다음을 통해 공유


기존 Azure 네트워킹 토폴로지

Important

대규모로 네트워크를 쉽게 관리하고 모니터링할 수 있도록 Azure 리소스의 시각화를 제공하는 토폴로지를 경험해 보세요. 토폴로지 기능을 사용하여 리소스와 구독, 지역 및 위치 간의 종속성을 시각화할 수 있습니다.

이 문서에서는 Microsoft Azure의 네트워크 토폴로지에 대한 주요 디자인 고려 사항 및 권장 사항에 대해 설명합니다. 다음 다이어그램은 기존 Azure 네트워크 토폴로지를 보여줍니다.

기존 Azure 네트워크 토폴로지를 보여 주는 다이어그램

디자인 고려 사항

  • 다양한 네트워크 토폴로지를 사용하여 여러 랜딩 존 가상 네트워크를 연결할 수 있습니다. 네트워크 토폴로지의 예로는 허브 및 스포크, 전체 메시 및 하이브리드 토폴로지가 있습니다. 여러 Azure ExpressRoute 회로 또는 연결을 통해 연결된 여러 가상 네트워크를 가질 수도 있습니다.

  • 가상 네트워크는 구독 경계를 트래버스할 수 없습니다. 그러나 가상 네트워크 피어링, ExpressRoute 회로 또는 VPN 게이트웨이를 사용하여 여러 구독에서 가상 네트워크 간의 연결을 달성할 수 있습니다.

  • 가상 네트워크 피어링은 Azure에서 가상 네트워크를 연결하는 데 선호되는 방법입니다. 가상 네트워크 피어링을 사용하여 동일한 지역, 다른 Azure 지역 및 다른 Microsoft Entra 테넌트 간에 가상 네트워크를 연결할 수 있습니다.

  • 가상 네트워크 피어링과 전역 가상 네트워크 피어링은 전이적이지 않습니다. 트랜짓 네트워크를 사용하려면 UDR(사용자 정의 경로) 및 NVA(네트워크 가상 어플라이언스)가 필요합니다. 자세한 내용은 Azure의 허브 스포크 네트워크 토폴로지를 참조하세요.

  • 단일 Microsoft Entra 테넌트에 있는 모든 가상 네트워크에서 Azure DDoS Protection 계획을 공유하여 공용 IP 주소로 리소스를 보호할 수 있습니다. 자세한 내용은 DDoS Protection를 참조하세요.

    • DDoS Protection 계획은 공용 IP 주소가 있는 리소스에만 적용됩니다.

    • DDoS Protection 계획과 관련된 모든 보호된 가상 네트워크에서 DDoS Protection 계획의 비용에는 공용 IP 주소 100개가 포함됩니다. 더 많은 리소스에 대한 보호는 더 많은 비용이 듭니다. 자세한 내용은 DDoS Protection 가격 책정 또는 FAQ를 참조하세요.

    • DDoS Protection 계획의 지원되는 리소스를 검토합니다.

  • ExpressRoute 회로를 사용하여 동일한 지정학적 지역 내의 가상 네트워크 간에 연결을 설정할 수도 있고 지정학적 지역에 대한 프리미엄 추가 기능을 사용할 수 있다. 다음 포인트를 기억하세요.

    • 네트워크 간 트래픽은 MSEE(Microsoft Enterprise Edge) 라우터에서 트래픽이 헤어핀해야 하므로 대기 시간이 길어질 수 있습니다.

    • ExpressRoute 게이트웨이 SKU는 대역폭을 제한합니다.

    • 가상 네트워크 전반의 트래픽에 대한 UDR을 검사하거나 기록해야 하는 경우 UDR을 배포하고 관리합니다.

  • BGP(Border Gateway Protocol)를 사용하는 VPN 게이트웨이는 Azure 및 온-프레미스 네트워크 내에서 전이적이지만, 기본적으로 ExpressRoute를 통해 연결된 네트워크에 대한 전이적 액세스를 제공하지는 않습니다. ExpressRoute를 통해 연결된 네트워크에 대한 전이적 액세스가 필요한 경우 Azure Route Server를 고려합니다.

