Azure VMware Solution에 대한 네트워크 토폴로지 및 연결

Azure 클라우드 에코 시스템에서 VMware SDDC(소프트웨어 정의 데이터 센터)를 사용하는 경우 클라우드 네이티브 시나리오와 하이브리드 시나리오 모두에 대해 따라야 하는 고유한 디자인 고려 사항이 있습니다. 이 문서에서는 Azure 및 Azure VMware Solution 배포 내의 네트워킹과 연결 및 이런 배포와의 양방향 네트워킹 및 연결과 관련된 주요 고려 사항과 모범 사례를 제공합니다.

이 문서는 대규모 네트워크 토폴로지 및 연결을 관리하기 위한 몇 가지 Cloud Adoption Framework 엔터프라이즈급 랜딩 존 아키텍처 원칙 및 권장 사항을 기반으로 합니다. 이 Azure 랜딩 존 디자인 영역 지침은 중요 업무용 Azure VMware Solution 플랫폼에 사용할 수 있습니다. 디자인 영역에는 다음이 포함됩니다.

• 하이브리드 통합 - 온-프레미스, 다중 클라우드, 에지 및 글로벌 사용자 간의 연결에 필요합니다. 자세한 내용은 하이브리드 및 다중 클라우드에 대한 엔터프라이즈급 지원을 참조하세요.
• 어떤 규모에서도 충분한 성능 및 안정성 제공 - 워크로드 확정성과 일관적으로 대기 시간이 짧은 환경을 구축하는 데 필요합니다. 후속 문서에서는 이중 지역 배포에 대해 설명 합니다.
• 제로 트러스트 기반 네트워크 보안 - 네트워크 경계 및 트래픽 흐름을 보호하는 데 필요합니다. 자세한 내용은 Azure의 네트워크 보안 전략을 참조하세요.
• 확장성 - 디자인 재작업 없이 네트워크 공간을 쉽게 확장할 수 있습니다.

일반적인 디자인 고려 사항 및 권장 사항

다음 섹션에서는 Azure VMware Solution 네트워크 토폴로지 및 연결에 대한 일반적인 디자인 고려 사항 및 권장 사항을 제공합니다.

허브-스포크 및 Virtual WAN 네트워크 토폴로지

온-프레미스에서 Azure로의 ExpressRoute 연결이 없고 그 대신 S2S VPN을 사용하는 경우 Virtual WAN을 사용하여 온-프레미스 VPN과 Azure VMware Solution ExpressRoute 간에 연결을 전송할 수 있습니다. 허브-스포크 토폴로지를 사용하는 경우 Azure Route Server가 필요합니다. 자세한 내용은 ExpressRoute 및 Azure VPN에 대한 Azure Route Server 지원 정보를 참조하세요.

프라이빗 클라우드 및 클러스터

• 모든 클러스터는 Azure VMware Solution 프라이빗 클라우드 내에서 통신할 수 있습니다. 모두 동일한 /22 주소 공간을 공유하기 때문입니다.

• 모든 클러스터는 인터넷, ExpressRoute, HCX, 공용 IP 및 ExpressRoute Global Reach를 포함하여 동일한 연결 설정을 공유합니다. 애플리케이션 워크로드는 네트워크 세그먼트, DHCP(Dynamic Host Configuration Protocol) 및 DNS(Domain Name System) 설정과 같은 일부 기본 네트워킹 설정을 공유할 수도 있습니다.

• 배포하기 전에 프라이빗 클라우드와 클러스터를 미리 디자인합니다. 필요한 프라이빗 클라우드 수는 네트워킹 요구 사항에 직접적으로 영향을 줍니다. 각 프라이빗 클라우드에는 프라이빗 클라우드 관리를 위한 자체 /22 주소 공간과 VM 워크로드를 위한 IP 주소 세그먼트가 필요합니다. 이러한 주소 공간을 미리 정의하는 것이 좋습니다.

• VMware 및 네트워킹 팀과 논의하여 워크로드용 네트워크 세그먼트, 프라이빗 클라우드, 클러스터를 분할하고 배포하는 방식을 계획합니다. 철저하게 계획하여 IP 주소를 낭비하지 마세요.

