Azure의 허브-스포크 네트워크 토폴로지

Azure Bastion

Azure Firewall

Azure Network Watcher

Azure Virtual Network

Azure VPN Gateway

이 참조 아키텍처는 고객 관리형 허브 인프라 구성 요소를 사용하여 허브-스포크 네트워크 패턴을 구현합니다. Microsoft 관리형 허브 인프라 솔루션은 Azure Virtual WAN을 사용한 허브-스포크 네트워크 토폴로지 참조하세요.

허브-스포크는 클라우드 채택 프레임워크에서 권장하는 네트워크 토폴로지 중 하나입니다. 이 토폴로지 가 많은 조직에서 모범 사례로 간주되는 이유를 이해하려면 Azure 네트워크 토폴로지 정의를 참조하세요.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다 .

허브-스포크 개념

허브-스포크 네트워크 토폴로지에는 일반적으로 다음과 같은 아키텍처 개념이 많이 포함됩니다.

• 허브 가상 네트워크 - 허브 가상 네트워크는 공유 Azure 서비스를 호스트합니다. 스포크 가상 네트워크에서 호스트되는 워크로드는 이러한 서비스를 사용할 수 있습니다. 허브 가상 네트워크는 크로스-프레미스 네트워크에 대한 연결의 중심 지점입니다. 허브는 기본 송신 지점을 포함하며, 가상 네트워크 간 트래픽이 필요한 상황에서 스포크 하나를 다른 스포크에 연결하는 메커니즘을 제공합니다.

  허브는 지역 리소스입니다. 여러 지역에 워크로드가 있는 조직에는 지역당 하나씩 여러 허브가 있어야 합니다.

  허브를 사용하면 다음과 같은 개념을 사용할 수 있습니다.

  • 프레미스 간 게이트웨이 - 프레미스 간 연결은 서로 다른 네트워크 환경을 연결하고 통합하는 기능입니다. 이 게이트웨이는 일반적으로 VPN 또는 ExpressRoute 회로입니다.

  • 송신 제어 - 피어된 스포크 가상 네트워크에서 발생하는 아웃바운드 트래픽의 관리 및 규정입니다.

  • (선택 사항) 수신 제어 - 피어된 스포크 가상 네트워크에 있는 엔드포인트에 대한 인바운드 트래픽의 관리 및 규정입니다.

  • 원격 액세스 - 원격 액세스는 스포크 네트워크의 개별 워크로드가 스포크 자체 네트워크가 아닌 네트워크 위치에서 액세스하는 방법입니다. 워크로드의 데이터 또는 컨트롤 평면에 대한 것일 수 있습니다.

  • 가상 머신에 대한 원격 스포크 액세스 - 허브는 스포크 네트워크 전체에 분산된 가상 머신에 대한 RDP 및 SSH 액세스를 위한 조직 간 원격 연결 솔루션을 빌드하는 편리한 위치일 수 있습니다.

  • 라우팅 - 허브와 연결된 스포크 간의 트래픽을 관리하고 전달하여 안전하고 효율적인 통신을 가능하게 합니다.

• 스포크 가상 네트워크 - 스포크 가상 네트워크는 각 스포크에서 워크로드를 별도로 격리하고 관리합니다. 각 워크로드에는 Azure Load Balancer를 통해 여러 서브넷이 연결된 여러 계층이 포함될 수 있습니다. 스포크는 서로 다른 구독에 존재할 수 있으며 프로덕션 및 비프로덕션과 같은 다양한 환경을 나타낼 수 있습니다. 하나의 워크로드는 여러 스포크에 분산할 수도 있습니다.

  대부분의 시나리오에서 스포크는 단일 허브 네트워크에만 피어되어야 하며 해당 허브 네트워크는 스포크와 동일한 지역에 있어야 합니다.

  이러한 스포크 네트워크는 기본 아웃바운드 액세스에 대한 규칙을 따릅니다. 허브-스포크 네트워크 토폴로지의 핵심 목적은 일반적으로 허브에서 제공하는 제어 메커니즘을 통해 아웃바운드 인터넷 트래픽을 전송하는 것입니다.

• 가상 네트워크 교차 연결 - 가상 네트워크 연결은 하나의 격리된 가상 네트워크가 제어 메커니즘을 통해 다른 네트워크와 통신할 수 있는 경로입니다. 제어 메커니즘은 네트워크 간에 사용 권한 및 허용된 통신 방향을 적용합니다. 허브는 중앙 집중식 네트워크를 통해 흐르는 선택 네트워크 간 연결을 지원하는 옵션을 제공합니다.

• DNS - 허브-스포크 솔루션은 특히 크로스-프레미스 라우팅 및 프라이빗 엔드포인트 DNS 레코드에 대해 피어링된 모든 스포크에서 사용할 DNS 솔루션을 제공하는 작업을 담당합니다.

구성 요소

• Azure Virtual Network는 Azure 의 프라이빗 네트워크에 대한 기본 구성 요소입니다. Virtual Network를 사용하면 Azure VM과 같은 많은 Azure 리소스가 서로, 프레미스 간 네트워크 및 인터넷과 안전하게 통신할 수 있습니다.

  이 아키텍처는 가상 네트워크 간의 전이적이고 대기 시간이 짧은 피어링 연결을 사용하여 가상 네트워크를 허브에 연결합니다. 피어링된 가상 네트워크는 라우터 없이 Azure 백본을 통해 트래픽을 교환할 수 있습니다. 허브-스포크 아키텍처에서 가상 네트워크를 서로 직접 피어링하는 것은 최소한의 것이며 특별한 시나리오를 위해 예약됩니다.

• Azure Bastion 은 공용 IP 주소를 노출하지 않고 VM에 대한 보다 안전하고 원활한 RDP(원격 데스크톱 프로토콜) 및 SSH(Secure Shell Protocol) 액세스를 제공하는 완전 관리형 서비스입니다. 이 아키텍처에서 Azure Bastion은 연결된 스포크에서 직접 VM 액세스를 지원하기 위해 관리되는 제품으로 사용됩니다.

• Azure Firewall 은 Virtual Network 리소스를 보호하는 관리되는 클라우드 기반 네트워크 보안 서비스입니다. 이 상태 저장 방화벽 서비스는 구독 및 가상 네트워크에서 애플리케이션 및 네트워크 연결 정책을 만들고, 적용하고, 기록하는 데 도움이 되는 기본 제공 고가용성 및 무제한 클라우드 확장성을 제공합니다.

  이 아키텍처에서 Azure Firewall에는 여러 잠재적인 역할이 있습니다. 방화벽은 피어된 스포크 가상 네트워크에서 인터넷으로 향하는 트래픽의 기본 송신 지점입니다. 방화벽을 사용하여 IDPS 규칙을 사용하여 인바운드 트래픽을 검사할 수도 있습니다. 마지막으로 방화벽을 DNS 프록시 서버로 사용하여 FQDN 트래픽 규칙을 지원할 수도 있습니다.

• VPN Gateway 는 Azure의 가상 네트워크와 공용 인터넷을 통해 다른 네트워크 간에 암호화된 트래픽을 보내는 특정 유형의 가상 네트워크 게이트웨이입니다. VPN Gateway를 사용하여 Microsoft 네트워크를 통해 다른 허브 가상 네트워크 간에 암호화된 트래픽을 보낼 수도 있습니다.

  이 아키텍처에서는 스포크 일부 또는 전부를 원격 네트워크에 연결하는 한 가지 옵션입니다. 스포크는 일반적으로 자체 VPN Gateway를 배포하지 않고 허브에서 제공하는 중앙 집중식 솔루션을 사용합니다. 이 연결을 관리하려면 라우팅 구성을 설정해야 합니다.

• Azure ExpressRoute 게이트웨이 는 IP 경로를 교환하고 온-프레미스 네트워크와 Azure 가상 네트워크 간에 네트워크 트래픽을 라우팅합니다. 이 아키텍처에서 ExpressRoute는 원격 네트워크에 스포크 일부 또는 전부를 연결하는 VPN Gateway의 대체 옵션입니다. 스포크는 자체 ExpressRoute를 배포하지 않으며, 대신 해당 스포크는 허브에서 제공하는 중앙 집중식 솔루션을 사용합니다. VPN Gateway와 마찬가지로 이 연결을 관리하려면 라우팅 구성을 설정해야 합니다.

• Azure Monitor는 Azure 및 온-프레미스를 비롯한 프레미스 간 환경에서 원격 분석 데이터를 수집, 분석 및 수행할 수 있습니다. Azure Monitor를 사용하면 애플리케이션의 성능과 가용성을 최대화하고 몇 초 안에 문제를 사전에 식별할 수 있습니다. 이 아키텍처에서 Azure Monitor는 허브 리소스 및 네트워크 메트릭에 대한 로그 및 메트릭 싱크입니다. Azure Monitor는 스포크 네트워크의 리소스에 대한 로깅 싱크로도 사용할 수 있지만 이는 연결된 다양한 워크로드에 대한 결정이며 이 아키텍처에 의해 위임되지 않습니다.

