Office 365용 ExpressRoute를 통한 네트워크 계획
이 문서는 Microsoft 365 Enterprise와 Office 365 Enterprise에 모두 적용됩니다.
Office 365 ExpressRoute는 네트워크와 Microsoft의 데이터 센터 간에 계층 3 연결을 제공합니다. 회로는 Office 365 프런트 엔드 서버의 BGP(Border Gateway Protocol) 경로 보급 알림을 사용합니다. 온-프레미스 디바이스의 관점에서 볼 때 Office 365 올바른 TCP/IP 경로를 선택해야 하는 경우 Azure ExpressRoute는 인터넷의 대안으로 간주됩니다.
Azure ExpressRoute는 Microsoft의 데이터 센터 내에서 Office 365 서버에서 제공하는 지원되는 특정 기능 및 서비스 세트에 직접 경로를 추가합니다. Azure ExpressRoute는 Microsoft 데이터 센터에 대한 인터넷 연결 또는 도메인 이름 확인과 같은 기본 인터넷 서비스를 대체하지 않습니다. Azure ExpressRoute 및 인터넷 회로는 보안 및 중복되어야 합니다.
다음 표에서는 Office 365 컨텍스트에서 인터넷과 Azure ExpressRoute 연결 간의 몇 가지 차이점을 강조 표시합니다.
| 네트워크 계획의 차이점 | 인터넷 네트워크 연결 | ExpressRoute 네트워크 연결 |
|---|---|---|
| 필요한 인터넷 서비스에 대한 액세스(예: ). DNS 이름 확인 인증서 해지 확인 콘텐츠 배달 네트워크(CDN) |
예 |
Microsoft 소유 DNS 및/또는 CDN 인프라에 대한 요청은 ExpressRoute 네트워크를 사용할 수 있습니다. |
| 을 비롯한 Office 365 서비스에 대한 액세스 Exchange Online SharePoint Online 비즈니스용 Skype Online 브라우저의 Office Office 365 포털 및 인증 |
예, 모든 애플리케이션 및 기능 |
예, 특정 애플리케이션 및 기능 |
| 경계의 온-프레미스 보안. |
예 |
예 |
| 고가용성 계획. |
대체 인터넷 네트워크 연결로 장애 조치(failover) |
대체 ExpressRoute 연결로 장애 조치(failover) |
| 예측 가능한 네트워크 프로필을 사용하여 직접 연결합니다. |
아니오 |
예 |
| IPv6 연결. |
예 |
예 |
더 많은 네트워크 계획 지침을 보려면 아래 제목을 확장합니다.
기존 Azure ExpressRoute 고객
기존 Azure ExpressRoute 회로를 사용하고 있고 이 회로를 통해 Office 365 연결을 추가하려는 경우 회로의 수, 송신 위치 및 회로 크기를 확인하여 회로가 Office 365 사용량의 요구 사항을 충족하는지 확인해야 합니다. 대부분의 고객은 추가 대역폭을 필요로 하며 많은 고객에게 더 많은 회로가 필요합니다.
기존 Azure ExpressRoute 회로를 통해 Office 365 대한 액세스를 사용하도록 설정하려면 Office 365 서비스에 액세스할 수 있도록 경로 필터를 구성합니다.
Azure ExpressRoute 구독은 고객 중심이므로 구독은 고객과 연결됩니다. 고객은 여러 Azure ExpressRoute 회로를 사용할 수 있으며 이러한 회로를 통해 많은 Microsoft 클라우드 리소스에 액세스할 수 있습니다. 예를 들어 한 쌍의 중복 Azure ExpressRoute 회로를 통해 Azure 호스팅 가상 머신, Office 365 테스트 테넌트 및 Office 365 프로덕션 테넌트에 액세스하도록 선택할 수 있습니다.
이 표에서는 회로를 통해 구현하도록 선택할 수 있는 두 가지 유형의 피어링 관계를 간략하게 설명합니다.
| 피어링 관계 | Azure Private | Microsoft |
|---|---|---|
| 서비스 |
IaaS: Azure Virtual Machines |
PaaS: Azure 공용 서비스 SaaS: Office 365 SaaS: Dynamics 365 |
| 연결 시작**** |
고객-Microsoft Microsoft-to-Customer |
고객-Microsoft Microsoft-to-Customer |
| QoS 지원 |
QoS 없음 |
QoS1 |
1 QoS는 현재 비즈니스용 Skype 지원합니다.
Azure ExpressRoute에 대한 대역폭 계획
모든 Office 365 고객은 각 위치의 사용자 수, 각 Office 365 애플리케이션의 활성 상태, 온-프레미스 또는 하이브리드 장비 사용 및 네트워크 보안 구성과 같은 기타 요인에 따라 고유한 대역폭 요구 사항이 있습니다.
