네트워크 IP 주소 지정 및 통합
Azure 가상 네트워크의 리소스를 온-프레미스 네트워크의 리소스와 통합하려면 이러한 리소스를 연결할 수 있는 방법과 IP 주소를 구성하는 방법을 이해해야 합니다.
귀하의 제조 회사는 비즈니스용 중요 데이터베이스를 Azure로 마이그레이션하려고 합니다. 데스크톱 컴퓨터, 랩톱 및 모바일 디바이스의 클라이언트 애플리케이션은 데이터베이스가 온-프레미스 네트워크에 있는 것처럼 데이터베이스에 지속적으로 액세스해야 합니다. 사용자에게 영향을 주지 않고 데이터베이스 서버를 이동하려고 합니다.
이 단원에서는 일반적인 온-프레미스 네트워크 디자인을 살펴보고 일반적인 Azure 네트워크 디자인과 비교합니다. 또한 온-프레미스 네트워크와 Azure 네트워크를 연결하는 경우 IP 주소 지정의 요구 사항도 알아봅니다.
온-프레미스 IP 주소 지정
일반적인 온-프레미스 네트워크 디자인에는 다음과 같은 구성 요소가 포함됩니다.
- 라우터
- 방화벽
- 스위치
- 네트워크 구분
앞의 다이어그램은 일반적인 온-프레미스 네트워크를 간략하게 보여줍니다. ISP(인터넷 서비스 공급자) 연결 라우터에는 아웃바운드 인터넷 트래픽이 원본으로 사용하는 공용 IP 주소가 있습니다. 이러한 주소는 인터넷을 통한 인바운드 트래픽에도 사용됩니다. ISP에서 디바이스에 할당할 IP 주소 블록을 발급할 수도 있고, 사용자가 조직에서 소유하고 제어하는 고유한 공용 IP 주소 블록을 보유할 수도 있습니다. 이러한 주소는 웹 서버와 같이 인터넷에서 액세스할 수 있도록 하려는 시스템에 할당할 수 있습니다.
경계 네트워크와 내부 영역에는 프라이빗 IP 주소가 할당됩니다. 경계 네트워크 및 내부 영역에서 이러한 디바이스에 할당된 IP 주소는 인터넷을 통해 액세스할 수 없습니다. 관리자가 IP 주소 할당, 이름 확인, 보안 설정 및 보안 규칙을 완전히 제어합니다. 인터넷 라우터를 통해 전송되지 않는 내부 네트워크용으로 디자인된 라우팅할 수 없는 IP 주소에는 세 가지 범위가 있습니다.
- 10.0.0.0~10.255.255.255
- 172.16.0.0~172.31.255.255
- 192.168.0.0~192.168.255.255
관리자는 네트워크 디바이스 및 서비스를 수용하도록 온-프레미스 서브넷을 추가하거나 제거할 수 있습니다. 온-프레미스 네트워크에서 사용할 수 있는 서브넷 및 IP 주소 수는 IP 주소 블록에 대한 CIDR(클래스 없는 도메인 간 라우팅)에 따라 달라집니다.
Azure IP 주소 지정
Azure 가상 네트워크는 개인 IP 주소를 사용합니다. 프라이빗 IP 주소의 범위는 온-프레미스 IP 주소 지정의 경우와 같습니다. 온-프레미스 네트워크의 경우처럼 관리자가 Azure 가상 네트워크에서 IP 주소 할당, 이름 확인, 보안 설정 및 보안 규칙을 완전히 제어합니다. 관리자는 IP 주소 블록의 CIDR에 따라 서브넷을 추가하거나 제거할 수 있습니다.
일반적인 Azure 네트워크 설계는 일반적으로 다음과 같은 구성 요소가 있습니다.
- 가상 네트워크
- 서브넷
- 네트워크 보안 그룹
- 방화벽
- 부하 분산 장치
Azure의 네트워크 디자인은 온-프레미스 네트워크와 비슷한 기능을 포함하지만, 네트워크의 구조는 다릅니다. Azure 네트워크는 일반적인 온-프레미스 계층 네트워크 디자인을 따르지 않습니다. Azure 네트워크를 사용하면 수요에 따라 인프라를 스케일 업 및 스케일 다운할 수 있습니다. Azure 네트워크의 프로비저닝은 몇 초 안에 발생합니다. 라우터 또는 스위치와 같은 하드웨어 디바이스가 없습니다. 전체 인프라는 가상이며 요구 사항에 맞는 청크로 분할할 수 있습니다.
Azure에서는 일반적으로 네트워크 보안 그룹과 방화벽을 구현합니다. 서브넷을 사용하여 웹 서버, DNS 등의 프런트 엔드 서비스와 데이터베이스, 스토리지 시스템 등의 백 엔드 서비스를 격리합니다. 네트워크 보안 그룹은 네트워크 계층에서 내부 및 외부 트래픽을 필터링합니다. 방화벽에는 네트워크 계층 및 애플리케이션 계층 필터링을 위한 좀 더 광범위한 기능이 있습니다. 네트워크 보안 그룹과 방화벽을 모두 배포하여 보안 네트워크 아키텍처의 리소스 격리를 향상할 수 있습니다.
Azure 가상 네트워크의 기본 속성
가상 네트워크는 클라우드의 네트워크입니다. 가상 네트워크를 여러 서브넷으로 나눌 수 있습니다. 각 서브넷에는 가상 네트워크에 할당된 IP 주소 공간의 일부가 포함되어 있습니다. 서브넷에 배포된 VM 또는 서비스가 없는 경우 서브넷을 추가, 제거, 확장 또는 축소할 수 있습니다.
기본적으로 Azure 가상 네트워크의 모든 서브넷은 서로 통신할 수 있습니다. 그러나 네트워크 보안 그룹을 사용하여 서브넷 간의 통신을 거부할 수 있습니다. 크기 조정과 관련하여 지원되는 가장 작은 서브넷은 /29 서브넷 마스크를 사용하고, 지원되는 가장 큰 서브넷은 /2 서브넷 마스크를 사용합니다. 가장 작은 서브넷에는 8개의 IP 주소가 있고, 가장 큰 서브넷에는 1,073,741,824개의 IP 주소가 있습니다.
온-프레미스 네트워크와 Azure 통합
온-프레미스 네트워크와 Azure의 통합을 시작하기 전에 온-프레미스 네트워크에서 사용하는 현재 프라이빗 IP 주소 체계를 파악하는 것이 중요합니다. 상호 연결된 네트워크의 IP 주소는 겹칠 수 없습니다.
예를 들어, 온-프레미스 네트워크에서는 192.168.0.0/16을 사용하고 Azure 가상 네트워크에서는 192.168.10.0/24를 사용할 수 없습니다. 이 범위에는 모두 동일한 IP 주소가 포함되어 있으므로 트래픽이 둘 사이에 라우팅될 수 없습니다.
그러나 여러 네트워크에 동일한 클래스 범위를 사용할 수 있습니다. 예를 들어, 온-프레미스 네트워크에 10.10.0.0/16 주소 공간을 사용하고 Azure 네트워크에 10.20.0.0/16 주소 공간을 사용할 수 있습니다. 이러한 두 주소 공간은 겹치지 않기 때문입니다.
IP 주소 체계를 계획할 때는 중첩을 확인하는 것이 중요합니다. IP 주소가 겹치는 경우 온-프레미스 네트워크를 Azure 네트워크와 통합할 수 없습니다.