Azure Virtual Network란?What is Azure Virtual Network?

Azure Virtual Network(VNet)는 Azure의 프라이빗 네트워크의 기본 구성 요소입니다.Azure Virtual Network (VNet) is the fundamental building block for your private network in Azure. VNet을 사용하면 Azure VM(Virtual Machines)과 같은 다양한 형식의 Azure 리소스가 서로, 인터넷 및 특정 온-프레미스 네트워크와 안전하게 통신할 수 있습니다.VNet enables many types of Azure resources, such as Azure Virtual Machines (VM), to securely communicate with each other, the internet, and on-premises networks. VNet은 자체 데이터 센터에서 운영하는 기존 네트워크와 유사하지만, 확장, 가용성 및 격리와 같은 Azure 인프라 이점을 추가로 활용할 수 있습니다.VNet is similar to a traditional network that you'd operate in your own data center, but brings with it additional benefits of Azure's infrastructure such as scale, availability, and isolation.

VNet 개념VNet concepts

  • 주소 공간: VNet을 만들 때 공용 및 프라이빗(RFC 1918) 주소를 사용하여 사용자 지정 프라이빗 IP 주소 공간을 지정해야 합니다.Address space: When creating a VNet, you must specify a custom private IP address space using public and private (RFC 1918) addresses. Azure는 가상 네트워크의 리소스에 사용자가 할당한 주소 공간의 개인 IP 주소를 할당합니다.Azure assigns resources in a virtual network a private IP address from the address space that you assign. 예를 들어 주소 공간인 10.0.0.0/16이 있는 VNet에 VM을 배포하는 경우 VM에는 10.0.0.4 같은 프라이빗 IP가 할당됩니다.For example, if you deploy a VM in a VNet with address space, 10.0.0.0/16, the VM will be assigned a private IP like 10.0.0.4.
  • 서브넷: 서브넷을 사용하면 가상 네트워크를 하나 이상의 하위 네트워크로 분할하고 가상 네트워크 주소 공간의 일부를 각 서브넷에 할당합니다.Subnets: Subnets enable you to segment the virtual network into one or more sub-networks and allocate a portion of the virtual network's address space to each subnet. 그런 다음, 특정 서브넷에 Azure 리소스를 배포할 수 있습니다.You can then deploy Azure resources in a specific subnet. 기존 네트워크와 마찬가지로 서브넷을 사용하여 VNet 주소 공간을 조직의 내부 네트워크에 적합한 세그먼트로 분할할 수 있습니다.Just like in a traditional network, subnets allow you to segment your VNet address space into segments that are appropriate for the organization's internal network. 주소 할당 효율성도 향상됩니다.This also improves address allocation efficiency. 네트워크 보안 그룹을 사용하여 서브넷 내의 리소스에 보안을 지정할 수 있습니다.You can secure resources within subnets using Network Security Groups. 자세한 내용은 보안 그룹을 참조하세요.For more information, see Security groups.
  • 지역: VNet은 단일 지역/위치로 범위가 제한되지만 가상 네트워크 피어링을 사용하여 여러 지역의 여러 가상 네트워크를 연결할 수 있습니다.Regions: VNet is scoped to a single region/location; however, multiple virtual networks from different regions can be connected together using Virtual Network Peering.
  • 구독: VNet은 구독으로 범위가 제한됩니다.Subscription: VNet is scoped to a subscription. 각 Azure 구독 및 Azure 지역 내에서 여러 가상 네트워크를 구현할 수 있습니다.You can implement multiple virtual networks within each Azure subscription and Azure region.

모범 사례Best practices

Azure에서 네트워크를 빌드할 때 다음 범용 디자인 원칙에 유의해야 합니다.As you build your network in Azure, it is important to keep in mind the following universal design principles:

  • 겹치지 않는 주소 공간을 확보합니다.Ensure non-overlapping address spaces. VNet 주소 공간(CIDR 블록)이 조직의 다른 네트워크 범위와 겹치지 않는지 확인합니다.Make sure your VNet address space (CIDR block) does not overlap with your organization's other network ranges.
  • 서브넷은 VNet의 전체 주소 공간을 사용하지 않아야 합니다.Your subnets should not cover the entire address space of the VNet. 미래를 위해 미리 계획하고 일부 주소 공간을 예약합니다.Plan ahead and reserve some address space for the future.
  • 많은 수의 작은 VNet보다 적은 수의 큰 VNet을 사용하는 것이 좋습니다.It is recommended you have fewer large VNets than multiple small VNets. 이렇게 하면 관리 오버헤드가 방지됩니다.This will prevent management overhead.
  • NSG(네트워크 보안 그룹)를 사용하여 VNet에 보안 지정Secure your VNet using Network Security Groups (NSGs).

