시보드를 만들 수 있습니다.

마지막으로 Azure Monitor 데이터는 Power BI에 대 한 네이티브 원본입니다. Power BI는 다양한 데이터 원본에서 대화형 시각화를 제공하는 비즈니스 분석 서비스이며, 조직 내부 및 외부의 사람들에게 데이터를 제공하는 효과적인 수단입니다. Azure Monitor에서 자동으로 로그 데이터를 가져오도록 Power BI를 구성하여 이러한 추가 시각화를 활용할 수 있습니다.

Azure Network Watcher 는 메트릭을 모니터링, 진단 및 확인 하 고, azure의 가상 네트워크에 있는 리소스에 대 한 로그를 사용 하거나 사용 하지 않도록 설정 하는 도구를 제공 합니다. 다음과 같은 기능을 허용하는 다면적 서비스입니다.

  • 가상 머신과 엔드포인트 간의 통신 모니터링.
  • 가상 네트워크의 리소스와 해당 리소스의 관계 보기.
  • VM에 대한 네트워크 트래픽 필터링 문제 진단.
  • VM에서 네트워크 경로 설정 문제 진단.
  • VM에서 아웃바운드 연결 진단.
  • VM에 대한 패킷 캡처.
  • Virtual network 게이트웨이 및 연결 문제를 진단 합니다.
  • Azure 지역과 인터넷 서비스 공급자 간의 상대 대기 시간 결정.
  • 네트워크 인터페이스에 대한 보안 규칙 보기.
  • 네트워크 메트릭 보기.
  • 네트워크 보안 그룹에 대한 트래픽 분석.
  • 네트워크 리소스에 대한 진단 로그 보기.

구성 요소 유형: 워크로드

워크로드 구성 요소는 실제 애플리케이션 및 서비스가 있는 위치입니다. 응용 프로그램 개발 팀에서 대부분의 시간을 보내는 위치입니다.

워크로드 가능성은 무궁무진합니다. 다음은 몇 가지 가능한 워크로드 유형입니다.

내부 응용 프로그램: Lob (기간 업무) 응용 프로그램은 엔터프라이즈 운영에 매우 중요 합니다. 이러한 응용 프로그램에는 다음과 같은 몇 가지 공통적인 특징이 있습니다.

  • 대화형: 데이터를 입력 하 고 결과 또는 보고서를 반환 합니다.
  • 데이터 기반: 데이터베이스 또는 기타 저장소에 자주 액세스 하 여 데이터를 집중적으로 사용 합니다.
  • 통합: 조직 내부 또는 외부의 다른 시스템과의 통합을 제공 합니다.

고객이 직면 하는 웹 사이트 (인터넷 연결 또는 내부적으로 연결): 대부분의 인터넷 응용 프로그램은 웹 사이트입니다. Azure는 IaaS 가상 머신 또는 azure Web Apps 사이트 (PaaS)를 통해 웹 사이트를 실행할 수 있습니다. Azure Web Apps는 가상 네트워크와 통합 되어 스포크 네트워크 영역에 웹 앱을 배포 합니다. 내부적으로 연결 된 웹 사이트는 개인 가상 네트워크의 개인 비 인터넷 라우팅 가능 주소를 통해 리소스에 액세스할 수 있으므로 공용 인터넷 끝점을 노출할 필요가 없습니다.

빅 데이터 분석: 데이터를 더 큰 볼륨으로 확장 해야 하는 경우에는 데이터의 극단적인 로드 나 구조화 되지 않은 특성에 따라 관계형 데이터베이스가 제대로 작동 하지 않을 수 있습니다. Azure HDInsight 는 기업에 대 한 클라우드에서 관리 되는 전체 스펙트럼 오픈 소스 분석 서비스입니다. Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm 및 R과 같은 오픈 소스 프레임 워크를 사용할 수 있습니다. HDInsight는 위치 기반 가상 네트워크에 배포 하는 기능을 지원 하 여 가상 데이터 센터의 스포크에 있는 클러스터에 배포할 수 있습니다.