대역폭이 너무 적으면 정체, 데이터 재전송 및 예측할 수 없는 지연이 발생합니다. 대역폭이 너무 많으면 불필요한 비용이 발생합니다. 기존 네트워크에서 대역폭은 회로에서 사용 가능한 헤드룸의 양을 백분율로 참조하는 경우가 많습니다. 헤드룸이 10%이면 혼잡이 발생할 수 있으며 일반적으로 80%의 헤드룸이 있는 것은 불필요한 비용을 의미합니다. 일반적인 헤드룸 대상 할당은 20%에서 50%입니다.
적절한 수준의 대역폭을 찾기 위해 가장 좋은 메커니즘은 기존 네트워크 사용량을 테스트하는 것입니다. 이는 모든 네트워크 구성 및 애플리케이션이 어떤 면에서 고유하기 때문에 실제 사용량 측정값을 얻을 수 있는 유일한 방법입니다. 측정할 때 총 대역폭 사용량, 대기 시간 및 TCP 정체에 주의하여 네트워크 요구 사항을 이해하려고 합니다.
모든 네트워크 애플리케이션을 포함하는 예상 기준이 있으면 조직의 다양한 프로필로 구성된 소규모 그룹을 사용하여 파일럿 Office 365 실제 사용량을 확인하고 두 측정값을 사용하여 각 사무실 위치에 필요한 대역폭의 양을 예측합니다. 테스트에서 발견된 대기 시간 또는 TCP 정체 문제가 있는 경우 Office 365 사용하여 송신을 사용자에게 더 가깝게 이동하거나 SSL 암호 해독/검사와 같은 집중적인 네트워크 검사를 제거해야 할 수 있습니다.
권장되는 네트워크 처리 유형에 대한 모든 권장 사항은 ExpressRoute 및 인터넷 회로 모두에 적용됩니다. 성능 튜닝 사이트에 대한 나머지 지침도 마찬가지입니다.
Office 365 시나리오에 대한 Azure ExpressRoute에 보안 컨트롤 적용
Azure ExpressRoute 연결 보안은 인터넷 연결 보안과 동일한 원칙으로 시작됩니다. 많은 고객이 온-프레미스 네트워크를 Office 365 및 기타 Microsoft 클라우드에 연결하는 ExpressRoute 경로를 따라 네트워크 및 경계 컨트롤을 배포하도록 선택합니다. 이러한 컨트롤에는 방화벽, 애플리케이션 프록시, 데이터 누출 방지, 침입 감지, 침입 방지 시스템 등이 포함될 수 있습니다. 대부분의 경우 고객은 온-프레미스에서 Microsoft로 가는 트래픽과 Microsoft에서 시작된 트래픽이 고객 온-프레미스 네트워크로 가는 트래픽과 일반 인터넷 대상으로 가는 온-프레미스에서 시작된 트래픽에 대해 서로 다른 수준의 제어를 적용합니다.
다음은 배포하도록 선택한 ExpressRoute 연결 모델 과 보안을 통합하는 몇 가지 예입니다.
| ExpressRoute 통합 옵션 | 네트워크 보안 경계 모델 |
|---|---|
| 클라우드 교환에 공동 배치됨 |
ExpressRoute 연결이 설정된 공동 배치 시설에 새 보안/경계 인프라를 새로 설치하거나 사용합니다. 공동 배치 시설은 공동 배치 시설에서 온-프레미스 보안/경계 인프라로 라우팅/상호 연결 및 역행 연결을 위해서만 사용합니다. |
| 지점 및 지점 간의 이더넷 |
기존 온-프레미스 보안/경계 인프라 위치에서 지점 및 지점 간의 ExpressRoute 연결을 종료합니다. ExpressRoute 경로와 관련된 새 보안/경계 인프라를 설치하고 지점 및 지점 간의 연결을 종료합니다. |
| 모든 IPVPN |
Office 365 연결을 위해 ExpressRoute에 사용되는 IPVPN으로 송신하는 모든 위치에서 기존 온-프레미스 보안/경계 인프라를 사용합니다. 보안/경계 역할을 하도록 지정된 특정 온-프레미스 위치에 Office 365 ExpressRoute에 사용되는 IPVPN을 헤어핀합니다. |
일부 서비스 공급자는 Azure ExpressRoute와의 통합 솔루션의 일부로 관리되는 보안/경계 기능을 제공합니다.
