기존 네트워크 엔지니어는 라우터, 스위치, 케이블, 방화벽과 같은 물리적 자산을 처리하여 인프라를 구축했습니다. 논리 계층에서 VLAN(가상 LAN), STP(스패닝 트리 프로토콜), 라우팅 프로토콜(RIP, OSPF, BGP)을 구성했습니다. 관리 도구 및 CLI를 사용하여 네트워크를 관리했습니다. 클라우드의 네트워킹은 네트워크 엔드포인트가 논리적이며 라우팅 프로토콜의 사용이 최소인 경우 다릅니다. Azure에서 자산을 구성하고 관리하기 위해 Azure Resource Manager API, Azure CLI 및 PowerShell을 사용합니다. Azure 네트워킹의 기본 테넌트에 대해 이해하여 클라우드에서 네트워크 경험을 시작합니다.
가상 네트워크
네트워크를 상향식으로 디자인하는 경우 몇 가지 기본 정보를 수집합니다. 이 정보는 호스트 수, 네트워크 디바이스, 서브넷 수, 서브넷 간 라우팅, VLAN과 같은 격리 도메인 등일 수 있습니다. 이 정보는 네트워크 및 보안 디바이스의 크기를 조정하고 애플리케이션과 서비스를 지원하는 아키텍처 만들 때 도움이 됩니다.
Azure에서 애플리케이션과 서비스를 배포할 계획이면 먼저 Azure에서 가상 네트워크라는 논리적 경계를 만듭니다. 이 가상 네트워크는 실제 네트워크 경계와 유사합니다. 가상 네트워크이기 때문에 물리적 기어는 필요하지 않지만 IP 주소, IP 서브넷, 라우팅, 정책과 같은 논리적 엔터티를 계획해야 합니다.
Azure에서 가상 네트워크를 만드는 경우 가상 네트워크는 IP 범위(10.0.0.0/16)로 미리 구성되어 있습니다. 이 범위는 고정되지 않으며 고유한 IP 범위를 정의할 수 있습니다. IPv4 및 IPv6 주소 범위를 둘 다 정의할 수 있습니다. 가상 네트워크에 대해 정의된 IP 범위는 인터넷에 보급되지 않습니다. IP 범위에서 여러 서브넷을 만들 수 있습니다. 해당 서브넷은 vNIC(가상 네트워크 인터페이스)에 IP 주소를 할당하는 데 사용됩니다. 각 서브넷의 처음 4개 IP 주소는 예약되어 있으며 IP 할당에 사용할 수 없습니다. 퍼블릭 클라우드에는 VLAN 개념이 없습니다. 그러나 정의된 서브넷을 기반으로 가상 네트워크 내에서 격리를 만들 수 있습니다.
모든 가상 네트워크 주소 공간을 포함하는 하나의 큰 서브넷을 만들거나 여러 서브넷을 만들도록 선택할 수 있습니다. 그러나 가상 네트워크 게이트웨이를 사용하는 경우 Azure에서 "게이트웨이 서브넷"이라는 이름의 서브넷을 만들어야 합니다. Azure는 이 서브넷을 사용하여 가상 네트워크 게이트웨이에 IP 주소를 할당합니다.
IP 할당
호스트에 IP 주소를 할당하면 실제로 NIC(네트워크 인터페이스 카드)에 IP를 할당합니다. Azure에서 다음 두 유형의 IP 주소를 NIC에 할당할 수 있습니다.
- 공용 IP 주소 - 인터넷과 가상 네트워크에 연결되지 않은 다른 Azure 리소스와 인바운드 및 아웃바운드(NAT(Network Address Translation) 사용 안 함) 통신하는 데 사용됩니다. NIC에 공용 IP 주소를 할당하는 것은 선택 사항입니다. 공용 IP 주소는 Microsoft IP 주소 공간에 속합니다.
- 개인 IP 주소 - 가상 네트워크, 온-프레미스 네트워크 및 인터넷(NAT 포함) 내 통신에 사용됩니다. 공용 IP 주소 공간을 구성하는 경우에도 가상 네트워크에서 정의하는 IP 주소 공간은 프라이빗으로 간주됩니다. Microsoft는 이 공간을 인터넷에 보급하지 않습니다. VM에 하나 이상의 개인 IP 주소를 할당해야 합니다.
물리적 호스트 또는 디바이스와 마찬가지로 리소스에 IP 주소를 할당하는 방법에는 동적 또는 정적 두 가지가 있습니다. Azure에서 기본 할당 방법은 동적이며, VM(가상 머신)을 만들거나 중지된 VM을 시작할 때 IP 주소가 할당됩니다. VM을 중지하거나 삭제하면 IP 주소가 해제됩니다. VM의 IP 주소가 동일하게 기본 할당 방법을 명시적으로 정적으로 설정할 수 있습니다. 이 경우 IP 주소는 즉시 할당되며, VM을 삭제하거나 할당 방법을 동적으로 변경하는 경우에만 릴리스됩니다.
개인 IP 주소는 가상 네트워크 내에서 정의한 서브넷에서 할당됩니다. VM의 경우 IP 할당에 대한 서브넷을 선택합니다. VM에 여러 NIC가 포함된 경우 각 NIC에 대해 다른 서브넷을 선택할 수 있습니다.
라우팅
가상 네트워크를 만들 경우 Azure는 네트워크에 대한 라우팅 테이블을 만듭니다. 이 라우팅 테이블에는 다음 유형의 경로가 포함됩니다.