  • 여러 ExpressRoute 회로를 동일한 가상 네트워크에 연결한 경우, 연결 가중치 또는 BGP 기술을 사용하여 온-프레미스 네트워크와 Azure 간의 트래픽에 최적의 경로를 제공해야 합니다. 자세한 내용은 ExpressRoute 라우팅 최적화를 참조하세요.

BGP 메트릭을 사용하여 ExpressRoute 라우팅에 영향을 미치는 경우, Azure 플랫폼 외부에서 구성을 변경해야 합니다. 조직 또는 연결 공급자는 그에 따라 온-프레미스 라우터를 구성해야 합니다.

  • 프리미엄 추가 기능이 있는 ExpressRoute 회로는 전역 연결을 제공합니다.

  • ExpressRoute에는 각 ExpressRoute 게이트웨이에 대한 최대 ExpressRoute 연결 수를 포함하여 특정 제한이 있습니다. 또한 ExpressRoute 프라이빗 피어링에는 Azure에서 온-프레미스로 식별할 수 있는 경로 수에 대한 최대 제한이 있습니다. 자세한 내용은 ExpressRoute 제한을 참조하세요.

  • VPN 게이트웨이의 최대 집계 처리량은 초당 10기가비트입니다. VPN 게이트웨이는 최대 100개의 사이트 간 또는 네트워크 간 터널을 지원합니다.

  • NVA가 아키텍처의 일부인 경우 NVA와 가상 네트워크 간의 동적 라우팅을 간소화하기 위해 Route Server를 고려합니다. Route Server를 사용하여 BGP를 지원하는 NVA와 Azure 가상 네트워크의 Azure SDN(소프트웨어 정의 네트워크) 간에 BGP를 통해 직접 라우팅 정보를 교환합니다. 이 방법을 사용하여 경로 테이블을 수동으로 구성하거나 유지 관리할 필요가 없습니다.

디자인 권장 사항

  • 다음 시나리오에는 기존의 허브 스포크 네트워크 토폴로지 기반 네트워크 디자인을 고려해 봅니다.

    • 단일 Azure 지역 내에 배포되는 네트워크 아키텍처

    • 여러 Azure 지역에 걸쳐 있고 지역 간 랜딩 존을 위한 가상 네트워크 간의 전이적 연결이 필요 없는 네트워크 아키텍처

    • 여러 Azure 지역에 걸쳐 있는 네트워크 아키텍처 및 Azure 지역 전역에서 가상 네트워크를 연결할 수 있는 가상 네트워크 피어링

    • VPN과 ExpressRoute 연결 간의 전이적 연결이 필요 없음

    • 사용 중인 기본 하이브리드 연결 방법이 ExpressRoute이며 VPN 연결 수가 VPN 게이트웨이당 100개 미만

    • 중앙 집중식 NVA 및 세분화된 라우팅에 종속되어 있음

  • 지역 배포의 경우 주로 각 스포크 Azure 지역에 대한 지역 허브와 함께 허브 및 스포크 토폴로지를 사용합니다. 다음 시나리오에서는 가상 네트워크 피어링을 사용하여 지역 중앙 허브 가상 네트워크에 연결하는 애플리케이션 랜딩 존 가상 네트워크를 사용합니다.

    • 서로 다른 두 피어링 위치에서 사용하도록 설정된 ExpressRoute를 통한 프레미스 간 연결입니다. 자세한 내용은 복원력을 위한 ExpressRoute 설계 및 아키텍처를 참조하세요.

    • 분기 연결을 위한 VPN입니다.

    • NVA 및 UDR을 통한 스포크 간 연결

    • Azure Firewall 또는 다른 타사 NVA를 통한 인터넷 아웃바운드 보호.

  • 다음 다이어그램은 허브 및 스포크 토폴로지를 표시합니다. 이 구성을 사용하면 트래픽을 적절하게 제어하고 세분화 및 검사에 대한 대부분의 요구 사항을 충족할 수 있습니다.

    허브 및 스포크 네트워크 토폴로지를 보여 주는 다이어그램.

  • 다음과 같은 경우 여러 피어링 위치에서 여러 ExpressRoute 회로를 통해 연결된 여러 가상 네트워크가 있는 토폴로지를 사용합니다.

  • 다음 다이어그램은 이 토폴로지를 보여 줍니다.

