Azure 네트워킹 서비스 개요

  • 아티클

Azure의 네트워킹 서비스에서는 함께 또는 별도로 사용할 수 있는 다양한 네트워킹 기능을 제공합니다. 다음과 같은 주요 기능에 대해 알아보려면 그 중 하나를 선택합니다.

  • 연결 서비스: Azure의 VNet(Virtual Network), Virtual WAN, ExpressRoute, VPN Gateway, NAT Gateway, Azure DNS, Peering Service, Azure Virtual Network Manager, Route Server, Azure Bastion에서 네트워킹 서비스 중 일부 또는 조합을 사용하여 Azure 리소스 및 온-프레미스 리소스를 연결합니다.
  • 애플리케이션 보호 서비스: Azure에서 Load Balancer, 프라이빗 링크, DDoS 보호, 방화벽, 네트워크 보안 그룹, 웹 애플리케이션 방화벽 및 가상 네트워크 엔드포인트와 같은 네트워킹 서비스의 조합을 사용하여 애플리케이션을 보호합니다.
  • 전달 서비스: Azure의 CDN(Content Delivery Network), Azure Front Door Service, Traffic Manager, Application Gateway, Internet Analyzer 및 Load Balancer에서 네트워킹 서비스의 조합을 사용하여 Azure 네트워크에서 애플리케이션을 전달합니다.
  • 네트워크 모니터링: Azure Network Watcher, ExpressRoute Monitor, Azure Monitor 또는 VNet TAP(터미널 액세스 지점)에서 네트워킹 서비스 중 일부 또는 조합을 사용하여 네트워크 리소스를 모니터링합니다.

연결 서비스

이 섹션에서는 Azure 리소스 간에 연결을 제공하고, 온-프레미스 네트워크에서 Azure 리소스에 연결하고, Azure의 VNet(Azure-Virtual Network), ExpressRoute, VPN Gateway, Virtual WAN, Virtual Network NAT Gateway, Azure DNS, Peering Service, Route Server 및 Azure Bastion에서 분기 연결을 제공하는 서비스에 대해 설명합니다.

가상 네트워크

Azure Virtual Network(VNet)는 Azure의 프라이빗 네트워크의 기본 구성 요소입니다. Vnet을 사용하여 다음을 수행할 수 있습니다.

  • Azure 리소스 간에 통신: Azure App Service Environments, AKS(Azure Kubernetes Service), Azure Virtual Machine Scale Sets 등의 여러 가지 가상 머신 및 Azure 리소스를 가상 네트워크에 배포할 수 있습니다. 가상 네트워크에 배포할 수 있는 Azure 리소스의 전체 목록을 보려면 가상 네트워크 서비스 통합을 참조하세요.
  • 서로 간에 통신: 가상 네트워크 피어링 또는 Azure Virtual Network Manager를 사용하여 가상 네트워크의 리소스가 서로 통신할 수 있도록 가상 네트워크를 서로 연결할 수 있습니다. 연결한 가상 네트워크는 같은 Azure 지역 또는 다른 Azure 지역에 있을 수 있습니다. 자세한 내용은 가상 네트워크 피어링Azure Virtual Network Manager를 참조하세요.
  • 인터넷과 통신: 기본적으로 VNet의 모든 리소스는 인터넷으로 아웃바운드 통신을 할 수 있습니다. 공용 IP 주소 또는 공용 Load Balancer를 할당하여 리소스에 대해 인바운드로 통신할 수 있습니다. 공용 IP 주소 또는 공용 부하 분산 장치를 사용하여 아웃바운드 연결을 관리할 수도 있습니다.
  • 온-프레미스 네트워크와 통신: VPN Gateway 또는 ExpressRoute 경로를 사용하여 온-프레미스 컴퓨터 및 네트워크를 가상 네트워크에 연결할 수 있습니다.
  • 리소스 간 트래픽 암호화: 가상 네트워크 암호화를 사용하여 가상 네트워크의 리소스 간 트래픽을 암호화할 수 있습니다.