- 시스템 경로
- 서브넷 기본 경로
- 다른 가상 네트워크의 경로
- BGP 경로
- 서비스 엔드포인트 경로
- UDR(사용자 정의 경로)
서브넷을 정의하지 않고 처음으로 가상 네트워크를 만들 경우 Azure는 라우팅 테이블에 라우팅 항목을 만듭니다. 이 경로를 시스템 경로라고 합니다. 시스템 경로는 이 위치에서 정의됩니다. 이 경로는 수정할 수 없습니다. 그러나 UDR을 구성하여 시스템 경로를 재정의할 수 있습니다.
가상 네트워크 내에서 하나 이상의 서브넷을 만들 경우 Azure는 라우팅 테이블에 기본 항목을 만들어 가상 네트워크 내에서 해당 서브넷 간에 통신을 가능하게 합니다. 이 경로는 Azure의 UDR(사용자 정의 경로)인 고정 경로를 사용하여 수정할 수 있습니다.
두 가상 네트워크 간에 가상 네트워크 피어링을 만드는 경우 피어링이 만들어지는 각 가상 네트워크의 주소 공간 내의 각 주소 범위에 대한 경로가 추가됩니다.
온-프레미스 네트워크 게이트웨이에서 Azure 가상 네트워크 게이트웨이와 BGP(Border Gateway Protocol) 경로를 교환하는 경우 온 프레미스 네트워크 게이트웨이에서 전파되는 각 경로에 대한 경로가 추가됩니다. 이 경로는 라우팅 테이블에 BGP 경로로 표시됩니다.
서비스에 서비스 엔드포인트를 사용하도록 설정하면 Azure는 특정 서비스에 대한 공용 IP 주소를 경로 테이블에 추가합니다. 서비스 엔드포인트는 가상 네트워크 내에서 개별 서브넷에 대해 사용하도록 설정됩니다. 서비스 엔드포인트를 사용하도록 설정하면 이 서비스에 속하는 서브넷의 경로 테이블에만 경로가 추가됩니다. 주소가 변경되면 Azure는 자동으로 경로 테이블의 주소를 관리합니다.
사용자 정의 경로를 사용자 지정 경로라고도 합니다. Azure에서 UDR을 만들어 Azure의 기본 시스템 경로를 재정의하거나 서브넷의 경로 테이블에 경로를 더 추가합니다. Azure에서 경로 테이블을 만든 다음, 경로 테이블을 가상 네트워크 서브넷에 연결합니다.
라우팅 테이블에 경쟁하는 항목이 있는 경우 Azure는 기존 라우터와 유사한 가장 긴 접두사 일치를 기준으로 다음 홉을 선택합니다. 그러나 주소 접두사가 동일한 다음 홉 항목이 여러 개 있는 경우 Azure는 다음 순서로 경로를 선택합니다.
- UDR(사용자 정의 경로)
- BGP 경로
- 시스템 경로
보안
네트워크 보안 그룹을 사용하여 가상 네트워크에서 리소스를 보내고 받는 네트워크 트래픽을 필터링할 수 있습니다. Azure Firewall 또는 다른 공급업체의 방화벽과 같은 NVA(네트워크 가상 어플라이언스)를 사용할 수도 있습니다. Azure에서 서브넷의 트래픽을 라우팅하는 방법을 제어할 수 있습니다. 조직에서 가상 네트워크의 리소스로 작업할 수 있는 사용자를 제한할 수도 있습니다.
NSG(네트워크 보안 그룹)에는 서브넷, NIC 또는 둘 다에 대한 네트워크 트래픽을 허용하거나 거부하는 ACL(액세스 제어 목록) 규칙 목록이 포함되어 있습니다. NSG는 서브넷 또는 서브넷에 연결된 개별 NIC와 연결될 수 있습니다. NSG를 서브넷과 연결하는 경우 ACL 규칙이 해당 서브넷의 모든 VM에 적용됩니다. 또한 NSG를 NIC와 직접 연결하여 개별 NIC에 대한 트래픽을 제한할 수 있습니다.
NSG에는 인바운드 및 아웃바운드의 두 가지 규칙 집합이 포함되어 있습니다. 규칙에 대한 우선 순위는 각 집합 내에서 고유해야 합니다. 각 규칙에는 프로토콜, 원본 및 대상 포트 범위, 주소 접두사, 트래픽 방향, 우선 순위 및 액세스 유형에 관한 속성이 있습니다. 모든 NSG에는 기본 규칙 집합이 포함됩니다. 기본 규칙은 삭제할 수 없지만 가장 낮은 우선 순위가 할당되므로 사용자가 만든 규칙으로 재정의할 수 있습니다.
확인
가상 네트워크의 경로
만든 경로, Azure의 기본 경로 및 Azure VPN 게이트웨이를 통해 온-프레미스 네트워크에서 전파되는 모든 경로(가상 네트워크가 온-프레미스 네트워크에 연결된 경우)가 BGP(경계 게이트웨이 프로토콜)를 통해 결합된 것은 서브넷의 모든 네트워크 인터페이스에 유효한 경로입니다. 포털, PowerShell 또는 CLI를 통해 NIC로 이동하여 이러한 유효 경로를 볼 수 있습니다. NIC의 유효 경로에 대한 자세한 내용은 Get-AzEffectiveRouteTable을 참조하세요.
네트워크 보안 그룹
네트워크 인터페이스에 적용되는 효과적인 보안 규칙은 네트워크 인터페이스와 연결된 NSG에 있는 규칙과 네트워크 인터페이스가 있는 서브넷의 집계입니다. 포털, PowerShell 또는 CLI를 통해 NIC로 이동하여 VM의 네트워크 인터페이스에 적용되는 NSG의 모든 효과적인 보안 규칙을 볼 수 있습니다.
다음 단계
가상 네트워크에 관해 알아봅니다.
가상 네트워크 라우팅에 대해 알아봅니다.
네트워크 보안 그룹에 대해 알아봅니다.