가상 데이터 센터: 네트워크 관점
온-프레미스에서 마이그레이션된 애플리케이션은 최소한의 애플리케이션 변경에도 불구하고 Azure의 안전하고 비용 효율적인 인프라를 활용할 수 있습니다. 기업은 민첩성을 향상시키고 Azure의 기능을 활용하기 위해 아키텍처를 조정하려고 할 수 있습니다.
Microsoft Azure는 엔터프라이즈급 기능과 안정성을 갖춘 하이퍼스케일 서비스 및 인프라를 제공합니다. 이러한 서비스 및 인프라는 하이브리드 연결에서 다양한 옵션을 제공하므로 고객이 인터넷 또는 개인 네트워크 연결을 통해 액세스할 수 있습니다. 또한 Microsoft 파트너는 Azure에서 실행하도록 최적화된 보안 서비스 및 가상 어플라이언스를 제공하여 향상된 기능을 제공할 수 있습니다.
고객은 Azure를 사용하여 인프라를 클라우드로 원활하게 확장하고 다중 계층 아키텍처를 구축할 수 있습니다.
가상 데이터 센터란 무엇일까요?
클라우드는 퍼블릭 애플리케이션을 호스트하는 플랫폼으로 시작되었습니다. 기업은 클라우드의 가치를 인식하고 내부 LOB(기간 업무) 애플리케이션을 마이그레이션하기 시작했습니다. 이러한 애플리케이션에는 클라우드 서비스를 제공할 때 더 많은 유연성이 필요한 보안, 안정성, 성능 및 비용 고려 사항이 추가되었습니다. 새로운 인프라와 네트워킹 서비스는 유연성을 제공하도록 설계되었습니다. 새로운 기능은 탄력적인 크기 조정, 재해 복구 및 기타 고려 사항을 제공합니다.
클라우드 솔루션은 처음에 공용 범위에서 비교적 격리된 단일 애플리케이션을 호스트하도록 설계되었으며 몇 년 동안 잘 작동했습니다. 클라우드 솔루션의 이점이 명확해짐에 따라 클라우드에서 여러 대규모 워크로드가 호스트되었습니다. 보안, 안정성, 성능 및 비용 문제를 해결하는 것은 클라우드 서비스의 배포 및 수명 주기에 매우 중요합니다.
아래 클라우드 배포 예제 다이어그램에서 빨간색 상자는 보안 격차를 강조 표시합니다. 노란색 상자는 워크로드 전체에서 네트워크 가상 어플라이언스를 최적화할 수 있는 기회를 보여 줍니다.
가상 데이터 센터는 엔터프라이즈 워크로드에 필요한 규모를 달성하는 데 도움이 됩니다. 이 규모는 퍼블릭 클라우드에서 대규모 애플리케이션을 실행할 때 발생하는 문제를 해결해야 합니다.
가상 데이터 센터 구현에는 클라우드의 애플리케이션 워크로드 이상이 포함됩니다. 또한 네트워크, 보안, 관리, DNS 및 Active Directory 서비스를 제공합니다. 기업에서 더 많은 워크로드를 Azure로 마이그레이션할 때 이러한 워크로드를 지원하는 인프라와 개체를 고려합니다. 적절한 리소스 관리는 독립적인 데이터 흐름, 보안 모델 및 규정 준수 문제를 통해 별도로 관리되는 "워크로드 아일랜드"의 증가를 방지하는 데 도움이 됩니다.
가상 데이터 센터 개념은 별도의 관련 엔터티 컬렉션을 구현하기 위한 권장 사항 및 고급 디자인을 제공합니다. 이러한 엔터티에는 일반적으로 지원하는 함수, 기능 및 인프라가 있는 경우가 많습니다. 워크로드를 가상 데이터 센터로 확인하면 규모의 경제에서 비용 절감을 실현하는 데 도움이 됩니다. 또한 구성 요소 및 데이터 흐름 중앙 집중화를 통한 최적화된 보안과 더 쉬운 운영, 관리 및 규정 준수 감사에 도움이 됩니다.
참고 항목
가상 데이터 센터는 특정 Azure 서비스가 아닙니다. 대신 요구 사항을 충족하기 위해 다양한 Azure 특징과 기능이 결합됩니다. 가상 데이터 센터는 클라우드에서 리소스와 기능을 최적화하기 위해 워크로드 및 Azure 사용량을 고려하는 방법입니다. 기업의 조직 역할과 책임을 준수하면서 Azure에서 IT 서비스를 제공하는 모듈식 접근 방식을 제공합니다.
가상 데이터 센터는 다음 시나리오와 관련하여 기업이 Azure에서 워크로드 및 애플리케이션을 배포하는 데 도움이 됩니다.
- 여러 관련 워크로드 호스트.
- 온-프레미스 환경에서 Azure로 워크로드를 마이그레이션합니다.
- 워크로드 간에 공유 또는 중앙 집중식 보안 및 액세스 요구 사항을 구현합니다.
- 대기업에 적합하게 DevOps와 중앙 집중식 IT를 혼합합니다.
가상 데이터 센터를 구현해야 하는 사람은 누구인가요?
Azure를 채택하기로 결정한 모든 고객은 모든 애플리케이션에서 일반적으로 사용하도록 리소스 세트를 구성할 수 있는 효율성을 활용할 수 있습니다. 크기에 따라 단일 애플리케이션도 VDC 구현을 구축하는 데 사용되는 패턴과 구성 요소를 활용할 수 있습니다.
일부 조직에서는 IT, 네트워킹, 보안 또는 규정 준수를 위한 팀 또는 부서를 중앙 집중화했습니다. VDC를 구현하면 정책 지점을 적용하고 책임을 분리하며 기본 공통 구성 요소의 일관성을 보장하는 데 도움이 될 수 있습니다. 애플리케이션 팀은 요구 사항에 적합한 자유와 제어를 유지할 수 있습니다.
또한 DevOps 접근 방식을 사용하는 조직은 VDC 개념을 사용하여 권한 있는 Azure 리소스 세트를 제공할 수 있습니다. 이 방법은 DevOps 그룹이 구독 수준 또는 공통 구독의 리소스 그룹 내에 있는 해당 그룹 내에서 완전히 제어되도록 할 수 있습니다. 동시에 네트워크 및 보안 경계는 규정을 준수합니다. 규정 준수는 허브 네트워크 및 중앙에서 관리되는 리소스 그룹의 중앙 집중식 정책에 의해 정의됩니다.
가상 데이터 센터 구현에 대한 고려 사항
가상 데이터 센터를 설계하는 경우 고려해야 할 중요한 문제는 다음과 같습니다.
ID 및 디렉터리 서비스
ID 및 디렉터리 서비스는 온-프레미스 및 클라우드 데이터 센터 모두의 주요 기능입니다. ID는 VDC 구현 내 서비스에 대한 액세스 및 권한 부여의 모든 측면을 다룹니다. 권한 있는 사용자 및 프로세스만 Azure 리소스에 액세스할 수 있도록 Azure에서는 계정 암호, 암호화 키, 디지털 서명 및 인증서를 포함한 여러 유형의 인증 자격 증명을 사용합니다. Microsoft Entra 다단계 인증 은 Azure 서비스에 액세스하기 위한 추가 보안 계층을 제공합니다. 간편한 여러 가지 확인 옵션(전화 통화, 문자 메시지, 모바일 앱 알림)을 통한 강력한 인증을 통해 고객은 원하는 방법을 선택할 수 있습니다.
대기업에서는 VDC 내 또는 전체에서 개별 ID, 해당 인증, 권한 부여, 역할 및 권한의 관리를 설명하는 ID 관리 프로세스를 정의해야 합니다. 이 프로세스의 목표는 비용, 가동 중지 시간 및 반복적인 수동 작업을 줄이면서 보안과 생산성을 높이는 것일 수 있습니다.
기업 조직은 여러 사업 부문에 사용할 까다로운 혼합 서비스가 필요할 수 있습니다. 종종 직원들은 프로젝트에 따라 다양한 역할을 맡습니다. VDC에서는 적절한 거버넌스에 따라 시스템이 실행되도록 하기 위해 구체적으로 역할이 정의된 각 팀 간에 적절한 협력이 필요합니다. 책임, 액세스 및 권한 구조가 복잡할 수 있습니다. VDC의 ID 관리는 Microsoft Entra ID 및 Azure RBAC(Azure 역할 기반 액세스 제어)를 통해 구현됩니다.
디렉터리 서비스는 일상적인 항목 및 네트워크 리소스를 찾고, 관리하고, 관리하고, 구성하는 공유 정보 인프라입니다. 이러한 리소스에는 볼륨, 폴더, 파일, 프린터, 사용자, 그룹, 디바이스 및 기타 개체가 포함될 수 있습니다. 네트워크의 각 리소스는 디렉터리 서버에서 개체로 간주됩니다. 리소스에 대한 정보는 해당 리소스 또는 개체와 연결된 특성의 컬렉션으로 저장됩니다.