Azure Virtual Network Manager

Azure Virtual Network Manager는 구독 전체에서 가상 네트워크를 전역적으로 그룹화, 구성, 배포 및 관리할 수 있는 관리 서비스입니다. Virtual Network Manager를 사용하면 가상 네트워크를 식별하고 논리적으로 분할하는 네트워크 그룹을 정의할 수 있습니다. 그런 다음, 원하는 연결보안 구성을 결정하고 네트워크 그룹에서 선택한 모든 가상 네트워크에서 한 번에 적용할 수 있습니다.

Azure 가상 네트워크 관리자를 사용하여 메시 가상 네트워크 토폴로지에 배포된 리소스의 다이어그램.

ExpressRoute

ExpressRoute를 사용하면 연결 공급자가 지원하는 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장할 수 있습니다. 이 연결은 프라이빗 전용입니다. 트래픽은 인터넷을 통해 이동하지 않습니다. ExpressRoute를 사용하면 Microsoft Azure, Microsoft 365, Dynamics 365와 같은 Microsoft 클라우드 서비스에 대한 연결을 설정할 수 있습니다.

Azure ExpressRoute

VPN Gateway

VPN Gateway를 사용하면 온-프레미스 위치에서 가상 네트워크에 대한 암호화된 프레미스 간 연결을 만들거나 VNet 간에 암호화된 연결을 만들 수 있습니다. VPN Gateway 연결에는 다양한 구성을 사용할 수 있습니다. 주요 기능 중 일부는 다음과 같습니다.

  • 사이트 간 VPN 연결
  • 지점 및 사이트 간 VPN 연결
  • VNet 간 VPN 연결

다음 다이어그램은 동일한 가상 네트워크에 대한 여러 사이트 간 VPN 연결을 보여 줍니다. 더 많은 연결 다이어그램을 보려면 VPN Gateway - 디자인을 참조하세요.

여러 사이트 간 Azure VPN Gateway 연결을 보여주는 다이어그램.

가상 WAN

Azure Virtual WAN은 많은 네트워킹, 보안 및 라우팅 기능을 결합하여 단일 운영 인터페이스를 제공하는 네트워킹 서비스입니다. Azure VNet에 대한 연결은 가상 네트워크 연결을 사용하여 설정합니다. 주요 기능 중 일부는 다음과 같습니다.

  • 분기 연결(SD-WAN 또는 VPN CPE와 같은 Virtual WAN 파트너 디바이스의 연결 자동화를 통해)
  • 사이트 간 VPN 연결
  • 원격 사용자 VPN연결(지점 및 사이트 간)
  • 프라이빗 연결(ExpressRoute)
  • 클라우드 내 연결(가상 네트워크에 대한 전이적 연결)
  • VPN ExpressRoute 간 연결
  • 프라이빗 연결에 대한 라우팅, Azure Firewall 및 암호화

Virtual WAN 다이어그램.

Azure DNS

Azure DNS는 Microsoft Azure 인프라를 사용하여 DNS 호스팅 및 확인을 제공합니다. Azure DNS는 다음 세 가지 서비스로 구성됩니다.

  • Azure 퍼블릭 DNS는 DNS 도메인에 대한 호스팅 서비스입니다. Azure에 도메인을 호스트하면 다른 Azure 서비스와 동일한 자격 증명, API, 도구 및 대금 청구를 사용하여 DNS 레코드를 관리할 수 있습니다.
  • Azure 프라이빗 DNS는 가상 네트워크에 대한 DNS 서비스입니다. Azure Private DNS는 사용자 지정 DNS 솔루션을 구성할 필요 없이 가상 네트워크의 도메인 이름을 관리하고 확인합니다.
  • Azure DNS Private Resolver는 VM 기반 DNS 서버를 배포하지 않고 온-프레미스 환경에서 Azure DNS 프라이빗 영역을 쿼리하거나 그 반대로 쿼리할 수 있는 서비스입니다.

Azure DNS를 사용하면 공용 도메인을 호스트 및 확인하고, 가상 네트워크에서 DNS 확인을 관리하고, Azure와 온-프레미스 리소스 간에 이름 확인을 사용하도록 설정할 수 있습니다.