    여러 ExpressRoute 회로와 연결된 여러 가상 네트워크를 보여 주는 다이어그램

  • 동일한 도시 내에서 이중 홈 피어링의 경우 ExpressRoute 메트로를 고려하세요.

  • 동쪽/서쪽 또는 남쪽/북쪽 트래픽 보호 및 필터링을 위해 중앙 허브 가상 네트워크에 Azure Firewall 또는 파트너 NVA를 배포합니다.

  • 중앙 허브 가상 네트워크에 ExpressRoute 게이트웨이, VPN 게이트웨이(필요에 따라), Azure Firewall 또는 파트너 NVA(필요에 따라)를 비롯한 최소한의 공유 서비스 세트를 배포합니다. 필요한 경우 Active Directory 도메인 컨트롤러 및 DNS 서버도 배포합니다.

  • 연결 구독에 단일 Azure DDoS Protection 표준 계획을 배포합니다. 모든 랜딩 존 및 플랫폼 가상 네트워크에 이 계획을 사용합니다.

  • 기존 네트워크, 다중 프로토콜 레이블 전환(MPLS) 및 SD-WAN을 사용하여 지점 위치를 본사와 연결합니다. Route Server를 사용하지 않는 경우 Azure에서 ExpressRoute 연결과 VPN 게이트웨이 간 전송을 지원하지 않습니다.

  • 중앙 허브 가상 네트워크에 Azure Firewall 또는 파트너 NVA를 배포하여 동쪽/서쪽 또는 남쪽/북쪽 트래픽 보호 및 필터링을 지원합니다.

  • 파트너 네트워킹 기술 또는 NVA를 배포할 때 파트너 공급업체의 지침에 따라 다음 사항을 확인합니다.

    • 공급업체가 배포를 지원합니다.

    • 지침이 고가용성 및 최대 성능을 지원합니다.

    • Azure 네트워킹과 충돌하는 구성이 없습니다.

  • Azure Application Gateway와 같은 계층 7 인바운드 NVA를 중앙 허브 가상 네트워크의 공유 서비스로 배포하지 않습니다. 대신 해당하는 랜딩 존에 애플리케이션과 함께 배포합니다.

  • 연결 구독에 단일 Azure DDoS 표준 보호 계획을 배포합니다.

    • 모든 랜딩 존과 플랫폼 가상 네트워크에서 이 계획을 사용해야 합니다.
  • 기존 네트워크, 다중 프로토콜 레이블 전환 및 SD-WAN을 사용하여 지점 위치를 본사와 연결합니다. Route Server를 사용하지 않는 경우 ExpressRoute와 VPN 게이트웨이 간에 Azure에서 전송을 지원하지 않습니다.

  • 허브 및 스포크 시나리오에서 ExpressRoute와 VPN 게이트웨이 간의 전이성이 필요한 경우 Route Server를 사용합니다. 자세한 내용은 ExpressRoute 및 Azure VPN에 대한 Route Server 지원을 참조하세요.

    Route Server를 사용하는 ER과 VPN 게이트웨이 간의 전이성을 보여주는 다이어그램입니다.

  • 여러 Azure 지역에 허브 및 스포크 네트워크가 있고 지역 간에 몇 개의 랜딩 존을 연결해야 하는 경우 글로벌 가상 네트워크 피어링을 사용합니다. 트래픽을 서로 라우팅해야 하는 랜딩 존 가상 네트워크를 직접 연결할 수 있습니다. 통신하는 가상 머신의 SKU에 따라 전역 가상 네트워크 피어링이 높은 네트워크 처리량을 제공할 수 있습니다. 직접 피어링된 랜딩 존 가상 네트워크 간에 이동하는 트래픽은 허브 가상 네트워크 내에서 NVA를 우회합니다. 글로벌 가상 네트워크 피어링에 대한 제한 사항은 트래픽에 적용됩니다.

  • 여러 Azure 지역에 허브 및 스포크 네트워크가 있고 지역 간에 대부분의 랜딩 존을 연결해야 하는 경우 허브 NVA를 사용하여 각 지역의 허브 가상 네트워크를 서로 연결하고 지역 간에 트래픽을 라우팅합니다. 보안 요구 사항과 호환되지 않아 직접 피어링을 사용하여 허브 NVA를 우회할 수 없는 경우에도 이 방법을 사용할 수 있습니다. 전역 가상 네트워크 피어링 또는 ExpressRoute 회로는 다음과 같은 방법으로 허브 가상 네트워크를 연결하는 데 도움이 될 수 있습니다.