모든 Microsoft 온라인 비즈니스 서비스는 로그온 및 기타 ID 요구 사항에 대해 Microsoft Entra ID를 사용합니다. Microsoft Entra ID는 핵심 디렉터리 서비스, 고급 ID 거버넌스 및 애플리케이션 액세스 관리를 결합하는 포괄적인 고가용성 ID 및 액세스 관리 클라우드 솔루션입니다. Microsoft Entra ID는 온-프레미스 Active Directory 통합하여 모든 클라우드 기반 및 로컬로 호스트되는 온-프레미스 애플리케이션에 Single Sign-On을 사용하도록 설정할 수 있습니다. 온-프레미스 Active Directory 사용자 특성은 Microsoft Entra ID에 자동으로 동기화될 수 있습니다.
디렉터리 서비스의 각 특정 부서, 사용자 그룹 또는 서비스에는 VDC 구현 내에서 자체 리소스를 관리하는 데 필요한 최소 권한이 있어야 합니다. 사용 권한을 구성할 때는 균형을 유지해야 합니다. 권한이 너무 많을 경우 성능 효율성이 저하될 수 있으며 너무 적거나 느슨한 권한으로 보안 위험이 증가할 수 있습니다. Azure RBAC(역할 기반 액세스 제어)를 사용하면 VDC 구현에서 리소스에 대한 세분화된 액세스 관리를 제공하여 이 문제를 해결할 수 있습니다.
보안 인프라
보안 인프라는 VDC 구현의 특정 가상 네트워크 세그먼트에서 트래픽을 분리하는 것을 의미합니다. 이 인프라는 VDC 구현에서 수신 및 송신을 제어하는 방법을 지정합니다. Azure는 배포 간에 의도하지 않은 무단 트래픽을 차단하는 다중 테넌트 아키텍처를 기반으로 합니다. 이는 가상 네트워크 격리, 액세스 제어 목록, 부하 분산 장치, IP 필터 및 트래픽 흐름 정책을 사용하여 실행됩니다. NAT(네트워크 주소 변환)는 내부 네트워크 트래픽과 외부 트래픽을 구분합니다.
Azure 패브릭은 인프라 리소스를 테넌트 워크로드에 할당하고 VM(가상 머신)과의 통신을 관리합니다. Azure 하이퍼바이저는 VM 간에 메모리 및 프로세스 분리를 적용하고 네트워크 트래픽을 게스트 OS 테넌트에 안전하게 라우팅합니다.
클라우드에 연결
가상 데이터 센터는 고객, 파트너 또는 내부 사용자에게 서비스를 제공하기 위해 외부 네트워크에 연결해야 합니다. 이러한 연결 요구는 인터넷뿐만 아니라 온-프레미스 네트워크 및 데이터 센터를 의미합니다.
고객은 액세스할 수 있는 서비스와 공용 인터넷에서 액세스할 수 있는 서비스를 제어합니다. Azure Firewall 또는 다른 유형의 가상 네트워크 어플라이언스(NVA)를 사용하여 이 액세스를 제어하고, 사용자 정의 경로를 사용하여 사용자 지정 라우팅 정책을 제어하고, 네트워크 보안 그룹을 사용하여 네트워크 필터링을 제어합니다. 모든 인터넷 연결 리소스는 Azure DDoS Protection에 의해 보호되는 것이 좋습니다.
기업에서는 가상 데이터 센터를 온-프레미스 데이터 센터 또는 기타 리소스에 연결해야 할 수 있습니다. Azure와 온-프레미스 네트워크 간의 이러한 연결은 효과적인 아키텍처를 설계할 때 중요한 측면입니다. 기업에는 이 상호 연결을 만드는 두 가지 방법, 즉 인터넷을 통한 전송 또는 프라이빗 직접 연결을 통한 전송이 있습니다.
Azure 사이트 간 VPN은 온-프레미스 네트워크를 Azure의 가상 데이터 센터에 연결합니다. 링크는 보안 암호화 연결(IPsec 터널)을 통해 설정됩니다. Azure 사이트 간 VPN 연결은 유연하고 빠르게 만들 수 있으며, 일반적으로 더 많은 하드웨어 조달이 필요하지 않습니다. 업계 표준 프로토콜에 따라 대부분의 최신 네트워크 디바이스는 인터넷 또는 기존 연결 경로를 통해 Azure에 대한 VPN 연결을 만들 수 있습니다.
ExpressRoute를 사용하면 가상 데이터 센터와 온-프레미스 네트워크 간의 프라이빗 연결을 설정할 수 있습니다. ExpressRoute 연결은 공용 인터넷을 거치지 않으며, 일관된 대기 시간과 함께 더 높은 보안과 안정성 및 더 빠른 속도(최대 100Gbps)를 제공합니다. ExpressRoute는 프라이빗 연결과 관련된 규정 준수 규칙의 이점을 제공합니다. ExpressRoute Direct를 사용하면 Microsoft 라우터에 직접 10Gbps 또는 100Gbps로 연결할 수 있습니다.
ExpressRoute 연결을 배포하려면 일반적으로 ExpressRoute 서비스 공급자와 협력해야 합니다(ExpressRoute Direct는 예외). 빠르게 시작해야 하는 고객의 경우 처음에는 사이트 간 VPN을 사용하여 가상 데이터 센터와 온-프레미스 리소스 간의 연결을 설정하는 것이 일반적입니다. 서비스 공급자와의 물리적 상호 연결이 완료되면 ExpressRoute 연결을 통해 연결을 마이그레이션합니다.
VPN 또는 ExpressRoute 연결이 많은 경우 Azure Virtual WAN은 Azure를 통해 최적화되고 자동화된 분기 간 연결을 제공하는 네트워킹 서비스입니다. Virtual WAN을 사용하면 Azure와 통신하도록 분기 디바이스에 연결하고 구성할 수 있습니다. 연결 및 구성은 수동으로 또는 Virtual WAN 파트너를 통해 기본 설정 공급자 디바이스를 사용하여 수행할 수 있습니다. 선호하는 공급자 디바이스를 사용하여 사용 편의성, 연결 및 구성 관리의 간소화를 얻을 수 있습니다. Azure WAN 기본 제공 대시보드는 시간을 절약하는 데 도움이 되는 즉각적인 문제 해결 인사이트를 제공하고, 대규모 사이트 간 연결을 쉽게 확인할 수 있는 방법을 제공합니다. 또한 Virtual WAN은 Virtual WAN 허브에서 Azure Firewall 및 Firewall Manager 옵션을 통해 보안 서비스를 제공합니다.
클라우드 내 연결
Azure Virtual Network 및 가상 네트워크 피어링은 가상 데이터 센터의 기본 네트워킹 구성 요소입니다. 가상 네트워크는 가상 데이터 센터 리소스에 대한 격리 경계를 보장합니다. 피어링을 사용하면 동일한 Azure 지역 내의 서로 다른 가상 네트워크 간, 지역 간, 심지어 다른 구독의 네트워크 간에도 상호 통신할 수 있습니다. 트래픽 흐름은 가상 네트워크 내부 및 가상 네트워크 사이에서 네트워크 보안 그룹, 방화벽 정책(Azure Firewall 또는 네트워크 가상 어플라이언스) 및 사용자 지정 사용자 정의 경로에 지정된 보안 규칙 집합으로 제어할 수 있습니다.
가상 네트워크는 Azure Storage, Azure SQL 및 퍼블릭 엔드포인트가 있는 기타 통합 퍼블릭 서비스와 같은 PaaS(Platform as a Service) Azure 제품을 통합하기 위한 앵커 지점입니다. 서비스 엔드포인트 및 Azure Private Link를 사용하면 퍼블릭 서비스를 프라이빗 네트워크와 통합할 수 있습니다. 퍼블릭 서비스를 프라이빗 서비스로 사용할 수도 있지만, 여전히 Azure 관리형 PaaS 서비스를 활용할 수 있습니다.
가상 데이터 센터 개요
토폴로지
가상 데이터 센터는 요구 사항과 크기 조정 요구 사항에 따라 다음과 같은 상위 수준 토폴로지 중 하나를 사용하여 구축할 수 있습니다.
플랫 토폴로지에서 모든 리소스는 단일 가상 네트워크에 배포됩니다. 서브넷은 흐름 제어 및 분리를 허용합니다.
메시 토폴로지에서 가상 네트워크 피어링은 모든 가상 네트워크를 직접 상호 연결합니다.
피어링 허브 및 스포크 토폴로지는 분산 애플리케이션 및 책임이 위임된 팀에 적합합니다.
Azure Virtual WAN 토폴로지는 대규모 지점 시나리오와 글로벌 WAN 서비스를 지원할 수 있습니다.
피어링 허브 및 스포크 토폴로지와 Azure Virtual WAN 토폴로지는 모두 통신, 공유 리소스 및 중앙 집중식 보안 정책에 최적화된 허브 및 스포크 디자인을 사용합니다. 허브는 가상 네트워크 피어링 허브(다이어그램에서 Hub Virtual Network
레이블로 지정됨) 또는 Virtual WAN 허브(다이어그램에서 Azure Virtual WAN
레이블로 지정됨)를 사용하여 구축됩니다. Azure Virtual WAN은 대규모 분기 간 및 분기-Azure 통신에 맞게 설계되거나 가상 네트워킹 피어링 허브에서 모든 구성 요소를 개별적으로 구축하는 복잡성을 방지하도록 설계되었습니다. 경우에 따라 허브의 네트워크 가상 어플라이언스에 대한 요구 사항과 같은 요구 사항에는 가상 네트워크 피어링 허브 디자인이 필요할 수 있습니다.