인터넷 통신Communicate with the internet

기본적으로 VNet의 모든 리소스는 인터넷으로 아웃바운드 통신을 할 수 있습니다.All resources in a VNet can communicate outbound to the internet, by default. 공용 IP 주소 또는 공용 Load Balancer를 할당하여 리소스에 대해 인바운드로 통신할 수 있습니다.You can communicate inbound to a resource by assigning a public IP address or a public Load Balancer. 공용 IP 또는 공용 Load Balancer를 사용하여 아웃바운드 연결을 관리할 수도 있습니다.You can also use public IP or public Load Balancer to manage your outbound connections. Azure의 아웃바운드 연결에 대한 자세한 내용은 아웃바운드 연결, 공용 IP 주소Load Balancer를 참조하세요.To learn more about outbound connections in Azure, see Outbound connections, Public IP addresses, and Load Balancer.

참고

내부 표준 Load Balancer만 사용하는 경우 인스턴스 수준 공용 IP 또는 공용 Load Balancer와 함께 작동하도록 아웃바운드 연결 방식을 정의하기 전에는 아웃바운드 연결을 사용할 수 없습니다.When using only an internal Standard Load Balancer, outbound connectivity is not available until you define how you want outbound connections to work with an instance-level public IP or a public Load Balancer.

Azure 리소스 간 통신Communicate between Azure resources

Azure 리소스는 다음 방법 중 하나를 사용하여 서로 안전하게 통신합니다.Azure resources communicate securely with each other in one of the following ways:

  • 가상 네트워크를 통해: Azure App Service Environment, AKS(Azure Kubernetes Service), Azure Virtual Machine Scale Sets 등의 여러 다른 Azure 리소스 및 VM을 가상 네트워크에 배포할 수 있습니다.Through a virtual network: You can deploy VMs, and several other types of Azure resources to a virtual network, such as Azure App Service Environments, the Azure Kubernetes Service (AKS), and Azure Virtual Machine Scale Sets. 가상 네트워크에 배포할 수 있는 Azure 리소스의 전체 목록을 보려면 가상 네트워크 서비스 통합을 참조하세요.To view a complete list of Azure resources that you can deploy into a virtual network, see Virtual network service integration.
  • 가상 네트워크 서비스 엔드포인트를 통해: 직접 연결을 통해 가상 네트워크 프라이빗 주소 공간 및 가상 네트워크의 ID를 Azure Storage 계정, Azure SQL 데이터베이스 등의 Azure 서비스 리소스로 확장합니다.Through a virtual network service endpoint: Extend your virtual network private address space and the identity of your virtual network to Azure service resources, such as Azure Storage accounts and Azure SQL databases, over a direct connection. 서비스 엔드포인트를 사용하면 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있습니다.Service endpoints allow you to secure your critical Azure service resources to only a virtual network. 자세한 내용은 가상 네트워크 서비스 엔드포인트 개요를 참조하세요.To learn more, see Virtual network service endpoints overview.
  • VNet 피어링을 통해: 가상 네트워크를 서로 연결하면 각 가상 네트워크의 리소스가 가상 네트워크 피어링을 사용하여 서로 통신할 수 있습니다.Through VNet Peering: You can connect virtual networks to each other, enabling resources in either virtual network to communicate with each other, using virtual network peering. 연결한 가상 네트워크는 같은 Azure 지역 또는 다른 Azure 지역에 있을 수 있습니다.The virtual networks you connect can be in the same, or different, Azure regions. 자세히 알아보려면 가상 네트워크 피어링을 참조하세요.To learn more, see Virtual network peering.

온-프레미스 리소스와 통신Communicate with on-premises resources

다음 옵션을 원하는 대로 조합하여 온-프레미스 컴퓨터 및 네트워크를 가상 네트워크에 연결할 수 있습니다.You can connect your on-premises computers and networks to a virtual network using any combination of the following options:

  • 지점 및 사이트 간 VPN(가상 사설망): 가상 네트워크와 사용자 네트워크의 단일 컴퓨터 간에 설정됩니다.Point-to-site virtual private network (VPN): Established between a virtual network and a single computer in your network. 가상 네트워크와 연결하려는 각 컴퓨터는 연결을 구성해야 합니다.Each computer that wants to establish connectivity with a virtual network must configure its connection. 이 연결 유형은 기존 네트워크를 거의 변경할 필요가 없으므로 Azure을 이제 막 시작하는 사용자나 개발자에게 적합합니다.This connection type is great if you're just getting started with Azure, or for developers, because it requires little or no changes to your existing network. 컴퓨터와 가상 네트워크 간의 통신은 인터넷을 통한 암호화된 터널로 전송됩니다.The communication between your computer and a virtual network is sent through an encrypted tunnel over the internet. 자세한 내용은 지점-사이트 간 VPN을 참조하세요.To learn more, see Point-to-site VPN.
  • 사이트 간 VPN: 온-프레미스 VPN 디바이스와 가상 네트워크에 배포된 Azure VPN Gateway 간에 설정됩니다.Site-to-site VPN: Established between your on-premises VPN device and an Azure VPN Gateway that is deployed in a virtual network. 이 연결 형식을 사용하면 사용자가 권한을 부여하는 모든 온-프레미스 리소스가 가상 네트워크에 액세스할 수 있습니다.This connection type enables any on-premises resource that you authorize to access a virtual network. 온-프레미스 VPN 디바이스 및 Azure VPN Gateway 간의 통신은 인터넷을 통해 암호화된 터널로 전송됩니다.The communication between your on-premises VPN device and an Azure VPN gateway is sent through an encrypted tunnel over the internet. 자세한 내용은 사이트 간 VPN을 참조하세요.To learn more, see Site-to-site VPN.
  • Azure ExpressRoute: ExpressRoute 파트너를 통해 사용자 네트워크와 Azure 간에 설정됩니다.Azure ExpressRoute: Established between your network and Azure, through an ExpressRoute partner. 이 연결은 프라이빗 전용입니다.This connection is private. 트래픽은 인터넷을 통해 이동하지 않습니다.Traffic does not go over the internet. 자세한 내용은 ExpressRoute를 참조하세요.To learn more, see ExpressRoute.

