이 항목에서는 Azure Stack 네트워크 통합에 대해 설명합니다.
테두리 연결(업링크)
네트워크 통합 계획은 성공적인 Azure Stack 통합 시스템 배포, 운영 및 관리를 위한 중요한 필수 구성 요소입니다. 테두리 연결 계획은 BGP(Border Gateway Protocol)와 함께 동적 라우팅을 사용할지 여부를 선택하는 것으로 시작합니다. 이렇게 하려면 16비트 BGP 자율 시스템 번호(퍼블릭 또는 프라이빗)를 할당하거나 정적 기본 경로가 테두리 디바이스에 할당되는 정적 라우팅을 사용해야 합니다.
TOR(Top of Rack) 스위치에는 물리적 인터페이스에 구성된 지점 및 지점 간 IP(/30 네트워크)가 있는 계층 3 업링크가 필요합니다. Azure Stack 작업을 지원하는 TOR 스위치가 있는 계층 2 업링크는 지원되지 않습니다.
BGP 라우팅
BGP와 같은 동적 라우팅 프로토콜을 사용하면 시스템에서 항상 네트워크 변경 내용을 인지하고 관리를 용이하게 합니다. 보안을 강화하기 위해 TOR과 테두리 사이의 BGP 피어링에서 암호를 설정할 수 있습니다.
다음 다이어그램에 표시된 것처럼 TOR 스위치의 프라이빗 IP 공간 광고는 접두사 목록을 사용하여 차단됩니다. 접두사 목록은 프라이빗 네트워크의 광고를 거부하며 TOR과 테두리 간의 연결에 경로 맵으로 적용됩니다.
Azure Stack 솔루션 내에서 실행되는 SLB(소프트웨어 Load Balancer)는 VIP 주소를 동적으로 보급할 수 있도록 TOR 디바이스에 피어링됩니다.
사용자 트래픽이 오류로부터 즉시 투명하게 복구되도록 하기 위해 TOR 디바이스 간에 구성된 VPC 또는 MLAG를 사용하면 호스트 및 IP 네트워크에 대한 네트워크 중복성을 제공하는 HSRP 또는 VRRP에 대한 다중 섀시 링크 집계를 사용할 수 있습니다.
정적 라우팅
정적 라우팅에는 테두리 디바이스에 대한 추가 구성이 필요합니다. 변경하기 전에 더 많은 수동 개입 및 관리뿐만 아니라 철저한 분석이 필요합니다. 구성 오류로 인한 문제는 변경 내용에 따라 롤백하는 데 더 많은 시간이 걸릴 수 있습니다. 이 라우팅 방법은 권장되지 않지만 지원되는 방법입니다.
정적 라우팅을 사용하여 Azure Stack을 네트워킹 환경에 통합하려면 테두리와 TOR 디바이스 사이의 4개의 물리적 링크를 모두 연결해야 합니다. 정적 라우팅의 작동 방식 때문에 고가용성을 보장할 수 없습니다.
테두리 디바이스는 Azure Stack 내의 모든 네트워크로 향하는 트래픽에 대해 TOR과 Border 간에 설정된 4개의 P2P IP 중 각각을 가리키는 정적 경로로 구성해야 하지만 작동을 위해서는 외부 또는 공용 VIP 네트워크만 필요합니다. 초기 배포에는 BMC 및 외부 네트워크에 대한 정적 경로가 필요합니다. 작업자는 BMC 및 인프라 네트워크에 있는 관리 리소스에 액세스하기 위해 테두리에 정적 경로를 유지하도록 선택할 수 있습니다. 스위치 인프라 및 스위치 관리 네트워크에 정적 경로를 추가하는 것은 선택 사항입니다.
TOR 디바이스는 모든 트래픽을 테두리 디바이스로 보내는 정적 기본 경로로 구성됩니다. 기본 규칙에 대한 한 가지 트래픽 예외는 TOR-테두리 연결에 적용된 액세스 제어 목록을 사용하여 차단되는 개인 공간에 대한 것입니다.