대안

이 아키텍처에는 여러 Azure 리소스 기본 형식( 즉 virtualNetworkPeerings, , routeTables및 )의 생성, 구성 및 subnets유지 관리가 포함됩니다. Azure Virtual Network Manager는 Azure 구독, 지역 및 Microsoft Entra 디렉터리에서 대규모로 가상 네트워크를 그룹화, 구성, 배포 및 관리하는 데 도움이 되는 관리 서비스입니다. Virtual Network Manager를 사용하여 가상 네트워크를 식별하고 논리적으로 분할하는 네트워크 그룹을 정의할 수 있습니다. 그룹 내의 가상 네트워크가 수동으로 연결된 것처럼 서로 통신할 수 있도록 하는 연결된 그룹을 사용할 수 있습니다. 이 계층은 이러한 기본 형식에 대한 추상화 계층을 추가하여 네트워킹 토폴로지 설명과 해당 토폴로지 구현에 대해 작업하는 데 집중합니다.

네트워크 관리 작업으로 시간을 최적화하는 방법으로 Virtual Network Manager를 사용하여 평가하는 것이 좋습니다. 가상 네트워크 관리자가 네트워크의 크기와 복잡성에 대한 순이익인지 확인하려면 계산된 값/절감액에 대해 서비스 비용을 평가합니다.

시나리오 정보

이 참조 아키텍처는 허브 가상 네트워크가 많은 스포크 가상 네트워크에 대한 연결의 중심 지점 역할을 하는 허브-스포크 네트워크 패턴을 구현합니다. 스포크 가상 네트워크는 허브와 연결되며 워크로드를 격리하는 데 사용할 수 있습니다. 허브를 사용하여 온-프레미스 네트워크에 연결하여 프레미스 간 시나리오를 사용하도록 설정할 수도 있습니다.

이 아키텍처는 고객 관리형 허브 인프라 구성 요소를 사용하는 네트워크 패턴을 설명합니다. Microsoft 관리형 허브 인프라 솔루션은 Azure Virtual WAN을 사용한 허브-스포크 네트워크 토폴로지 참조하세요.

고객 관리형 허브 및 스포크 구성을 사용할 경우의 이점은 다음과 같습니다.

• 비용 절감
• 구독 제한 극복
• 워크로드 격리
• 융통성
  • NVA(네트워크 가상 어플라이언스)를 배포하는 방법(예: NIC 수, 인스턴스 수 또는 컴퓨팅 크기)을 더 자세히 제어합니다.
  • Virtual WAN에서 지원되지 않는 NVA 사용

자세한 내용은 허브 및 스포크 네트워크 토폴로지 참조하세요.

잠재적인 사용 사례

허브 및 스포크 아키텍처의 일반적인 용도에는 다음과 같은 워크로드가 포함됩니다.

• 공유 서비스가 필요한 여러 환경이 있습니다. 예를 들어 워크로드에는 개발, 테스트 및 프로덕션 환경이 있을 수 있습니다. 공유 서비스에는 DNS ID, NTP(네트워크 시간 프로토콜) 또는 AD DS(Active Directory 도메인 Services)가 포함될 수 있습니다. 공유 서비스는 허브 가상 네트워크에 배치되고 각 환경은 격리를 유지하기 위해 다른 스포크에 배포됩니다.
• 서로 연결하지 않아도 되지만 공유 서비스에 액세스해야 합니다.
• 각 스포크에서 분리된 워크로드 관리를 사용하는 허브의 경계 네트워크(DMZ라고도 함) 방화벽과 같은 보안에 대한 중앙 제어가 필요합니다.
• 선택적 연결 또는 특정 환경 또는 워크로드의 스포크 간 격리와 같은 연결을 중앙에서 제어해야 합니다.

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 해당 권장 사항을 따릅니다.

리소스 그룹, 구독 및 지역

이 예제 솔루션은 단일 Azure 리소스 그룹을 사용합니다. 허브 및 각 스포크는 서로 다른 리소스 그룹 및 구독에서 구현할 수도 있습니다.

다른 구독의 가상 네트워크를 피어하는 경우 구독을 동일하거나 다른 Microsoft Entra 테넌트에 연결할 수 있습니다. 이러한 유연성을 통해 허브에서 공유 서비스를 유지하면서 각 워크로드를 분산 관리할 수 있습니다. Resource Manager, 다른 구독 및 Microsoft Entra 테넌트 - 가상 네트워크 피어링 만들기를 참조하세요.

Azure 랜딩 존

Azure 랜딩 존 아키텍처는 허브-스포크 토폴로지 기반입니다. 해당 아키텍처에서 허브의 공유 리소스 및 네트워크는 중앙 집중식 플랫폼 팀에서 관리하며 스포크는 플랫폼 팀 및 스포크 네트워크를 사용하는 워크로드 팀과 공동 소유권 모델을 공유합니다. 모든 허브는 중앙 집중식 관리를 위한 "연결" 구독에 상주하는 반면, 스포크 가상 네트워크는 애플리케이션 랜딩 존 구독이라는 여러 개별 워크로드 구독에 존재합니다.

가상 네트워크 서브넷

다음 권장 사항은 가상 네트워크에서 서브넷을 구성하는 방법을 간략하게 설명합니다.

GatewaySubnet

가상 네트워크 게이트웨이에는 이 서브넷이 필요합니다. 프레미스 간 네트워크 연결이 필요하지 않은 경우 게이트웨이 없이 허브-스포크 토폴로지를 사용할 수도 있습니다.

주소 범위가 최소한인 26이라는 서브넷을 만듭니다. 주소 범위는 /26 서브넷에 향후 게이트웨이 크기 제한에 도달하지 않고 더 많은 수의 ExpressRoute 회로를 수용할 수 있는 충분한 확장성 구성 옵션을 제공합니다. 게이트웨이 설정에 대한 자세한 내용은 VPN 게이트웨이를 사용하는 하이브리드 네트워크를 참조하세요.

AzureFirewallSubnet

주소 범위가 최소한인 AzureFirewallSubnet이라는 /26을 만듭니다. 규모 /26 에 관계없이 주소 범위는 권장 크기이며 향후 크기 제한 사항을 포함합니다. 이 서브넷은 NSG(네트워크 보안 그룹)를 지원하지 않습니다.

Azure Firewall에는 이 서브넷이 필요합니다. 파트너 NVA(네트워크 가상 어플라이언스)를 사용하는 경우 네트워크 요구 사항을 따릅니다.

스포크 네트워크 연결

가상 네트워크 피어링 또는 연결된 그룹은 가상 네트워크 간의 비 전이적 관계입니다. 서로 연결하기 위해 스포크 가상 네트워크가 필요한 경우 해당 스포크 간에 피어링 연결을 추가하거나 동일한 네트워크 그룹에 배치합니다.

Azure Firewall 또는 NVA를 통한 스포크 연결

가상 네트워크당 가상 네트워크 피어링 수가 제한됩니다. 서로 연결해야 하는 스포크가 많은 경우 피어링 연결이 부족할 수 있습니다. 연결된 그룹에도 제한이 있습니다. 자세한 내용은 네트워킹 제한 및연결된 그룹 제한을 참조하세요.

이 시나리오에서는 UDR(사용자 정의 경로)을 사용하여 스포크 트래픽을 Azure Firewall 또는 허브에서 라우터 역할을 하는 다른 NVA로 보내도록 강제하는 것이 좋습니다. 이렇게 변경하면 스포크가 서로 연결될 수 있습니다. 이 구성을 지원하려면 강제 Tunnel 구성이 사용 설정된 Azure Firewall을 구현해야 합니다. 자세한 내용은 Azure Firewall 강제 터널링을 참조하세요.

이 아키텍처 디자인의 토폴로지 덕분에 송신 흐름이 빠릅니다. Azure Firewall은 주로 송신 보안에 쓰이지만, 수신 포인트로 쓸 수도 있습니다. 허브 NVA 수신 라우팅에 대한 자세한 고려 사항은 가상 네트워크에 대한 방화벽 및 Application Gateway를 참조하세요.

허브 게이트웨이를 통해 원격 네트워크에 스포크 연결

허브 게이트웨이를 통해 원격 네트워크와 통신하도록 스포크 구성하려면 가상 네트워크 피어링 또는 연결된 네트워크 그룹을 사용할 수 있습니다.

가상 네트워크 피어링을 사용하려면 가상 네트워크 피어링 설정에서 다음을 수행합니다.

• 게이트웨이 전송을 허용 하도록 허브에서 피어링 연결을 구성합니다.
• 원격 가상 네트워크의 게이트웨이를 사용하도록 각 스포크에서 피어링 연결을 구성합니다.
• 전달된 트래픽을 허용 하도록 모든 피어링 연결을 구성합니다.

자세한 내용은 가상 네트워크 피어링 만들기를 참조하세요.

연결된 네트워크 그룹을 사용하려면 다음을 수행합니다.

1. Virtual Network Manager에서 네트워크 그룹을 만들고 멤버 가상 네트워크를 추가합니다.
2. 허브 및 스포크 연결 구성을 만듭니다.
3. 스포크 네트워크 그룹의 경우 허브를 게이트웨이로 선택합니다.

자세한 내용은 Azure Virtual Network Manager를 사용하여 허브 및 스포크 토폴로지 만들기를 참조하세요.

