공용 또는 내부 Azure 표준 Load Balancer를 사용하여 Azure Firewall을 가상 네트워크에 통합할 수 있습니다.
기본 디자인은 설정을 간소화하므로 Azure Firewall에서 내부 부하 분산 장치를 사용하는 것입니다. 공용 부하 분산 장치가 이미 배포되어 있고 계속 사용하려는 경우 기능을 방해할 수 있는 잠재적인 비대칭 라우팅 문제를 알고 있어야 합니다.
Azure Load Balancer에 대한 자세한 내용은 Azure Load Balancer란?를 참조하세요.
공용 부하 분산 장치
공용 부하 분산 장치를 사용할 경우 부하 분산 장치는 공용 프런트 엔드 IP 주소를 사용하여 배포됩니다.
비대칭 라우팅
비대칭 라우팅은 패킷이 대상에 대한 하나의 경로를 사용하고, 원본으로 돌아갈 때는 다른 경로를 사용하는 문제입니다. 이 문제는 서브넷에 방화벽의 개인 IP 주소로 가는 기본 경로가 있을 때 사용자가 공용 부하 분산 장치를 사용하는 경우에 발생합니다. 이 경우 들어오는 부하 분산 장치 트래픽은 해당 공용 IP 주소를 통해 수신되지만 반환 경로는 방화벽의 개인 IP 주소를 거칩니다. 방화벽은 상태 저장형으로, 그러한 세션이 설정되어 있는 것을 인식하지 못하여 반환 패킷을 버립니다.
라우팅 문제 해결
시나리오 1: NAT 게이트웨이가 없는 Azure Firewall
Azure Firewall을 서브넷에 배포할 때 서브넷에 대한 기본 경로를 만들어야 합니다. 이 경로는 AzureFirewallSubnet에 있는 방화벽의 개인 IP 주소를 통해 패킷을 전달합니다. 자세한 단계는 Azure Portal을 사용하여 Azure Firewall 배포 및 구성을 참조하세요. 방화벽을 부하 분산 장치 시나리오에 통합하는 경우 인터넷 트래픽이 방화벽의 공용 IP 주소를 통해 들어오는지 확인합니다. 방화벽은 해당 규칙을 적용하고 부하 분산 장치의 공용 IP 주소에 패킷을 NAT합니다. 이 문제는 패킷이 방화벽의 공용 IP 주소에 도착하지만 개인 IP 주소를 통해 반환될 때 발생합니다(기본 경로 사용).
비대칭 라우팅을 방지하려면 방화벽의 공용 IP 주소에 대한 특정 경로를 추가합니다. 방화벽의 공용 IP 주소용 패킷은 인터넷을 통해 전달되며, 방화벽의 개인 IP 주소에 대한 기본 경로를 무시합니다.
경로 테이블 예
예를 들어 다음 경로 테이블에는 공용 IP 주소가 203.0.113.136이고 개인 IP 주소가 10.0.1.4인 방화벽에 대한 경로가 표시됩니다.
시나리오 2: NAT 게이트웨이를 사용하는 Azure Firewall
일부 시나리오에서는 아웃바운드 연결에 대한 SNAT(원본 네트워크 주소 변환) 포트 제한을 극복하도록 Azure Firewall 서브넷에서 NAT 게이트웨이를 구성할 수 있습니다. 이러한 경우 NAT 게이트웨이의 공용 IP 주소가 Azure Firewall의 공용 IP 주소보다 우선하기 때문에 시나리오 1의 경로 구성이 작동하지 않습니다.
자세한 내용은 AZURE Firewall과 NAT 게이트웨이 통합을 참조하세요.
NAT 게이트웨이가 Azure Firewall 서브넷과 연결되면 인터넷의 인바운드 트래픽이 Azure Firewall의 공용 IP 주소에 연결됩니다. 그런 다음 Azure Firewall은 부하 분산 장치의 공용 IP 주소로 트래픽을 전달하기 전에 원본 IP를 NAT 게이트웨이의 공용 IP 주소로 변경합니다.
NAT 게이트웨이가 없으면 Azure Firewall은 트래픽을 부하 분산 장치의 공용 IP 주소로 전달하기 전에 원본 IP 주소를 자체 공용 IP 주소로 변경합니다.
중요합니다
리소스(AKS/VM) 서브넷과 연결된 NSG(네트워크 보안 그룹) 규칙에서 NAT 게이트웨이 공용 IP 주소 또는 공용 접두사를 허용합니다.
NAT 게이트웨이를 사용하는 경로 테이블 예제
다음 홉으로 인터넷을 사용하는 Azure Firewall 공용 IP 주소 대신 NAT 게이트웨이 공용 IP 주소를 사용하려면 반환 경로에 대한 경로를 추가해야 합니다.
예를 들어 다음 경로 테이블은 공용 IP 주소가 198.51.100.101인 NAT 게이트웨이의 경로와 개인 IP 주소가 10.0.1.4인 방화벽을 보여 줍니다.
NAT 규칙 예
두 시나리오에서 NAT 규칙은 RDP(원격 데스크톱 프로토콜) 트래픽을 방화벽의 공용 IP 주소(203.0.113.136)에서 부하 분산 장치의 공용 IP 주소(203.0.113.220)로 변환합니다.
건강 프로브
포트 80 또는 HTTP/HTTPS 프로브에서 TCP(전송 제어 프로토콜) 상태 프로브를 사용하는 경우 부하 분산 장치 풀의 호스트에서 웹 서비스를 실행해야 합니다.
내부 부하 분산 장치
내부 부하 분산 장치는 프라이빗 프런트 엔드 IP 주소를 사용하여 배포됩니다.
이 시나리오에는 비대칭 라우팅 문제가 없습니다. 들어오는 패킷은 방화벽의 공용 IP 주소에 도착하고, 부하 분산 장치의 개인 IP 주소로 변환되며, 동일한 경로를 사용하여 방화벽의 개인 IP 주소로 돌아갑니다.
이 시나리오는 공용 부하 분산 장치 시나리오와 유사하게 배포하지만 방화벽 공용 IP 주소 호스트 경로는 필요하지 않습니다.
백 엔드 풀의 가상 머신은 Azure Firewall을 통해 아웃바운드 인터넷 연결을 가질 수 있습니다. 방화벽을 다음 홉으로 사용하여 가상 머신의 서브넷에서 사용자 정의 경로를 구성합니다.
추가 보안
부하 분산 시나리오의 보안을 더욱 강화하려면 NSG(네트워크 보안 그룹)를 사용합니다.
예를 들어 부하 분산된 가상 머신이 있는 백 엔드 서브넷에 NSG를 만듭니다. 방화벽의 공용 IP 주소 및 포트에서 들어오는 트래픽을 허용합니다. NAT 게이트웨이가 Azure Firewall 서브넷과 연결된 경우 NAT 게이트웨이의 공용 IP 주소 및 포트에서 발생하는 들어오는 트래픽을 허용합니다.
NSG에 대한 자세한 내용은 보안 그룹을 참조하세요.
다음 단계
- Azure Azure Firewall을 배포 및 구성하는 방법에 대해 알아봅니다.