    • 전역 가상 네트워크 피어링은 짧은 대기 시간과 높은 처리량 연결을 제공하지만 트래픽 요금이 발생합니다.

    • ExpressRoute를 통해 라우팅하는 경우 MSEE 헤어핀으로 인해 대기 시간이 증가할 수 있습니다. 선택한 ExpressRoute 게이트웨이 SKU는 처리량을 제한합니다.

다음 다이어그램에서는 허브 간 연결 옵션을 보여줍니다.

허브 간 연결 옵션을 보여 주는 다이어그램

  • 두 Azure 지역을 연결해야 하는 경우 글로벌 가상 네트워크 피어링을 사용하여 각 지역의 허브 가상 네트워크를 연결합니다.

  • 조직의 경우 Azure Virtual WAN을 기반으로 하는 관리되는 글로벌 전송 네트워크 아키텍처를 사용합니다.

    • 두 개 이상의 Azure 지역에서 허브 및 스포크 네트워크 아키텍처가 필요합니다.

    • Azure 지역 간 랜딩 존 가상 네트워크 간의 글로벌 전송 연결이 필요합니다.

    • 네트워크 관리 오버헤드를 최소화하려고 합니다.

  • 3개 이상의 Azure 지역을 연결해야 하는 경우, 각 지역의 허브 가상 네트워크를 동일한 ExpressRoute 회로에 연결하는 것이 좋습니다. 글로벌 가상 네트워크 피어링을 사용하려면 여러 가상 네트워크에서 수많은 피어링 관계와 복잡한 UDR 집합을 관리해야 합니다. 다음 다이어그램은 세 지역에서 허브 및 스포크 네트워크를 연결하는 방법을 보여줍니다.

    여러 지역 간에 허브 간 연결을 제공하는 ExpressRoute를 보여 주는 다이어그램

  • 지역 간 연결에 ExpressRoute 회로를 사용하는 경우, 다른 지역의 스포크는 원격 허브의 스포크에 대한 BGP 경로를 통해 학습하므로 직접 통신하고 방화벽을 우회합니다. 허브 가상 네트워크의 방화벽 NVA을 사용하여 스포크 간 트래픽을 검사해야 하는 경우 다음 옵션 중 하나를 구현해야 합니다.

    • 허브 간 트래픽을 리디렉션하도록 로컬 허브 가상 네트워크의 방화벽에 대한 스포크 UDR에 보다 구체적인 경로 항목을 만듭니다.

    • 경로 구성을 간소화하려면 스포크 경로 테이블에서 BGP 전파를 사용하지 않도록 설정합니다.

  • 조직이 3개 이상의 Azure 지역에서 허브 및 스포크 네트워크 아키텍처와 Azure 지역 간 랜딩 존 가상 네트워크 간의 글로벌 전송 연결이 필요하며, 네트워크 관리 오버헤드를 최소화하려는 경우, Virtual WAN 기반의 관리형 글로벌 전송 네트워크 아키텍처를 평가하는 것이 좋습니다.

  • 각 지역의 허브 네트워크 리소스를 별도의 리소스 그룹에 배포하고, 배포된 각 지역으로 정렬합니다.

  • Azure Virtual Network Manager를 사용하여 구독에서 전역적으로 가상 네트워크의 연결 및 보안 구성을 관리합니다.

  • Azure Monitor 네트워크 인사이트를 사용하여 Azure에서 네트워크의 엔드투엔드 상태를 모니터링합니다.

  • 스포크 가상 네트워크를 중앙 허브 가상 네트워크에 연결할 때 다음 두 가지 제한을 고려해야 합니다.

    • 가상 네트워크당 최대 가상 네트워크 피어링 연결 수.

    • 개인 피어링을 사용하는 ExpressRoute가 Azure에서 온-프레미스로 보급하는 최대 접두사 수.

    • 허브 가상 네트워크에 연결된 스포크 가상 네트워크의 수가 이러한 제한을 초과하지 않도록 해야 합니다.

다음 단계