다음을 통해 공유

지역 간 데이터 랜딩 존 연결

  • 아티클

둘 이상의 Azure 지역에 존재하고 여러 지역에 걸쳐 데이터 플랫폼 및 데이터 애플리케이션을 호스트해야 하는 경우 연결이 약간 더 복잡해집니다.

다중 지역 배포에는 일반적으로 각 개별 Azure 위치에 연결 허브 구독이 있습니다. 예를 들어 미국 동부 및 서유럽에서 실행되는 서비스가 있는 경우 각 지역의 공유 네트워크 리소스를 사용하여 연결 허브 구독을 설정합니다. 공유 네트워크 리소스는 다음과 같습니다.

  • 네트워크 가상 어플라이언스(예: Azure Firewall)
  • ExpressRoute 게이트웨이
  • VPN Gateway
  • Hub Virtual Network(허브 및 스포크 아키텍처) 또는 vWAN Hub(vWan 설정)

지역 간 커넥트성그림 1: 지역 간 커넥트.

hub-spoke-spoke-hub 아키텍처에서 연결 허브의 가상 네트워크는 종종 글로벌 VNet 피어링을 사용하여 연결됩니다. 대규모 환경의 경우 일반적인 대안은 ExpressRoute Global Reach를 사용하는 것입니다. 어떤 연결 옵션을 선택하든 여러 지역에 걸쳐 스포크 네트워크 간에 글로벌 라우팅 및 연결을 달성할 수 있습니다. 즉, 트래픽이 연결 구독에서 차단되지 않는 경우 네트워크 가상 어플라이언스, 네트워크 보안 그룹 및 경로 테이블을 사용하여 지역 간에 데이터를 이동할 수 있습니다.

Important

이 문서 및 네트워킹 섹션의 다른 문서에서는 데이터를 공유하는 전체 사업부를 간략하게 설명합니다. 그러나 이 전략이 고객의 초기 전략이 아닐 수 있으며 이 경우 기본 수준에서 시작해야 할 수 있습니다.

결국 데이터 랜딩 존 간에 권장 설정을 구현할 수 있도록 네트워킹을 디자인해야 합니다. 거버넌스를 위해 랜딩 존에 직접 연결된 데이터 관리 랜딩 존이 있는지 확인해야 합니다.

직접 글로벌 VNet 피어링을 사용하여 지역 간에 데이터 랜딩 존을 연결할 수 있습니다. 이 설정에서 이전 예제 시나리오를 계속 진행하면 서유럽의 가상 머신은 허브 및 스포크 또는 vWAN 네트워크 아키텍처를 사용하지 않고 미국 동부 스토리지 계정의 프라이빗 엔드포인트에 직접 액세스합니다. 데이터는 프라이빗 엔드포인트를 통해 가상 머신에 의해 직접 로드되고, 처리된 다음, 서유럽의 스토리지 계정에 다시 저장됩니다.

글로벌 VNet 피어링의 사용자 액세스 관리

제안된 지역 간 데이터 랜딩 존 연결 옵션 중 하나에 대한 특별한 장단점은 없습니다.

요약: /

글로벌 VNet 피어링의 서비스 관리

글로벌 VNet 피어링에는 단일 실패 지점 또는 제한 처리량의 역할을 하는 네트워크 가상 어플라이언스가 없습니다. 데이터는 연결 허브를 통해 전송되지 않으므로 연결 허브 내에서 가상 어플라이언스 및 게이트웨이의 크기를 조정할 필요가 없습니다. 이렇게 크기 조정이 부족하면 핵심 Azure 플랫폼 팀의 관리 오버헤드가 줄어듭니다. 또한 개별 지역 간 연결을 허용 목록에 추가할 필요가 없습니다. 데이터 팀은 경로 테이블 변경을 기다리지 않고도 다른 지역의 데이터 랜딩 존에서 데이터에 액세스할 수 있습니다.

이 네트워크 디자인에서 중앙 Azure 플랫폼 팀은 계층 7 방화벽을 사용하여 모든 트래픽을 더 이상 검사하고 기록할 수 없습니다. 그러나 클라우드 규모 분석 시나리오는 여러 구독에 걸쳐 있는 일관된 플랫폼으로, 크기 조정이 가능하고 플랫폼 수준 제한을 극복하므로 이는 단점이 아닙니다. 네트워크 보안 그룹 흐름 로그를 사용하여 네트워크 로그를 캡처할 수 있습니다. 서비스별 진단 설정을 사용하여 다른 애플리케이션 및 서비스 수준 로그를 통합하고 저장할 수 있습니다.

진단 설정에 Azure Policy 정의를 사용하여 이 모든 로그를 대규모로 캡처할 수 있습니다.