프라이빗 클라우드의 IP 주소 관리에 대한 자세한 내용은 프라이빗 클라우드 관리를 위한 IP 주소 세그먼트 정의를 참조하세요.

VM 워크로드의 IP 주소 관리에 대한 자세한 내용은 VM 워크로드의 IP 주소 세그먼트 정의를 참조하세요.

DNS 및 DHCP

DHCP의 경우 NSX-T Data Center에 기본 제공되는 DHCP 서비스를 사용하거나 프라이빗 클라우드의 로컬 DHCP 서버를 사용합니다. WAN을 통한 브로드캐스트 DHCP 트래픽을 온-프레미스 네트워크로 다시 라우팅하지 마십시오.

DNS의 경우 채택한 시나리오와 요구 사항에 따라 다음과 같은 여러 옵션이 있습니다.

• Azure VMware Solution 환경의 경우에만 Azure VMware Solution 프라이빗 클라우드에 새 DNS 인프라를 배포할 수 있습니다.
• 온-프레미스 환경에 연결된 Azure VMware Solution의 경우 기존 DNS 인프라를 사용할 수 있습니다. 필요한 경우 Azure Virtual Network 또는 가급적이면 Azure VMware Solution으로 확장하기 위해 DNS 전달자를 배포합니다. 자세한 내용은 DNS 전달자 서비스 추가를 참조하세요.
• 온-프레미스 및 Azure 환경과 서비스 모두에 연결된 Azure VMware Solution의 경우 허브 가상 네트워크에서 기존 DNS 서버 또는 DNS 전달자를 사용할 수 있습니다(사용 가능한 경우). 기존 온-프레미스 DNS 인프라를 Azure 허브 가상 네트워크로 확장할 수도 있습니다. 자세한 내용은 엔터프라이즈급 랜딩 존 다이어그램을 참조하세요.

자세한 내용은 다음 문서를 참조하세요.

• DHCP 및 DNS 확인 고려 사항
• Azure VMware Solution용 DHCP 구성
• L2 확장 VMware HCX 네트워크에서 DHCP 구성
• Azure Portal에서 DNS 전달자 구성

인터넷

인터넷을 사용하도록 설정하고 트래픽을 필터링 및 검사하기 위한 아웃바운드 옵션은 다음과 같습니다.

• Azure 인터넷 액세스를 사용하는 Azure Virtual Network, NVA 및 Azure Route Server
• 온-프레미스 인터넷 액세스를 사용하는 온-프레미스 기본 경로
• Azure 인터넷 액세스를 사용하는 Azure Firewall 또는 NVA가 있는 Virtual WAN 보안 허브

콘텐츠 및 애플리케이션을 제공하기 위한 인바운드 옵션은 다음과 같습니다.

• L7, SSL(Secure Sockets Layer) 종료 및 Web Application Firewall을 사용하는 Azure Application Gateway
• 온-프레미스의 DNAT 및 부하 분산 장치
• 다양한 시나리오의 Azure Virtual Network, NVA 및 Azure Route Server
• L4 및 DNAT를 사용하는 Azure Firewall이 있는 Virtual WAN 보안 허브
• 다양한 시나리오에서 NVA를 사용하는 Virtual WAN 보안 허브

ExpressRoute

Azure VMware Solution 기본 제공 프라이빗 클라우드 배포는 무료 10Gbps ExpressRoute 회로를 자동으로 만듭니다. 이 회로는 Azure VMware Solution을 D-MSEE에 연결합니다.

데이터 센터 근처의 Azure 쌍을 이루는 지역에 Azure VMware Solution을 배포하는 것이 좋습니다. Azure VMware Solution에 대한 이중 지역 네트워크 토폴로지의 권장 사항은 이 문서를 검토하세요.

Global Reach

• Global Reach는 Azure VMware Solution이 온-프레미스 데이터 센터, Azure Virtual Network 및 Virtual WAN과 통신하는 데 필요한 ExpressRoute 추가 기능입니다. 대안은 Azure Route Server와의 네트워크 연결을 디자인하는 것입니다.

• Global Reach를 사용하면 무료로 Azure VMware Solution ExpressRoute 회로를 다른 ExpressRoute 회로와 피어링할 수 있습니다.