스포크 네트워크 통신

스포크 가상 네트워크가 서로 통신할 수 있도록 하는 두 가지 주요 방법이 있습니다.

• 방화벽 및 라우터와 같은 NVA를 통한 통신 이 메서드는 두 스포크 간에 홉을 발생합니다.
• 가상 네트워크 피어링 또는 가상 네트워크 관리자를 사용하여 스포크 간 직접 연결을 통한 통신 이 방법을 사용하면 두 스포크 간에 홉이 발생하지 않으며 대기 시간을 최소화하는 것이 좋습니다.
• Private Link를 사용하여 개별 리소스를 다른 가상 네트워크에 선택적으로 노출할 수 있습니다. 예를 들어 피어링 또는 라우팅 관계를 형성하거나 유지 관리할 필요 없이 내부 부하 분산 장치를 다른 가상 네트워크에 노출합니다.

스포크-스포크 네트워킹 패턴에 대한 자세한 내용은 스포크-스포크 네트워킹을 참조하세요.

NVA를 통한 통신

스포크 간에 연결이 필요한 경우 허브에 Azure Firewall 또는 다른 NVA를 배포하는 것이 좋습니다. 그런 다음 스포크에서 방화벽 또는 NVA로 트래픽을 전달하는 경로를 만든 다음 두 번째 스포크로 라우팅할 수 있습니다. 이 시나리오에서는 피어링 연결이 전달된 트래픽을 허용하도록 구성해야 합니다.

이 선택은 대기 시간과 처리량에 영향을 주지만 VPN 게이트웨이를 사용하여 스포크 간에 트래픽을 라우팅할 수도 있습니다. 구성 세부 정보는 가상 네트워크 피어링에 대한 VPN Gateway 전송 구성을 참조하세요.

허브에서 공유하는 서비스를 평가하여 허브가 더 많은 수의 스포크에 맞게 확장되는지 확인합니다. 예를 들어 허브에서 방화벽 서비스를 제공하는 경우 여러 스포크 추가 시 방화벽 솔루션의 대역폭 제한을 고려합니다. 공유 서비스 중 일부를 두 번째 수준의 허브로 이동할 수 있습니다.

스포크 네트워크 간 직접 통신

허브 가상 네트워크를 트래버스하지 않고 스포크 가상 네트워크 간에 직접 연결하려면 스포크 간에 피어링 연결을 만들거나 네트워크 그룹에 직접 연결을 사용하도록 설정할 수 있습니다. 동일한 환경 및 워크로드의 일부인 스포크 가상 네트워크에 대한 피어링 또는 직접 연결을 제한하는 것이 가장 좋습니다.

Virtual Network Manager를 사용하는 경우 스포크 가상 네트워크를 네트워크 그룹에 수동으로 추가하거나 정의한 조건에 따라 네트워크를 자동으로 추가할 수 있습니다.

다음 다이어그램에서는 스포크 간 직접 연결에 Virtual Network Manager를 사용하는 방법을 보여 줍니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

신뢰도

안정성을 통해 애플리케이션이 고객에 대한 약속을 충족할 수 있습니다. 자세한 내용은 안정성 핵심 요소 개요를 참조하세요.

이를 지원하는 허브의 Azure 서비스에 가용성 영역을 사용합니다.

일반적으로 지역당 허브가 하나 이상 있고 동일한 지역의 허브에 스포크만 연결하는 것이 가장 좋습니다. 이 구성을 사용하면 격벽 영역이 한 지역의 허브에서 오류를 방지하여 관련 없는 지역에서 광범위한 네트워크 라우팅 오류가 발생하는 것을 방지할 수 있습니다.

고가용성이 필요한 경우 장애 조치(failover)를 위해 ExpressRoute와 VPN을 모두 사용할 수 있습니다. VPN 장애 조치(failover)를 사용하여 ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure에 연결하고, 복원력을 위해 Azure ExpressRoute를 설계하고 설계하는 지침을 따르세요.

Azure Firewall이 FQDN 애플리케이션 규칙을 구현하는 방법 때문에 방화벽을 통해 송신하는 모든 리소스가 방화벽 자체와 동일한 DNS 공급자를 사용하고 있는지 확인합니다. 이렇게 하지 않으면 방화벽의 FQDN IP 확인이 동일한 FQDN의 트래픽 생성자의 IP 확인과 다르기 때문에 Azure Firewall이 합법적인 트래픽을 차단할 수 있습니다. Azure Firewall 프록시를 스포크 DNS 확인의 일부로 통합하는 것은 FQDN이 트래픽 생성자 및 Azure Firewall 모두와 동기화되도록 하는 하나의 솔루션입니다.

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안대한 디자인 검토 검사 목록을 참조하세요.

DDoS 공격으로부터 보호하려면 모든 경계 가상 네트워크에서 Azure DDOS Protection 을 사용하도록 설정합니다. 공용 IP가 있는 모든 리소스는 DDoS 공격에 취약합니다. 워크로드가 공개적으로 노출되지 않더라도 다음과 같이 보호해야 하는 공용 IP가 여전히 있습니다.

• Azure Firewall의 공용 IP
• VPN 게이트웨이의 공용 IP
• ExpressRoute의 컨트롤 플레인 공용 IP

무단 액세스의 위험을 최소화하고 엄격한 보안 정책을 적용하려면 항상 NSG(네트워크 보안 그룹)에서 명시적 거부 규칙을 설정합니다.

Azure Firewall Premium 버전을 사용하여 TLS 검사, IDPS(네트워크 침입 감지 및 방지 시스템) 및 URL 필터링을 사용하도록 설정합니다.

Virtual Network Manager 보안

보안 규칙의 기준 집합을 확인하려면 네트워크 그룹의 가상 네트워크와 보안 관리자 규칙을 연결해야 합니다. 보안 관리자 규칙이 우선적으로 적용되며 NSG 규칙보다 먼저 평가됩니다. NSG 규칙과 마찬가지로 보안 관리자 규칙은 우선 순위 지정, 서비스 태그 및 L3-L4 프로토콜을 지원합니다. 자세한 내용은 Virtual Network Manager의 보안 관리자 규칙을 참조하세요.

Virtual Network Manager 배포를 사용하여 네트워크 그룹 보안 규칙에 대한 잠재적 호환성이 손상되는 변경 내용의 제어된 롤아웃을 용이하게 합니다.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 개선하는 방법에 관한 것입니다. 자세한 내용은 비용 최적화대한 디자인 검토 검사 목록을 참조하세요.

허브 및 스포크 네트워크를 배포하고 관리할 때 다음과 같은 비용 관련 요소를 고려합니다. 자세한 내용은 가상 네트워크 가격 책정을 참조하세요.

Azure Firewall 비용

이 아키텍처는 허브 네트워크에 Azure Firewall 인스턴스를 배포합니다. Azure Firewall 배포를 여러 워크로드에서 사용하는 공유 솔루션으로 사용하면 다른 NVA에 비해 클라우드 비용을 크게 절감할 수 있습니다. 자세한 내용은 Azure Firewall 및 네트워크 가상 어플라이언스를 참조하세요.

배포된 모든 리소스를 효과적으로 사용하려면 적절한 Azure Firewall 크기를 선택합니다. 필요한 기능과 현재 워크로드 집합에 가장 적합한 계층을 결정합니다. 사용 가능한 Azure Firewall SKU에 대해 알아보려면 Azure Firewall이란?

직접 피어링

직접 피어링 또는 스포크 간의 기타 비 허브 라우팅 통신을 선택적으로 사용하면 Azure Firewall 처리 비용을 방지할 수 있습니다. 데이터베이스 동기화 또는 대용량 파일 복사 작업과 같이 처리량이 높고 스포크 간 위험이 낮은 통신이 있는 워크로드가 있는 네트워크에는 비용을 절감할 수 있습니다.

운영 우수성

운영 우수성은 애플리케이션을 배포하고 프로덕션 환경에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성대한 디자인 검토 검사 목록을 참조하세요.

Azure Bastion, Azure Firewall 및 크로스-프레미스 게이트웨이와 같은 모든 서비스에 대한 진단 설정을 사용하도록 설정합니다. 작업에 의미 있는 설정을 결정합니다. 과도한 비용을 방지하기 위해 의미가 없는 설정을 끕니다. Azure Firewall과 같은 리소스는 로깅에 자세한 정보를 표시할 수 있으며 높은 모니터링 비용이 발생할 수 있습니다.

종단 간 모니터링에 연결 모니터 를 사용하여 변칙을 검색하고 네트워크 문제를 식별하고 해결합니다.

Azure Network Watcher를 사용하여 트래픽 분석을 사용하여 가장 많은 트래픽을 생성하는 가상 네트워크의 시스템을 표시하는 등 네트워크 구성 요소를 모니터링하고 문제를 해결합니다. 병목 현상이 문제가 되기 전에 시각적으로 식별할 수 있습니다.