일부 시나리오에서는 규제 또는 법적 영향으로 인해 제한해야 합니다. 예를 들어 특정 데이터 세트가 미립자 데이터 센터 내에 있어야 하는 로컬 규정이 있을 수 있으므로 지역 간에 전송할 수 없습니다. 네트워크 보안 그룹을 사용하여 이러한 종류의 규칙을 준수할 수 있으며, 트래픽이 미국 동부에서 서유럽으로 한 방향으로만 이동하도록 허용하고 그 반대로는 허용하지 않을 수 있습니다. 네트워크 보안 그룹 내에서 서유럽에서 발생하는 트래픽이 허용되는 동안 미국 동부에서 발생하는 트래픽이 거부되도록 할 수 있습니다.

이 솔루션 접근 방식은 대역폭 및 대기 시간에 영향을 주지 않으며 고객이 여러 지역의 데이터 세트를 결합하면서 규정을 준수하도록 유지할 수 있습니다. 또한 이 옵션은 DNS 아키텍처에 영향을 주지 않으며 Azure 프라이빗 DNS 영역을 기반으로 하는 Azure 네이티브 솔루션을 사용할 수 있습니다.

요약:

글로벌 VNet 피어링 비용

참고 항목

피어링된 네트워크에서 프라이빗 엔드포인트에 액세스할 때, VNet 피어링이 아닌 프라이빗 엔드포인트 자체에 대한 요금만 청구됩니다. 공식적인 내용은 FAQ: 피어링된 네트워크에서 프라이빗 엔드포인트에 액세스하는 경우 청구는 어떻게 되나요?에서 확인할 수 있습니다.

이 네트워크 디자인을 사용하면 프라이빗 엔드포인트(시간당) 및 이를 통해 전송되는 모든 수신 및 송신 트래픽에 대한 요금이 청구됩니다. 또한 지역 간 트래픽에 대한 데이터 전송 비용을 지불해야 합니다. 그러나 글로벌 VNet 피어링 수신 및 송신 비용은 청구되지 않습니다. 이 때문에 글로벌 VNet 피어링 옵션은 이 문서의 뒷부분에 설명된 기존의 spoke-hub-hub-spoke 옵션에 상당한 비용 이점을 제공합니다.

요약:

글로벌 VNet 피어링의 대역폭 및 대기 시간

글로벌 VNet 피어링에서 대역폭 및 대기 시간에 미치는 영향은 기존 spoke-hub-hub-spoke 옵션보다 훨씬 낮습니다. 글로벌 VNet 피어링에는 지역 간 데이터 랜딩 존 데이터 교환을 위한 홉 수가 적으며 처리량을 제한하는 네트워크 가상 어플라이언스가 없습니다. 지역 간 트래픽에 대해 달성할 수 있는 대역폭 및 대기 시간을 지시하는 것은 데이터 센터의 물리적 제한(광섬유 케이블, 게이트웨이 및 라우터 속도)뿐입니다.

요약:

글로벌 VNet 피어링 요약

특히 데이터 플랫폼 내에서 지역 간 데이터 트래픽이 증가함에 따라 서로 다른 지역의 데이터 랜딩 존 간 글로벌 VNet 피어링이 엄청난 이점을 제공합니다. 핵심 Azure 플랫폼 팀에 대한 서비스 관리를 간소화하며, 특히 짧은 대기 시간과 높은 대역폭이 필요한 사용 사례의 이점을 제공합니다. 또한 기존 spoke-hub-hub-spoke 디자인 옵션에 비해 상당한 비용 이점을 제공합니다.

지역 간 데이터 전송을 위한 다른 옵션은 기존의 spoke-hub-hub-spoke 디자인입니다. 예제 시나리오에서 서유럽에서 호스트되는 데이터 랜딩 존 A의 가상 머신이 미국 동부에 호스트된 데이터 랜딩 존 B에서 스토리지 계정에 저장된 데이터 세트를 로드하는 경우 데이터는 두 개의 로컬 VNet 피어링(허브와 스포크 간 연결), 하나의 글로벌 VNet 피어링(허브 간 연결) 및 두 개의 게이트웨이 또는 네트워크 가상 어플라이언스를 트래버스한 후 가상 머신에서 로드한 다음, 로컬 스토리지 계정으로 다시 이동합니다.

기존 spoke-hub-hub-spoke 디자인의 사용자 액세스 관리

제안된 지역 간 데이터 랜딩 존 연결 옵션 중 하나에 대한 특별한 장단점은 없습니다.

요약: /

기존 spoke-hub-hub-spoke 디자인의 서비스 관리

이 솔루션 접근 방식은 잘 알려져 있으며 다른 지역 간 연결 패턴과 일치하므로 쉽게 채택하고 구현할 수 있습니다. 또한 DNS 아키텍처에 영향을 주지 않으며 Azure 프라이빗 DNS 영역을 기반으로 하는 Azure 네이티브 솔루션을 사용할 수 있습니다.

