이 문서에서는 허브 및 스포크 네트워크 토폴로지에서 Azure Private Link를 사용하기 위한 지침을 제공합니다. 대상 사용자에는 네트워크 설계자와 클라우드 솔루션 설계자가 포함됩니다. 특히 이 가이드에서는 Azure Private Endpoint를 사용하여 PaaS(Platform as a Service) 리소스에 개인적으로 액세스하는 방법을 설명합니다.
이 가이드에서는 IaaS(서비스 제공 인프라) 구성 요소를 Azure PaaS 리소스에 연결하기 위한 가상 네트워크 통합, 서비스 엔드포인트 및 기타 솔루션에 대해 다루지 않습니다. 이러한 솔루션에 대한 자세한 내용은 네트워크 분리를 위해 가상 네트워크와 Azure 서비스 통합을 참조하세요.
개요
다음 섹션에서는 Private Link 및 해당 환경에 대한 일반 정보를 제공합니다.
Azure 허브 및 스포크 토폴로지
허브 및 스포크는 Azure에서 사용할 수 있는 네트워크 토폴로지입니다. 이 토폴로지는 통신 서비스를 효율적으로 관리하고 규모에 맞게 보안 요구 사항을 충족하는 데 적합합니다. 허브 및 스포크 네트워킹 모델에 대한 자세한 내용은 허브 및 스포크 네트워크 토폴로지를 참조하세요.
허브 및 스포크 아키텍처를 사용하면 다음과 같은 이점을 활용할 수 있습니다.
- 중앙 IT 팀과 워크로드 팀 간에 개별 워크로드 배포
- 중복 리소스를 최소화하여 비용 절감
- 여러 워크로드가 공유하는 서비스를 중앙 집중화하여 네트워크를 효율적으로 관리
- 단일 Azure 구독과 관련된 제한 극복
이 다이어그램은 Azure에서 배포할 수 있는 일반적인 허브 및 스포크 토폴로지를 보여줍니다.
왼쪽의 다이어그램에는 온-프레미스 네트워크라는 레이블이 있는 점선 상자가 포함되어 있습니다. 가상 머신 및 도메인 이름 서버에 대한 아이콘이 포함되어 있습니다. 양방향 화살표는 이 상자를 허브 가상 네트워크라는 레이블이 지정된 오른쪽의 점선 상자에 연결합니다. 화살표 위에 있는 아이콘에는 Azure ExpressRoute라는 레이블이 지정되어 있습니다. 허브 상자에는 DNS 전달자에 대한 아이콘이 포함되어 있습니다. 화살표는 허브 상자에서 개인 DNS 영역에 대한 아이콘을 가리킵니다. 양방향 화살표는 허브 상자를 그 아래 랜딩 존 가상 네트워크라는 레이블이 지정된 상자에 연결합니다. 화살표 오른쪽에는 가상 네트워크 피어링이라는 레이블이 지정된 상자가 있습니다. 랜딩 존 상자에는 가상 머신 및 프라이빗 엔드포인트에 대한 아이콘이 포함되어 있습니다. 화살표는 프라이빗 엔드포인트에서 랜딩 존 상자 외부에 있는 스토리지 아이콘을 가리킵니다.
이 아키텍처의 PowerPoint 파일을 다운로드합니다.
이 아키텍처는 Azure가 지원하는 네트워크 토폴로지를 위한 두 가지 옵션 중 하나입니다. 이 클래식 참조 디자인에서는 Azure Virtual Network, 가상 네트워크 피어링 및 UDR(사용자 정의 경로)과 같은 기본 네트워크 구성 요소가 사용됩니다. 허브 및 스포크를 사용할 때는 서비스를 구성해야 합니다. 또한 네트워크가 보안 및 라우팅 요구 사항을 충족하는지 확인해야 합니다.
Azure Virtual WAN은 규모에 맞는 배포 대안을 제공합니다. 이 서비스에는 단순화된 네트워크 디자인이 사용됩니다. Virtual WAN은 또한 라우팅 및 보안과 관련된 구성 오버헤드를 줄여 줍니다.
Private Link는 기존 허브 및 스포크 네트워크와 Virtual WAN 네트워크에 대해 다양한 옵션을 지원합니다.