ExpressRoute를 사용하는 경우 ExpressRoute 트래픽 수집기를 사용하여 ExpressRoute 회로를 통해 전송된 네트워크 흐름에 대한 흐름 로그를 분석할 수 있습니다. ExpressRoute 트래픽 수집기는 Microsoft 엔터프라이즈 에지 라우터를 통해 흐르는 트래픽에 대한 가시성을 제공합니다.

HTTP 이외의 프로토콜 또는 SQL Server를 구성할 때 Azure Firewall의 FQDN 기반 규칙을 사용합니다. FQDN을 사용하면 개별 IP 주소 관리에 대한 관리 부담이 줄어듭니다.

피어링 요구 사항에 따라 IP 주소 지정을 계획하고 주소 공간이 크로스-프레미스 위치 및 Azure 위치에서 겹치지 않도록 합니다.

Azure Virtual Network Manager를 사용하여 자동화

연결 및 보안 제어를 중앙에서 관리하려면 Azure Virtual Network Manager 를 사용하여 새 허브 및 스포크 가상 네트워크 토폴로지를 만들거나 기존 토폴로지를 온보딩합니다. Virtual Network Manager를 사용하면 여러 구독, 관리 그룹 및 지역에서 향후 대규모 성장을 위해 허브 및 스포크 네트워크 토폴로지가 준비됩니다.

Virtual Network Manager 사용 사례 시나리오의 예는 다음과 같습니다.

• 사업부 또는 애플리케이션 팀과 같은 그룹에 스포크 가상 네트워크 관리를 민주화합니다. 민주화로 인해 많은 수의 가상 네트워크 간 네트워크 연결 및 네트워크 보안 규칙 요구 사항이 발생할 수 있습니다.
• 여러 Azure 지역에서 여러 복제본 아키텍처를 표준화하여 애플리케이션의 전역 공간을 확보합니다.

균일한 연결 및 네트워크 보안 규칙을 보장하기 위해 네트워크 그룹을 사용하여 동일한 Microsoft Entra 테넌트 아래에 있는 모든 구독, 관리 그룹 또는 지역의 가상 네트워크를 그룹화할 수 있습니다. 동적 또는 정적 멤버 자격 할당을 통해 가상 네트워크를 네트워크 그룹에 자동으로 또는 수동으로 온보딩할 수 있습니다.

Virtual Network Manager가 범위를 사용하여 관리하는 가상 네트워크의 검색 가능성을 정의 합니다. 이 기능은 원하는 수의 네트워크 관리자 인스턴스에 대한 유연성을 제공하여 가상 네트워크 그룹에 대한 추가 관리 민주화를 허용합니다.

동일한 네트워크 그룹의 스포크 가상 네트워크를 서로 연결하려면 Virtual Network Manager를 사용하여 가상 네트워크 피어링 또는 직접 연결을 구현합니다. 글로벌 메시 옵션을 사용하여 메시 직접 연결을 다른 지역의 스포크 네트워크로 확장합니다. 다음 다이어그램에서는 지역 간의 글로벌 메시 연결을 보여 줍니다.

네트워크 그룹 내의 가상 네트워크를 보안 관리자 규칙의 기준 집합에 연결할 수 있습니다. 네트워크 그룹 보안 관리자 규칙은 스포크 가상 네트워크 소유자가 기준 보안 규칙을 덮어쓰는 것을 방지하면서 자체 보안 규칙 및 NSG 집합을 독립적으로 추가하도록 합니다. 허브 및 스포크 토폴로지에서 보안 관리자 규칙을 사용하는 예제는 자습서: 보안 허브 및 스포크 네트워크 만들기를 참조하세요.

네트워크 그룹, 연결 및 보안 규칙의 제어된 롤아웃을 용이하게 하기 위해 Virtual Network Manager 구성 배포를 사용하면 잠재적으로 손상될 수 있는 구성 변경 내용을 허브 및 스포크 환경에 안전하게 릴리스할 수 있습니다. 자세한 내용은 Azure Virtual Network Manager의 구성 배포를 참조하세요.

경로 구성을 만들고 유지 관리하는 프로세스를 간소화하고 간소화하기 위해 Azure Virtual Network Manager에서 UDR(사용자 정의 경로)의 자동화된 관리를 사용할 수 있습니다.

IP 주소 관리를 간소화하고 중앙 집중화하기 위해 Azure Virtual Network Manager에서 IPAM(IP 주소 관리)을 사용할 수 있습니다. IPAM은 온-프레미스 및 클라우드 가상 네트워크에서 IP 주소 공간 충돌을 방지합니다.

Virtual Network Manager를 시작하려면 Azure Virtual Network Manager 를 사용하여 허브 및 스포크 토폴로지 만들기를 참조하세요.

성능 효율성

성능 효율성은 워크로드를 스케일링하여 사용자가 효율적인 방식으로 요구 사항을 충족할 수 있는 기능입니다. 자세한 내용은 성능 효율성 핵심 요소 개요를 참조하세요.

대기 시간이 짧고 대역폭이 높은 Azure 가상 네트워크의 온-프레미스에서 가상 머신으로 통신하는 워크로드의 경우 ExpressRoute FastPath를 사용하는 것이 좋습니다. FastPath를 사용하면 온-프레미스에서 가상 네트워크의 가상 머신으로 직접 트래픽을 보내 ExpressRoute 가상 네트워크 게이트웨이를 우회하여 성능을 높일 수 있습니다.

대기 시간이 짧은 스포크 간 통신의 경우 스포크-스포크 네트워킹을 구성하는 것이 좋습니다.

지점 및 사이트간 연결 수, 필요한 초당 패킷 수, 대역폭 요구 사항 및 TCP 흐름과 같은 요구 사항을 충족하는 적절한 게이트웨이 SKU 를 선택합니다.

SAP 또는 스토리지에 대한 액세스와 같은 대기 시간에 민감한 흐름의 경우 Azure Firewall을 우회하거나 허브를 통해 라우팅하는 것이 좋습니다. Azure Firewall에서 도입된 대기 시간을 테스트하여 의사 결정을 알릴 수 있습니다. 둘 이상의 네트워크를 연결하는 VNet 피어링 또는 가상 네트워크의 프라이빗 엔드포인트를 통해 서비스에 연결할 수 있는 Azure Private Link 와 같은 기능을 사용할 수 있습니다.

AZURE Firewall에서 IDPS(침입 감지 및 방지 시스템)와 같은 특정 기능을 사용하도록 설정하면 처리량이 감소한다는 것을 이해합니다. 자세한 내용은 Azure Firewall 성능을 참조하세요.

시나리오 배포

이 배포에는 허브 가상 네트워크 1개와 연결된 스포크 2개가 포함되며 Azure Firewall 인스턴스 및 Azure Bastion 호스트도 배포됩니다. 필요에 따라 배포에는 첫 번째 스포크 네트워크 및 VPN 게이트웨이에 VM이 포함될 수 있습니다. 가상 네트워크 피어링 또는 Virtual Network Manager 연결 그룹 중에서 선택하여 네트워크 연결을 만들 수 있습니다. 각 메서드에는 여러 배포 옵션이 있습니다.

• 가상 네트워크 피어링 배포를 사용하여 허브 및 스포크

• Virtual Network Manager 연결된 그룹 배포를 사용하여 허브 및 스포크

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

주요 작성자:

• 알레한드라 팔라시오스 | 선임 고객 엔지니어
• Jose Moreno | 수석 엔지니어
• Adam Torkar | Microsoft의 Azure 네트워킹 글로벌 Blackbelt

기타 기여자:

• Matthew Bratschun | 고객 엔지니어
• Jay Li | 선임 제품 관리자
• Telmo Sampaio | 주 서비스 엔지니어링 관리자

공용이 아닌 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.

다음 단계

• Azure Firewall Manager에서 구성하는 보안 가상 허브 및 관련 보안 및 라우팅 정책에 대해 알아보려면 보안 가상 허브란?

고급 시나리오

아키텍처는 이 간단한 허브-스포크 아키텍처와 다를 수 있습니다. 다음은 일부 고급 시나리오에 대한 지침 목록입니다.

• 더 많은 지역을 추가하고 허브를 서로 - 완전히 메시합니다.다중 지역 연결 패턴에 대한 스포크-스포크 네트워킹 및 Azure Route Server를 사용하는 다중 지역 네트워킹

• Azure Firewall을 사용자 지정 NVA(네트워크 가상 어플라이언스) - 로 바꾸기고가용성 NVA 배포

• Azure Virtual Network Gateway를 사용자 지정 SDWAN NVA - 로 바꾸기Azure 허브 및 스포크 네트워크 토폴로지와 SDWAN 통합

• Azure Route Server를 사용하여 ExpressRoute와 VPN 또는 SDWAN 간에 전이성을 제공하거나 Azure 가상 네트워크 게이트웨이에서 BGP를 통해 보급된 접두사를 사용자 지정합니다. - ExpressRoute 및 Azure VPN에 대한 Azure Route Server 지원

• 프라이빗 확인자 또는 DNS 서버 - 추가프라이빗 확인자 아키텍처

관련 참고 자료

다음과 같은 관련 아키텍처를 살펴봅니다.