Azure Bastion

Azure Bastion은 브라우저 및 Azure Portal을 사용하거나 로컬 컴퓨터에 이미 설치된 네이티브 SSH 또는 RDP 클라이언트를 통해 가상 머신에 연결할 수 있도록 배포할 수 있는 서비스입니다. Azure Bastion 서비스는 가상 네트워크 내에 배포하는 완전 플랫폼 관리형 PaaS 서비스입니다. TLS를 통해 Azure Portal에서 직접 가상 머신에 안전하고 원활한 RDP/SSH 연결을 제공합니다. Azure Bastion을 통해 연결하는 경우 가상 머신에 공용 IP 주소, 에이전트 또는 특수 클라이언트 소프트웨어가 필요하지 않습니다. Azure Bastion에는 다양한 SKU/계층을 사용할 수 있습니다. 선택한 계층은 사용 가능한 기능에 영향을 줍니다. 자세한 내용은 Bastion 구성 설정 정보를 참조하세요.

Azure Bastion 아키텍처를 보여 주는 다이어그램

NAT Gateway

Virtual Network NAT(Network Address Translation)는 가상 네트워크에 대한 아웃바운드 전용 인터넷 연결을 간소화합니다. 서브넷에 구성되는 경우 모든 아웃바운드 연결에서 지정된 고정 공용 IP 주소를 사용합니다. 가상 머신에 직접 연결되는 부하 분산 장치 또는 공용 IP 주소가 없으면 아웃바운드 연결이 가능합니다. 자세한 내용은 Azure NAT Gateway란?을 참조하세요.

가상 네트워크 NAT 게이트웨이

Route Server

Azure Route Server는 NVA(네트워크 가상 어플라이언스)와 가상 네트워크 간의 동적 라우팅을 간소화합니다. 이를 통해 경로 테이블을 수동으로 구성하거나 유지 관리할 필요 없이 BGP(Border Gateway Protocol) 라우팅 프로토콜을 지원하는 NVA와 Azure VNet(Virtual Network)의 Azure SDN(Software Defined Network) 사이에서 BGP 라우팅 프로토콜을 통해 직접 라우팅 정보를 교환할 수 있습니다.

Peering Service

Azure Peering Service는 Microsoft 365, Dynamics 365, SaaS(Software as a Service) 서비스, Azure 또는 공용 인터넷을 통해 액세스할 수 있는 Microsoft 서비스와 같은 Microsoft 클라우드 서비스에 대한 고객의 연결을 향상시킵니다.

애플리케이션 보호 서비스

이 섹션에서는 네트워크 리소스를 보호하는 데 도움이 되는 Azure의 네트워킹 서비스에 대해 설명합니다. DDoS 보호, 프라이빗 링크, 방화벽, 웹 애플리케이션 방화벽, 네트워크 보안 그룹 및 Virtual Network 서비스 엔드포인트와 같은 Azure의 네트워킹 서비스 조합을 사용하여 애플리케이션을 보호합니다.

DDoS Protection

Azure DDoS Protection은 매우 정교한 DDoS 위협에 대한 대책을 제공합니다. 이 서비스는 가상 네트워크에 배포된 애플리케이션 및 리소스에 대해 향상된 DDoS 완화 기능을 제공합니다. 또한 Azure DDoS Protection을 사용하는 고객은 활성 공격 중에 DDoS 전문가를 참여시키도록 DDoS Rapid Response 지원에 액세스할 수 있습니다.

Azure DDoS Protection은 다음 두 계층으로 구성됩니다.

  • 애플리케이션 설계 모범 사례와 결합된 DDoS Network Protection은 DDoS 공격으로부터 방어하기 위해 향상된 DDoS 완화 기능을 제공합니다. 가상 네트워크에서 특정 Azure 리소스를 보호하도록 자동으로 조정됩니다.
  • DDoS IP Protection은 보호된 IP당 요금 모델입니다. DDoS IP Protection에는 DDoS Network Protection와 동일한 핵심 엔지니어링 기능이 포함되어 있지만 DDoS 신속한 대응 지원, 비용 보호 및 WAF 할인과 같은 부가 가치 서비스가 다릅니다.