이벤트 및 메시징: Azure Event Hubs 는 빅 데이터 스트리밍 플랫폼 및 이벤트 수집 서비스입니다. 초당 수백만 개의 이벤트를 수신하고 처리할 수 있습니다. 짧은 대기 시간 및 구성 가능한 시간 보존을 제공 하 여 대량의 데이터를 Azure에 수집 하 고 여러 응용 프로그램에서 읽을 수 있도록 합니다. 단일 스트림은 실시간 및 배치 기반 파이프라인을 모두 지원할 수 있습니다.

Azure Service Bus를 통해 애플리케이션과 서비스 간에 매우 안정적인 클라우드 메시지 서비스를 구현할 수 있습니다. 클라이언트와 서버, 구조화 된 FIFO (선입 선출) 메시징 및 게시 및 구독 기능 간에 비동기 조정 된 메시징을 제공 합니다.

10

이러한 예제는 Azure에서 만들 수 있는 워크 로드 유형의 화면을 — 기본 웹 및 SQL 앱에서 IoT, 빅 데이터, 기계 학습, AI 등의 최신 버전으로 만드는 것입니다.

고가용성: 여러 가상 데이터 센터

지금까지이 문서에서는 단일 VDC의 설계에 초점을 맞추고 복원 력을 제공 하는 기본 구성 요소 및 아키텍처에 대해 설명 했습니다. Azure 부하 분산 장치, Nva, 가용성 영역, 가용성 집합, 확장 집합 등의 azure 기능과 프로덕션 서비스에 견고한 SLA 수준을 포함 하는 데 도움이 되는 기타 기능이 있습니다.

그러나 가상 데이터 센터가 일반적으로 단일 지역 내에서 구현 되기 때문에 전체 지역에 영향을 주는 중단에 취약할 수 있습니다. 고가용성이 필요한 고객은 다른 지역에 배포 된 두 개 이상의 VDC 구현에서 동일한 프로젝트의 배포를 통해 서비스를 보호 해야 합니다.

SLA 문제 외에도 여러 가지 일반적인 시나리오에서 여러 가상 데이터 센터를 실행 하는 것이 좋습니다.

  • 최종 사용자 또는 파트너의 지역 또는 전역 상태입니다.
  • 재해 복구 요구 사항.
  • 부하 또는 성능을 위해 데이터 센터 간에 트래픽을 전환 하는 메커니즘입니다.

지역/글로벌 서비스

Azure 데이터 센터는 전 세계 여러 지역에 존재 합니다. 여러 Azure 데이터 센터를 선택 하는 경우 지리적 거리와 대기 시간 이라는 두 가지 관련 요인을 고려 합니다. 사용자 환경을 최적화 하려면 각 가상 데이터 센터 간의 거리 뿐만 아니라 각 가상 데이터 센터에서 최종 사용자로의 거리를 평가 합니다.

가상 데이터 센터를 호스트 하는 Azure 지역은 조직이 운영 하는 법적 행정의 규정 요구 사항을 준수 해야 합니다.

재해 복구

재해 복구 계획의 디자인은 워크 로드 유형에 따라 달라 지 며 다른 VDC 구현 간에 해당 워크 로드의 상태를 동기화 하는 기능에 따라 달라 집니다. 가장 많은 고객은 빠른 장애 조치 (failover) 메커니즘을 원합니다 .이 요구 사항은 여러 VDC 구현에서 실행 되는 배포 사이에 응용 프로그램 데이터 동기화가 필요할 수 있습니다. 그러자 재해 복구 계획을 설계할 때는 대부분의 애플리케이션이 이러한 데이터 동기화로 인해 발생할 수 있는 대기 시간에 민감하다는 사실을 감안하는 것이 중요합니다.

여러 VDC 구현에 있는 애플리케이션의 동기화 및 하트비트 모니터링을 위해서는 이러한 VDC 구현이 네트워크를 통해 통신할 수 있어야 합니다. 서로 다른 지역에 있는 여러 VDC 구현은 다음을 통해 연결할 수 있습니다.