• 가상 네트워크에 대한 방화벽 및 Application Gateway
• 하이브리드 VPN 연결 문제 해결
• 스포크-스포크 네트워킹
• AKS(Azure Kubernetes Service) 클러스터에 대한 기준 아키텍처

이 참조 아키텍처는 고객 관리형 허브 인프라 구성 요소를 사용하여 허브-스포크 네트워크 패턴을 구현합니다. Microsoft 관리형 허브 인프라 솔루션은 Azure Virtual WAN을 사용한 허브-스포크 네트워크 토폴로지 참조하세요.

허브-스포크는 클라우드 채택 프레임워크에서 권장하는 네트워크 토폴로지 중 하나입니다. 이 토폴로지 가 많은 조직에서 모범 사례로 간주되는 이유를 이해하려면 Azure 네트워크 토폴로지 정의를 참조하세요.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다 .

허브-스포크 개념

허브-스포크 네트워크 토폴로지에는 일반적으로 다음과 같은 아키텍처 개념이 많이 포함됩니다.

• 허브 가상 네트워크 - 허브 가상 네트워크는 공유 Azure 서비스를 호스트합니다. 스포크 가상 네트워크에서 호스트되는 워크로드는 이러한 서비스를 사용할 수 있습니다. 허브 가상 네트워크는 크로스-프레미스 네트워크에 대한 연결의 중심 지점입니다. 허브는 기본 송신 지점을 포함하며, 가상 네트워크 간 트래픽이 필요한 상황에서 스포크 하나를 다른 스포크에 연결하는 메커니즘을 제공합니다.

  허브는 지역 리소스입니다. 여러 지역에 워크로드가 있는 조직에는 지역당 하나씩 여러 허브가 있어야 합니다.

  허브를 사용하면 다음과 같은 개념을 사용할 수 있습니다.

  • 프레미스 간 게이트웨이 - 프레미스 간 연결은 서로 다른 네트워크 환경을 연결하고 통합하는 기능입니다. 이 게이트웨이는 일반적으로 VPN 또는 ExpressRoute 회로입니다.

  • 송신 제어 - 피어된 스포크 가상 네트워크에서 발생하는 아웃바운드 트래픽의 관리 및 규정입니다.

  • (선택 사항) 수신 제어 - 피어된 스포크 가상 네트워크에 있는 엔드포인트에 대한 인바운드 트래픽의 관리 및 규정입니다.

  • 원격 액세스 - 원격 액세스는 스포크 네트워크의 개별 워크로드가 스포크 자체 네트워크가 아닌 네트워크 위치에서 액세스하는 방법입니다. 워크로드의 데이터 또는 컨트롤 평면에 대한 것일 수 있습니다.

  • 가상 머신에 대한 원격 스포크 액세스 - 허브는 스포크 네트워크 전체에 분산된 가상 머신에 대한 RDP 및 SSH 액세스를 위한 조직 간 원격 연결 솔루션을 빌드하는 편리한 위치일 수 있습니다.

  • 라우팅 - 허브와 연결된 스포크 간의 트래픽을 관리하고 전달하여 안전하고 효율적인 통신을 가능하게 합니다.

• 스포크 가상 네트워크 - 스포크 가상 네트워크는 각 스포크에서 워크로드를 별도로 격리하고 관리합니다. 각 워크로드에는 Azure Load Balancer를 통해 여러 서브넷이 연결된 여러 계층이 포함될 수 있습니다. 스포크는 서로 다른 구독에 존재할 수 있으며 프로덕션 및 비프로덕션과 같은 다양한 환경을 나타낼 수 있습니다. 하나의 워크로드는 여러 스포크에 분산할 수도 있습니다.

  대부분의 시나리오에서 스포크는 단일 허브 네트워크에만 피어되어야 하며 해당 허브 네트워크는 스포크와 동일한 지역에 있어야 합니다.

  이러한 스포크 네트워크는 기본 아웃바운드 액세스에 대한 규칙을 따릅니다. 허브-스포크 네트워크 토폴로지의 핵심 목적은 일반적으로 허브에서 제공하는 제어 메커니즘을 통해 아웃바운드 인터넷 트래픽을 전송하는 것입니다.

• 가상 네트워크 교차 연결 - 가상 네트워크 연결은 하나의 격리된 가상 네트워크가 제어 메커니즘을 통해 다른 네트워크와 통신할 수 있는 경로입니다. 제어 메커니즘은 네트워크 간에 사용 권한 및 허용된 통신 방향을 적용합니다. 허브는 중앙 집중식 네트워크를 통해 흐르는 선택 네트워크 간 연결을 지원하는 옵션을 제공합니다.

• DNS - 허브-스포크 솔루션은 특히 크로스-프레미스 라우팅 및 프라이빗 엔드포인트 DNS 레코드에 대해 피어링된 모든 스포크에서 사용할 DNS 솔루션을 제공하는 작업을 담당합니다.

구성 요소

• Azure Virtual Network는 Azure 의 프라이빗 네트워크에 대한 기본 구성 요소입니다. Virtual Network를 사용하면 Azure VM과 같은 많은 Azure 리소스가 서로, 프레미스 간 네트워크 및 인터넷과 안전하게 통신할 수 있습니다.

  이 아키텍처는 가상 네트워크 간의 전이적이고 대기 시간이 짧은 피어링 연결을 사용하여 가상 네트워크를 허브에 연결합니다. 피어링된 가상 네트워크는 라우터 없이 Azure 백본을 통해 트래픽을 교환할 수 있습니다. 허브-스포크 아키텍처에서 가상 네트워크를 서로 직접 피어링하는 것은 최소한의 것이며 특별한 시나리오를 위해 예약됩니다.

• Azure Bastion 은 공용 IP 주소를 노출하지 않고 VM에 대한 보다 안전하고 원활한 RDP(원격 데스크톱 프로토콜) 및 SSH(Secure Shell Protocol) 액세스를 제공하는 완전 관리형 서비스입니다. 이 아키텍처에서 Azure Bastion은 연결된 스포크에서 직접 VM 액세스를 지원하기 위해 관리되는 제품으로 사용됩니다.

• Azure Firewall 은 Virtual Network 리소스를 보호하는 관리되는 클라우드 기반 네트워크 보안 서비스입니다. 이 상태 저장 방화벽 서비스는 구독 및 가상 네트워크에서 애플리케이션 및 네트워크 연결 정책을 만들고, 적용하고, 기록하는 데 도움이 되는 기본 제공 고가용성 및 무제한 클라우드 확장성을 제공합니다.

  이 아키텍처에서 Azure Firewall에는 여러 잠재적인 역할이 있습니다. 방화벽은 피어된 스포크 가상 네트워크에서 인터넷으로 향하는 트래픽의 기본 송신 지점입니다. 방화벽을 사용하여 IDPS 규칙을 사용하여 인바운드 트래픽을 검사할 수도 있습니다. 마지막으로 방화벽을 DNS 프록시 서버로 사용하여 FQDN 트래픽 규칙을 지원할 수도 있습니다.

• VPN Gateway 는 Azure의 가상 네트워크와 공용 인터넷을 통해 다른 네트워크 간에 암호화된 트래픽을 보내는 특정 유형의 가상 네트워크 게이트웨이입니다. VPN Gateway를 사용하여 Microsoft 네트워크를 통해 다른 허브 가상 네트워크 간에 암호화된 트래픽을 보낼 수도 있습니다.

  이 아키텍처에서는 스포크 일부 또는 전부를 원격 네트워크에 연결하는 한 가지 옵션입니다. 스포크는 일반적으로 자체 VPN Gateway를 배포하지 않고 허브에서 제공하는 중앙 집중식 솔루션을 사용합니다. 이 연결을 관리하려면 라우팅 구성을 설정해야 합니다.

• Azure ExpressRoute 게이트웨이 는 IP 경로를 교환하고 온-프레미스 네트워크와 Azure 가상 네트워크 간에 네트워크 트래픽을 라우팅합니다. 이 아키텍처에서 ExpressRoute는 원격 네트워크에 스포크 일부 또는 전부를 연결하는 VPN Gateway의 대체 옵션입니다. 스포크는 자체 ExpressRoute를 배포하지 않으며, 대신 해당 스포크는 허브에서 제공하는 중앙 집중식 솔루션을 사용합니다. VPN Gateway와 마찬가지로 이 연결을 관리하려면 라우팅 구성을 설정해야 합니다.

• Azure Monitor는 Azure 및 온-프레미스를 비롯한 프레미스 간 환경에서 원격 분석 데이터를 수집, 분석 및 수행할 수 있습니다. Azure Monitor를 사용하면 애플리케이션의 성능과 가용성을 최대화하고 몇 초 안에 문제를 사전에 식별할 수 있습니다. 이 아키텍처에서 Azure Monitor는 허브 리소스 및 네트워크 메트릭에 대한 로그 및 메트릭 싱크입니다. Azure Monitor는 스포크 네트워크의 리소스에 대한 로깅 싱크로도 사용할 수 있지만 이는 연결된 다양한 워크로드에 대한 결정이며 이 아키텍처에 의해 위임되지 않습니다.

