기존 Azure 네트워킹 토폴로지

  • 아티클

Important

인벤토리 관리 및 대규모 모니터링 네트워크를 쉽게 위해 Azure 리소스의 시각화를 제공하는 새로운 토폴로지(미리 보기) 환경을 사용해 보세요. 토폴로지 미리 보기를 사용하여 구독, 지역 및 위치에서 리소스 및 해당 종속성을 시각화합니다. 이 링크를 선택하여 환경으로 이동합니다.

Microsoft Azure의 네트워크 토폴로지와 관련된 주요 디자인 고려 사항 및 권장 사항을 살펴봅니다.

Diagram that illustrates a traditional Azure network topology.

그림 1: 기존 Azure 네트워크 토폴로지

설계 고려 사항:

  • 다양한 네트워크 토폴로지를 사용하여 여러 랜딩 존 가상 네트워크를 연결할 수 있습니다. 네트워크 토폴로지의 예로는 하나의 대형 플랫 가상 네트워크, 여러 Azure ExpressRoute 회로 또는 연결로 연결된 여러 가상 네트워크, 허브 및 스포크, 전체 메시 및 하이브리드가 있습니다.

  • 가상 네트워크는 구독 경계를 트래버스할 수 없습니다. 그러나 가상 네트워크 피어링, ExpressRoute 회로 또는 VPN 게이트웨이를 사용하여 여러 구독에서 가상 네트워크 간의 연결을 달성할 수 있습니다.

  • 가상 네트워크 피어링은 Azure에서 가상 네트워크를 연결하는 데 선호되는 방법입니다. 가상 네트워크 피어링을 사용하여 동일한 지역, 다른 Azure 지역 및 다른 Microsoft Entra 테넌트에 걸쳐 가상 네트워크를 연결할 수 있습니다.

  • 가상 네트워크 피어링과 전역 가상 네트워크 피어링은 전이적이지 않습니다. 전송 네트워크를 사용하도록 설정하려면 UDR(사용자 정의 경로) 및 NVA(네트워크 가상 어플라이언스)가 필요합니다. 자세한 내용은 Azure의 허브 스포크 네트워크 토폴로지를 참조하세요.

  • 단일 Microsoft Entra 테넌트에 있는 모든 가상 네트워크에서 Azure DDoS Protection 계획을 공유하여 공용 IP 주소로 리소스를 보호할 수 있습니다. 자세한 내용은 Azure DDoS Protection를 참조하세요.

    • Azure DDoS Protection 계획은 공용 IP 주소가 있는 리소스만 다룹니다.

    • Azure DDoS Protection 계획의 비용에는 DDoS Protection 계획과 연결된 모든 보호된 가상 네트워크에서 100개의 공용 IP 주소가 포함됩니다. 추가 리소스에 대한 보호는 별도의 비용으로 사용할 수 있습니다. Azure DDoS Protection 요금제 가격 책정에 대한 자세한 내용은 Azure DDoS Protection 가격 책정 페이지 또는 FAQ를 참조하세요.

    • Azure DDoS Protection 계획의 지원되는 리소스를 검토합니다.

  • ExpressRoute 회로를 사용하여 동일한 지정학적 지역 내의 가상 네트워크 간에 연결을 설정할 수도 있고 지정학적 지역 간 연결에 프리미엄 추가 기능을 사용하여 연결을 설정할 수도 있습니다. 다음 포인트를 기억하세요.

    • 트래픽이 MSEE(Microsoft Enterprise Edge) 라우터에서 고정되어야 하므로 네트워크 간 트래픽은 더 많은 대기 시간을 경험할 수 있습니다.

    • ExpressRoute 게이트웨이 SKU는 대역폭을 제한합니다.

    • 가상 네트워크 간 트래픽에 대한 UDR을 검사하거나 기록해야 하는 경우 UDR을 배포하고 관리합니다.

