인터넷 연결 디자인 고려 사항
Azure VMware Solution에서 인터넷에 대한 아웃바운드 액세스를 만들고 Azure VMware Solution 프라이빗 클라우드의 리소스에 대한 인바운드 인터넷 액세스를 사용하도록 설정하는 세 가지 기본 패턴이 있습니다.
보안 제어, 가시성, 용량 및 운영에 대한 요구 사항에 따라 인터넷 액세스를 Azure VMware Solution 프라이빗 클라우드에 전달하는 적절한 방법을 선택할 수 있습니다.
Azure에서 호스트되는 인터넷 서비스
Azure에서 기본 경로를 생성하고 Azure VMware Solution 프라이빗 클라우드 또는 온-프레미스에 보내는 여러 가지 방법이 있습니다. 옵션은 다음과 같습니다.
- Virtual WAN Hub의 Azure 방화벽
- Virtual WAN Hub 스포크 가상 네트워크의 타사 네트워크 가상 어플라이언스
- Azure Route Server를 사용하는 네이티브 Azure Virtual Network의 타사 네트워크 가상 어플라이언스
- Global Reach를 통해 온-프레미스에서 Azure VMware Solution으로 전송되는 기본 경로
이러한 패턴 중 하나를 사용하여 허용되는 원본을 제어하고, 연결 로그를 보고, 일부 서비스에 대해 추가 트래픽 검사를 수행할 수 있는 기능을 아웃바운드 SNAT 서비스에 제공합니다.
또한 동일한 서비스에서 Azure 공용 IP를 사용하고, 인터넷에서 Azure VMware Solution의 대상으로의 인바운드 DNAT를 만들 수 있습니다.
여러 경로를 인터넷 트래픽에 활용하는 환경을 빌드할 수도 있습니다. 하나는 아웃바운드 SNAT(예: 타사 보안 NVA)용이고, 다른 하나는 인바운드 DNAT(예: SNAT 풀을 반환 트래픽에 사용하는 타사 부하 분산 장치 NVA)용입니다.
Azure VMware Solution 관리형 SNAT
관리형 SNAT 서비스는 Azure VMware Solution 프라이빗 클라우드에서 아웃바운드 인터넷 액세스를 위한 간단한 방법을 제공합니다. 이 서비스의 기능은 다음과 같습니다.
- 쉽게 사용하도록 설정됨 – [인터넷 연결] 탭에서 라디오 단추를 선택하면 모든 워크로드 네트워크에서 SNAT 게이트웨이를 통해 인터넷에 아웃바운드 방식으로 즉시 액세스할 수 있습니다.
- SNAT 규칙에 대한 제어가 없으며 SNAT 서비스에 도달하는 모든 원본이 허용됩니다.
- 연결 로그에 대한 가시성이 없습니다.
- 두 개의 공용 IP가 사용되며 최대 128k의 동시 아웃바운드 연결을 지원하기 위해 회전됩니다.
- Azure VMware Solution 관리형 SNAT에서는 인바운드 DNAT 기능을 사용할 수 없습니다.
NSX Edge에 대한 Azure 공용 IPv4 주소
이 옵션은 할당된 Azure 공용 IPv4 주소를 NSX Edge에 직접 가져와 사용할 수 있습니다. Azure VMware Solution 프라이빗 클라우드는 필요에 따라 NSX에서 공용 네트워크 주소를 직접 사용하고 적용할 수 있습니다. 이러한 주소는 다음 유형의 연결에 사용됩니다.
- 아웃바운드 SNAT
- 인바운드 DNAT
- VMware NSX Advanced Load Balancer 및 기타 타사 네트워크 가상 어플라이언스를 사용하여 부하 분산
- 워크로드 VM 인터페이스에 직접 연결된 애플리케이션
또한 이 옵션을 사용하면 타사 네트워크 가상 어플라이언스에서 공용 주소를 구성하여 DMZ를 Azure VMware Solution 프라이빗 클라우드 내에 만들 수 있습니다.
기능은 다음과 같습니다.