Private Link
Private Link는 프라이빗 엔드포인트 네트워크 인터페이스를 통해 서비스에 액세스할 수 있게 해줍니다. 프라이빗 엔드포인트에는 가상 네트워크의 개인 IP 주소가 사용됩니다. 해당 개인 IP 주소를 통해 다양한 서비스에 액세스할 수 있습니다.
- Azure PaaS 서비스
- Azure에서 호스트하는 고객 소유 서비스
- Azure에서 호스트하는 파트너 서비스
가상 네트워크와 액세스 중인 서비스 간의 트래픽은 Azure 네트워크 백본을 통과합니다. 따라서 더 이상 공용 엔드포인트를 통해 서비스에 액세스하지 않습니다. 자세한 내용은 Azure Private Link란?을 참조하세요.
다음 다이어그램은 온-프레미스 사용자가 가상 네트워크에 연결하고 Private Link를 사용하여 PaaS 리소스에 액세스하는 방법을 보여줍니다.
다이어그램에는 소비자 네트워크라고 레이블이 지정된 왼쪽의 점선 상자가 포함되어 있습니다. 아이콘은 경계에 위치하며 Azure ExpressRoute라고 레이블이 지정되어 있습니다. 왼쪽 상자 밖에는 온-프레미스 사용자와 개인 피어링에 대한 아이콘이 있습니다. 상자 안에는 컴퓨터 및 프라이빗 엔드포인트에 대한 아이콘이 포함되어 있는 서브넷이라고 레이블이 지정된 작은 점선 상자가 있습니다. 작은 상자의 테두리에는 네트워크 보안 그룹에 대한 아이콘이 포함되어 있습니다. 두 개의 점선 화살표가 내부 상자에서 밖으로 연결됩니다. 이것들은 또한 외부 상자의 경계를 통과합니다. 하나는 Azure 서비스에 대한 아이콘으로 채워진 오른쪽의 점선 상자를 가리킵니다. 다른 화살표는 오른쪽에 공급자 네트워크로 레이블이 지정된 점선 상자를 가리킵니다. 공급자 네트워크 상자에는 작은 점선 상자와 Azure Private Link 아이콘이 있습니다. 작은 점선 상자에는 컴퓨터 아이콘이 포함되어 있습니다. 경계에는 부하 분산 장치 및 네트워크 보안 그룹에 대한 2개의 아이콘이 포함되어 있습니다.
이 아키텍처의 PowerPoint 파일을 다운로드합니다.
Private Link 배포에 대한 의사 결정 트리
허브 또는 스포크에 프라이빗 엔드포인트를 배포할 수 있습니다. 몇 가지 요인에 따라 각 상황에서 가장 적합한 위치가 결정됩니다. 이러한 요인은 Azure PaaS 서비스 및 Azure에서 호스트하는 고객 소유 및 파트너 서비스와 관련이 있습니다.
고려해야 할 질문
다음 질문을 사용하여 사용자 환경에 가장 적합한 구성을 확인하세요.
Virtual WAN이 네트워크 연결 솔루션인가요?
Virtual WAN 사용하는 경우 가상 허브에 연결하는 스포크 가상 네트워크에만 프라이빗 엔드포인트를 배포할 수 있습니다. 가상 허브 또는 보안 허브에는 리소스를 배포할 수 없습니다.
네트워크에 프라이빗 엔드포인트를 통합하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
Azure Firewall과 같은 NVA(네트워크 가상 어플라이언스)를 사용하나요?
프라이빗 엔드포인트로의 트래픽은 Azure 네트워크 백본이 사용되고 암호화됩니다. 해당 트래픽을 기록하거나 필터링해야 할 수 있습니다. 다음 영역 중 하나에서 방화벽을 사용하는 경우 방화벽을 사용하여 프라이빗 엔드포인트로 전송되는 트래픽을 분석할 수도 있습니다.
- 스포크 사이
- 허브와 스포크 사이
- 온-프레미스 구성 요소와 Azure 네트워크 사이
이 경우 전용 서브넷의 허브에 프라이빗 엔드포인트를 배포합니다. 이러한 구성은 다음과 같습니다.
- SNAT(Secure Network Address Translation) 규칙 구성을 단순화합니다. 프라이빗 엔드포인트가 포함된 전용 서브넷으로의 트래픽에 대한 단일 SNAT 규칙을 NVA에 만들 수 있습니다. SNAT를 적용하지 않고 트래픽을 다른 애플리케이션으로 라우팅할 수 있습니다.