허브 및 스포크 토폴로지에서 허브는 인터넷, 온-프레미스 및 스포크와 같은 서로 다른 영역 간의 모든 트래픽을 제어하고 검사하는 중앙 네트워크 영역입니다. 허브 및 스포크 토폴로지를 사용하면 IT 부서가 중앙에서 보안 정책을 적용할 수 있습니다. 또한 잘못된 구성 및 노출 가능성을 줄입니다.
스포크에서 사용하는 공통 서비스 구성 요소가 허브에 포함되는 경우가 많습니다. 다음은 일반적인 중앙 서비스의 예제입니다.
- 신뢰할 수 없는 네트워크에서 액세스하는 제3자가 스포크의 워크로드에 대한 액세스 권한을 얻기 위해 사용자 인증을 받는 데 필요한 Windows Active Directory 인프라. 여기에는 관련 AD FS(Active Directory Federation Services)가 포함됨
- Azure DNS를 사용하지 않는 경우 스포크의 워크로드에 대한 이름을 확인하고 온-프레미스 및 인터넷의 리소스에 액세스하는 데 사용되는 DNS(Distributed Name System) 서비스
- 워크로드에 대한 Single Sign-On을 구현하는 데 사용되는 PKI(공개 키 인프라) 인프라
- 스포크 네트워크 영역과 인터넷 간의 TCP 및 UDP 트래픽 흐름 제어
- 스포크와 온-프레미스 간의 흐름 제어
- 필요한 경우 한 스포크와 또 다른 스포크 간의 흐름 제어
가상 데이터 센터는 여러 스포크 간에 공유 허브 인프라를 사용하여 전체 비용을 줄입니다.
각 스포크 역할은 다양한 유형의 워크로드를 호스트하는 것입니다. 스포크는 동일한 워크로드의 반복 가능한 배포에 대한 모듈식 접근 방식도 제공합니다. 예를 들어 개발/테스트, 사용자 승인 테스트, 사전 프로덕션 및 프로덕션이 있습니다. 스포크는 조직 내에서 다른 그룹을 분리하고 사용하도록 설정할 수도 있습니다. DevOps 그룹은 스포크에서 수행할 수 있는 작업의 좋은 예입니다. 스포크 내에서 계층 간 트래픽 제어를 통해 기본 워크로드 또는 복잡한 다중 계층 워크로드를 배포할 수 있습니다.
구독 제한 및 여러 허브
Important
Azure 배포 크기에 따라 다중 허브 전략이 필요할 수 있습니다. 허브 및 스포크 전략을 디자인하는 경우 "이 디자인이 이 지역의 다른 허브 가상 네트워크를 사용하도록 확장할 수 있나요?" 및 "이 디자인이 여러 지역을 수용하도록 확장할 수 있나요?"라고 물어봅니다. 계획하지 않고 필요한 것으로 확장하는 것보다 확장할 수 있지만 필요하지 않은 디자인을 계획하는 것이 훨씬 더 좋습니다.
보조(또는 그 이상) 허브로 크기를 조정하는 경우는 일반적으로 고유한 크기 조정 제한을 기반으로 하는 몇 가지 요인에 따라 달라집니다. 크기 조정을 설계하는 경우 구독, 가상 네트워크 및 가상 머신 제한을 검토해야 합니다.
Azure에서 모든 구성 요소는 유형에 관계없이 Azure 구독에 배포됩니다. 다른 Azure 구독에서 Azure 구성 요소를 격리하면 차별화된 수준의 액세스 및 권한 부여 설정과 같은 다양한 비즈니스 라인의 요구 사항을 충족할 수 있습니다.
단일 VDC 구현을 여러 스포크를 스케일 업할 수 있습니다. 하지만 모든 IT 시스템과 같이 플랫폼 제한이 있습니다. 허브 배포는 특정 Azure 구독에 구속되므로 제한 사항 및 한도가 적용됩니다(예: 가상 네트워크 피어링의 최대 수. 자세한 내용은 Azure 구독 및 서비스 한도, 할당량 및 제약 조건 참조). 이러한 한도가 문제가 될 수 있는 경우 단일 허브-스포크에서 허브 및 스포크 클러스터로 모델을 확장함으로써 아키텍처를 추가적으로 스케일 업할 수 있습니다. 하나 이상의 Azure 지역에 있는 여러 허브는 가상 네트워크 피어링, ExpressRoute, Virtual WAN 또는 사이트 간 VPN을 사용하여 연결할 수 있습니다.
여러 허브를 도입하면 시스템 비용 및 관리 업무가 증가합니다. 확장성, 시스템 제한, 중복도, 최종 사용자 성능을 위한 지역 복제 또는 재해 복구로 인해서만 정당화됩니다. 여러 허브가 필요한 시나리오에서는 모든 허브가 작동 편의를 위해 동일한 서비스 집합을 제공하려고 합니다.
스포크 간 상호 연결
단일 스포크 또는 플랫 네트워크 디자인 내에서는 복잡한 다중 계층 워크로드를 구현할 수 있습니다. 다중 계층 구성은 동일한 가상 네트워크에서 모든 계층 또는 애플리케이션에 대해 하나씩 있는 서브넷을 사용하여 구현할 수 있습니다. 트래픽 제어 및 필터링은 네트워크 보안 그룹 및 사용자 정의 경로를 사용하여 수행됩니다.
설계자는 여러 가상 네트워크에 다중 계층 워크로드를 배포하려고 할 수 있습니다. 가상 네트워크 피어링을 사용하면 스포크는 동일한 허브 또는 다른 허브의 다른 스포크에 연결할 수 있습니다. 이 시나리오의 일반적인 예는 애플리케이션 처리 서버가 하나의 스포크 또는 가상 네트워크에 있는 경우입니다. 데이터베이스는 다른 스포크 또는 가상 네트워크에 배포됩니다. 이 경우 가상 네트워크 피어링을 통해 스포크를 쉽게 상호 연결하여 허브를 통한 전송을 방지할 수 있습니다. 허브를 무시해도 허브에만 있을 수 있는 중요한 보안 또는 감사 지점을 무시하지 않도록 아키텍처 및 보안을 신중하게 검토를 완료합니다.
또한 스포크를 허브로 작동하는 스포크에 상호 연결할 수 있습니다. 이 접근 방식은 두 수준의 계층 구조를 만듭니다. 상위 수준(수준 0)의 스포크는 계층 구조에서 하위 스포크(수준 1)의 허브가 됩니다. VDC 구현을 위한 스포크는 중앙 허브로 트래픽을 전달하는 데 필요합니다. 그런 다음 트래픽은 온-프레미스 네트워크 또는 공용 인터넷의 대상으로 전송할 수 있습니다. 두 가지 수준의 허브가 있는 아키텍처는 간단한 허브-스포크 관계의 이점을 제거하는 복잡한 라우팅을 도입합니다.
Azure에서는 복잡한 토폴로지를 허용하지만 VDC 개념의 핵심 원리 중 하나는 반복성과 단순성입니다. 관리 작업을 최소화하기 위해 간단한 허브-스포크 디자인은 권장되는 VDC 참조 아키텍처입니다.
구성 요소
가상 데이터 센터는 인프라, 경계 네트워크, 워크로드 및 모니터링의 네 가지 기본 구성 요소 유형으로 구성됩니다.
각 구성 요소 유형은 다양한 Azure 기능 및 리소스로 구성됩니다. VDC 구현은 여러 구성 요소 유형 및 동일한 구성 요소 유형의 다양한 변형 인스턴스로 구성됩니다. 예를 들어 여러 애플리케이션을 나타내는 논리적으로 구분된 여러 워크로드 인스턴스가 있을 수 있습니다. 이러한 다양한 구성 요소 형식 및 인스턴스를 사용하여 VDC를 구축합니다.
앞에 나온 VDC의 대략적인 개념 아키텍처는 허브-스포크 토폴로지의 여러 영역에 사용되는 다양한 구성 요소 형식을 보여 줍니다. 이 다이어그램에서는 아키텍처의 여러 부분에 있는 인프라 구성 요소를 보여 줍니다.
일반적으로 액세스 권한 및 사용 권한을 그룹 기반으로 구성하는 것이 좋습니다. 개별 사용자가 아닌 그룹을 처리하면 팀 전체에서 관리할 수 있는 일관된 방법과 구성 오류를 최소화할 수 있는 지원을 제공하며, 이를 통해 액세스 정책을 쉽게 유지 관리할 수 있습니다. 해당 그룹에서 사용자를 할당 및 제거하여 특정 사용자의 권한을 최신 상태로 유지할 수 있습니다.
각 역할 그룹의 이름에 고유한 접두사가 있을 수 있습니다. 이 접두사를 보면 어떤 워크로드가 어떤 그룹과 연결되었는지 쉽게 식별할 수 있습니다. 예를 들어 인증 서비스를 호스트하는 워크로드에는 AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps 및 AuthServiceInfraOps라는 그룹이 있을 수 있습니다. 중앙 집중식 역할 또는 특정 서비스와 관련이 없는 역할은 Corp 접두사를 붙일 수 있습니다(예: CorpNetOps).
많은 조직에서 다음 그룹의 변형을 사용하여 역할의 주요 분석을 제공합니다.