대안

이 아키텍처에는 여러 Azure 리소스 기본 형식( 즉 virtualNetworkPeerings, , routeTables및 )의 생성, 구성 및 subnets유지 관리가 포함됩니다. Azure Virtual Network Manager는 Azure 구독, 지역 및 Microsoft Entra 디렉터리에서 대규모로 가상 네트워크를 그룹화, 구성, 배포 및 관리하는 데 도움이 되는 관리 서비스입니다. Virtual Network Manager를 사용하여 가상 네트워크를 식별하고 논리적으로 분할하는 네트워크 그룹을 정의할 수 있습니다. 그룹 내의 가상 네트워크가 수동으로 연결된 것처럼 서로 통신할 수 있도록 하는 연결된 그룹을 사용할 수 있습니다. 이 계층은 이러한 기본 형식에 대한 추상화 계층을 추가하여 네트워킹 토폴로지 설명과 해당 토폴로지 구현에 대해 작업하는 데 집중합니다.

네트워크 관리 작업으로 시간을 최적화하는 방법으로 Virtual Network Manager를 사용하여 평가하는 것이 좋습니다. 가상 네트워크 관리자가 네트워크의 크기와 복잡성에 대한 순이익인지 확인하려면 계산된 값/절감액에 대해 서비스 비용을 평가합니다.

시나리오 정보

이 참조 아키텍처는 허브 가상 네트워크가 많은 스포크 가상 네트워크에 대한 연결의 중심 지점 역할을 하는 허브-스포크 네트워크 패턴을 구현합니다. 스포크 가상 네트워크는 허브와 연결되며 워크로드를 격리하는 데 사용할 수 있습니다. 허브를 사용하여 온-프레미스 네트워크에 연결하여 프레미스 간 시나리오를 사용하도록 설정할 수도 있습니다.

이 아키텍처는 고객 관리형 허브 인프라 구성 요소를 사용하는 네트워크 패턴을 설명합니다. Microsoft 관리형 허브 인프라 솔루션은 Azure Virtual WAN을 사용한 허브-스포크 네트워크 토폴로지 참조하세요.

고객 관리형 허브 및 스포크 구성을 사용할 경우의 이점은 다음과 같습니다.

• 비용 절감
• 구독 제한 극복
• 워크로드 격리
• 융통성
  • NVA(네트워크 가상 어플라이언스)를 배포하는 방법(예: NIC 수, 인스턴스 수 또는 컴퓨팅 크기)을 더 자세히 제어합니다.
  • Virtual WAN에서 지원되지 않는 NVA 사용

자세한 내용은 허브 및 스포크 네트워크 토폴로지 참조하세요.

잠재적인 사용 사례

허브 및 스포크 아키텍처의 일반적인 용도에는 다음과 같은 워크로드가 포함됩니다.

• 공유 서비스가 필요한 여러 환경이 있습니다. 예를 들어 워크로드에는 개발, 테스트 및 프로덕션 환경이 있을 수 있습니다. 공유 서비스에는 DNS ID, NTP(네트워크 시간 프로토콜) 또는 AD DS(Active Directory 도메인 Services)가 포함될 수 있습니다. 공유 서비스는 허브 가상 네트워크에 배치되고 각 환경은 격리를 유지하기 위해 다른 스포크에 배포됩니다.
• 서로 연결하지 않아도 되지만 공유 서비스에 액세스해야 합니다.
• 각 스포크에서 분리된 워크로드 관리를 사용하는 허브의 경계 네트워크(DMZ라고도 함) 방화벽과 같은 보안에 대한 중앙 제어가 필요합니다.
• 선택적 연결 또는 특정 환경 또는 워크로드의 스포크 간 격리와 같은 연결을 중앙에서 제어해야 합니다.

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 해당 권장 사항을 따릅니다.

리소스 그룹, 구독 및 지역

이 예제 솔루션은 단일 Azure 리소스 그룹을 사용합니다. 허브 및 각 스포크는 서로 다른 리소스 그룹 및 구독에서 구현할 수도 있습니다.

다른 구독의 가상 네트워크를 피어하는 경우 구독을 동일하거나 다른 Microsoft Entra 테넌트에 연결할 수 있습니다. 이러한 유연성을 통해 허브에서 공유 서비스를 유지하면서 각 워크로드를 분산 관리할 수 있습니다. Resource Manager, 다른 구독 및 Microsoft Entra 테넌트 - 가상 네트워크 피어링 만들기를 참조하세요.

Azure 랜딩 존

Azure 랜딩 존 아키텍처는 허브-스포크 토폴로지 기반입니다. 해당 아키텍처에서 허브의 공유 리소스 및 네트워크는 중앙 집중식 플랫폼 팀에서 관리하며 스포크는 플랫폼 팀 및 스포크 네트워크를 사용하는 워크로드 팀과 공동 소유권 모델을 공유합니다. 모든 허브는 중앙 집중식 관리를 위한 "연결" 구독에 상주하는 반면, 스포크 가상 네트워크는 애플리케이션 랜딩 존 구독이라는 여러 개별 워크로드 구독에 존재합니다.

가상 네트워크 서브넷

다음 권장 사항은 가상 네트워크에서 서브넷을 구성하는 방법을 간략하게 설명합니다.

GatewaySubnet

가상 네트워크 게이트웨이에는 이 서브넷이 필요합니다. 프레미스 간 네트워크 연결이 필요하지 않은 경우 게이트웨이 없이 허브-스포크 토폴로지를 사용할 수도 있습니다.

주소 범위가 최소한인 26이라는 서브넷을 만듭니다. 주소 범위는 /26 서브넷에 향후 게이트웨이 크기 제한에 도달하지 않고 더 많은 수의 ExpressRoute 회로를 수용할 수 있는 충분한 확장성 구성 옵션을 제공합니다. 게이트웨이 설정에 대한 자세한 내용은 VPN 게이트웨이를 사용하는 하이브리드 네트워크를 참조하세요.

AzureFirewallSubnet

주소 범위가 최소한인 AzureFirewallSubnet이라는 /26을 만듭니다. 규모 /26 에 관계없이 주소 범위는 권장 크기이며 향후 크기 제한 사항을 포함합니다. 이 서브넷은 NSG(네트워크 보안 그룹)를 지원하지 않습니다.

Azure Firewall에는 이 서브넷이 필요합니다. 파트너 NVA(네트워크 가상 어플라이언스)를 사용하는 경우 네트워크 요구 사항을 따릅니다.

스포크 네트워크 연결

가상 네트워크 피어링 또는 연결된 그룹은 가상 네트워크 간의 비 전이적 관계입니다. 서로 연결하기 위해 스포크 가상 네트워크가 필요한 경우 해당 스포크 간에 피어링 연결을 추가하거나 동일한 네트워크 그룹에 배치합니다.

Azure Firewall 또는 NVA를 통한 스포크 연결

가상 네트워크당 가상 네트워크 피어링 수가 제한됩니다. 서로 연결해야 하는 스포크가 많은 경우 피어링 연결이 부족할 수 있습니다. 연결된 그룹에도 제한이 있습니다. 자세한 내용은 네트워킹 제한 및연결된 그룹 제한을 참조하세요.

이 시나리오에서는 UDR(사용자 정의 경로)을 사용하여 스포크 트래픽을 Azure Firewall 또는 허브에서 라우터 역할을 하는 다른 NVA로 보내도록 강제하는 것이 좋습니다. 이렇게 변경하면 스포크가 서로 연결될 수 있습니다. 이 구성을 지원하려면 강제 Tunnel 구성이 사용 설정된 Azure Firewall을 구현해야 합니다. 자세한 내용은 Azure Firewall 강제 터널링을 참조하세요.

이 아키텍처 디자인의 토폴로지 덕분에 송신 흐름이 빠릅니다. Azure Firewall은 주로 송신 보안에 쓰이지만, 수신 포인트로 쓸 수도 있습니다. 허브 NVA 수신 라우팅에 대한 자세한 고려 사항은 가상 네트워크에 대한 방화벽 및 Application Gateway를 참조하세요.

허브 게이트웨이를 통해 원격 네트워크에 스포크 연결

허브 게이트웨이를 통해 원격 네트워크와 통신하도록 스포크 구성하려면 가상 네트워크 피어링 또는 연결된 네트워크 그룹을 사용할 수 있습니다.

가상 네트워크 피어링을 사용하려면 가상 네트워크 피어링 설정에서 다음을 수행합니다.

• 게이트웨이 전송을 허용 하도록 허브에서 피어링 연결을 구성합니다.
• 원격 가상 네트워크의 게이트웨이를 사용하도록 각 스포크에서 피어링 연결을 구성합니다.
• 전달된 트래픽을 허용 하도록 모든 피어링 연결을 구성합니다.

자세한 내용은 가상 네트워크 피어링 만들기를 참조하세요.

연결된 네트워크 그룹을 사용하려면 다음을 수행합니다.

1. Virtual Network Manager에서 네트워크 그룹을 만들고 멤버 가상 네트워크를 추가합니다.
2. 허브 및 스포크 연결 구성을 만듭니다.
3. 스포크 네트워크 그룹의 경우 허브를 게이트웨이로 선택합니다.

자세한 내용은 Azure Virtual Network Manager를 사용하여 허브 및 스포크 토폴로지 만들기를 참조하세요.