정적 라우팅은 TOR과 테두리 스위치 간의 업링크에만 적용됩니다. BGP 동적 라우팅은 SLB 및 기타 구성 요소에 필수적인 도구이며 사용하지 않도록 설정하거나 제거할 수 없으므로 랙 내에서 사용됩니다.
* BMC 네트워크는 배포 후 선택 사항입니다.
** 전체 네트워크를 스위치 관리 네트워크에 포함할 수 있으므로 스위치 인프라 네트워크는 선택 사항입니다.
스위치 관리 네트워크가 필요하며 스위치 인프라 네트워크와 별도로 추가할 수 있습니다.
투명 프록시
데이터 센터에서 프록시를 사용하기 위해 모든 트래픽이 필요한 경우 정책에 따라 처리하도록 랙의 모든 트래픽을 처리하도록 투명 프록시를 구성하여 네트워크의 영역 간에 트래픽을 구분해야 합니다.
Azure Stack 솔루션은 일반 웹 프록시를 지원하지 않습니다.
투명 프록시(인터셉팅, 인라인 또는 강제 프록시라고도 함)는 특별한 클라이언트 구성을 요구하지 않고 네트워크 계층에서 정상적인 통신을 가로채는 것입니다. 클라이언트는 프록시의 존재를 인식할 필요가 없습니다.
SSL 트래픽 차단은 지원되지 않으며 엔드포인트에 액세스할 때 서비스 오류가 발생할 수 있습니다. ID에 필요한 엔드포인트와 통신하는 데 지원되는 최대 시간 제한은 3번의 재시도를 통해 60대입니다.
디엔에스 (DNS)
이 섹션에서는 DNS(도메인 이름 시스템) 구성에 대해 설명합니다.
조건부 DNS 전달 구성
이는 AD FS 배포에만 적용됩니다.
기존 DNS 인프라에서 이름 확인을 사용하도록 설정하려면 조건부 전달을 구성합니다.
조건부 전달자를 추가하려면 권한 있는 엔드포인트를 사용해야 합니다.
이 절차의 경우 Azure Stack의 권한 있는 엔드포인트와 통신할 수 있는 데이터 센터 네트워크의 컴퓨터를 사용합니다.
관리자 권한 Windows PowerShell 세션을 열고(관리자 권한으로 실행) 권한 있는 엔드포인트의 IP 주소에 연결합니다. CloudAdmin 인증에 자격 증명을 사용합니다.
\$cred=Get-Credential Enter-PSSession -ComputerName \<IP Address of ERCS\> -ConfigurationName PrivilegedEndpoint -Credential \$cred권한 있는 엔드포인트에 연결한 후 다음 PowerShell 명령을 실행합니다. 제공된 샘플 값을 사용하려는 DNS 서버의 도메인 이름 및 IP 주소로 바꿉니다.
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
Azure Stack 외부에서 Azure Stack DNS 이름 확인
신뢰할 수 있는 서버는 외부 DNS 영역 정보 및 사용자가 만든 영역이 보관되는 서버입니다. 이러한 서버와 통합하여 영역 위임 또는 조건부 전달을 사용하여 Azure Stack 외부에서 Azure Stack DNS 이름을 확인할 수 있습니다.
DNS 서버 외부 엔드포인트 정보 가져오기
Azure Stack 배포를 DNS 인프라와 통합하려면 다음 정보가 필요합니다.
DNS 서버 FQDN
DNS 서버 IP 주소
Azure Stack DNS 서버의 FQDN 형식은 다음과 같습니다.
<NAMINGPREFIX-ns01>.<지역.><EXTERNALDOMAINNAME>
<NAMINGPREFIX-ns02>.<지역.><EXTERNALDOMAINNAME>
샘플 값을 사용하면 DNS 서버의 FQDN은 다음과 같습니다.
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
이 정보는 관리 포털에서 사용할 수 있지만 AzureStackStampInformation.json 파일의 모든 Azure Stack 배포가 끝날 때 생성됩니다. 이 파일은 배포 가상 머신의 C:\CloudDeployment\logs 폴더에 있습니다. Azure Stack 배포에 사용된 값을 잘 모르는 경우 여기에서 값을 가져올 수 있습니다.