- Corp라는 중앙 IT 팀에는 인프라 구성 요소를 제어할 수 있는 소유권이 있습니다. 네트워킹 및 보안을 예로 들 수 있습니다. 그룹은 구독에 대한 기여자 역할, 허브 제어 및 스포크에서 네트워크 기여자 권한이 있어야 합니다. 대규모 조직은 여러 팀 간에 이러한 관리 책임을 자주 분할합니다. 예를 들어 네트워킹에만 중점을 둔 네트워크 작업 CorpNetOps 그룹과 방화벽 및 보안 정책을 담당하는 보안 작업 CorpSecOps 그룹이 있습니다. 이 특정 경우 이러한 사용자 지정 역할을 할당하기 위해 두 개의 다른 그룹을 만들어야 합니다.
- AppDevOps라는 개발/테스트 그룹은 앱 또는 서비스 워크로드를 배포해야 합니다. 이 그룹은 IaaS 배포에 대한 가상 머신 기여자 역할 또는 하나 이상의 PaaS 기여자 역할을 수행합니다. 자세한 정보는 Azure 기본 제공 역할을 참조하세요. 필요에 따라 개발/테스트 팀에는 허브 또는 특정 스포크 내의 보안 정책(네트워크 보안 그룹) 및 라우팅 정책(사용자 정의 경로)에 대한 가시성이 필요할 수 있습니다. 워크로드에 대한 기여자의 역할 외에도 이 그룹에는 네트워크 판독기의 역할도 필요합니다.
- CorpInfraOps 또는 AppInfraOps라는 운영 및 유지 관리 그룹은 프로덕션에서 워크로드를 관리해야 합니다. 이 그룹은 모든 프로덕션 구독의 워크로드에 대한 구독 기여자여야 합니다. 일부 조직에서는 프로덕션 및 중앙 허브 구독에서 구독 기여자 역할을 갖는 에스컬레이션 지원 팀 그룹이 필요한지 평가할 수도 있습니다. 다른 그룹은 프로덕션 환경의 잠재적 구성 문제를 해결합니다.
VDC는 허브를 관리하는 중앙 IT 팀 그룹이 워크로드 수준에서 해당 그룹에 포함되도록 설계되었습니다. 허브 리소스를 관리하는 것 외에도 중앙 IT 팀은 구독에 대한 외부 액세스 및 최상위 권한을 제어할 수 있습니다. 또한 워크로드 그룹은 중앙 IT 팀과 독립적으로 가상 네트워크의 리소스와 권한을 제어할 수 있습니다.
가상 데이터 센터는 여러 사업 부문에서 여러 프로젝트를 안전하게 호스트할 수 있도록 분할됩니다. 모든 프로젝트에는 격리된 다른 환경(개발, UAT 및 프로덕션)이 필요합니다. 이러한 각 환경에 대해 별도의 Azure 구독을 통해 자연스럽게 격리할 수 있습니다.
위의 다이어그램은 조직의 프로젝트, 사용자, 그룹 및 Azure 구성 요소가 배포되는 환경 간의 관계를 보여 줍니다.
일반적으로 IT에서 환경(또는 계층)은 여러 애플리케이션이 배포되고 실행되는 시스템입니다. 대기업은 개발 환경(변경 및 테스트가 수행되는 환경)과 프로덕션 환경(최종 사용자가 사용하는 환경)을 사용합니다. 이러한 환경은 분리되며, 각 환경 사이에는 단계별 배포(롤아웃), 테스트 및 롤백(문제가 있는 경우)을 허용하는 몇 개의 스테이징 환경이 있습니다. 배포 아키텍처는 크게 다르지만 일반적으로 개발(DEV)에서 시작하여 프로덕션(PROD)에서 종료하는 기본 프로세스는 계속 수행됩니다.
이러한 유형의 다중 계층 환경에 대한 일반적인 아키텍처에는 개발 및 테스트를 위한 DevOps, 준비를 위한 UAT 및 프로덕션 환경이 포함됩니다. 조직은 단일 또는 여러 Microsoft Entra 테넌트에서 이러한 환경에 대한 액세스 및 권한을 정의할 수 있습니다. 이전 다이어그램에서는 두 가지 Microsoft Entra 테넌트가 사용되는 경우를 보여 줍니다. 하나는 DevOps 및 UAT용이고 다른 하나는 프로덕션 전용입니다.
서로 다른 Microsoft Entra 테넌트가 있으면 환경 간의 분리가 적용됩니다. 중앙 IT 팀과 같은 동일한 사용자 그룹은 다른 URI를 사용하여 다른 Microsoft Entra 테넌트에 액세스하여 인증해야 합니다. 이를 통해 팀은 프로젝트의 DevOps 또는 프로덕션 환경의 역할 또는 권한을 수정할 수 있습니다. 다양한 환경에 액세스하기 위한 다양한 사용자 인증이 있으면 사용자 오류로 인해 발생할 수 있는 중단 및 기타 문제를 줄일 수 있습니다.
구성 요소 유형: 인프라
이 구성 요소 유형은 대부분의 지원 인프라가 상주하는 위치입니다. 중앙 집중식 IT, 보안 및 규정 준수 팀이 대부분의 시간을 보내는 위치이기도 합니다.
인프라 구성 요소는 VDC 구현의 다양한 구성 요소에 대한 상호 연결을 제공하며 허브와 스포크 모두에 있습니다. 인프라 구성 요소를 관리하고 유지 관리하는 책임은 일반적으로 중앙 IT 팀 또는 보안 팀에 할당됩니다.
IT 인프라 팀의 주요 작업 중 하나는 기업 전체에서 IP 주소 스키마의 일관성을 보장하는 것입니다. VDC 구현에 할당된 개인 IP 주소 공간은 일관되어야 하며, 온-프레미스 네트워크에 할당된 개인 IP 주소와 겹치지 않아야 합니다.
온-프레미스 에지 라우터 또는 Azure 환경의 NAT는 IP 주소 충돌을 방지할 수 있지만 인프라 구성 요소에 복잡성을 더합니다. 관리의 단순성은 VDC의 주요 목표 중 하나입니다. NAT를 사용하여 IP 문제를 처리하지만 유효한 솔루션은 권장되지 않습니다.
인프라 구성 요소에는 다음과 같은 기능이 있습니다.
- ID 및 디렉터리 서비스: Azure의 모든 리소스 종류에 대한 액세스는 디렉터리 서비스에 저장된 ID에 의해 제어됩니다. 디렉터리 서비스는 사용자 목록 뿐만 아니라 특정 Azure 구독의 리소스에 대한 액세스 권한도 저장합니다. 이러한 서비스는 클라우드에 존재하거나 Active Directory에 저장된 온-프레미스 ID와 동기화될 수 있습니다.
- 가상 네트워크: 가상 네트워크는 VDC의 주요 구성 요소 중 하나이며 Azure 플랫폼에서 트래픽 격리 경계를 만들 수 있도록 합니다. 가상 네트워크는 각각 특정 IP 네트워크 접두사(서브넷, IPv4 또는 이중 스택 IPv4/IPv6)가 있는 단일 또는 여러 가상 네트워크 세그먼트로 구성됩니다. 가상 네트워크는 IaaS 가상 머신 및 PaaS 서비스가 프라이빗 통신을 구성할 수 있는 내부 경계 영역을 정의합니다. 한 가상 네트워크의 VM(및 PaaS 서비스)은 다른 가상 네트워크의 VM(및 PaaS 서비스)과 직접 통신할 수 없습니다. 동일한 고객이 동일한 구독에서 두 가상 네트워크를 만든 경우에도 마찬가지입니다. 격리는 고객 VM과 통신이 가상 네트워크 안에서 프라이빗 상태를 유지하는 데 있어 중요한 속성입니다. 네트워크 간 연결이 필요한 경우 다음 기능은 이를 수행할 수 있는 방법을 설명합니다.
- 가상 네트워크 피어링: VDC의 인프라를 만드는 데 사용되는 기본 기능은 가상 네트워크 피어링으로, 동일한 지역에 있는 두 개의 가상 네트워크를 연결합니다. 이 연결은 Azure 데이터 센터 네트워크를 통해 또는 지역 전체의 Azure 전 세계 백본을 사용하여 발생합니다.
- Virtual Network 서비스 엔드포인트: 서비스 엔드포인트는 PaaS 공간을 포함하도록 가상 네트워크 개인 주소 공간을 확장합니다. 또한 엔드포인트는 직접 연결을 통해 가상 네트워크의 ID를 Azure 서비스로 확장합니다. 엔드포인트를 사용하면 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있습니다.
- 프라이빗 링크: Azure Private Link를 사용하면 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure PaaS 서비스(예: Azure Storage, Azure Cosmos DB 및 Azure SQL Database) 및 Azure 호스팅 고객/파트너에게 액세스할 수 있습니다. 가상 네트워크와 서비스 간의 트래픽은 Microsoft 백본 네트워크를 통해 이동하여 공용 인터넷에서 노출을 제거합니다. 또한 가상 네트워크에서 자체 Private Link 서비스를 만들어 고객에게 개인적으로 제공할 수 있습니다. Azure Private Link를 사용하는 설정 및 사용 환경은 Azure PaaS, 고객 소유/공유 파트너 서비스에서 일관적입니다.