- 경로 테이블 구성을 단순화합니다. 프라이빗 엔드포인트로 전송되는 트래픽의 경우 NVA를 통해 해당 트래픽을 라우팅하는 규칙을 추가할 수 있습니다. 모든 스포크, VPN(가상 사설망) 게이트웨이 및 Azure ExpressRoute 게이트웨이에서 이 규칙을 재사용할 수 있습니다.
- 프라이빗 엔드포인트 전용 서브넷의 인바운드 트래픽에 네트워크 보안 그룹 규칙을 적용할 수 있습니다. 이러한 규칙은 리소스에 대한 트래픽을 필터링합니다. 리소스 액세스를 제어할 수 있는 단일 공간을 제공합니다.
- 프라이빗 엔드포인트 관리를 중앙 집중화합니다. 모든 프라이빗 엔드포인트를 한 곳에 배포하면 모든 가상 네트워크 및 구독에서 보다 효율적으로 관리할 수 있습니다.
모든 워크로드가 Private Link를 통해 보호하는 각 PaaS 리소스에 액세스해야 하는 경우 이 구성이 적합합니다. 그러나 워크로드가 서로 다른 PaaS 리소스에 액세스하는 경우에는 전용 서브넷에 프라이빗 엔드포인트를 배포하지 마세요. 대신 최소 권한 원칙에 따라 보안을 개선합니다.
- 각 프라이빗 엔드포인트를 별도의 서브넷에 배치합니다.
- 보호된 리소스를 사용하는 워크로드에만 해당 리소스에 대한 액세스를 부여합니다.
온-프레미스 시스템에서 프라이빗 엔드포인트를 사용하나요?
프라이빗 엔드포인트를 사용하여 온-프레미스 시스템의 리소스에 액세스하려는 경우 허브에 엔드포인트를 배포합니다. 이 구성을 사용하면 이전 섹션에서 설명한 몇 가지 이점을 활용할 수 있습니다.
- 네트워크 보안 그룹을 사용하여 리소스에 대한 액세스 제어
- 중앙 위치에서 프라이빗 엔드포인트 관리
Azure에 배포한 애플리케이션에서 리소스에 액세스할 계획이라면 상황이 다릅니다.
- 하나의 애플리케이션만 리소스에 액세스해야 하는 경우 해당 애플리케이션의 스포크에 프라이빗 엔드포인트를 배포합니다.
- 둘 이상의 애플리케이션이 리소스에 액세스해야 하는 경우 허브에 프라이빗 엔드포인트를 배포합니다.
순서도
다음 순서도는 다양한 옵션 및 권장 사항을 요약한 것입니다. 모든 고객은 고유한 환경을 갖고 있으므로 프라이빗 엔드포인트를 배치할 위치를 결정할 때 시스템 요구 사항을 고려해야 합니다.
순서도의 맨 위에는 시작이라고 레이블이 지정된 녹색 상자가 있습니다. 이 상자에서 Azure Virtual WAN 토폴로지라고 레이블이 지정된 파란색 상자로 화살표가 연결되어 있습니다. 이 상자에서 두 개의 화살표가 시작됩니다. 예 화살표는 주황색 스포크 상자를 가리킵니다. 두 번째 화살표는 아니요로 표시됩니다. NVA 또는 Azure Firewall을 사용한 트래픽 분석이라는 파란색 상자를 가리킵니다. 또한 트래픽 분석 상자에서도 두 개의 화살표가 시작됩니다. 예 화살표는 주황색 허브 상자를 가리킵니다. 두 번째 화살표는 아니요로 표시됩니다. 온-프레미스에서 파란색 프라이빗 엔드포인트 액세스 상자를 가리킵니다. 프라이빗 엔드포인트 상자에서 두 개의 화살표가 시작됩니다. 예 화살표는 주황색 허브 상자를 가리킵니다. 두 번째 화살표는 아니요로 표시됩니다. 파란색 단일 애플리케이션 액세스 상자를 가리킵니다. 이 상자에서 두 개의 화살표가 시작됩니다. 아니요 화살표는 주황색 허브 상자를 가리킵니다. 두 번째 화살표는 예로 표시됩니다. 주황색 스포크 상자를 가리킵니다.
이 아키텍처의 PowerPoint 파일을 다운로드합니다.