Office 365 연결에 ExpressRoute에 사용되는 네트워크/보안 경계 옵션의 토폴로지 배치를 고려할 때는 다음과 같은 추가 고려 사항이 있습니다.
깊이 및 유형 네트워크/보안 컨트롤은 Office 365 사용자 환경의 성능 및 확장성에 영향을 미칠 수 있습니다.
아웃바운드(온-프레미스->Microsoft) 및 인바운드(Microsoft-온->프레미스) [활성화된 경우] 흐름에는 서로 다른 요구 사항이 있을 수 있습니다. 일반 인터넷 대상에 대한 아웃바운드와 다를 수 있습니다.
포트/프로토콜 및 필요한 IP 서브넷에 대한 Office 365 요구 사항은 트래픽이 Office 365 또는 인터넷을 통해 ExpressRoute를 통해 라우팅되는지 여부와 동일합니다.
고객 네트워크/보안 컨트롤의 토폴로지 배치는 사용자와 Office 365 서비스 간의 궁극적인 종단 간 네트워크를 결정하며 네트워크 대기 시간 및 정체에 상당한 영향을 미칠 수 있습니다.
고객은 중복성, 고가용성 및 재해 복구에 대한 모범 사례에 따라 Office 365 ExpressRoute와 함께 사용할 보안/경계 토폴로지 설계를 권장합니다.
다음은 위에서 설명한 경계 보안 모델과 다른 Azure ExpressRoute 연결 옵션을 비교하는 Contoso의 예입니다.
예제 1: Azure ExpressRoute 보안
Contoso는 Azure ExpressRoute 구현을 고려하고 있으며 Office 365 ExpressRoute를 사용하여 라우팅을 위한 최적의 아키텍처를 계획한 후 위의 지침을 사용하여 대역폭 요구 사항을 이해한 후 경계를 보호하는 가장 좋은 방법을 결정합니다.
여러 대륙에 위치하는 다국적 조직인 Contoso의 경우 보안이 모든 경계에 걸쳐 있어야 합니다. Contoso에 대한 최적의 연결 옵션은 각 대륙에서 직원의 요구를 충족하기 위해 전 세계의 여러 피어링 위치와 다중 지점 연결입니다. 각 대륙에는 대륙 내의 중복 Azure ExpressRoute 회로가 포함되며 보안은 이러한 모든 회로에 걸쳐 있어야 합니다.
Contoso의 기존 인프라는 안정적이며 추가 작업을 처리할 수 있으므로 Contoso는 Azure ExpressRoute 및 인터넷 경계 보안에 인프라를 사용할 수 있습니다. 그렇지 않은 경우 Contoso는 기존 장비를 보완하거나 다른 유형의 연결을 처리하기 위해 더 많은 장비를 구매하도록 선택할 수 있습니다.
Azure ExpressRoute를 사용하여 고가용성 및 장애 조치(failover)
ExpressRoute를 사용하여 각 송신에서 ExpressRoute 공급자로 두 개 이상의 활성 회로를 프로비전하는 것이 좋습니다. 고객에게 오류가 표시되는 가장 일반적인 위치이며 활성/활성 ExpressRoute 회로 쌍을 프로비전하여 쉽게 방지할 수 있습니다. 또한 많은 Office 365 서비스가 인터넷을 통해서만 사용할 수 있기 때문에 두 개 이상의 활성/활성 인터넷 회로를 사용하는 것이 좋습니다.
네트워크의 송신 지점 내에는 사람들이 가용성을 인식하는 방식에 중요한 역할을 하는 다른 많은 디바이스와 회로가 있습니다. 연결 시나리오의 이러한 부분은 ExpressRoute 또는 Office 365 SLA에서 다루지 않지만 조직의 사용자가 인식하는 엔드투엔드 서비스 가용성에서 중요한 역할을 합니다.
한 구성 요소의 실패가 서비스를 사용하는 사람들의 경험에 영향을 미칠 경우 영향을 받는 사람들의 총 비율을 제한하는 방법을 모색하여 Office 365 사용 및 운영하는 사람들에게 초점을 맞춥니다. 장애 조치(failover) 모드가 운영상 복잡한 경우 복구에 오랜 시간이 걸린 사람들의 경험을 고려하고 운영상 간단하고 자동화된 장애 조치(failover) 모드를 찾습니다.
