Share via

안정성 및 네트워크 연결

  • 아티클

네트워크 연결에는 프라이빗 네트워크 연결을 위한 세 가지 Azure 모델이 포함됩니다.

VNet 삽입은 다음과 같이 특별히 배포된 서비스에 적용됩니다.

  • AKS(Azure Kubernetes Service) 노드
  • SQL Managed Instance
  • Virtual Machines

이러한 리소스는 가상 네트워크에 직접 연결됩니다.

VNet(Virtual Network) 서비스 엔드포인트는 Azure 서비스에 대한 안전하고 직접적인 연결을 제공합니다. 이러한 서비스 엔드포인트는 Azure 네트워크를 통해 최적화된 경로를 사용합니다. 서비스 엔드포인트를 통해 VNet의 개인 IP 주소는 VNet에 공용 IP 주소가 없어도 Azure 서비스의 엔드포인트에 연결할 수 있습니다.

Private Link Azure PaaS 인스턴스에 대한 개인 IP 주소 또는 Azure Load Balancer Standard 뒤에 있는 사용자 지정 서비스를 사용하여 전용 액세스를 제공합니다.

디자인 고려 사항

네트워크 연결에는 신뢰할 수 있는 워크로드와 관련된 다음과 같은 디자인 고려 사항이 포함됩니다.

  • 사용 가능한 경우 공유 Azure PaaS 서비스에 Private Link 사용합니다. Private Link 일반적으로 여러 서비스에 사용할 수 있으며 다양한 서비스에 대해 공개 미리 보기로 제공됩니다.

  • ExpressRoute 프라이빗 피어링을 통해 온-프레미스에서 Azure PaaS 서비스에 액세스합니다.

  • 전용 Azure 서비스에 가상 네트워크 삽입을 사용하거나 사용 가능한 공유 Azure 서비스에 Azure Private Link를 사용합니다. 가상 네트워크 삽입 또는 Private Link를 사용할 수 없는 경우 온-프레미스에서 Azure PaaS 서비스에 액세스하려면 Microsoft 피어링을 사용하는 ExpressRoute를 이용합니다. 이 방법은 퍼블릭 인터넷을 통한 전송을 방지합니다.

  • 가상 네트워크 서비스 엔드포인트를 사용하여 가상 네트워크 내에서 Azure PaaS 서비스에 대한 액세스를 보호합니다. Private Link 사용할 수 없고 무단 데이터 이동에 대한 우려가 없는 경우에만 가상 네트워크 서비스 엔드포인트를 사용합니다.

  • 서비스 엔드포인트는 온-프레미스 네트워크에서 PaaS 서비스에 액세스할 수 없습니다. 프라이빗 엔드포인트는 그렇게 합니다.

  • 서비스 엔드포인트를 사용하여 데이터의 무단 이동에 대한 문제를 해결하려면 NVA(네트워크 가상 어플라이언스) 필터링을 사용합니다. Azure Storage에 가상 네트워크 서비스 엔드포인트 정책을 사용할 수도 있습니다.

  • 다음 네이티브 네트워크 보안 서비스는 완전 관리형 서비스입니다. 고객은 대규모로 복잡해질 수 있는 인프라 배포와 관련된 운영 및 관리 비용이 발생하지 않습니다.

    • Azure Firewall
    • Application Gateway
    • Azure Front Door

  • PaaS 서비스는 일반적으로 퍼블릭 엔드포인트를 통해 액세스됩니다. Azure 플랫폼은 이러한 엔드포인트를 보호하거나 완전히 비공개로 만드는 기능을 제공합니다.

  • 네이티브 서비스가 특정 요구 사항을 충족하지 않는 상황에서 고객이 선호하는 경우 타사 NVA(네트워크 가상 어플라이언스)를 사용할 수도 있습니다.

검사 목록

안정성을 염두에 두고 네트워크 연결을 구성했나요?

  • Azure 간 리소스의 통신을 사용하기 위해 강제 터널링을 구현하지 마세요.
  • NVA(네트워크 가상 어플라이언스) 필터링을 사용하지 않는 한, 무단 데이터 이동에 대한 우려가 있는 경우 가상 네트워크 서비스 엔드포인트를 사용하지 마세요.
  • 모든 서브넷에서 기본적으로 가상 네트워크 서비스 엔드포인트를 사용하도록 설정하지 마세요.

다음 단계

비용 최적화 및 네트워크 연결