  • BGP(Border Gateway Protocol)를 사용하는 VPN 게이트웨이는 Azure 및 온-프레미스 네트워크 내에서 전이적이지만 기본적으로 ExpressRoute를 통해 연결된 네트워크에 대한 전이적 액세스를 제공하지는 않습니다. ExpressRoute를 통해 연결된 네트워크에 대한 전이적 액세스가 필요한 경우 Azure Route Server를 고려하세요.

  • 여러 ExpressRoute 회로를 동일한 가상 네트워크에 연결하는 경우 연결 가중치 및 BGP 기술을 사용하여 온-프레미스 네트워크와 Azure 간의 트래픽에 대한 최적의 경로를 보장합니다. 자세한 내용은 ExpressRoute 라우팅 최적화를 참조하세요.

  • BGP 메트릭을 사용하여 ExpressRoute 라우팅에 영향을 주는 것은 Azure 플랫폼 외부에서 구성을 변경하는 것입니다. 조직 또는 연결 공급자는 그에 따라 온-프레미스 라우터를 구성해야 합니다.

  • 프리미엄 추가 기능이 있는 ExpressRoute 회로는 전역 연결을 제공합니다.

  • ExpressRoute에는 특정 제한이 있습니다. ExpressRoute 게이트웨이당 최대 ExpressRoute 연결 수가 있으며 ExpressRoute 프라이빗 피어링에서 Azure에서 온-프레미스로의 최대 경로 수를 식별할 수 있습니다. ExpressRoute 제한에 대한 자세한 내용은 ExpressRoute 제한을 참조 하세요.

  • VPN 게이트웨이의 최대 집계 처리량은 초당 10기가비트입니다. VPN 게이트웨이는 최대 100개의 사이트-사이트 또는 네트워크-네트워크 터널을 지원합니다.

  • NVA가 아키텍처의 일부인 경우 Azure Route Server를 사용하여 NVA(네트워크 가상 어플라이언스)와 가상 네트워크 간의 동적 라우팅을 간소화하는 것이 좋습니다. Azure Route Server를 사용하면 경로 테이블을 수동으로 구성하거나 기본 필요 없이 BGP 라우팅 프로토콜을 지원하는 NVA와 Azure VNet(가상 네트워크)의 Azure SDN(소프트웨어 정의 네트워크) 간에 BGP(Border Gateway Protocol) 라우팅 프로토콜을 통해 직접 라우팅 정보를 교환할 수 있습니다.

디자인 권장 사항:

  • 다음 시나리오에는 기존의 허브 스포크 네트워크 토폴로지 기반 네트워크 디자인을 고려해 봅니다.

    • 단일 Azure 지역 내에 배포되는 네트워크 아키텍처

    • 여러 Azure 지역에 걸쳐 있고 지역 간 랜딩 존을 위한 가상 네트워크 간의 전이적 연결이 필요 없는 네트워크 아키텍처

    • 여러 Azure 지역에 걸쳐 있는 네트워크 아키텍처와 Azure 지역 간에 가상 네트워크를 연결할 수 있는 글로벌 가상 네트워크 피어링입니다.

    • VPN과 ExpressRoute 연결 간의 전이적 연결이 필요 없음

    • 기본 하이브리드 연결 방법은 ExpressRoute이며 VPN 연결 수는 VPN Gateway당 100개 미만입니다.

    • 중앙 집중식 NVA 및 세분화된 라우팅에 종속되어 있음

  • 지역 배포에는 허브 스포크 토폴로지를 주로 사용합니다. 다음 시나리오에서는 중앙 허브 가상 네트워크에 대한 가상 네트워크 피어링과 연결하는 랜딩 존 가상 네트워크를 사용합니다.

    • ExpressRoute를 통한 프레미스 간 연결.

    • 분기 연결을 위한 VPN입니다.

    • NVA 및 UDR을 통한 스포크 간 연결

    • Azure Firewall 또는 다른 타사 NVA를 통한 인터넷 아웃바운드 보호.

