다음을 통해 공유

Azure Arc 지원 서버에 대한 네트워크 토폴로지 및 연결

  • 아티클

Azure Arc 지원 서버를 사용하면 Azure 컨트롤 플레인을 사용하여 Windows 및 Linux 물리적 서버 및 가상 머신(온-프레미스 환경 또는 타사 클라우드 공급자에 의해 호스트됨)을 관리할 수 있습니다. 이 문서에서는 클라우드 채택 프레임워크 엔터프라이즈 규모 랜딩 존 지침의 일환으로 Azure Arc 지원 서버 연결에 대한 주요 디자인 고려 사항 및 모범 사례를 안내합니다.

이 문서에서는 엔터프라이즈 규모 랜딩 존이 성공적으로 구현되고 하이브리드 네트워크 연결이 설정되었다고 가정하므로 Azure Arc 지원 서버 연결 머신 에이전트 연결에 중점을 둡니다. 이 필수 구성 요소에 대한 자세한 내용은 엔터프라이즈 규모 개요구현 지침을 검토하세요.

아키텍처

다음 다이어그램에서는 Azure Arc 지원 서버의 연결에 대한 개념 참조 아키텍처를 보여 줍니다.

Diagram that shows Azure Arc-enabled servers connectivity options.

디자인 고려 사항

다음 목록에서는 Azure Arc 지원 서버를 위한 네트워크 디자인 고려 사항에 대한 개요를 제공합니다.

  • 에이전트의 연결 방법 정의: 기존 인프라, 보안 요구 사항을 검토하고 연결된 머신 에이전트가 온-프레미스 네트워크 또는 다른 클라우드 공급자에서 Azure와 통신하는 방법을 결정합니다. 이 연결은 프록시 서버를 통해 인터넷으로 직접 이동하거나 프라이빗 연결을 위해 Private Link를 구현할 수 있습니다.
  • Azure 서비스 태그에 대한 액세스 관리: 커넥트 컴퓨터 에이전트 네트워크 요구 사항에 따라 방화벽 및 프록시 네트워크 규칙을 업데이트된 상태로 유지하는 자동화된 프로세스를 만듭니다.
  • Azure Arc에 대한 네트워크 연결 보호: TLS(전송 계층 보안) 버전 1.2를 사용하도록 컴퓨터 운영 체제를 구성합니다. 알려진 취약성으로 인해 이전 버전은 권장되지 않습니다.
  • 확장 연결 방법 정의: Azure Arc 지원 서버에 배포된 Azure 확장은 일반적으로 다른 Azure 서비스와 통신해야 합니다. 이 연결은 공용 네트워크, 방화벽 또는 프록시 서버를 통해 직접 사용할 수 있습니다. 디자인에 프라이빗 연결이 필요한 경우 Arc 에이전트에 대한 프라이빗 엔드포인트를 구성하는 것 이상의 추가 단계를 수행 하여 확장에서 액세스하는 각 서비스에 대해 프라이빗 엔드포인트 연결을 사용하도록 설정해야 합니다.
  • 전체 연결 아키텍처 검토: Azure 랜딩 존 엔터프라이즈 규모의 네트워크 토폴로지 및 연결 디자인 영역을 검토하여 Azure Arc 지원 서버가 전체 연결에 미치는 영향을 평가합니다.

디자인 권장 사항

Azure Arc 에이전트의 연결 방법 정의

Azure Arc 지원 서버를 사용하면 다음 방법으로 하이브리드 머신을 연결할 수 있습니다.

  • 방화벽 또는 프록시 서버 뒤에서 선택적으로 직접 연결
  • Azure Private Link

직접 연결

Azure Arc 지원 서버는 Azure 공용 엔드포인트에 대한 직접 연결을 제공합니다. 이 연결 방법을 사용하면 모든 머신 에이전트가 공용 엔드포인트를 사용하여 인터넷을 통해 연결됩니다. Linux 및 Windows용 연결된 머신 에이전트는 HTTPS 프로토콜(TCP/443)을 사용하여 안전한 방식으로 Azure에 아웃바운드 통신합니다.

직접 연결 방법을 사용하는 경우 연결된 머신 에이전트에 대한 인터넷 액세스를 검토해야 합니다. 필요한 네트워크 규칙을 구성하는 것이 좋습니다.

프록시 서버 또는 방화벽 연결(선택 사항)

컴퓨터가 방화벽 또는 프록시 서버를 사용하여 인터넷을 통해 통신하는 경우 에이전트는 HTTPS 프로토콜을 사용하여 아웃바운드에 연결합니다.