- 크기 조정 – 애플리케이션에 필요한 경우 64개의 Azure 공용 IPv4 주소에 대한 소프트 제한을 할당된 Azure 공용 IP 1,000개로 늘리도록 요청할 수 있습니다.
- 유연성 – Azure 공용 IPv4 주소는 NSX 에코시스템의 어디에서나 적용할 수 있습니다. VMware의 NSX Advanced Load Balancer 또는 타사 네트워크 가상 어플라이언스와 같은 부하 분산 장치에서 SNAT 또는 DNAT를 제공하는 데 사용할 수 있습니다. 또한 VMware 세그먼트의 타사 네트워크 가상 보안 어플라이언스에서 사용하거나 VM에서 직접 사용할 수도 있습니다.
- 지역성 – NSX Edge에 대한 Azure 공용 IPv4 주소는 로컬 SDDC에 고유합니다. 인터넷 의도에 대한 로컬 출구가 있는 "분산 지역의 다중 프라이빗 클라우드"의 경우 Azure에서 호스트되는 보안 또는 SNAT 서비스에 대한 기본 경로 전파를 제어하려고 시도하는 대신 트래픽을 로컬로 보내는 것이 더 쉽습니다. 공용 IP가 구성된 둘 이상의 Azure VMware Solution 프라이빗 클라우드가 연결된 경우 둘 모두에 로컬 출구가 있을 수 있습니다.
옵션 선택에 대한 고려 사항
선택하는 옵션은 다음 요인에 따라 달라집니다.
- Azure 네이티브 엔드포인트에서 모든 인터넷 트래픽을 검사하는 Azure 네이티브에서 프로비전된 보안 검사 지점에 Azure VMware 프라이빗 클라우드를 추가하려면 Azure 네이티브 구성을 사용하고 Azure에서 Azure VMware Solution 프라이빗 클라우드로 기본 경로를 누출합니다.
- 보안 검사 또는 간소화된 운영 비용에 대한 기존 표준을 준수하기 위해 타사 네트워크 가상 어플라이언스를 실행해야 하는 경우 두 가지 옵션이 있습니다. 기본 경로 메서드를 사용하여 Azure 네이티브에서 Azure 공용 IPv4 주소를 실행하거나 NSX Edge에 대한 Azure 공용 IPv4 주소를 사용하여 Azure VMware Solution에서 실행할 수 있습니다.
- 네이티브 Azure에서 실행되거나 Azure Firewall에서 프로비전된 네트워크 가상 어플라이언스에 할당할 수 있는 Azure 공용 IPv4 주소 수에 대한 크기 조정 제한이 있습니다. NSX Edge에 대한 Azure 공용 IPv4 주소 옵션을 사용하면 할당이 더 높아집니다(1,000과 100s).
- 로컬 지역의 각 프라이빗 클라우드에서 인터넷으로의 지역화된 출구를 위해 NSX Edge에 대한 Azure 공용 IPv4 주소를 사용합니다. 서로 통신하고 인터넷과 통신해야 하는 여러 Azure 지역에서 여러 Azure VMware Solution 프라이빗 클라우드를 사용하는 경우 Azure VMware Solution 프라이빗 클라우드를 Azure의 보안 서비스와 일치시키는 것이 어려울 수 있습니다. 이 어려움은 Azure의 기본 경로가 작동하는 방식 때문입니다.
Important
기본적으로 NSX를 사용하는 공용 IPv4 주소는 ExpressRoute 프라이빗 피어링 연결을 통해 Azure/Microsoft 소유의 공용 IP 주소 교환을 허용하지 않습니다. 즉, ExpressRoute를 통해 고객 VNet 또는 온-프레미스 네트워크에 공용 IPv4 주소를 보급할 수 없습니다. Azure VMware Solution 프라이빗 클라우드가 ExpressRoute를 통해 연결된 경우에도 NSX 트래픽이 있는 모든 공용 IPv4 주소는 인터넷 경로를 사용해야 합니다. 자세한 내용은 ExpressRoute 회로 피어링을 참조하세요.
다음 단계
관리형 SNAT를 Azure VMware Solution 워크로드에 사용