배포 가상 머신을 더 이상 사용할 수 없거나 액세스할 수 없는 경우 권한 있는 엔드포인트에 연결하고 Get-AzureStackStampInformation PowerShell cmdlet을 실행하여 값을 가져올 수 있습니다. 자세한 내용은 권한 있는 엔드포인트를 참조하세요.
Azure Stack에 조건부 전달 설정
Azure Stack을 DNS 인프라와 통합하는 가장 간단하고 안전한 방법은 부모 영역을 호스트하는 서버에서 영역의 조건부 전달을 수행하는 것입니다. 이 방법은 Azure Stack 외부 DNS 네임스페이스의 부모 영역을 호스트하는 DNS 서버를 직접 제어하는 경우에 권장됩니다.
DNS로 조건부 전달을 수행하는 방법을 잘 모르는 경우 다음 TechNet 문서를 참조하세요. 도메인 이름에 대한 조건부 전달자 할당 또는 DNS 솔루션과 관련된 설명서.
외부 Azure Stack DNS 영역을 회사 도메인 이름의 자식 도메인처럼 보이도록 지정한 시나리오에서는 조건부 전달을 사용할 수 없습니다. DNS 위임을 구성해야 합니다.
예시:
회사 DNS 도메인 이름: contoso.com
Azure Stack 외부 DNS 도메인 이름: azurestack.contoso.com
DNS 전달자 IP 편집
DNS 전달자 IP는 Azure Stack을 배포하는 동안 설정됩니다. 그러나 어떤 이유로든 전달자 IP를 업데이트해야 하는 경우 권한 있는 엔드포인트에 연결하고 Get-AzSDnsForwarder 및 Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell cmdlet을 실행하여 값을 편집할 수 있습니다. 자세한 내용은 권한 있는 엔드포인트를 참조하세요.
외부 DNS 영역을 Azure Stack에 위임
Azure Stack 배포 외부에서 DNS 이름을 확인할 수 있도록 하려면 DNS 위임을 설정해야 합니다.
각 등록 기관에는 도메인에 대한 이름 서버 레코드를 변경하는 자체 DNS 관리 도구가 있습니다. 등록 기관의 DNS 관리 페이지에서 NS 레코드를 편집하고 영역에 대한 NS 레코드를 Azure Stack의 레코드로 바꿉니다.
대부분의 DNS 등록 기관에서 위임을 완료하려면 최소 두 개의 DNS 서버를 제공해야 합니다.
방화벽
Azure Stack은 인프라 역할에 대한 VIP(가상 IP 주소)를 설정합니다. 이러한 VIP는 공용 IP 주소 풀에서 할당됩니다. 각 VIP는 소프트웨어 정의 네트워크 계층의 ACL(액세스 제어 목록)으로 보호됩니다. 또한 ACL은 솔루션을 더욱 강화하기 위해 물리적 스위치(TOR 및 BMC)에서 사용됩니다. 배포 시 지정된 외부 DNS 영역의 각 엔드포인트에 대해 DNS 항목이 만들어집니다. 예를 들어 사용자 포털에는 포털의 DNS 호스트 항목이 할당됩니다.<지역.><fqdn>.
다음 아키텍처 다이어그램은 다양한 네트워크 계층 및 ACL을 보여 줍니다.
포트 및 URL
외부 네트워크에서 Azure Stack 서비스(예: 포털, Azure Resource Manager, DNS 등)를 사용할 수 있도록 하려면 특정 URL, 포트 및 프로토콜에 대해 이러한 엔드포인트에 대한 인바운드 트래픽을 허용해야 합니다.
기존 프록시 서버 또는 방화벽에 대한 투명 프록시 업링크가 솔루션을 보호하는 배포에서는 인바운드 및 아웃바운드 통신 모두에 대해 특정 포트 및 URL을 허용해야 합니다. 여기에는 ID, 마켓플레이스, 패치 및 업데이트, 등록 및 사용량 현황 데이터에 대한 포트 및 URL이 포함됩니다.