- 사용자 정의 경로: 가상 네트워크의 트래픽은 기본적으로 시스템 라우팅 테이블을 기준으로 라우팅됩니다. 사용자 정의 경로는 네트워크 관리자가 하나 이상의 서브넷에 연결하여 시스템 라우팅 테이블의 동작을 재정의하고 가상 네트워크 내에서 통신 경로를 정의할 수 있는 사용자 지정 라우팅 테이블입니다. 사용자 정의 경로가 있으면 스포크의 트래픽이 허브와 스포크 모두에 있는 특정 사용자 지정 VM 또는 네트워크 가상 어플라이언스 및 부하 분산 장치를 통해 전송됩니다.
- 네트워크 보안 그룹: 네트워크 보안 그룹은 IP 원본, IP 대상, 프로토콜, IP 원본 포트 및 IP 대상 포트(계층 4 5개 튜플이라고도 함)에서 트래픽 필터링 역할을 하는 보안 규칙 목록입니다. 네트워크 보안 그룹은 서브넷, Azure VM과 연결된 가상 NIC 또는 둘 다에 적용할 수 있습니다. 네트워크 보안 그룹은 허브와 스포크에서 올바른 흐름 제어를 구현하는 데 필수적입니다. 네트워크 보안 그룹에서 제공하는 보안 수준은 여는 포트와 용도에 따라 달라집니다. 고객은 iptables 또는 Windows 방화벽 같은 호스트 기반 방화벽을 사용하여 VM당 필터를 더 많이 적용할 수 있습니다.
- DNS: DNS는 가상 데이터 센터의 리소스에 대한 이름 확인을 제공합니다. Azure는 퍼블릭 및 프라이빗 이름 확인 모두에 대한 DNS 서비스를 제공합니다. 프라이빗 영역은 가상 네트워크 내와 가상 네트워크 간에서 이름 확인을 제공합니다. 프라이빗 영역은 동일한 지역의 가상 네트워크뿐 아니라 여러 Azure 지역과 구독까지 포함할 수 있습니다. 공용 확인을 위해 Azure DNS는 DNS 도메인에 대한 호스팅 서비스를 제공하고 Microsoft Azure 인프라를 사용하는 이름 확인을 제공합니다. Azure에 도메인을 호스트하면 다른 Azure 서비스와 동일한 자격 증명, API, 도구 및 대금 청구를 사용하여 DNS 레코드를 관리할 수 있습니다.
- 관리 그룹, 구독 및 리소스 그룹 관리. 구독은 Azure에서 여러 리소스 그룹을 만드는 자연 경계를 정의합니다. 이 분리는 기능, 역할 분리 또는 청구를 위한 것일 수 있습니다. 구독의 리소스는 '리소스 그룹'이라는 논리 컨테이너에서 함께 어셈블됩니다. 리소스 그룹은 가상 데이터 센터에서 리소스를 구성하기 위한 논리 그룹을 나타냅니다. 조직에 구독이 많은 경우 해당 구독에 대한 액세스, 정책 및 규정 준수를 효율적으로 관리하는 방법이 필요할 수 있습니다. Azure 관리 그룹은 구독 상위 수준의 범위를 제공합니다. 구독을 '관리 그룹'이라는 컨테이너에 구성하고 거버넌스 조건을 관리 그룹에 적용합니다. 관리 그룹에 속하는 모든 구독은 관리 그룹에 적용되는 조건을 자동으로 상속합니다. 계층 구조 보기에서 이러한 세 가지 기능을 보려면 클라우드 채택 프레임워크에서 리소스 구성을 참조하세요.
- Azure RBAC(Azure 역할 기반 액세스 제어): Azure RBAC는 조직 역할 및 권한을 매핑하여 특정 Azure 리소스에 액세스할 수 있습니다. 이렇게 하면 특정 작업의 하위 집합으로만 사용자를 제한할 수 있습니다. Microsoft Entra ID를 온-프레미스 Active Directory 동기화하는 경우 온-프레미스에서 사용하는 것과 동일한 Active Directory 그룹을 Azure에서 사용할 수 있습니다. Azure RBAC를 사용하면 관련 범위 내에서 적절한 역할을 사용자, 그룹 및 애플리케이션에 할당하여 액세스 권한을 부여할 수 있습니다. 역할 할당의 범위는 Azure 구독, 리소스 그룹 또는 단일 리소스일 수 있습니다. Azure RBAC는 권한 상속을 허용합니다. 부모 범위에서 할당된 역할은 역할 내에 포함된 하위 항목에 대한 액세스를 부여합니다. Azure RBAC를 사용하면 업무를 분리하고 작업을 수행하는 데 필요한 액세스 권한만 사용자에게 부여할 수 있습니다. 예를 들어 한 직원은 구독에서 가상 머신을 관리할 수 있고, 다른 직원은 동일한 구독에서 SQL Server 데이터베이스를 관리할 수 있습니다.
구성 요소 유형: 경계 네트워크
경계 네트워크(DMZ 네트워크라고도 함)의 구성 요소는 인터넷 연결과 함께 온-프레미스 또는 물리적 데이터 센터 네트워크를 연결합니다. 경계에는 일반적으로 네트워크 및 보안 팀의 상당한 시간 투자가 필요합니다.
들어오는 패킷은 스포크의 백 엔드 서버 및 서비스에 도달하기 전에 허브의 보안 어플라이언스를 통과할 수 있습니다. 예를 들어 방화벽, IDS 및 IPS가 있습니다. 워크로드의 인터넷 바인딩 패킷도 네트워크에 도착하기 전에 경계 네트워크의 보안 어플라이언스를 통과할 수 있습니다. 이 흐름을 통해 정책 적용, 검사 및 감사를 수행할 수 있습니다.
경계 네트워크 구성 요소는 다음과 같습니다.
- 가상 네트워크, 사용자 정의 경로 및 네트워크 보안 그룹
- 네트워크 가상 어플라이언스
- Azure Load Balancer
- Azure Application Gateway(WAF(웹 애플리케이션 방화벽) 포함)
- 공용 IP
- Azure Front Door(WAF(웹 애플리케이션 방화벽) 포함)
- Azure Firewall 및 Azure Firewall Manager
- 표준 DDoS Protection
일반적으로 중앙 IT 팀과 보안 팀은 경계 네트워크에 대한 요구 사항을 정의하고 운영해야 합니다.
앞의 다이어그램에서는 인터넷 및 온-프레미스 네트워크에 액세스할 수 있는 두 개의 경계(모두 DMZ 허브에 상주)를 적용하는 것을 보여 줍니다. DMZ 허브에서 인터넷에 대한 경계 네트워크는 WAF(웹 애플리케이션 방화벽) 또는 Azure Firewall의 여러 팜을 사용하여 여러 사업 부문을 지원하도록 스케일 업할 수 있습니다. 또한 허브는 필요에 따라 VPN 또는 ExpressRoute를 통한 온-프레미스 연결을 허용합니다.
참고 항목
앞의 다이어그램에 있는 DMZ Hub
에서는 다음 기능 중 대부분을 Azure Virtual WAN 허브(예: 가상 네트워크, 사용자 정의 경로, 네트워크 보안 그룹, VPN 게이트웨이, ExpressRoute 게이트웨이, Azure Load Balancer, Azure Firewall, Firewall Manager 및 DDOS)에서 함께 번들로 묶을 수 있습니다. Azure Virtual WAN 허브를 사용하면 Azure Virtual WAN 허브를 배포할 때 Azure에서 대부분의 엔지니어링 복잡성을 처리하므로 허브 가상 네트워크와 VDC를 훨씬 쉽게 만들 수 있습니다.
가상 네트워크 일반적으로 허브는 다른 유형의 서비스를 호스트하는 여러 서브넷과 함께 가상 네트워크에서 구축됩니다. 이러한 서비스는 Azure Firewall, NVA, WAF 및 Azure Application Gateway 인스턴스를 통해 인터넷으로 또는 인터넷에서 트래픽을 필터링 및 검사합니다.
사용자 정의 경로. 고객은 사용자 정의 경로를 사용하여 방화벽, IDS/IPS 및 기타 가상 어플라이언스를 배포할 수 있습니다. 보안 경계 정책 적용, 감사 및 검사를 위해 이러한 보안 어플라이언스를 통해 네트워크 트래픽을 라우팅할 수 있습니다. 트래픽이 VDC 구현에서 사용되는 특정 사용자 지정 VM, 네트워크 가상 어플라이언스 및 부하 분산 장치를 통해 전송되도록 허브와 스포크 모두에서 사용자 정의 경로를 만들 수 있습니다. 스포크 내 가상 머신에서 생성된 트래픽이 올바른 가상 어플라이언스로 전송되게 하려면 스포크의 서브넷에서 사용자 정의 경로를 설정해야 합니다. 이는 내부 부하 분산 장치의 프런트 엔드 IP 주소를 다음 홉으로 설정하여 수행됩니다. 내부 부하 분산 장치는 내부 트래픽을 가상 어플라이언스(부하 분산 장치 백 엔드 풀)에 배포합니다.