다음 다이어그램은 허브 및 스포크 토폴로지입니다. 이 구성을 사용하면 트래픽을 적절하게 제어하여 세분화 및 검사에 대한 대부분의 요구 사항을 충족할 수 있습니다.

Diagram that illustrates a hub-and-spoke network topology.

그림 2: 허브 스포크 네트워크 토폴로지

  • 다음 조건 중 하나가 충족되는 경우 여러 ExpressRoute 회로에 연결된 여러 가상 네트워크 토폴로지를 사용합니다.

    • 높은 수준의 격리가 필요합니다.

    • 특정 사업부를 위한 전용 ExpressRoute 대역폭이 필요합니다.

    • ExpressRoute 게이트웨이당 최대 연결 수에 도달했습니다(최대 연결 수는 ExpressRoute 제한 문서 참조).

다음 그림은 이 토폴로지를 보여줍니다.

Diagram that illustrates multiple virtual networks connected with multiple ExpressRoute circuits.

그림 3: 여러 ExpressRoute 회로와 연결된 여러 가상 네트워크

  • 중앙 허브 가상 네트워크에 ExpressRoute 게이트웨이, VPN 게이트웨이(필요에 따라), Azure Firewall 또는 파트너 NVA(필요에 따라)를 비롯한 최소한의 공유 서비스 세트를 배포합니다. 필요한 경우 Active Directory 도메인 컨트롤러 및 DNS 서버도 배포합니다.

  • 중앙 허브 가상 네트워크에 Azure Firewall 또는 파트너 NVA를 배포하여 동쪽/서쪽 또는 남쪽/북쪽 트래픽 보호 및 필터링을 지원합니다.

  • 파트너 네트워킹 기술 또는 NVA를 배포할 때 파트너 공급업체의 지침에 따라 다음 사항을 확인합니다.

    • 공급업체가 배포를 지원합니다.

    • 이 지침은 고가용성 및 최대 성능을 지원합니다.

    • Azure 네트워킹과 충돌하는 구성이 없습니다.

  • Azure Application Gateway와 같은 계층 7 인바운드 NVA를 중앙 허브 가상 네트워크의 공유 서비스로 배포하지 않습니다. 대신 해당하는 랜딩 존에 애플리케이션과 함께 배포합니다.

  • 연결 구독에 단일 Azure DDoS 표준 보호 계획을 배포합니다.

    • 모든 랜딩 존과 플랫폼 가상 네트워크에서 이 계획을 사용해야 합니다.

  • 기존 네트워크, 다중 프로토콜 레이블 전환 및 SD-WAN을 사용하여 지점 위치를 본사와 연결합니다. Azure Route Server를 사용하지 않는 경우 ExpressRoute와 VPN Gateway 간에 Azure에서 전송을 지원하지 않습니다.

  • 허브 및 스포크 시나리오에서 ExpressRoute와 VPN Gateway 간의 전이성이 필요한 경우 이 참조 시나리오에 설명된 대로 Azure Route Server를 사용합니다.

    Diagram that illustrates transitivity between ER and VPN gateways with Azure Route Server.

  • 여러 Azure 지역에 허브 스포크 네트워크가 있고 몇 개의 랜딩 존이 지역 간에 연결해야 하는 경우 전역 가상 네트워크 피어링을 사용하여 트래픽을 서로 라우팅해야 하는 랜딩 존 가상 네트워크를 직접 연결합니다. 통신하는 VM의 SKU에 따라 전역 가상 네트워크 피어링이 높은 네트워크 처리량을 제공할 수 있습니다. 직접 피어된 랜딩 존 가상 네트워크 간의 트래픽은 허브 가상 네트워크 내에서 NVA를 우회합니다. 글로벌 가상 네트워크 피어링 에 대한 제한 사항은 트래픽에 적용됩니다.