DDoS 보호 PaaS 웹 애플리케이션의 참조 아키텍처 다이어그램.

Azure Private Link를 사용하면 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure PaaS Services(예: Azure Storage 및 SQL Database)와 Azure 호스트 고객 소유/파트너 서비스에 액세스할 수 있습니다. 가상 네트워크와 서비스 사이의 트래픽은 Microsoft 백본 네트워크를 통해 이동합니다. 서비스를 공용 인터넷에 더 이상 노출할 필요가 없습니다. 가상 네트워크에 자체 프라이빗 링크 서비스를 만들어서 고객에게 제공할 수도 있습니다.

프라이빗 엔드포인트 개요

Azure Firewall

Azure Firewall은 Azure Virtual Network 리소스를 보호하는 클라우드 기반 관리 네트워크 보안 서비스입니다. Azure Firewall을 사용하면 구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다. Azure Firewall은 가상 네트워크 리소스에 정적 공용 IP 주소를 사용하기 때문에 외부 방화벽이 사용자의 가상 네트워크에서 시작된 트래픽을 식별할 수 있습니다.

방화벽 개요

Web Application Firewall

WAF(Azure Web Application Firewall)는 SQL 삽입, 사이트 간 스크립팅 등의 일반적인 웹 익스플로잇 및 취약성으로부터 웹 애플리케이션을 보호합니다. Azure WAF는 관리형 규칙을 통해 OWASP 상위 10개 취약성에 대한 보호를 기본 제공합니다. 또한 고객은 원본 IP 범위를 기반으로 추가 보호 기능을 제공하며 헤더, 쿠키, 양식 데이터 필드 또는 쿼리 문자열 매개 변수와 같은 요청 속성을 제공하는 고객 관리형 규칙인 사용자 지정 규칙을 구성할 수도 있습니다.

고객은 공용 및 개인 주소 공간의 엔터티에 지역 보호를 제공하는 Application Gateway를 사용하여 Azure WAF를 배포하도록 선택할 수 있습니다. 또한 고객은 네트워크 에지에서 공용 엔드포인트에 대한 보호를 제공하는 Front Door를 사용하여 Azure WAF를 배포하도록 선택할 수 있습니다.

Web Application Firewall

네트워크 보안 그룹

Azure 가상 네트워크의 Azure 리소스와 네트워크 보안 그룹이 주고 받는 네트워크 트래픽을 필터링할 수 있습니다. 자세한 내용은 네트워크 보안 그룹을 참조하세요.

서비스 엔드포인트

VNet(Virtual Network) 서비스 엔드포인트는 직접 연결을 통해 가상 네트워크 프라이빗 주소 공간 및 Azure 서비스에 대한 VNet의 ID를 확장합니다. 엔드포인트를 사용하면 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있습니다. VNet에서 Azure 서비스에 대한 트래픽은 Microsoft Azure 백본 네트워크에 항상 유지됩니다.

가상 네트워크 서비스 엔드포인트

애플리케이션 전달 서비스

이 섹션에서는 Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer 및 Application Gateway와 같은 애플리케이션을 제공하는 데 도움이 되는 Azure의 네트워킹 서비스에 대해 설명합니다.

Azure Front Door

Azure Front Door를 사용하면 최적의 성능과 고가용성을 지원하는 즉시 글로벌 장애 조치(failover)를 최적으로 구현하여 웹 트래픽의 글로벌 라우팅을 정의, 관리, 모니터링할 수 있습니다. Front Door를 사용하면 글로벌(다중 지역) 소비자 및 기업 애플리케이션을 글로벌 Azure 잠재 고객에게 도달하는 견고한 고성능의 맞춤형 최신 애플리케이션, API 및 콘텐츠로 변환할 수 있습니다.

Web Application Firewall을 사용한 Azure Front Door 서비스의 다이어그램.

