가상 네트워크 시나리오 및 리소스

  • 아티클

Azure Virtual Network는 Azure 및 온-프레미스 리소스를 위한 안전한 프라이빗 네트워킹 기능을 제공합니다. 컨테이너 그룹을 Azure Virtual Network에 배포하면 컨테이너가 가상 네트워크의 다른 리소스와 안전하게 통신할 수 있습니다.

이 문서에서는 가상 네트워크 시나리오, 제한 사항 및 리소스에 대한 배경 정보를 제공합니다. Azure CLI를 사용하는 배포 예제는 Azure Virtual Network에 컨테이너 인스턴스 배포를 참조하세요.

Important

가상 네트워크에 대한 컨테이너 그룹 배포는 일반적으로 Azure Container Instances를 이용 가능한 대부분의 지역에서 Linux 컨테이너용으로 일반 공급됩니다. 자세한 내용은 리소스 가용성 및 할당량 제한을 참조 하세요.

시나리오

Azure Virtual Network에 컨테이너 그룹을 배포하는 경우 다음과 같은 시나리오를 수행할 수 있습니다.

  • 동일한 서브넷의 컨테이너 그룹 간 직접 통신
  • 컨테이너 인스턴스에서 가상 네트워크의 데이터베이스로 작업 기반 워크로드 전송
  • 가상 네트워크의 서비스 엔드포인트에서 컨테이너 인스턴스의 콘텐츠 검색
  • VPN 게이트웨이 또는 ExpressRoute를 통한 온-프레미스 리소스와 컨테이너 간 통신 사용
  • Azure Firewall과 통합하여 컨테이너에서 시작되는 아웃바운드 트래픽 식별
  • 가상 머신과 같은 가상 네트워크의 Azure 리소스와 통신하기 위해 내부 Azure DNS를 통해 이름 확인
  • NSG 규칙을 사용하여 서브넷 또는 다른 네트워크 리소스에 대한 컨테이너 액세스 제어

지원되지 않는 네트워킹 시나리오

  • Azure Load Balancer - 네트워크 컨테이너 그룹의 컨테이너 인스턴스 앞에 Azure Load Balancer를 배치하는 시나리오는 지원되지 않습니다.
  • 글로벌 가상 네트워크 피어링 - 글로벌 피어링(Azure 지역에서 가상 네트워크 연결)은 지원되지 않습니다.
  • 공용 IP 또는 DNS 레이블 - 가상 네트워크에 배포된 컨테이너 그룹은 현재 공용 IP 주소 또는 정규화된 도메인 이름으로 컨테이너를 인터넷에 직접 노출하는 시나리오를 지원하지 않습니다.
  • Azure Government 지역의 Virtual Network를 사용한 관리 ID - 가상 네트워킹 기능이 있는 관리 ID는 Azure Government 지역에서 지원되지 않습니다.

기타 제한 사항

  • 컨테이너 그룹을 배포하려는 서브넷에는 다른 리소스 종류가 포함되어 있지 않아야 합니다. 컨테이너 그룹을 배포하기 전에 기존 서브넷에서 기존 리소스를 모두 제거하거나 새 서브넷을 만들어야 합니다.
  • 컨테이너 그룹을 서브넷에 배포하려면 서브넷과 컨테이너 그룹이 동일한 Azure 구독에 있어야 합니다.
  • 가상 네트워크에 배포된 컨테이너 그룹에서 활동성 프로브준비 상태 프로브를 사용하도록 설정할 수 없습니다.
  • 가상 네트워크에 배포할 때는 네트워킹 리소스가 추가로 사용되므로 대개 표준 컨테이너 인스턴스를 배포할 때보다 속도가 느립니다.
  • 현재 포트 25 및 19390에 대한 아웃바운드 연결은 지원되지 않습니다. 컨테이너 그룹이 가상 네트워크에 배포될 때 Azure Portal에서 ACI에 연결하려면 방화벽에서 포트 19390을 열어야 합니다.
  • 인바운드 연결의 경우 방화벽은 가상 네트워크 내의 모든 IP 주소도 허용해야 합니다.
  • 컨테이너 그룹을 Azure Storage 계정에 연결하는 경우 해당 리소스에 서비스 엔드포인트를 추가해야 합니다.
  • 현재 IPv6 주소는 지원되지 않습니다.
  • 구독 유형에 따라 특정 포트가 차단될 수 있습니다.

필요한 네트워크 리소스

가상 네트워크에 컨테이너 그룹을 배포할 때 필요한 세 가지 Azure Virtual Network 리소스는 가상 네트워크 자체, 가상 네트워크 내의 위임된 서브넷네트워크 프로필입니다.

가상 네트워크

가상 네트워크는 주소 공간을 정의합니다. 이 주소 공간에 서브넷을 하나 이상 만든 다음 컨테이너 그룹 등의 Azure 리소스를 가상 네트워크의 서브넷에 배포합니다.

서브넷(위임)

서브넷은 가상 네트워크를 서브넷에 배치하는 Azure 리소스가 사용할 수 있는 개별 주소 공간으로 구분합니다. 가상 네트워크 내에 하나 이상의 서브넷을 만들 수 있습니다.

컨테이너 그룹용으로 사용하는 서브넷은 컨테이너 그룹만 포함할 수 있습니다. 서브넷에 컨테이너 그룹을 처음 배포할 때 Azure는 Azure Container Instances에 해당 서브넷을 위임합니다. 위임된 서브넷은 컨테이너 그룹에만 사용할 수 있습니다. 위임된 서브넷에 컨테이너 그룹 이외의 리소스를 배포하려고 하면 작업이 실패합니다.

네트워크 프로필

Important

네트워크 프로필2021-07-01 API 버전부터 더 이상 사용되지 않습니다. 이 버전 또는 최신 버전을 사용하는 경우 네트워크 프로필과 관련된 단계 및 작업을 무시합니다.

Azure 리소스용 네트워크 구성 템플릿인 네트워크 프로필은 리소스를 배포해야 하는 서브넷 등 리소스의 특정 네트워크 속성을 지정합니다. 처음 az container create 명령을 사용하여 서브넷(가상 네트워크)에 컨테이너 그룹을 배포하는 경우 Azure가 사용자를 위해 네트워크 프로필을 만듭니다. 그러면 다음에 컨테이너 그룹을 서브넷에 배포할 때 해당 네트워크 프로필을 사용할 수 있습니다.

Resource Manager 템플릿, YAML 파일 또는 프로그래밍 방식을 사용하여 서브넷에 컨테이너 그룹을 배포하려면 네트워크 프로필의 전체 Resource Manager 리소스 ID를 제공해야 합니다. az container create를 사용하여 이전에 만든 프로필을 사용할 수도 있고 Resource Manager 템플릿을 사용하여 프로필을 만들 수도 있습니다(템플릿 예제참조 참조). 이전에 만든 프로필의 ID를 가져오려면 az network profile list 명령을 사용합니다.

아래 다이어그램에서는 Azure Container Instances에 위임된 서브넷에 컨테이너 그룹이 여러 개 배포되어 있습니다. 컨테이너 그룹 하나를 서브넷에 배포한 후에는 같은 네트워크 프로필을 지정하여 추가 컨테이너 그룹을 배포할 수 있습니다.

Container groups within a virtual network

다음 단계