Azure Firewall은 Azure Virtual Network 리소스를 보호하는 관리형 네트워크 보안 서비스입니다. 고가용성과 클라우드 확장성을 갖춘 상태 저장 관리형 방화벽입니다. 구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다. Azure Firewall은 가상 네트워크 리소스에 고정 공용 IP 주소를 사용합니다. 외부 방화벽이 사용자의 가상 네트워크에서 시작되는 트래픽을 식별할 수 있습니다. 이 서비스는 로깅 및 분석을 위해 Azure Monitor와 완전히 통합됩니다.
Azure Virtual WAN 토폴로지를 사용하는 경우 Azure Firewall Manager는 클라우드 기반 보안 경계에 대한 중앙 보안 정책 및 경로 관리를 제공하는 보안 관리 서비스입니다. 허브 및 스포크 아키텍처를 쉽게 만들 수 있는 Microsoft 관리 리소스인 Azure Virtual WAN 허브에서 작동합니다. 보안 및 라우팅 정책이 허브와 연결된 경우에는 보안 가상 허브라고도 합니다.
네트워크 가상 어플라이언스. 허브에서 인터넷에 액세스할 수 있는 경계 네트워크는 일반적으로 Azure Firewall 인스턴스 또는 방화벽 또는 WAF(웹 애플리케이션 방화벽) 팜을 통해 관리됩니다.
다양한 사업 부문에서는 일반적으로 다양한 취약성과 잠재적인 악용으로 고통받는 경향이 있는 많은 웹 애플리케이션을 사용합니다. 웹 애플리케이션 방화벽은 일반적인 방화벽보다는 좀 더 효율적인 방식으로 웹 애플리케이션 HTTP/HTTPS에 대한 공격을 감지하는 데 사용되는 특수한 제품입니다. 기존 방화벽 기술과 비교하여 WAF에는 위협으로부터 내부 웹 서버를 보호하기 위한 특정 기능 집합이 있습니다.
Azure Firewall 또는 NVA 방화벽은 공통 관리 평면을 사용하며, 스포크에 호스트되는 워크로드를 보호하고 온-프레미스 네트워크에 대한 액세스를 제어하는 보안 규칙 세트를 적용합니다. Azure Firewall에는 확장성이 기본 제공되는 반면 NVA 방화벽은 부하 분산 장치 뒤에서 수동으로 확장할 수 있습니다. 일반적으로 방화벽 팜에는 WAF에 비해 덜 특수화된 소프트웨어가 있지만 송신 및 수신의 모든 유형의 트래픽을 필터링하고 검사하는 광범위한 애플리케이션 범위가 있습니다. NVA 접근 방식을 사용하는 경우 Azure Marketplace에서 찾아서 배포할 수 있습니다.
인터넷에서 시작되는 트래픽에 하나의 Azure Firewall 인스턴스 또는 NVA 집합을 사용하고, 온-프레미스에서 발생하는 트래픽에 다른 트래픽을 사용합니다. 두 네트워크 트래픽 집합 간에 보안 경계를 제공하지 않으므로 둘 다에 대해 하나의 방화벽 집합만 사용하는 것은 보안 위험입니다. 별도의 방화벽 레이어를 사용하면 보안 규칙을 검사하는 복잡성이 줄어들고, 이를 통해 들어오는 네트워크 요청에 해당하는 규칙이 명확해집니다.
Azure Load Balancer는 들어오는 트래픽을 부하 분산 집합에 정의된 서비스 인스턴스 간에 분산할 수 있는 고가용성 계층 4(TCP/UDP) 서비스를 제공합니다. 프런트 엔드 엔드포인트(공용 IP 엔드포인트 또는 개인 IP 엔드포인트)에서 부하 분산 장치로 보낸 트래픽은 주소 변환의 사용 여부에 관계없이 백 엔드 IP 주소 풀 세트(예: 네트워크 가상 어플라이언스 또는 가상 머신)로 다시 배포할 수 있습니다.
Azure Load Balancer는 다양한 서버 인스턴스의 상태를 프로브할 수 있습니다. 인스턴스가 프로브에 응답하지 못하면 부하 분산 장치는 비정상 인스턴스로 트래픽 전송을 중지합니다. 데이터 센터에서 외부 부하 분산 장치는 허브 및 스포크에 배포됩니다. 허브에서 부하 분산 장치는 방화벽 인스턴스 간에 트래픽을 효율적으로 라우팅하는 데 사용됩니다. 스포크에서 부하 분산 장치는 애플리케이션 트래픽을 관리하는 데 사용됩니다.
AFD(Azure Front Door)는 가용성과 확장성이 우수한 Microsoft의 웹 애플리케이션 가속 플랫폼, 글로벌 HTTP 부하 분산 장치, 애플리케이션 보호 및 콘텐츠 배달 네트워크입니다. Microsoft 글로벌 네트워크의 에지에 있는 100개가 넘는 위치에서 실행되는 AFD를 사용하면 동적 웹 애플리케이션 및 정적 콘텐츠를 구축, 운영 및 스케일 아웃할 수 있습니다. AFD는 세계적 수준의 최종 사용자 성능, 통합 지역/스탬프 유지 관리 자동화, BCDR 자동화, 통합 클라이언트/사용자 정보, 캐싱 및 서비스 인사이트를 애플리케이션에 제공합니다.
플랫폼에서 제공하는 것은 다음과 같습니다.
- 성능, 안정성 및 지원 SLA(서비스 수준 계약).
- 규정 준수 인증
- Azure에서 개발, 운영 및 기본적으로 지원하는 감사 가능한 보안 사례
Azure Front Door는 일반적인 취약성 및 노출로부터 웹 애플리케이션을 보호하는 WAF(웹 애플리케이션 방화벽)도 제공합니다.
Azure Application Gateway는 관리되는 애플리케이션 전송 컨트롤러를 제공하는 전용 가상 어플라이언스입니다. 애플리케이션에 대한 다양한 계층 7 부하 분산 기능을 제공합니다. 이를 통해 CPU 집약적인 SSL 종료를 애플리케이션 게이트웨이에 오프로드하여 웹 팜 성능을 최적화할 수 있습니다. 또한 들어오는 트래픽의 라운드 로빈 배포, 쿠키 기반 세션 선호도, URL 경로 기반 라우팅 및 단일 애플리케이션 게이트웨이 내부에서 여러 웹 사이트를 호스트할 수 있는 기능과 같은 다른 계층 7 라우팅 기능을 제공합니다. WAF(웹 애플리케이션 방화벽) 또한 Application Gateway WAF SKU의 일부로 제공됩니다. 이 SKU는 일반적인 웹 취약성 및 악용으로부터 웹 애플리케이션을 보호합니다. Application Gateway는 인터넷 연결 게이트웨이, 내부 전용 게이트웨이 또는 둘의 조합으로 구성할 수 있습니다.
공용 IP. 일부 Azure 기능을 사용하면 인터넷에서 리소스에 액세스할 수 있도록 서비스 엔드포인트를 공용 IP 주소에 연결할 수 있습니다. 이 엔드포인트는 NAT를 사용하여 트래픽을 Azure의 가상 네트워크에 있는 내부 주소 및 포트로 라우팅합니다. 이 경로는 외부 트래픽이 가상 네트워크로 전달되는 기본 방법입니다. 공용 IP 주소를 구성하여 전달되는 트래픽과 가상 네트워크로 변환되는 방법 및 위치를 확인할 수 있습니다.
Azure DDoS Protection 은 Azure 가상 네트워크 리소스에 맞게 특별히 조정된 기본 서비스 계층에 대해 더 많은 완화 기능을 제공합니다. DDoS Protection은 사용하기 쉽고 애플리케이션을 변경할 필요가 없습니다. 보호 정책은 전용 트래픽 모니터링 및 기계 학습 알고리즘을 통해 조정됩니다. 정책은 가상 네트워크에 배포된 리소스와 연결된 공용 IP 주소에 적용됩니다. 예를 들어 Azure Load Balancer, Azure Application Gateway 및 Azure Service Fabric 인스턴스가 있습니다. 시스템 생성 로그는 공격 중인 상태에서 및 기록에 대해 Azure Monitor 보기를 통해 근 실시간으로 사용할 수 있습니다. Azure Application Gateway 웹 애플리케이션 방화벽을 통해 애플리케이션 계층 보호를 추가할 수 있습니다. IPv4 및 IPv6 Azure 공용 IP 주소에 대해 보호가 제공됩니다.
허브 및 스포크 토폴로지는 가상 네트워크 피어링 및 사용자 정의 경로를 사용하여 트래픽을 적절하게 라우팅합니다.
다이어그램에서 사용자 정의 경로는 트래픽이 ExpressRoute 게이트웨이를 통해 온-프레미스로 전달되기 전에 스포크에서 방화벽으로 이동하도록 합니다(방화벽 정책에서 해당 흐름을 허용하는 경우).
구성 요소 유형: 모니터링
모니터링 구성 요소는 다른 모든 구성 요소 유형의 가시성 및 경고를 제공합니다. 모든 팀은 액세스 권한이 있는 구성 요소 및 서비스에 대한 모니터링에 액세스할 수 있습니다. 중앙 집중식 지원 센터 또는 운영 팀이 있는 경우 이러한 구성 요소에서 제공하는 데이터에 대한 통합 액세스 권한이 필요합니다.