Traffic Manager

Azure Traffic Manager. 고가용성과 응답성을 제공하면서 트래픽을 전역 Azure 지역의 모든 서비스에 최적으로 분산할 수 있는 DNS 기반 트래픽 부하 분산 장치입니다. Traffic Manager는 우선 순위, 가중치, 성능, 지리적, 다중값 또는 서브넷과 같은 트래픽을 분산하기 위한 다양한 트래픽 라우팅 방법을 제공합니다.

다음 다이어그램은 Traffic Manager를 사용한 엔드포인트 우선 순위 기반 라우팅을 보여 줍니다.

Azure Traffic Manager '우선 순위' 트래픽 라우팅 메서드

Traffic Manager에 대한 자세한 내용은 Azure Traffic Manager란?을 참조하세요.

Load Balancer

Azure Load Balancer는 모든 UDP 및 TCP 프로토콜에 대해 대기 시간이 낮은 고성능 계층 4 부하 분산을 제공합니다. 인바운드 및 아웃 바운드 연결을 관리합니다. 내부 부하가 분산된 공용 엔드포인트를 구성할 수 있습니다. 서비스 가용성 관리 옵션을 검색하는 TCP 및 HTTP 상태를 사용하여 백 엔드 풀 대상에 인바운드 연결을 매핑하는 규칙을 정의할 수 있습니다.

Azure Load Balancer는 표준, 지역 및 게이트웨이 SKU에서 사용할 수 있습니다.

다음 그림에서는 외부 및 내부 부하 분산 장치를 모두 활용하는 인터넷 연결 다중 계층 애플리케이션을 보여줍니다.

Azure Load Balancer 예제

Application Gateway

Azure Application Gateway는 웹 애플리케이션에 대한 트래픽을 관리할 수 있도록 하는 웹 트래픽 부하 분산 장치입니다. 서비스 형태의 ADC(애플리케이션 전달 컨트롤러)이며 애플리케이션에 대한 다양한 계층 7 부하 분산 기능을 제공합니다.

다음 다이어그램에서는 Application Gateway를 사용하는 URL 경로 기반 라우팅을 보여 줍니다.

Application Gateway 예제

콘텐츠 배달 네트워크

Azure CDN(Content Delivery Network). 전 세계에 전략적으로 배치된 물리적 노드에서 콘텐츠를 캐싱하여 사용자에게 고대역폭 콘텐츠를 신속하게 전달할 수 있는 글로벌 솔루션을 개발자에게 제공합니다.

Azure CDN

네트워크 모니터링 서비스

이 섹션에서는 네트워크 리소스(Azure Network Watcher, Azure Monitor Network Insights, Azure Monitor 및 ExpressRoute Monitor)를 모니터링하는 데 도움이 되는 Azure의 네트워킹 서비스에 대해 설명합니다.

Azure Network Watcher

Azure Network Watcher는 Azure 가상 네트워크의 리소스를 모니터링 및 진단하고 메트릭을 보고 그에 대한 로그를 활성화 또는 비활성화하는 도구를 제공합니다. 자세한 내용은 [Network Watcher란?]을 참조하세요.

Azure Monitor

Azure Monitor는 클라우드 및 온-프레미스 환경에서 원격 분석 데이터를 수집, 분석하고 이에 따른 작업을 수행하는 포괄적인 솔루션을 제공하여 애플리케이션의 가용성과 성능을 최대화합니다. 애플리케이션을 수행하는 방법과 애플리케이션 및 종속된 리소스에 영향을 주는 문제를 사전에 식별하는 방법을 파악할 수 있습니다. 자세한 내용은 [Azure Monitor 개요]를 참조하세요.

ExpressRoute 모니터

ExpressRoute 회로 메트릭, 리소스 로그 및 경고를 보는 방법에 대한 자세한 내용은 ExpressRoute 모니터링, 메트릭 및 경고를 참조하세요.

네트워크 인사이트

네트워크용 Azure Monitor (Network Insights). 구성 없이 배포된 모든 네트워크 리소스에 대한 상태 및 메트릭에 대한 포괄적인 뷰를 제공합니다.

다음 단계