네트워크 트래픽 필터링Filter network traffic

다음 옵션 중 하나 또는 둘 다를 사용하여 서브넷 간의 네트워크 트래픽을 필터링할 수 있습니다.You can filter network traffic between subnets using either or both of the following options:

  • 보안 그룹: 네트워크 보안 그룹 및 애플리케이션 보안 그룹에는 원본 및 대상 IP 주소, 포트 및 프로토콜을 기준으로 리소스와 주고받는 트래픽을 필터링할 수 있는 여러 개의 인바운드 및 아웃바운드 보안 규칙이 포함될 수 있습니다.Security groups: Network security groups and application security groups can contain multiple inbound and outbound security rules that enable you to filter traffic to and from resources by source and destination IP address, port, and protocol. 자세한 내용은 네트워크 보안 그룹 또는 애플리케이션 보안 그룹을 참조하세요.To learn more, see Network security groups or Application security groups.
  • 네트워크 가상 어플라이언스: 네트워크 가상 어플라이언스는 방화벽, WAN 최적화 또는 기타 네트워크 기능과 같은 네트워크 기능을 수행하는 VM입니다.Network virtual appliances: A network virtual appliance is a VM that performs a network function, such as a firewall, WAN optimization, or other network function. Azure 가상 네트워크에 배포할 수 있는 네트워크 가상 어플라이언스 목록을 보려면 Azure Marketplace를 참조하세요.To view a list of available network virtual appliances that you can deploy in a virtual network, see Azure Marketplace.

네트워크 트래픽 라우팅Route network traffic

기본적으로 서브넷, 연결된 가상 네트워크, 온-프레미스 네트워크 및 인터넷 간의 Azure 경로 트래픽입니다.Azure routes traffic between subnets, connected virtual networks, on-premises networks, and the Internet, by default. 다음 옵션 중 하나 또는 둘 다를 구현하여 Azure에서 생성되는 기본 경로를 재정의할 수 있습니다.You can implement either or both of the following options to override the default routes Azure creates:

  • 경로 테이블: 각 서브넷에 대해 트래픽이 라우팅되는 위치를 제어하는 경로를 사용하여 사용자 지정 경로 테이블을 만들 수 있습니다.Route tables: You can create custom route tables with routes that control where traffic is routed to for each subnet. 경로 테이블에 대해 자세히 알아보세요.Learn more about route tables.
  • BGP(Border Gateway Protocol) 경로: Azure VPN Gateway 또는 ExpressRoute 연결을 사용하여 가상 네트워크를 온-프레미스 네트워크에 연결하는 경우 온-프레미스 BGP 경로를 가상 네트워크에 전파할 수 있습니다.Border gateway protocol (BGP) routes: If you connect your virtual network to your on-premises network using an Azure VPN Gateway or ExpressRoute connection, you can propagate your on-premises BGP routes to your virtual networks. Azure VPN GatewayExpressRoute에서 BGP를 사용하는 방법을 자세히 알아봅니다.Learn more about using BGP with Azure VPN Gateway and ExpressRoute.

Azure VNet 제한Azure VNet limits

배포할 수 있는 Azure 리소스 수와 관련된 특정 제한이 있습니다.There are certain limits around the number of Azure resources you can deploy. 대부분의 Azure 네트워킹 제한은 최댓값으로 설정됩니다.Most Azure networking limits are at the maximum values. 그러나 VNet 제한 페이지에 지정된 대로 특정 네트워킹 제한을 늘릴 수 있습니다.However, you can increase certain networking limits as specified on the VNet limits page.

가격Pricing

Azure VNet 사용에 해당하는 요금은 없습니다. 별도의 비용이 없습니다.There is no charge for using Azure VNet, it is free of cost. VM(가상 머신) 및 기타 제품과 같은 리소스에는 표준 요금이 적용될 수 있습니다.Standard charges are applicable for resources, such as Virtual Machines (VMs) and other products. 자세한 내용은 VNet 가격 및 Azure 가격 계산기를 참조하세요.To learn more, see VNet pricing and the Azure pricing calculator.

다음 단계Next steps

가상 네트워크를 사용하여 시작하려면 가상 네트워크를 만들고, 몇몇 VM을 배포하고 VM 간에 통신합니다.To get started using a virtual network, create one, deploy a few VMs to it, and communicate between the VMs. 방법을 자세히 알아보려면 가상 네트워크 만들기 빠른 시작을 참조하세요.To learn how, see the Create a virtual network quickstart.