네트워크 외부에서 Office 365, ExpressRoute 및 ExpressRoute 공급자는 모두 서로 다른 수준의 가용성을 갖습니다.
서비스 가용성
Office 365 서비스는 개별 서비스에 대한 가동 시간 및 가용성 메트릭을 포함하는 잘 정의된 서비스 수준 계약에 의해 적용됩니다. Office 365 이러한 높은 서비스 가용성 수준을 유지할 수 있는 한 가지 이유는 개별 구성 요소가 글로벌 Microsoft 네트워크를 사용하여 여러 Microsoft 데이터 센터 간에 원활하게 장애 조치(failover)할 수 있기 때문입니다. 이 장애 조치(failover)는 데이터 센터 및 네트워크에서 여러 인터넷 송신 지점으로 확장되며 서비스를 사용하는 사람들의 관점에서 원활하게 장애 조치(failover)를 가능하게 합니다.
ExpressRoute는 Microsoft Network Edge와 ExpressRoute 공급자 또는 파트너 인프라 간의 개별 전용 회로에서 99.9%의 가용성 SLA를 제공합니다 . 이러한 서비스 수준은 각 피어링 위치의 중복 Microsoft 장비와 네트워크 공급자 장비 간의 두 가지 독립적인 상호 연결 로 구성된 ExpressRoute 회로 수준에서 적용됩니다.
공급자 가용성
- Microsoft의 서비스 수준 준비는 ExpressRoute 공급자 또는 파트너에서 중지됩니다. 또한 가용성 수준에 영향을 주는 선택을 할 수 있는 첫 번째 위치이기도 합니다. ExpressRoute 공급자가 네트워크 경계와 각 Microsoft 피어링 위치에서 공급자 연결 간에 제공하는 아키텍처, 가용성 및 복원력 특성을 면밀히 평가해야 합니다. 중복성, 피어링 장비, 통신 사업자가 제공한 WAN 회로 및 NAT 서비스 또는 관리되는 방화벽과 같은 추가 가치 추가 서비스의 논리적 및 물리적 측면 모두에 주의하세요.
가용성 계획 디자인
Office 365 대한 엔드 투 엔드 연결 시나리오에서 고가용성 및 복원력을 계획하고 설계하는 것이 좋습니다. 디자인에는 다음이 포함되어야 합니다.
인터넷 및 ExpressRoute 회로를 포함하여 단일 실패 지점이 없습니다.
대부분의 예상 오류 모드에서 영향을 받는 사람 수와 영향을 받는 기간을 최소화합니다.
대부분의 예상 오류 모드에서 간단하고 반복 가능하며 자동 복구 프로세스를 최적화합니다.
상당한 성능 저하 없이 중복 경로를 통해 네트워크 트래픽 및 기능의 전체 요구를 지원합니다.
연결 시나리오에는 Office 365 위해 여러 독립 및 활성 네트워크 경로에 최적화된 네트워크 토폴로지가 포함되어야 합니다. 이렇게 하면 개별 디바이스 또는 장비 수준에서 중복성을 위해 최적화된 토폴로지보다 더 나은 엔드 투 엔드 가용성을 얻을 수 있습니다.
팁
사용자가 여러 대륙 또는 지리적 지역에 분산되어 있고 각 위치가 중복 WAN 회로를 통해 단일 ExpressRoute 회로가 있는 단일 온-프레미스 위치에 연결하는 경우 사용자는 서로 다른 지역을 가장 가까운 피어링 위치에 연결하는 독립적인 ExpressRoute 회로를 포함하는 네트워크 토폴로지 디자인보다 엔드투엔드 서비스 가용성이 낮습니다.
각 회로가 다른 지리적 피어링 위치로 연결되는 ExpressRoute 회로를 두 개 이상 프로비전하는 것이 좋습니다. 사용자가 Office 365 서비스에 ExpressRoute 연결을 사용하는 모든 지역에 대해 이 활성-활성 회로 쌍을 프로비전해야 합니다. 이렇게 하면 데이터 센터 또는 피어링 위치와 같은 주요 위치에 영향을 주는 재해 발생 시 각 지역이 연결된 상태를 유지할 수 있습니다. 활성/활성으로 구성하면 최종 사용자 트래픽을 여러 네트워크 경로에 분산할 수 있습니다. 이렇게 하면 디바이스 또는 네트워크 장비 중단 시 영향을 받는 사람들의 범위가 줄어듭니다.
인터넷에서 단일 ExpressRoute 회로를 백업으로 사용하지 않는 것이 좋습니다.