스포크 네트워크 통신

스포크 가상 네트워크가 서로 통신할 수 있도록 하는 두 가지 주요 방법이 있습니다.

• 방화벽 및 라우터와 같은 NVA를 통한 통신 이 메서드는 두 스포크 간에 홉을 발생합니다.
• 가상 네트워크 피어링 또는 가상 네트워크 관리자를 사용하여 스포크 간 직접 연결을 통한 통신 이 방법을 사용하면 두 스포크 간에 홉이 발생하지 않으며 대기 시간을 최소화하는 것이 좋습니다.
• Private Link를 사용하여 개별 리소스를 다른 가상 네트워크에 선택적으로 노출할 수 있습니다. 예를 들어 피어링 또는 라우팅 관계를 형성하거나 유지 관리할 필요 없이 내부 부하 분산 장치를 다른 가상 네트워크에 노출합니다.

스포크-스포크 네트워킹 패턴에 대한 자세한 내용은 스포크-스포크 네트워킹을 참조하세요.

NVA를 통한 통신

스포크 간에 연결이 필요한 경우 허브에 Azure Firewall 또는 다른 NVA를 배포하는 것이 좋습니다. 그런 다음 스포크에서 방화벽 또는 NVA로 트래픽을 전달하는 경로를 만든 다음 두 번째 스포크로 라우팅할 수 있습니다. 이 시나리오에서는 피어링 연결이 전달된 트래픽을 허용하도록 구성해야 합니다.

이 선택은 대기 시간과 처리량에 영향을 주지만 VPN 게이트웨이를 사용하여 스포크 간에 트래픽을 라우팅할 수도 있습니다. 구성 세부 정보는 가상 네트워크 피어링에 대한 VPN Gateway 전송 구성을 참조하세요.

허브에서 공유하는 서비스를 평가하여 허브가 더 많은 수의 스포크에 맞게 확장되는지 확인합니다. 예를 들어 허브에서 방화벽 서비스를 제공하는 경우 여러 스포크 추가 시 방화벽 솔루션의 대역폭 제한을 고려합니다. 공유 서비스 중 일부를 두 번째 수준의 허브로 이동할 수 있습니다.

스포크 네트워크 간 직접 통신

허브 가상 네트워크를 트래버스하지 않고 스포크 가상 네트워크 간에 직접 연결하려면 스포크 간에 피어링 연결을 만들거나 네트워크 그룹에 직접 연결을 사용하도록 설정할 수 있습니다. 동일한 환경 및 워크로드의 일부인 스포크 가상 네트워크에 대한 피어링 또는 직접 연결을 제한하는 것이 가장 좋습니다.

Virtual Network Manager를 사용하는 경우 스포크 가상 네트워크를 네트워크 그룹에 수동으로 추가하거나 정의한 조건에 따라 네트워크를 자동으로 추가할 수 있습니다.

다음 다이어그램에서는 스포크 간 직접 연결에 Virtual Network Manager를 사용하는 방법을 보여 줍니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

신뢰도

안정성을 통해 애플리케이션이 고객에 대한 약속을 충족할 수 있습니다. 자세한 내용은 안정성 핵심 요소 개요를 참조하세요.

이를 지원하는 허브의 Azure 서비스에 가용성 영역을 사용합니다.

일반적으로 지역당 허브가 하나 이상 있고 동일한 지역의 허브에 스포크만 연결하는 것이 가장 좋습니다. 이 구성을 사용하면 격벽 영역이 한 지역의 허브에서 오류를 방지하여 관련 없는 지역에서 광범위한 네트워크 라우팅 오류가 발생하는 것을 방지할 수 있습니다.

고가용성이 필요한 경우 장애 조치(failover)를 위해 ExpressRoute와 VPN을 모두 사용할 수 있습니다. VPN 장애 조치(failover)를 사용하여 ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure에 연결하고, 복원력을 위해 Azure ExpressRoute를 설계하고 설계하는 지침을 따르세요.

Azure Firewall이 FQDN 애플리케이션 규칙을 구현하는 방법 때문에 방화벽을 통해 송신하는 모든 리소스가 방화벽 자체와 동일한 DNS 공급자를 사용하고 있는지 확인합니다. 이렇게 하지 않으면 방화벽의 FQDN IP 확인이 동일한 FQDN의 트래픽 생성자의 IP 확인과 다르기 때문에 Azure Firewall이 합법적인 트래픽을 차단할 수 있습니다. Azure Firewall 프록시를 스포크 DNS 확인의 일부로 통합하는 것은 FQDN이 트래픽 생성자 및 Azure Firewall 모두와 동기화되도록 하는 하나의 솔루션입니다.

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안대한 디자인 검토 검사 목록을 참조하세요.

DDoS 공격으로부터 보호하려면 모든 경계 가상 네트워크에서 Azure DDOS Protection 을 사용하도록 설정합니다. 공용 IP가 있는 모든 리소스는 DDoS 공격에 취약합니다. 워크로드가 공개적으로 노출되지 않더라도 다음과 같이 보호해야 하는 공용 IP가 여전히 있습니다.

• Azure Firewall의 공용 IP
• VPN 게이트웨이의 공용 IP
• ExpressRoute의 컨트롤 플레인 공용 IP

무단 액세스의 위험을 최소화하고 엄격한 보안 정책을 적용하려면 항상 NSG(네트워크 보안 그룹)에서 명시적 거부 규칙을 설정합니다.

Azure Firewall Premium 버전을 사용하여 TLS 검사, IDPS(네트워크 침입 감지 및 방지 시스템) 및 URL 필터링을 사용하도록 설정합니다.

Virtual Network Manager 보안

보안 규칙의 기준 집합을 확인하려면 네트워크 그룹의 가상 네트워크와 보안 관리자 규칙을 연결해야 합니다. 보안 관리자 규칙이 우선적으로 적용되며 NSG 규칙보다 먼저 평가됩니다. NSG 규칙과 마찬가지로 보안 관리자 규칙은 우선 순위 지정, 서비스 태그 및 L3-L4 프로토콜을 지원합니다. 자세한 내용은 Virtual Network Manager의 보안 관리자 규칙을 참조하세요.

Virtual Network Manager 배포를 사용하여 네트워크 그룹 보안 규칙에 대한 잠재적 호환성이 손상되는 변경 내용의 제어된 롤아웃을 용이하게 합니다.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 개선하는 방법에 관한 것입니다. 자세한 내용은 비용 최적화대한 디자인 검토 검사 목록을 참조하세요.

허브 및 스포크 네트워크를 배포하고 관리할 때 다음과 같은 비용 관련 요소를 고려합니다. 자세한 내용은 가상 네트워크 가격 책정을 참조하세요.

Azure Firewall 비용

이 아키텍처는 허브 네트워크에 Azure Firewall 인스턴스를 배포합니다. Azure Firewall 배포를 여러 워크로드에서 사용하는 공유 솔루션으로 사용하면 다른 NVA에 비해 클라우드 비용을 크게 절감할 수 있습니다. 자세한 내용은 Azure Firewall 및 네트워크 가상 어플라이언스를 참조하세요.

배포된 모든 리소스를 효과적으로 사용하려면 적절한 Azure Firewall 크기를 선택합니다. 필요한 기능과 현재 워크로드 집합에 가장 적합한 계층을 결정합니다. 사용 가능한 Azure Firewall SKU에 대해 알아보려면 Azure Firewall이란?

직접 피어링

직접 피어링 또는 스포크 간의 기타 비 허브 라우팅 통신을 선택적으로 사용하면 Azure Firewall 처리 비용을 방지할 수 있습니다. 데이터베이스 동기화 또는 대용량 파일 복사 작업과 같이 처리량이 높고 스포크 간 위험이 낮은 통신이 있는 워크로드가 있는 네트워크에는 비용을 절감할 수 있습니다.

운영 우수성

운영 우수성은 애플리케이션을 배포하고 프로덕션 환경에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성대한 디자인 검토 검사 목록을 참조하세요.

Azure Bastion, Azure Firewall 및 크로스-프레미스 게이트웨이와 같은 모든 서비스에 대한 진단 설정을 사용하도록 설정합니다. 작업에 의미 있는 설정을 결정합니다. 과도한 비용을 방지하기 위해 의미가 없는 설정을 끕니다. Azure Firewall과 같은 리소스는 로깅에 자세한 정보를 표시할 수 있으며 높은 모니터링 비용이 발생할 수 있습니다.

종단 간 모니터링에 연결 모니터 를 사용하여 변칙을 검색하고 네트워크 문제를 식별하고 해결합니다.

Azure Network Watcher를 사용하여 트래픽 분석을 사용하여 가장 많은 트래픽을 생성하는 가상 네트워크의 시스템을 표시하는 등 네트워크 구성 요소를 모니터링하고 문제를 해결합니다. 병목 현상이 문제가 되기 전에 시각적으로 식별할 수 있습니다.

ExpressRoute를 사용하는 경우 ExpressRoute 트래픽 수집기를 사용하여 ExpressRoute 회로를 통해 전송된 네트워크 흐름에 대한 흐름 로그를 분석할 수 있습니다. ExpressRoute 트래픽 수집기는 Microsoft 엔터프라이즈 에지 라우터를 통해 흐르는 트래픽에 대한 가시성을 제공합니다.