• ISP를 통한 ExpressRoute 회로 피어링 및 ExpressRoute Direct 회로에 Global Reach를 사용할 수 있습니다.

• ExpressRoute Local 회로에는 Global Reach가 지원되지 않습니다. ExpressRoute Local의 경우 Azure 가상 네트워크에서 타사 NVA를 통해 Azure VMware Solution에서 온-프레미스 데이터 센터로 전송합니다.

• Global Reach는 모든 위치에서 사용할 수 없습니다.

대역폭

Azure VMware Solution과 Azure Virtual Network 간의 최적의 대역폭을 위해 적절한 가상 네트워크 게이트웨이 SKU를 선택합니다. Azure VMware Solution은 한 지역의 ExpressRoute 게이트웨이에 대해 최대 4개의 ExpressRoute 회로를 지원합니다.

네트워크 보안

네트워크 보안은 트래픽 검사와 포트 미러링으로 구성됩니다.

SDDC 내의 동-서 트래픽 검사는 NSX-T Data Center 또는 NVA를 사용하여 여러 지역에서 Azure Virtual Network에 대한 트래픽을 검사합니다.

북-남 트래픽 검사는 Azure VMware Solution과 데이터 센터 간의 양방향 트래픽 흐름을 검사합니다. 북-남 트래픽 검사는 다음을 사용할 수 있습니다.

• Azure 인터넷을 통한 타사 방화벽 NVA 및 Azure Route Server
• 온-프레미스 인터넷을 통한 온-프레미스 기본 경로
• Azure 인터넷을 통한 Virtual WAN 및 Azure Firewall
• Azure VMware Solution 인터넷을 통한 SDDC 내 NSX-T Data Center.
• Azure VMware Solution 인터넷을 통한 SDDC 내 Azure VMware Solution의 타사 방화벽

포트 및 프로토콜 요구 사항

모든 Azure VMware Solution 프라이빗 클라우드 구성 요소에 적절하게 액세스할 수 있도록 온-프레미스 방화벽에 필요한 모든 포트를 구성합니다. 자세한 내용은 필수 네트워크 포트를 참조하세요.

Azure VMware Solution 관리 액세스

• 배포하는 동안 Azure Virtual Network에서 Azure Bastion 호스트를 사용하여 Azure VMware Solution 환경에 액세스하는 것이 좋습니다.

• 온-프레미스 환경으로 라우팅을 설정하면 Azure VMware Solution 관리 네트워크는 온-프레미스 네트워크의 0.0.0.0/0 경로를 따르지 않습니다. 따라서 온-프레미스 네트워크에 대해 보다 구체적인 경로를 보급해야 합니다.

BCDR(비즈니스 연속성 및 재해 복구) 및 마이그레이션

• VMware HCX 마이그레이션에서는 기본 게이트웨이가 온-프레미스로 유지됩니다. 자세한 내용은 VMware HCX 배포 및 구성을 참조하세요.

• VMware HCX 마이그레이션에서는 HCX L2 확장을 사용할 수 있습니다. 계층 2 확장이 필요한 마이그레이션에는 ExpressRoute도 필요합니다. 네트워크 언더레이 최소 요구 사항을 충족하는 한 S2S VPN이 지원됩니다. HCX의 오버헤드를 수용하려면 MTU(최대 전송 단위) 크기가 1350이어야 합니다. 계층 2 확장 디자인에 대한 자세한 내용은 관리자 모드의 계층 2 브리징(VMware.com)을 참조하세요.

다음 단계

• 허브 및 스포크 네트워크의 Azure VMware Solution에 대한 자세한 내용은 허브 및 스포크 아키텍처에서 Azure VMware Solution 통합을 참조하세요.

• VMware NSX-T Data Center 네트워크 세그먼트에 대한 자세한 내용은 Azure VMware Solution을 사용하여 NSX-T Data Center 네트워크 구성 요소 구성을 참조하세요.

• 클라우드 채택 프레임워크 엔터프라이즈급 랜딩 존 아키텍처 원칙, 다양한 디자인 고려 사항 및 Azure VMware Solution 모범 사례에 대해 알아보려면 이 시리즈의 다음 문서를 참조하세요.

  단일 지역 허브 및 스포크 토폴로지