  • 여러 Azure 지역에 허브 및 스포크 네트워크가 있고 대부분의 랜딩 존이 지역 간에 연결되어야 하는 경우(또는 직접 피어링을 사용하여 허브 NVA를 우회하는 경우 보안 요구 사항과 호환되지 않음) 허브 NVA를 사용하여 각 지역의 허브 가상 네트워크를 서로 연결하고 지역 간에 트래픽을 라우팅합니다. 전역 가상 네트워크 피어링 또는 ExpressRoute 회로는 다음과 같은 방법으로 허브 가상 네트워크를 연결하는 데 도움이 될 수 있습니다.

    • 전역 가상 네트워크 피어링은 짧은 대기 시간과 높은 처리량 연결을 제공하지만 트래픽 요금이 발생합니다.

    • ExpressRoute를 통한 라우팅은 MSEE 헤어핀으로 인해 대기 시간이 증가할 수 있으며 선택한 ExpressRoute 게이트웨이 SKU 는 처리량을 제한합니다.

다음은 두 옵션을 보여주는 그림입니다.

Diagram that illustrates options for hub-to-hub connectivity.

그림 4: 허브 간 연결 옵션

  • 두 Azure 지역에 연결해야 하는 경우 글로벌 가상 네트워크 피어링을 사용하여 두 허브 가상 네트워크를 연결합니다.

  • 두 개 이상의 Azure 지역에 연결해야 하는 경우 각 지역의 허브 가상 네트워크가 동일한 ExpressRoute 회로에 연결하는 것이 좋습니다. 전역 가상 네트워크 피어링을 사용하려면 여러 가상 네트워크에서 수많은 피어링 관계와 복잡한 UDR(사용자 정의 경로) 세트를 관리해야 합니다. 다음 다이어그램에서는 세 지역에서 허브 및 스포크 네트워크를 연결하는 방법을 보여 줍니다.

Diagram that illustrates ExpressRoute providing hub-to-hub connectivity between multiple regions.

그림 5: 여러 지역 간에 허브 간 연결을 제공하는 ExpressRoute

  • 지역 간 연결에 ExpressRoute 회로를 사용하는 경우 서로 다른 지역의 스포크는 직접 통신하고 원격 허브의 스포크에 대한 BGP 경로를 통해 학습하기 때문에 방화벽을 우회합니다. 허브 가상 네트워크의 방화벽 NVA가 스포크 간 트래픽을 검사해야 하는 경우 다음 옵션 중 하나를 구현해야 합니다.

    • 허브 간 트래픽을 리디렉션하도록 로컬 허브 가상 네트워크의 방화벽에 대한 스포크 UDR에 보다 구체적인 경로 항목을 만듭니다.

    • 경로 구성을 간소화하려면 스포크 경로 테이블에서 BGP 전파를 사용하지 않도록 설정합니다.

  • 조직에서 두 개 이상의 Azure 지역에 걸쳐 허브 및 스포크 네트워크 아키텍처가 필요하고 Azure 지역 간 랜딩 존 가상 네트워크 간의 글로벌 전송 연결이 필요하고 네트워크 관리 오버헤드를 최소화하려는 경우 Virtual WAN을 기반으로 하는 관리형 글로벌 전송 네트워크 아키텍처를 권장합니다.

  • 각 지역의 허브 네트워크 리소스를 별도의 리소스 그룹에 배포하고, 배포된 각 지역으로 정렬합니다.

  • Azure Virtual Network Manager를 사용하여 구독에서 전역적으로 가상 네트워크의 연결 및 보안 구성을 관리합니다.

  • 네트워크용 Azure Monitor를 사용하여 Azure에서 네트워크의 엔드 투 엔드 상태를 모니터링합니다.

  • 스포크 가상 네트워크를 중앙 허브 가상 네트워크에 연결할 때 다음 두 가지 제한을 고려해야 합니다.

    • 가상 네트워크당 최대 가상 네트워크 피어링 연결 수입니다.
    • 프라이빗 피어링을 사용하는 ExpressRoute가 Azure에서 온-프레미스로 보급하는 최대 접두사 수입니다.

    허브 가상 네트워크에 연결된 스포크 가상 네트워크의 수가 이러한 제한을 초과하지 않도록 해야 합니다.