HTTP 이외의 프로토콜 또는 SQL Server를 구성할 때 Azure Firewall의 FQDN 기반 규칙을 사용합니다. FQDN을 사용하면 개별 IP 주소 관리에 대한 관리 부담이 줄어듭니다.

피어링 요구 사항에 따라 IP 주소 지정을 계획하고 주소 공간이 크로스-프레미스 위치 및 Azure 위치에서 겹치지 않도록 합니다.

Azure Virtual Network Manager를 사용하여 자동화

연결 및 보안 제어를 중앙에서 관리하려면 Azure Virtual Network Manager 를 사용하여 새 허브 및 스포크 가상 네트워크 토폴로지를 만들거나 기존 토폴로지를 온보딩합니다. Virtual Network Manager를 사용하면 여러 구독, 관리 그룹 및 지역에서 향후 대규모 성장을 위해 허브 및 스포크 네트워크 토폴로지가 준비됩니다.

Virtual Network Manager 사용 사례 시나리오의 예는 다음과 같습니다.

• 사업부 또는 애플리케이션 팀과 같은 그룹에 스포크 가상 네트워크 관리를 민주화합니다. 민주화로 인해 많은 수의 가상 네트워크 간 네트워크 연결 및 네트워크 보안 규칙 요구 사항이 발생할 수 있습니다.
• 여러 Azure 지역에서 여러 복제본 아키텍처를 표준화하여 애플리케이션의 전역 공간을 확보합니다.

균일한 연결 및 네트워크 보안 규칙을 보장하기 위해 네트워크 그룹을 사용하여 동일한 Microsoft Entra 테넌트 아래에 있는 모든 구독, 관리 그룹 또는 지역의 가상 네트워크를 그룹화할 수 있습니다. 동적 또는 정적 멤버 자격 할당을 통해 가상 네트워크를 네트워크 그룹에 자동으로 또는 수동으로 온보딩할 수 있습니다.

Virtual Network Manager가 범위를 사용하여 관리하는 가상 네트워크의 검색 가능성을 정의 합니다. 이 기능은 원하는 수의 네트워크 관리자 인스턴스에 대한 유연성을 제공하여 가상 네트워크 그룹에 대한 추가 관리 민주화를 허용합니다.

동일한 네트워크 그룹의 스포크 가상 네트워크를 서로 연결하려면 Virtual Network Manager를 사용하여 가상 네트워크 피어링 또는 직접 연결을 구현합니다. 글로벌 메시 옵션을 사용하여 메시 직접 연결을 다른 지역의 스포크 네트워크로 확장합니다. 다음 다이어그램에서는 지역 간의 글로벌 메시 연결을 보여 줍니다.

네트워크 그룹 내의 가상 네트워크를 보안 관리자 규칙의 기준 집합에 연결할 수 있습니다. 네트워크 그룹 보안 관리자 규칙은 스포크 가상 네트워크 소유자가 기준 보안 규칙을 덮어쓰는 것을 방지하면서 자체 보안 규칙 및 NSG 집합을 독립적으로 추가하도록 합니다. 허브 및 스포크 토폴로지에서 보안 관리자 규칙을 사용하는 예제는 자습서: 보안 허브 및 스포크 네트워크 만들기를 참조하세요.

네트워크 그룹, 연결 및 보안 규칙의 제어된 롤아웃을 용이하게 하기 위해 Virtual Network Manager 구성 배포를 사용하면 잠재적으로 손상될 수 있는 구성 변경 내용을 허브 및 스포크 환경에 안전하게 릴리스할 수 있습니다. 자세한 내용은 Azure Virtual Network Manager의 구성 배포를 참조하세요.

경로 구성을 만들고 유지 관리하는 프로세스를 간소화하고 간소화하기 위해 Azure Virtual Network Manager에서 UDR(사용자 정의 경로)의 자동화된 관리를 사용할 수 있습니다.

IP 주소 관리를 간소화하고 중앙 집중화하기 위해 Azure Virtual Network Manager에서 IPAM(IP 주소 관리)을 사용할 수 있습니다. IPAM은 온-프레미스 및 클라우드 가상 네트워크에서 IP 주소 공간 충돌을 방지합니다.

Virtual Network Manager를 시작하려면 Azure Virtual Network Manager 를 사용하여 허브 및 스포크 토폴로지 만들기를 참조하세요.

성능 효율성

성능 효율성은 워크로드를 스케일링하여 사용자가 효율적인 방식으로 요구 사항을 충족할 수 있는 기능입니다. 자세한 내용은 성능 효율성 핵심 요소 개요를 참조하세요.

대기 시간이 짧고 대역폭이 높은 Azure 가상 네트워크의 온-프레미스에서 가상 머신으로 통신하는 워크로드의 경우 ExpressRoute FastPath를 사용하는 것이 좋습니다. FastPath를 사용하면 온-프레미스에서 가상 네트워크의 가상 머신으로 직접 트래픽을 보내 ExpressRoute 가상 네트워크 게이트웨이를 우회하여 성능을 높일 수 있습니다.

대기 시간이 짧은 스포크 간 통신의 경우 스포크-스포크 네트워킹을 구성하는 것이 좋습니다.

지점 및 사이트간 연결 수, 필요한 초당 패킷 수, 대역폭 요구 사항 및 TCP 흐름과 같은 요구 사항을 충족하는 적절한 게이트웨이 SKU 를 선택합니다.

SAP 또는 스토리지에 대한 액세스와 같은 대기 시간에 민감한 흐름의 경우 Azure Firewall을 우회하거나 허브를 통해 라우팅하는 것이 좋습니다. Azure Firewall에서 도입된 대기 시간을 테스트하여 의사 결정을 알릴 수 있습니다. 둘 이상의 네트워크를 연결하는 VNet 피어링 또는 가상 네트워크의 프라이빗 엔드포인트를 통해 서비스에 연결할 수 있는 Azure Private Link 와 같은 기능을 사용할 수 있습니다.

AZURE Firewall에서 IDPS(침입 감지 및 방지 시스템)와 같은 특정 기능을 사용하도록 설정하면 처리량이 감소한다는 것을 이해합니다. 자세한 내용은 Azure Firewall 성능을 참조하세요.

시나리오 배포

이 배포에는 허브 가상 네트워크 1개와 연결된 스포크 2개가 포함되며 Azure Firewall 인스턴스 및 Azure Bastion 호스트도 배포됩니다. 필요에 따라 배포에는 첫 번째 스포크 네트워크 및 VPN 게이트웨이에 VM이 포함될 수 있습니다. 가상 네트워크 피어링 또는 Virtual Network Manager 연결 그룹 중에서 선택하여 네트워크 연결을 만들 수 있습니다. 각 메서드에는 여러 배포 옵션이 있습니다.

• 가상 네트워크 피어링 배포를 사용하여 허브 및 스포크

• Virtual Network Manager 연결된 그룹 배포를 사용하여 허브 및 스포크

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

주요 작성자:

• 알레한드라 팔라시오스 | 선임 고객 엔지니어
• Jose Moreno | 수석 엔지니어
• Adam Torkar | Microsoft의 Azure 네트워킹 글로벌 Blackbelt

기타 기여자:

• Matthew Bratschun | 고객 엔지니어
• Jay Li | 선임 제품 관리자
• Telmo Sampaio | 주 서비스 엔지니어링 관리자

공용이 아닌 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.

다음 단계

• Azure Firewall Manager에서 구성하는 보안 가상 허브 및 관련 보안 및 라우팅 정책에 대해 알아보려면 보안 가상 허브란?

고급 시나리오

아키텍처는 이 간단한 허브-스포크 아키텍처와 다를 수 있습니다. 다음은 일부 고급 시나리오에 대한 지침 목록입니다.

• 더 많은 지역을 추가하고 허브를 서로 - 완전히 메시합니다.다중 지역 연결 패턴에 대한 스포크-스포크 네트워킹 및 Azure Route Server를 사용하는 다중 지역 네트워킹

• Azure Firewall을 사용자 지정 NVA(네트워크 가상 어플라이언스) - 로 바꾸기고가용성 NVA 배포

• Azure Virtual Network Gateway를 사용자 지정 SDWAN NVA - 로 바꾸기Azure 허브 및 스포크 네트워크 토폴로지와 SDWAN 통합

• Azure Route Server를 사용하여 ExpressRoute와 VPN 또는 SDWAN 간에 전이성을 제공하거나 Azure 가상 네트워크 게이트웨이에서 BGP를 통해 보급된 접두사를 사용자 지정합니다. - ExpressRoute 및 Azure VPN에 대한 Azure Route Server 지원

• 프라이빗 확인자 또는 DNS 서버 - 추가프라이빗 확인자 아키텍처

관련 참고 자료

다음과 같은 관련 아키텍처를 살펴봅니다.

• 가상 네트워크에 대한 방화벽 및 Application Gateway
• 하이브리드 VPN 연결 문제 해결
• 스포크-스포크 네트워킹
• AKS(Azure Kubernetes Service) 클러스터에 대한 기준 아키텍처