아웃바운드 통신
Azure Stack은 투명한 프록시 서버만 지원합니다. 기존 프록시 서버에 대한 투명한 프록시 업링크가 있는 배포에서는 연결된 모드로 배포할 때 다음 표의 포트 및 URL에서 아웃바운드 통신을 허용해야 합니다.
SSL 트래픽 차단은 지원되지 않으며 엔드포인트에 액세스할 때 서비스 오류가 발생할 수 있습니다. ID에 필요한 엔드포인트와 통신하는 데 지원되는 최대 시간 제한은 60입니다.
참고 항목
ExpressRoute가 모든 엔드포인트로 트래픽을 라우팅할 수 없으므로 Azure Stack은 ExpressRoute를 사용하여 다음 표에 나열된 Azure 서비스에 도달하는 것을 지원하지 않습니다.
| 목적 | 대상 URL | 프로토콜 | 항구 | 원본 네트워크 |
|---|---|---|---|---|
| ID |
하늘빛 login.windows.net login.microsoftonline.com graph.windows.net https://secure.aadcdn.microsoftonline-p.com www.office.com ManagementServiceUri = https://management.core.windows.net ARMUri = https://management.azure.com https://*.msftauth.net https://*.msauth.net https://*.msocdn.com Azure Government https://login.microsoftonline.us/ https://graph.windows.net/ Azure 중국 21Vianet https://login.chinacloudapi.cn/ https://graph.chinacloudapi.cn/ Azure 독일 https://login.microsoftonline.de/ https://graph.cloudapi.de/ |
HTTP(HTTP) HTTPS |
80 443 |
공용 VIP - /27 공용 인프라 네트워크 |
| 마켓플레이스 신디케이션 |
하늘빛 https://management.azure.com https://*.blob.core.windows.net https://*.azureedge.net Azure Government https://management.usgovcloudapi.net/ https://*.blob.core.usgovcloudapi.net/ Azure 중국 21Vianet https://management.chinacloudapi.cn/ http://*.blob.core.chinacloudapi.cn |
HTTPS | 443 | 공용 VIP - /27 |
| 패치 및 업데이트 | https://*.azureedge.net https://aka.ms/azurestackautomaticupdate |
HTTPS | 443 | 공용 VIP - /27 |
| 등록 |
하늘빛 https://management.azure.com Azure Government https://management.usgovcloudapi.net/ Azure 중국 21Vianet https://management.chinacloudapi.cn |
HTTPS | 443 | 공용 VIP - /27 |
| 사용 |
하늘빛 https://*.trafficmanager.net Azure Government https://*.usgovtrafficmanager.net Azure 중국 21Vianet https://*.trafficmanager.cn |
HTTPS | 443 | 공용 VIP - /27 |
| Windows Defender | *.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com *.update.microsoft.com *.download.microsoft.com https://www.microsoft.com/pkiops/crl https://www.microsoft.com/pkiops/certs https://crl.microsoft.com/pki/crl/products https://www.microsoft.com/pki/certs https://secure.aadcdn.microsoftonline-p.com |
HTTPS | 80 443 |
공용 VIP - /27 공용 인프라 네트워크 |
| 네트워크 타임 프로토콜 (NTP) | (배포를 위해 제공된 NTP 서버의 IP) | UDP | 123 | 공용 VIP - /27 |
| 디엔에스 (DNS) | (배포를 위해 제공된 DNS 서버의 IP) | TCP UDP |
53 | 공용 VIP - /27 |
| CRL | (인증서의 CRL 배포 지점 아래 URL) | HTTP(HTTP) | 80 | 공용 VIP - /27 |
| LDAP | Graph 통합을 위해 제공되는 Active Directory 포리스트 | TCP UDP |
389 | 공용 VIP - /27 |
| LDAP SSL | Graph 통합을 위해 제공되는 Active Directory 포리스트 | TCP | 636 | 공용 VIP - /27 |
| LDAP GC | Graph 통합을 위해 제공되는 Active Directory 포리스트 | TCP | 3268 | 공용 VIP - /27 |
| LDAP GC SSL | Graph 통합을 위해 제공되는 Active Directory 포리스트 | TCP | 3269 | 공용 VIP - /27 |
| AD FS (Active Directory Federation Services, 액티브 디렉토리 페더레이션 서비스) | AD FS 통합을 위해 제공되는 AD FS 메타데이터 엔드포인트 | TCP | 443 | 공용 VIP - /27 |
| 진단 로그 수집 서비스 | Azure Storage 제공 Blob SAS URL | HTTPS | 443 | 공용 VIP - /27 |
인바운드 통신
외부 네트워크에 Azure Stack 엔드포인트를 게시하려면 인프라 VIP 집합이 필요합니다. 엔드포인트(VIP) 테이블에는 각 엔드포인트, 필수 포트 및 프로토콜이 표시됩니다. SQL 리소스 공급자와 같은 추가 리소스 공급자가 필요한 엔드포인트에 대한 특정 리소스 공급자 배포 설명서를 참조하세요.