  • 동일한 가상 WAN의 여러 지역에 걸쳐 Azure 가상 WAN 허브에 기본 제공 되는 허브-허브 통신.
  • 지역 간에 허브를 연결 하는 가상 네트워크 피어 링
  • 각 VDC 구현에서 허브가 동일한 Express 경로 회로에 연결 된 경우 Express 경로 개인 피어 링
  • 회사 백본을 통해 연결 된 여러 Express 경로 회로와 여러 VDC 구현이 Express 경로 회로에 연결 되어 있습니다.
  • 각 Azure 지역의 VDC 구현에 대 한 허브 영역 간의 사이트 간 VPN 연결.

일반적으로 가상 WAN 허브, 가상 네트워크 피어 링 또는 Express 경로 연결은 Microsoft 백본을 통과할 때 더 높은 대역폭과 일관 된 대기 시간 수준으로 인해 네트워크 연결에 대 한 기본 설정입니다.

네트워크 검증 테스트를 실행 하 여 이러한 연결의 대기 시간 및 대역폭을 확인 하 고 동기 또는 비동기 데이터 복제가 결과에 따라 적절 한지 여부를 결정 합니다. 또한 최적의 복구 시간 목표(RTO) 관점에서 이러한 결과를 저울질하는 것이 중요합니다.

재해 복구: 다른 지역으로 트래픽 우회

Azure Traffic Managerazure 프런트 도어 는 서로 다른 vdc 구현에서 수신 끝점의 서비스 상태를 정기적으로 확인 하 고, 해당 끝점이 실패할 경우 다음으로 가까운 VDC로 자동 라우팅합니다. Traffic Manager는 실시간 사용자 측정 및 DNS를 사용 하 여 사용자를 가장 가까운 (또는 실패 중에 가까운 다음)로 라우팅합니다. Azure 전면 도어는 가장 가까운 수신 끝점으로 사용자를 라우팅하기 위해 애니캐스트를 사용 하는 100 이상의 Microsoft 백본 edge 사이트에서 역방향 프록시입니다.

요약

데이터 센터 마이그레이션에 대 한 가상 데이터 센터 접근 방식은 Azure 리소스 사용을 최적화 하 고 비용을 절감 하 고 시스템 관리를 간소화 하는 확장 가능한 아키텍처를 만듭니다. 가상 데이터 센터는 가상 네트워크 피어 링 또는 가상 WAN 허브를 사용 하 여 허브 및 스포크 네트워크 토폴로지를 기반으로 합니다. 허브에서 제공 되는 일반 공유 서비스와 특정 응용 프로그램 및 워크 로드는 스포크에 배포 됩니다. 또한 가상 데이터 센터는 중앙 IT, DevOps, 작업 및 유지 관리와 같은 여러 부서가 함께 작동 하 여 특정 역할을 수행 하는 회사 역할의 구조와 일치 합니다. 가상 데이터 센터는 기존 온-프레미스 워크 로드를 Azure로 마이그레이션할 수 있도록 지원 하지만 클라우드 네이티브 배포에도 많은 이점을 제공 합니다.

참조

이 문서에서 설명 하는 Azure 기능에 대해 자세히 알아보세요.

다음 단계

  • 허브 및 스포크 토폴로지의 핵심 기술인 가상 네트워크 피어 링에 대해 자세히 알아보세요.
  • Azure 역할 기반 액세스 제어를 사용 하 Azure Active Directory 을 구현 합니다.
  • 조직의 구조, 요구 사항 및 정책에 맞는 Azure 역할 기반 액세스 제어를 사용 하 여 구독 및 리소스 관리 모델을 개발 합니다. 가장 중요한 작업은 계획입니다. 재구성, 인수, 새 제품 라인 및 기타 고려 사항이 초기 모델에 영향을 주는지 분석 하 여 향후 수요와 성장을 충족 하도록 확장할 수 있습니다.