방화벽 또는 프록시 서버에서 아웃바운드 연결을 제한하는 경우 커넥트 컴퓨터 에이전트 네트워크 요구 사항에 따라 IP 범위를 허용해야 합니다. 에이전트가 서비스와 통신하는 데 필요한 IP 범위 또는 도메인 이름만 허용하는 경우 서비스 태그 및 URL을 사용하여 방화벽 또는 프록시 서버를 구성합니다.

Azure Arc 지원 서버에 확장을 배포하는 경우 모든 확장은 자체 엔드포인트 또는 엔드포인트에 연결되며 방화벽 또는 프록시의 모든 해당 URL도 허용해야 합니다. 이러한 엔드포인트를 추가하면 PoLP(최소 권한 원칙)를 충족하도록 세분화된 보안 네트워크 트래픽이 보장됩니다.

Arc Private Link 범위에서 Azure Arc 지원 서버를 사용하면 Arc 에이전트의 모든 트래픽이 네트워크에서 다시 기본 수 있습니다. 이 구성에는 보안 이점이 있습니다. 트래픽이 인터넷을 트래버스하지 않으며 데이터 센터 방화벽에서 아웃바운드 예외를 많이 열 필요가 없습니다. 그러나 Private Link를 사용하면 전반적인 복잡성과 비용, 특히 글로벌 조직의 경우 많은 관리 문제가 발생합니다. 몇 가지 문제는 다음과 같습니다.

  • Arc Private Link 범위를 사용하는 선택은 동일한 DNS 범위의 모든 Arc 클라이언트를 포함합니다. 일부 Arc 클라이언트는 프라이빗 엔드포인트를 사용하고 일부는 DNS 서버를 공유할 때 공용을 사용할 수 없습니다(DNS 정책과 같은 해결 방법 없음).
  • Arc 클라이언트는 기본 지역 또는 DNS의 모든 프라이빗 엔드포인트를 구성하여 동일한 프라이빗 엔드포인트 이름이 다른 IP 주소로 확인되도록 해야 합니다(예: Active Directory 통합 DNS에 대해 선택적으로 복제본(replica)ted DNS 파티션 사용). 모든 Arc 클라이언트에 동일한 프라이빗 엔드포인트를 사용하는 경우 모든 네트워크에서 프라이빗 엔드포인트로 트래픽을 라우팅할 수 있어야 합니다.
  • Arc를 사용하여 배포된 확장 소프트웨어 구성 요소(예: Log Analytics 작업 영역, Automation 계정, Key Vault 또는 Azure Storage)에서 액세스하는 모든 Azure 서비스에 프라이빗 엔드포인트가 사용되도록 하려면 추가 단계가 필요합니다.
  • Azure Entra ID에 대한 커넥트 사용은 퍼블릭 엔드포인트를 사용하므로 클라이언트에는 여전히 일부 인터넷 액세스가 필요합니다.

이러한 문제 때문에 Private Link가 Arc 구현에 대한 요구 사항인지 여부를 평가하는 것이 좋습니다. 퍼블릭 엔드포인트를 사용하면 트래픽이 암호화되고 서버용 Arc를 사용하는 방법에 따라 관리 및 메타데이터 트래픽으로 제한될 수 있습니다. 로컬 에이전트 보안 제어를 구현하여 보안 문제를 완화할 수 있습니다.

자세한 내용은 Arc에 대한 Private Link 지원과 관련된 제한 사항 및 제한 사항을 검토합니다.

Diagram that shows Azure Arc-enabled servers Private Link topology.

자세한 내용은 Azure Private Link 보안을 검토하세요.

Azure 서비스 태그에 대한 액세스 관리

Azure Arc 네트워크 요구 사항에 따라 방화벽 및 프록시 네트워크 규칙을 업데이트된 상태로 유지하기 위한 자동화된 프로세스를 구현하는 것이 좋습니다.

Azure Arc에 대한 네트워크 연결 보호

전송 계층 보안 1.2 프로토콜을 사용하여 Azure로 전송 중인 데이터의 보안을 보장하는 것이 좋습니다. 이전 버전의 TLS/SSL(Secure Sockets Layer)은 취약한 것으로 확인되었으며 권장되지 않습니다.

확장 연결 방법 정의

Azure Arc 지원 서버가 VM 확장을 지원하도록 설정하면 해당 확장이 다른 Azure 서비스에 연결됩니다. 직접, 프록시 서버/방화벽 뒤 또는 Azure Private Link를 사용하는 확장에 대한 연결 방법을 확인하는 것이 중요합니다.

Azure Arc 지원 서버에서 프록시 또는 방화벽을 사용하는 경우 자체 엔드포인트와 통신하므로 확장에 필요한 모든 URL도 허용해야 합니다.

Private Link를 사용하는 경우 각 서비스에 대해 Private Link를 구성해야 합니다.

다음 단계

하이브리드 클라우드 채택 경험에 대한 자세한 지침은 다음 리소스를 검토하세요.