Azure는 다양한 유형의 로깅 및 모니터링 서비스를 제공하여 Azure 호스팅 리소스의 동작을 추적합니다. Azure의 워크로드 거버넌스 및 제어는 로그 데이터 수집뿐 아니라 보고된 특정 이벤트를 기준으로 작업을 트리거하는 기능을 토대로 제공됩니다.
Azure Monitor Azure에는 모니터링 공간에서 특정 역할이나 태스크를 개별적으로 수행하는 여러 서비스가 포함됩니다. 이러한 서비스는 모두 애플리케이션 및 이를 지원하는 Azure 리소스로부터 시스템 생성 로그를 수집하고 분석하고 처리하는 종합적인 솔루션을 제공합니다. 이러한 서비스가 하이브리드 모니터링 환경을 제공하기 위해 중요한 온-프레미스 리소스를 모니터링하기 위해 작동할 수도 있습니다. 사용 가능한 도구와 데이터를 이해하는 것은 애플리케이션에 대한 전체 모니터링 전략을 개발하는 첫 번째 단계입니다.
Azure Monitor에는 두 가지 기본 유형의 로그가 있습니다.
메트릭은 시간상 특정 지점에서 시스템의 일부 측면을 설명하는 숫자 값입니다. 메트릭은 간단하며 근 실시간 시나리오를 지원할 수 있습니다. 많은 Azure 리소스의 경우 Azure Monitor가 수집한 데이터는 Azure Portal의 개요 페이지에서 바로 볼 수 있습니다. 예를 들어 가상 머신을 살펴보면 성능 메트릭을 표시하는 여러 차트를 볼 수 있습니다. 그래프 중 하나를 선택하여 Azure Portal의 메트릭 탐색기에서 데이터를 열면 시간 경과에 따른 여러 메트릭 값을 차트로 표시할 수 있습니다. 대화형으로 차트를 보거나 다른 시각화 요소를 사용하여 보려는 대시보드에 고정할 수 있습니다.
로그에는 각 형식에 대해 다양한 속성 집합이 포함된 레코드로 구성된 다양한 데이터 형식이 포함됩니다. 이벤트 및 추적은 분석을 위해 모두 결합할 수 있는 성능 데이터와 함께 로그로 저장됩니다. Azure Monitor로 수집한 로그 데이터는 수집된 데이터를 신속하게 검색, 통합 및 분석하는 쿼리로 분석할 수 있습니다. 로그는 Log Analytics에서 저장되고 쿼리됩니다. Azure Portal에서 Log Analytics를 사용하여 쿼리를 만들고 테스트하며 이러한 도구를 사용하여 데이터를 직접 분석하거나 시각화 또는 경고 규칙에 사용하기 위해 쿼리를 저장할 수 있습니다.
Azure Monitor는 다양한 원본에서 데이터를 수집할 수 있습니다. 애플리케이션, 운영 체제 및 사용하는 서비스에서 Azure 플랫폼 자체에 이르기까지 계층의 애플리케이션에 대한 데이터 모니터링을 생각할 수 있습니다. Azure Monitor는 다음과 같은 각 계층에서 데이터를 수집합니다.
- 애플리케이션 모니터링 데이터: 플랫폼에 관계없이 작성한 코드의 성능과 기능에 대한 데이터입니다.
- 게스트 OS 모니터링 데이터: 애플리케이션이 실행되고 있는 운영 체제에 대한 데이터입니다. 이 OS는 Azure, 다른 클라우드 또는 온-프레미스에서 실행될 수 있습니다.
- Azure 리소스 모니터링 데이터: Azure 리소스의 작업에 대한 데이터입니다.
- Azure 구독 모니터링 데이터: Azure 구독의 운영 및 관리와 Azure 자체의 상태 및 작업에 대한 데이터입니다.
- Azure 테넌트 모니터링 데이터: Microsoft Entra ID와 같은 테넌트 수준 Azure 서비스의 운영에 대한 데이터입니다.
- 사용자 지정 원본: 온-프레미스 원본에서 보낸 로그도 포함될 수 있습니다. 예를 들어 온-프레미스 서버 이벤트 또는 네트워크 디바이스 syslog 출력이 있습니다.
데이터 모니터링은 계산 환경의 작업에 대한 가시성을 높일 수 있는 경우에만 유용합니다. Azure Monitor는 애플리케이션 및 애플리케이션에서 사용하는 다른 리소스에 대한 소중한 인사이트를 제공하는 여러 기능과 도구를 포함하고 있습니다. 모니터링 솔루션 및 기능(예: Application Insights 및 컨테이너용 Azure Monitor)은 애플리케이션 및 특정 Azure 서비스의 다양한 측면에 대한 심층적인 인사이트를 제공합니다.
Azure Monitor의 모니터링 솔루션은 특정 애플리케이션 또는 서비스에 대한 인사이트를 제공하는 패키지된 논리 집합입니다. 여기에는 애플리케이션 또는 서비스에 대한 모니터링 데이터를 수집하기 위한 논리, 해당 데이터를 분석하기 위한 쿼리 및 시각화를 위한 뷰가 포함됩니다. 모니터링 솔루션은 다양한 Azure 서비스 및 기타 애플리케이션에 대한 모니터링을 제공하기 위해 Microsoft 및 파트너에서 사용할 수 있습니다.
이러한 풍부한 데이터가 모두 수집되면 수동 쿼리만으로는 충분하지 않은 환경에서 발생하는 이벤트에 대해 사전 조치를 취하는 것이 중요합니다. Azure Monitor의 경고는 위험한 상황을 사전에 알리고 잠재적으로 조치를 취합니다. 메트릭을 기반으로 하는 경고 규칙은 숫자 값을 기준으로 근 실시간으로 경고를 제공합니다. 로그를 기반으로 하는 경고 규칙을 사용하면 여러 원본의 데이터에 걸쳐 복잡한 논리를 허용할 수 있습니다. Azure Monitor의 경고 규칙은 고유한 수신자 집합 및 여러 규칙 간에 공유할 수 있는 작업을 포함하는 작업 그룹을 사용합니다. 요구 사항에 따라 작업 그룹은 경고에서 외부 작업을 시작하거나 ITSM 도구와 통합하도록 하는 웹후크를 사용할 수 있습니다.
또한 Azure Monitor를 사용하면 사용자 지정 대시보드를 만들 수 있습니다. Azure 대시보드를 사용하면 메트릭과 로그를 포함한 다양한 종류의 데이터를 Azure Portal의 단일 창으로 결합할 수 있습니다. 필요에 따라 대시보드를 다른 Azure 사용자와 공유할 수 있습니다. 로그 쿼리 또는 메트릭 차트의 출력 외에도 Azure Monitor 전체의 요소를 Azure 대시보드에 추가할 수 있습니다. 예를 들어 메트릭 그래프, 활동 로그 표, Application Insights의 사용량 차트, 로그 쿼리를 나타내는 타일이 조합된 대시보드를 만들 수 있습니다.
마지막으로 Azure Monitor 데이터는 Power BI에 대한 네이티브 원본입니다. Power BI는 다양한 데이터 원본에서 대화형 시각화를 제공하는 비즈니스 분석 서비스입니다. 또한 조직 내부 및 외부의 다른 사람들이 데이터를 사용할 수 있도록 하는 효과적인 수단입니다. Azure Monitor에서 자동으로 로그 데이터를 가져오도록 Power BI를 구성하여 이러한 더 많은 시각화를 활용할 수 있습니다.
Azure Network Watcher는 메트릭을 모니터링, 진단 및 확인하고, Azure의 가상 네트워크에 있는 리소스에 대한 로그를 사용하거나 사용하지 않도록 설정하는 도구를 제공합니다. 다음 기능 등을 허용하는 다각적인 서비스입니다.
- 가상 머신과 엔드포인트 간의 통신 모니터링.
- 가상 네트워크의 리소스와 해당 리소스의 관계 보기.
- VM에서 또는 VM에서 네트워크 트래픽 필터링 문제를 진단합니다.
- VM에서 네트워크 경로 설정 문제 진단.
- VM에서 아웃바운드 연결을 진단합니다.
- VM에 대한 패킷 캡처.
- 가상 네트워크 게이트웨이 및 연결에 대한 문제 진단
- Azure 지역과 인터넷 서비스 공급자 간의 상대 대기 시간을 결정합니다.
- 네트워크 인터페이스에 대한 보안 규칙을 봅니다.
- 네트워크 메트릭을 봅니다.
- 네트워크 보안 그룹의 트래픽을 분석합니다.
- 네트워크 리소스에 대한 진단 로그 보기.
구성 요소 유형: 워크로드
워크로드 구성 요소는 실제 애플리케이션 및 서비스가 있는 위치입니다. 애플리케이션 개발 팀에서 대부분의 시간을 보내는 위치입니다.
워크로드 가능성은 무한합니다. 다음은 몇 가지 가능한 워크로드 유형입니다.
내부 애플리케이션: LOB(기간 업무) 애플리케이션은 기업 운영에 매우 중요합니다. 이러한 애플리케이션에는 다음과 같은 몇 가지 공통적인 특성이 있습니다.
- 대화형: 데이터가 입력되고 결과 또는 보고서가 반환됩니다.
- 데이터 기반: 데이터베이스 또는 기타 스토리지에 자주 액세스하는 데이터 집약적입니다.