내부 인프라 VIP는 Azure Stack을 게시할 필요가 없기 때문에 나열되지 않습니다. 사용자 VIP는 동적이며 사용자가 직접 정의하며 Azure Stack 운영자가 제어하지 않습니다.
참고 항목
IKEv2 VPN은 UDP 포트 500 및 4500 및 TCP 포트 50을 사용하는 표준 기반 IPsec VPN 솔루션입니다. 방화벽이 항상 이러한 포트를 열지는 않으므로 IKEv2 VPN이 프록시 및 방화벽을 트래버스하지 못할 수 있습니다.
| 엔드포인트(VIP) | DNS 호스트 A 레코드 | 프로토콜 | 항구 |
|---|---|---|---|
| AD FS (Active Directory Federation Services, 액티브 디렉토리 페더레이션 서비스) | Adfs.<지역.><fqdn> | HTTPS | 443 |
| 포털(관리자) | 관리 포트입니다.<지역.><fqdn> | HTTPS | 443 |
| Adminhosting | *.adminhosting.<지역.><fqdn> | HTTPS | 443 |
| Azure Resource Manager(관리자) | 관리.<지역.><fqdn> | HTTPS | 443 |
| 포털(사용자) | 포털.<지역>.<fqdn> | HTTPS | 443 |
| Azure Resource Manager(사용자) | 경영.<지역.><fqdn> | HTTPS | 443 |
| 그래프 | 그래프.<지역.><fqdn> | HTTPS | 443 |
| 인증서 해지 목록 | Crl.<지역.><fqdn> | HTTP(HTTP) | 80 |
| 디엔에스 (DNS) | *.<지역.><fqdn> | TCP 및 UDP | 53 |
| 호스팅 | *.호스팅.<지역.><fqdn> | HTTPS | 443 |
| Key Vault(사용자) | *.둥근 천장.<지역.><fqdn> | HTTPS | 443 |
| Key Vault(관리자) | *.adminvault.<지역.><fqdn> | HTTPS | 443 |
| Storage 큐 | *.큐.<지역.><fqdn> | HTTP(HTTP) HTTPS |
80 443 |
| Storage 테이블 | *.테이블.<지역.><fqdn> | HTTP(HTTP) HTTPS |
80 443 |
| Storage Blob | *.blob.<지역.><fqdn> | HTTP(HTTP) HTTPS |
80 443 |
| SQL 리소스 공급자 | sqladapter.dbadapter.<지역.><fqdn> | HTTPS | 44300-44304 |
| MySQL 리소스 공급자 | mysqladapter.dbadapter.<지역.><fqdn> | HTTPS | 44300-44304 |
| 애플리케이션 서비스 | *.appservice.<지역.><fqdn> | TCP | 80(HTTP) 443(HTTPS) 8172(MSDeploy) |
| *.scm.appservice.<지역.><fqdn> | TCP | 443(HTTPS) | |
| api.appservice.<지역.><fqdn> | TCP | 443(HTTPS) 44300(Azure Resource Manager) |
|
| ftp.appservice.<지역.><fqdn> | TCP, UDP | 21, 1021, 10001-10100(FTP) 990(FTPS) |
|
| VPN Gateway | VPN Gateway FAQ를 참조하세요. | ||