고려 사항
프라이빗 엔드포인트 구현에는 몇 가지 요인이 영향을 줄 수 있습니다. 이러한 요인은 Azure PaaS 서비스 및 Azure에서 호스트하는 고객 소유 및 파트너 서비스에 적용됩니다. 프라이빗 엔드포인트를 배포할 때 다음 사항을 고려하세요.
네트워킹
스포크 가상 네트워크에서 프라이빗 엔드포인트를 사용하는 경우 서브넷의 기본 경로 테이블에는 다음 홉 유형이 InterfaceEndpoint
인 /32
경로가 포함됩니다.
기존 허브 및 스포크 토폴로지를 사용하는 경우:
- 이 유효 경로는 가상 머신의 네트워크 인터페이스 수준에서 확인할 수 있습니다.
- 자세한 내용은 가상 머신 라우팅 문제 진단을 참조하세요.
Virtual WAN 사용하는 경우:
- 이 경로는 가상 허브 유효 경로에서 볼 수 있습니다.
- 자세한 내용은 가상 허브 유효 경로 보기를 참조하세요.
/32
경로는 다음 영역으로 전파됩니다.
- 구성한 모든 가상 네트워크 피어링
- 온-프레미스 시스템에 대한 모든 VPN 또는 ExpressRoute 연결
허브 또는 온-프레미스 시스템에서 프라이빗 엔드포인트로 액세스를 제한하려면 프라이빗 엔드포인트를 배포한 서브넷에 네트워크 보안 그룹을 사용합니다. 적합한 인바운드 규칙을 구성합니다.
이름 확인
가상 네트워크의 구성 요소는 개인 IP 주소를 각 프라이빗 엔드포인트에 연결합니다. 이러한 구성 요소는 특정 DNS(Domain Name System) 설정을 사용하는 경우에만 해당 개인 IP 주소를 확인할 수 있습니다. 사용자 지정 DNS 솔루션을 사용하는 경우 DNS 영역 그룹을 사용하는 것이 가장 좋습니다. 프라이빗 엔드포인트를 중앙 집중식 Azure 프라이빗 DNS 영역과 통합합니다. 허브 또는 스포크에 리소스를 배포했는지는 중요하지 않습니다. 프라이빗 엔드포인트 DNS 이름을 확인해야 하는 모든 가상 네트워크에 프라이빗 DNS 영역을 연결합니다.
이 방법을 사용하면 온-프레미스 및 Azure DNS 클라이언트가 이름을 확인하고 개인 IP 주소에 액세스할 수 있습니다. 참조 구현에 대해서는 규모에 맞게 Private Link 및 DNS 통합을 참조하세요.
비용
- 지역 가상 네트워크 피어링에서 프라이빗 엔드포인트를 사용하는 경우 프라이빗 엔드포인트로 송수신되는 트래픽에 대해 피어링 요금이 부과되지 않습니다.
- 가상 네트워크 피어링을 통해 전송되는 다른 인프라 리소스 트래픽에는 여전히 피어링 비용이 적용됩니다.
- 서로 다른 지역에 프라이빗 엔드포인트를 배포하는 경우 Private Link 요금 및 글로벌 피어링 인바운드 및 아웃바운드 요금이 적용됩니다.
자세한 내용은 대역폭 가격 책정을 참조하세요.
참가자
Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.
보안 주체 작성자:
- Jose Angel Fernandez Rodrigues | 선임 전문가 GBB
다른 기여자:
- Ivens Applyrs | 제품 관리자 2
비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인하세요.
다음 단계
- Azure의 허브-스포크 네트워크 토폴로지
- Azure의 허브-스포크 네트워크 토폴로지
- Azure Private Link 가용성
- Azure 프라이빗 엔드포인트란?
- Azure Virtual Network란?
- Azure DNS란?
- 프라이빗 Azure DNS 영역이란?
- Azure Firewall을 사용하여 프라이빗 엔드포인트로 향하는 트래픽 검사
- 네트워크 보안 그룹이 네트워크 트래픽을 필터링하는 방법
관련 리소스
- 프라이빗 엔드포인트가 있는 VNet에서 서버리스 이벤트 스트림 처리
- 방화벽 뒤에서 Microsoft Teams 채널 봇 및 웹앱 보호
- Azure SQL 데이터베이스에 대한 웹앱 프라이빗 연결
- [데이터베이스에 대한 프라이빗 연결이 있는 다중 지역 웹앱] [데이터베이스에 대한 프라이빗 연결이 있는 다중 지역 웹앱]