- 통합: 조직 내부 또는 외부의 다른 시스템과의 통합을 제공합니다.
고객 연결 웹사이트(인터넷 연결 또는 내부 연결): 대부분의 인터넷 애플리케이션은 웹사이트입니다. Azure는 IaaS 가상 머신 또는 Azure Web Apps 사이트(PaaS)를 통해 웹 사이트를 실행할 수 있습니다. Azure Web Apps는 가상 네트워크와 통합되어 웹앱을 스포크 네트워크 영역에 배포합니다. 내부 연결 웹 사이트는 개인 가상 네트워크에서 인터넷으로 라우팅할 수 없는 개인 주소를 통해 리소스에 액세스할 수 있으므로 퍼블릭 인터넷 엔드포인트를 공개할 필요가 없습니다.
빅 데이터 분석: 데이터를 더 큰 볼륨으로 스케일 업해야 하는 경우 관계형 데이터베이스는 데이터의 과도한 부하 또는 비정형 특성에서 제대로 수행하지 않을 수 있습니다. Azure HDInsight는 엔터프라이즈용 클라우드의 전체 범위 관리형 오픈 소스 분석 서비스입니다. Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, R. HDInsight와 같은 오픈 소스 프레임워크를 사용할 수 있습니다. 이렇게 하면 가상 데이터 센터의 스포크에서 클러스터에 배포할 수 있는 위치 기반 가상 네트워크에 배포할 수 있습니다.
이벤트 및 메시징: Azure Event Hubs 는 빅 데이터 스트리밍 플랫폼 및 이벤트 수집 서비스입니다. 초당 수백만 개의 이벤트를 수신하고 처리할 수 있습니다. 짧은 대기 시간과 구성 가능한 시간 보존을 제공하므로 대량의 데이터를 Azure로 수집하고 여러 애플리케이션에서 읽을 수 있습니다. 단일 스트림은 실시간 및 일괄 처리 기반 파이프라인을 모두 지원할 수 있습니다.
Azure Service Bus를 통해 애플리케이션과 서비스 간에 매우 안정적인 클라우드 메시징 서비스를 구현할 수 있습니다. 클라이언트와 서버 간의 조정된 비동기 메시징, 구조적 FIFO(선입 선출) 메시징 및 게시/구독 기능을 제공합니다.
이러한 예제는 Azure에서 만들 수 있는 워크로드 유형의 표면을 거의 긁지 않습니다. 기본 웹, SQL 앱부터 최신 IoT, 빅 데이터, 기계 학습, AI 등까지 모든 것을 만들 수 있습니다.
고가용성: 여러 가상 데이터 센터
지금까지 이 문서에서는 단일 VDC 디자인에 집중하여 복원력에 기여하는 기본 구성 요소와 아키텍처를 설명했습니다. Azure Load Balancer, NVA, 가용성 영역, 가용성 집합, 확장 집합 및 견고한 SLA 수준을 프로덕션 서비스에 포함하는 데 도움이 되는 기타 기능과 같은 Azure 기능입니다.
그러나 가상 데이터 센터는 일반적으로 단일 지역 내에서 구현되므로 전체 지역에 영향을 주는 가동 중단에 취약할 수 있습니다. 고가용성이 필요한 고객은 서로 다른 지역에 배포된 둘 이상의 VDC 구현에서 동일한 프로젝트를 배포하여 서비스를 보호해야 합니다.
SLA 문제 외에도 여러 가상 데이터 센터를 실행하면 다음과 같은 몇 가지 일반적인 시나리오에서 이점을 얻을 수 있습니다.
- 최종 사용자 또는 파트너의 지역 또는 글로벌 영향력
- 재해 복구 요구 사항
- 부하 또는 성능을 위해 트래픽을 데이터 센터 간에 전환하는 메커니즘
지역/글로벌 입지
Azure 데이터 센터는 전 세계 여러 지역에 있습니다. 여러 Azure 데이터 센터를 선택하는 경우 지리적 거리와 대기 시간이라는 두 가지 관련 요소를 고려합니다. 사용자 환경을 최적화하려면 각 가상 데이터 센터 간의 거리와 각 가상 데이터 센터에서 최종 사용자까지의 거리를 평가합니다.
가상 데이터 센터를 호스트하는 Azure 지역은 조직이 운영되는 모든 법적 관할권의 규정 요구 사항을 준수해야 합니다.
재해 복구
재해 복구 계획의 디자인은 워크로드 유형과 여러 VDC 구현 간에 해당 워크로드의 상태를 동기화하는 기능에 따라 달라집니다. 이상적으로 대부분의 고객은 빠른 장애 조치(failover) 메커니즘을 원하며, 이 요구 사항은 여러 VDC 구현에서 실행되는 배포 간에 애플리케이션 데이터 동기화가 필요할 수 있습니다. 그러자 재해 복구 계획을 설계할 때는 대부분의 애플리케이션이 이러한 데이터 동기화로 인해 발생할 수 있는 대기 시간에 민감하다는 사실을 감안하는 것이 중요합니다.
다른 VDC 구현에서 애플리케이션의 동기화 및 하트비트 모니터링을 사용하려면 네트워크를 통해 통신해야 합니다. 서로 다른 지역의 여러 VDC 구현은 다음을 통해 연결할 수 있습니다.
- 동일한 Virtual WAN의 지역 간에 Azure Virtual WAN 허브에 기본 제공되는 허브 간 통신
- 지역 간에 허브를 연결하는 가상 네트워크 피어링
- ExpressRoute 개인 피어링(각 VDC 구현의 허브가 동일한 ExpressRoute 회로에 연결되는 경우)
- 회사 백본을 통해 연결된 여러 ExpressRoute 회로 및 ExpressRoute 회로에 연결된 여러 VDC 구현
- 각 Azure 지역에 있는 VDC 구현의 허브 영역 사이의 사이트 간 VPN 연결
일반적으로 Virtual WAN 허브, 가상 네트워크 피어링 또는 ExpressRoute 연결은 Microsoft 백본을 통과할 때 더 높은 대역폭과 일관된 대기 시간 수준으로 인해 네트워크 연결에 대해 기본적으로 설정됩니다.
네트워크 적격 테스트를 실행하여 이러한 연결의 대기 시간과 대역폭을 확인하고, 결과에 따라 동기 또는 비동기 데이터 복제가 적절한지 여부를 결정합니다. RTO(최적 복구 시간 목표)를 보기 위해 이러한 결과를 평가하는 것도 중요합니다.
재해 복구: 한 지역에서 다른 지역으로 트래픽 전환
Azure Traffic Manager 및 Azure Front Door는 모두 서로 다른 VDC 구현에서 수신 대기 엔드포인트의 서비스 상태를 주기적으로 확인합니다. 이러한 엔드포인트가 실패하는 경우 Azure Traffic Manager 및 Azure Front Door는 다음으로 가장 가까운 VDC로 자동으로 라우팅합니다. Traffic Manager는 실시간 사용자 측정 및 DNS를 사용하여 사용자를 가장 가까운(또는 실패 시 다음으로 가까운) 엔드포인트로 라우팅합니다. Azure Front Door는 100개가 넘는 Microsoft 백본 에지 사이트에서 역방향 프록시이며, 애니캐스트를 사용하여 사용자를 가장 가까운 수신 대기 엔드포인트로 라우팅합니다.
요약
마이그레이션에 대한 가상 데이터 센터 접근 방식은 Azure 리소스 사용을 최적화하고, 비용을 낮추며, 시스템 거버넌스를 간소화하는 확장성 있는 아키텍처를 만듭니다. 가상 데이터 센터는 일반적으로 허브 및 스포크 네트워크 토폴로지(가상 네트워크 피어링 또는 Virtual WAN 허브 사용)를 기반으로 합니다. 허브에서 제공되는 공통 공유 서비스와 특정 애플리케이션 및 워크로드가 스포크에 배포됩니다. 또한 가상 데이터 센터는 중앙 IT, DevOps, 운영 및 유지 관리와 같은 다양한 부서 모두에서 특정 역할을 수행하면서 서로 협력하는 회사 역할의 구조와 일치합니다. 가상 데이터 센터는 기존 온-프레미스 워크로드를 Azure로 마이그레이션하도록 지원하지만, 클라우드 네이티브 배포에도 많은 이점을 제공합니다.
참조
이 문서에서 설명하는 Azure 기능에 대해 자세히 알아봅니다.
Monitoring
Network Watcher
Azure Monitor
Log Analytics
모범 사례
관리 그룹
구독 관리
리소스 그룹 관리
Azure 구독 제한
다음 단계
- 허브 및 스포크 토폴로지의 핵심 기술인 가상 네트워크 피어링에 대해 자세히 알아봅니다.
- Azure 역할 기반 액세스 제어를 사용하도록 Microsoft Entra ID를 구현합니다.
- 조직의 구조, 요구 사항 및 정책에 맞는 Azure 역할 기반 액세스 제어를 사용하여 구독 및 리소스 관리 모델을 개발합니다. 가장 중요한 활동은 계획입니다. 재구성, 합병, 신제품 라인 및 기타 고려 사항이 초기 모델에 미치는 영향을 분석하여 향후 요구 사항과 성장에 맞게 크기 조정할 수 있도록 합니다.