이 연결 옵션은 올바르게 설정하면 원활하게 작동하지만 단점이 있습니다. 지역 간 트래픽은 기본적으로 거부되는 경우가 많으며 사례별로 사용하도록 설정해야 합니다. 즉, 팀이 가상 머신과 지역 간 스토리지 계정 간의 각 특정 연결을 허용 목록에 포함할 수 있도록 모든 단일 필수 지역 간 데이터 액세스 요구 사항에 대해 핵심 Azure 플랫폼 팀에 티켓을 제출해야 합니다. 이 프로세스는 관리 오버헤드를 크게 증가시킵니다. 또한 데이터 프로젝트 팀이 필요한 데이터에 액세스할 수 없으므로 속도가 느려집니다.

또한 이 옵션에서 연결 허브는 단일 실패 지점 역할을 합니다. 네트워크 가상 어플라이언스 또는 게이트웨이 가동 중지 시간에서 연결 및 해당 데이터 플랫폼이 실패합니다. 또한 연결 허브에서 경로를 잘못 구성할 위험이 높습니다. 이러한 잘못된 구성으로 인해 데이터 플랫폼에서 더 심각한 가동 중지 시간이 발생하고 일련의 종속 워크플로 및 데이터 제품 오류가 발생할 수 있습니다.

이 솔루션 방식을 사용하는 동안 지역 간에 전송해야 하는 데이터의 양을 모니터링해야 합니다. 시간이 지남에 따라 이 모니터링에는 중앙 인스턴스를 통해 이동하는 기가바이트 또는 테라바이트의 데이터가 포함될 수 있습니다. 네트워크 가상 어플라이언스의 대역폭은 종종 1자리 또는 2자리의 기가바이트 처리량으로 제한되기 때문에 어플라이언스는 지역 간의 트래픽 흐름과 데이터 자산의 공유 가능성을 제한하는 중요한 병목 현상으로 작용할 수 있습니다. 따라서 공유 네트워크 리소스에는 시간과 비용이 많이 들고 테넌트의 다른 워크로드에 영향을 줄 수 있는 크기 조정 메커니즘이 필요할 수 있습니다.

요약:

기존 Spoke-Hub-Hub-Spoke 디자인 비용

참고 항목

피어링된 네트워크에서 프라이빗 엔드포인트에 액세스할 때 VNet 피어링이 아닌 프라이빗 엔드포인트 자체에 대한 요금만 청구됩니다. 공식적인 내용은 FAQ: 피어링된 네트워크에서 프라이빗 엔드포인트에 액세스하는 경우 청구는 어떻게 되나요?에서 확인할 수 있습니다.

기존의 spoke-hub-hub-spoke 디자인에서는 두 스토리지 계정의 프라이빗 엔드포인트(시간당)와 이를 통해 전송된 모든 수신 및 송신 트래픽에 대해 요금이 청구됩니다. 또한 하나의 로컬 VNet 피어링과 연결 허브 간의 글로벌 VNet 피어링의 수신 및 송신 트래픽에 대해서도 요금이 청구됩니다. 그러나 이전 노트에서 설명한 대로 첫 번째 VNet 피어링에 대해서는 요금이 청구되지 않습니다.

이 네트워크 디자인을 선택하면 중앙 네트워크 가상 어플라이언스도 상당한 비용이 듭니다. 이는 필요에 따라 어플라이언스를 확장하기 위해 추가 라이선스를 구입하거나 Azure Firewall과 마찬가지로 처리된 기가바이트당 요금을 지불해야 하기 때문입니다.

요약:

기존 spoke-hub-hub-spoke 디자인의 대역폭 및 대기 시간

이 네트워크 디자인에는 심각한 대역폭 제한 사항이 있습니다. 플랫폼이 증가함에 따라 중앙 네트워크 가상 어플라이언스는 심각한 병목 상태가 되어 지역 간 데이터 랜딩 존 사용 사례 및 데이터 세트 공유를 제한합니다. 또한 시간이 지남에 따라 데이터 세트의 여러 복사본이 만들어질 수 있습니다. 또한 이 디자인은 대기 시간에 큰 영향을 줍니다. 이는 데이터가 많은 홉을 통과하기 때문에 실시간 분석 시나리오에 특히 중요합니다.

요약:

기존 spoke-hub-hub-spoke 디자인 요약

spoke-hub-hub-spoke 디자인은 잘 알려져 있으며 많은 조직에서 구축되어 있어 기존 환경에서 쉽게 설정할 수 있습니다. 그러나 서비스 관리, 비용, 대역폭 및 대기 시간에 대한 상당한 단점이 있습니다. 이러한 문제는 지역 간 사용 사례 수가 증가함에 따라 특히 두드러집니다.

결론

글로벌 VNet 피어링은 비용 효율적이고, 관리가 쉬우며, 지역 간에 안정적인 연결을 제공하므로 기존의 spoke-hub-hub-spoke 디자인에 비해 많은 이점이 있습니다. 기존의 spoke-hub-hub-spoke 디자인은 데이터 볼륨 및 지역 간 데이터 교환에 대한 필요성은 낮지만 지역 간에 교환해야 하는 데이터의 양이 증가함에 따라 글로벌 VNet 피어링 접근 방식을 사용하는 것이 좋습니다.

다음 단계