예제 2: 장애 조치(failover) 및 고가용성
Contoso의 다중 지리적 디자인은 라우팅, 대역폭, 보안에 대한 검토를 거쳤으며 이제 고가용성 검토를 거쳐야 합니다. Contoso는 고가용성을 세 가지 범주를 다루는 것으로 간주합니다. 복원력, 안정성 및 중복성.
복원력을 통해 Contoso는 오류로부터 신속하게 복구할 수 있습니다. 안정성을 통해 Contoso는 시스템 내에서 일관된 결과를 제공할 수 있습니다. 중복성을 통해 Contoso는 하나 이상의 미러된 인프라 인스턴스 간에 이동할 수 있습니다.
각 에지 구성 내에서 Contoso에는 중복 방화벽, 프록시 및 IDS가 있습니다. 북아메리카 경우 Contoso는 댈러스 데이터 센터에 하나의 에지 구성과 버지니아 데이터 센터의 또 다른 에지 구성을 제공합니다. 각 위치의 중복 장비는 해당 위치에 대한 복원력을 제공합니다.
Contoso의 네트워크 구성은 몇 가지 주요 원칙에 따라 빌드됩니다.
각 지리적 지역에는 여러 Azure ExpressRoute 회로가 있습니다.
지역 내의 각 회로는 해당 지역 내의 모든 네트워크 트래픽을 지원할 수 있습니다.
라우팅은 가용성, 위치 등에 따라 하나 또는 다른 경로를 분명히 선호합니다.
Azure ExpressRoute 회로 간의 장애 조치(failover)는 Contoso에 필요한 추가 구성 또는 작업 없이 자동으로 수행됩니다.
인터넷 회로 간의 장애 조치(failover)는 Contoso에서 필요한 추가 구성 또는 작업 없이 자동으로 수행됩니다.
이 구성에서 Contoso는 물리적 및 가상 수준에서 중복성을 통해 신뢰할 수 있는 방식으로 로컬 복원력, 지역 복원력 및 글로벌 복원력을 제공할 수 있습니다. Contoso는 지역당 단일 Azure ExpressRoute 회로와 인터넷 장애 조치(failover) 가능성을 평가한 후 이 구성을 선택했습니다.
Contoso가 지역당 여러 Azure ExpressRoute 회로를 사용할 수 없는 경우 아시아 태평양의 Azure ExpressRoute 회로에 북아메리카 발생하는 라우팅 트래픽은 허용할 수 없는 대기 시간 수준을 추가하고 필요한 DNS 전달자 구성은 복잡성을 더합니다.
인터넷을 백업 구성으로 사용하는 것은 권장되지 않습니다. 이로 인해 Contoso의 안정성 원칙이 중단되어 연결을 사용하는 환경이 일관되지 않습니다. 또한 구성된 BGP 보급 알림, NAT 구성, DNS 구성 및 프록시 구성을 고려하여 장애 조치(failover)를 수행하려면 수동 구성이 필요합니다. 이렇게 하면 장애 조치(failover) 복잡성이 증가하여 복구 시간이 늘어나고 관련 단계를 진단하고 문제를 해결하는 기능이 줄어듭니다.
트래픽 관리 또는 Azure ExpressRoute를 계획하고 구현하는 방법에 대한 질문이 있나요? 나머지 네트워크 및 성능 지침 또는 Azure ExpressRoute FAQ를 읽어보세요.
Azure ExpressRoute 공급자 작업
대역폭, 대기 시간, 보안 및 고가용성 계획에 따라 회로 위치를 선택합니다. 최적의 위치를 알고 나면 회로를 배치하여 지역별 공급자의 현재 목록을 검토하려고 합니다.
공급자 또는 공급자와 협력하여 최상의 연결 옵션, 지점 간, 다중 지점 또는 호스트를 선택합니다. 대역폭 및 기타 중복 구성 요소가 라우팅 및 고가용성 디자인을 지원하는 한 연결 옵션을 혼합하고 일치시킬 수 있습니다.
다음의 간단한 링크를 사용할 수 있습니다. https://aka.ms/planningexpressroute365
관련 항목
Office 365용 Azure ExpressRoute
Office 365 연결에 대한 ExpressRoute 관리
Office 365용 ExpressRoute를 사용한 라우팅
Office 365 시나리오에 대해 ExpressRoute에서 BGP 커뮤니티 사용
비즈니스용 Skype Online의 미디어 품질 및 네트워크 연결 성능
비즈니스용 Skype Online의 ExpressRoute 및 QoS