Azure 네트워킹 서비스 개요
Azure의 네트워킹 서비스에서는 함께 또는 별도로 사용할 수 있는 다양한 네트워킹 기능을 제공합니다. 다음 네트워킹 시나리오를 각각 선택하여 자세히 알아봅니다.
- 네트워킹 기반: Azure 네트워킹 기반 서비스는 Azure - VNet(Virtual Network), Private Link, Azure DNS, Azure Bastion, Route Server, NAT Gateway 및 Traffic Manager의 리소스에 대한 핵심 연결을 제공합니다.
- 부하 분산 및 콘텐츠 배달: Azure 부하 분산 및 콘텐츠 배달 서비스를사용하면 애플리케이션 및 워크로드(부하 분산 장치, Application Gateway 및 Azure Front Door)를 관리, 배포 및 최적화할 수 있습니다.
- 하이브리드 연결: Azure 하이브리드 연결 서비스는 VPN Gateway, ExpressRoute, Virtual WAN 및 Peering Service와 Azure의 리소스 간 통신을 보호합니다.
- 네트워크 보안: Azure 네트워크 보안 서비스는 방화벽 관리자, 방화벽, 웹 애플리케이션 방화벽 및 DDoS Protection 등 DDoS 공격 및 악의적인 행위자로부터 웹 애플리케이션 및 IaaS 서비스를 보호합니다.
- 네트워크 관리 및 모니터링: Azure 네트워크 관리 및 모니터링 서비스는 네트워크 리소스(Network Watcher, Azure Monitor 및 Azure Virtual Network Manager)를 관리하고 모니터링하는 도구를 제공합니다.
네트워킹 기반
이 섹션에서는 Azure - VNet(Virtual Network), Private Link, Azure DNS, Azure Bastion, Route Server, NAT Gateway 및 Traffic Manager에서 네트워크 환경을 디자인하고 설계하기 위한 구성 요소를 제공하는 서비스에 대해 설명합니다.
가상 네트워크
Azure Virtual Network(VNet)는 Azure의 프라이빗 네트워크의 기본 구성 요소입니다. Vnet을 사용하여 다음을 수행할 수 있습니다.
- Azure 리소스 간에 통신: Azure App Service Environments, AKS(Azure Kubernetes Service), Azure Virtual Machine Scale Sets 등의 여러 가지 가상 머신 및 Azure 리소스를 가상 네트워크에 배포할 수 있습니다. 가상 네트워크에 배포할 수 있는 Azure 리소스의 전체 목록을 보려면 가상 네트워크 서비스 통합을 참조하세요.
- 서로 간에 통신: 가상 네트워크 피어링 또는 Azure Virtual Network Manager를 사용하여 가상 네트워크의 리소스가 서로 통신할 수 있도록 가상 네트워크를 서로 연결할 수 있습니다. 연결한 가상 네트워크는 같은 Azure 지역 또는 다른 Azure 지역에 있을 수 있습니다. 자세한 내용은 가상 네트워크 피어링 및 Azure Virtual Network Manager를 참조하세요.
- 인터넷과 통신: 기본적으로 가상 네트워크의 모든 리소스는 인터넷으로 아웃바운드 통신을 할 수 있습니다. 공용 IP 주소 또는 공용 Load Balancer를 할당하여 리소스에 대해 인바운드로 통신할 수 있습니다. 공용 IP 주소 또는 공용 부하 분산 장치를 사용하여 아웃바운드 연결을 관리할 수도 있습니다.
- 온-프레미스 네트워크와 통신: VPN Gateway 또는 ExpressRoute 경로를 사용하여 온-프레미스 컴퓨터 및 네트워크를 가상 네트워크에 연결할 수 있습니다.
- 리소스 간 트래픽 암호화: 가상 네트워크 암호화를 사용하여 가상 네트워크의 리소스 간 트래픽을 암호화할 수 있습니다.
네트워크 보안 그룹
Azure 가상 네트워크의 Azure 리소스와 네트워크 보안 그룹이 주고 받는 네트워크 트래픽을 필터링할 수 있습니다. 자세한 내용은 네트워크 보안 그룹을 참조하세요.
서비스 엔드포인트
가상 네트워크(VNet) 서비스 엔드포인트는 직접 연결을 통해 가상 네트워크 프라이빗 주소 공간과 가상 네트워크의 ID를 Azure 서비스로 확장합니다. 엔드포인트를 사용하면 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있습니다. 가상 네트워크에서 Azure 서비스로의 트래픽은 항상 Microsoft Azure 백본 네트워크에 유지됩니다.
Azure Private Link
Azure Private Link를 사용하면 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure PaaS Services(예: Azure Storage 및 SQL Database)와 Azure 호스트 고객 소유/파트너 서비스에 액세스할 수 있습니다. 가상 네트워크와 서비스 사이의 트래픽은 Microsoft 백본 네트워크를 통해 이동합니다. 서비스를 공용 인터넷에 더 이상 노출할 필요가 없습니다. 가상 네트워크에 자체 프라이빗 링크 서비스를 만들어서 고객에게 제공할 수도 있습니다.
Azure DNS
Azure DNS는 Microsoft Azure 인프라를 사용하여 DNS 호스팅 및 확인을 제공합니다. Azure DNS는 다음 세 가지 서비스로 구성됩니다.
- Azure 퍼블릭 DNS는 DNS 도메인에 대한 호스팅 서비스입니다. Azure에 도메인을 호스트하면 다른 Azure 서비스와 동일한 자격 증명, API, 도구 및 대금 청구를 사용하여 DNS 레코드를 관리할 수 있습니다.
- Azure 프라이빗 DNS는 가상 네트워크에 대한 DNS 서비스입니다. Azure Private DNS는 사용자 지정 DNS 솔루션을 구성할 필요 없이 가상 네트워크의 도메인 이름을 관리하고 확인합니다.
- Azure DNS Private Resolver는 VM 기반 DNS 서버를 배포하지 않고 온-프레미스 환경에서 Azure DNS 프라이빗 영역을 쿼리하거나 그 반대로 쿼리할 수 있는 서비스입니다.
Azure DNS를 사용하면 공용 도메인을 호스트 및 확인하고, 가상 네트워크에서 DNS 확인을 관리하고, Azure와 온-프레미스 리소스 간에 이름 확인을 사용하도록 설정할 수 있습니다.
Azure Bastion
Azure Bastion은 브라우저와 Azure Portal을 사용하여 가상 머신에 연결할 수 있도록 가상 네트워크에 배포할 수 있는 서비스입니다. 로컬 컴퓨터에 이미 설치된 네이티브 SSH 또는 RDP 클라이언트를 사용하여 연결할 수도 있습니다. Azure Bastion 서비스는 가상 네트워크 내에 배포하는 완전 플랫폼 관리형 PaaS 서비스입니다. TLS를 통해 Azure Portal에서 직접 가상 머신에 안전하고 원활한 RDP/SSH 연결을 제공합니다. Azure Bastion을 통해 연결하는 경우 가상 머신에 공용 IP 주소, 에이전트 또는 특수 클라이언트 소프트웨어가 필요하지 않습니다. Azure Bastion에는 사용할 수 있는 다양한 SKU/계층이 있습니다. 선택한 계층은 사용 가능한 기능에 영향을 줍니다. 자세한 내용은 Bastion 구성 설정 정보를 참조하세요.
Azure Route Server
Azure Route Server는 NVA(네트워크 가상 어플라이언스)와 가상 네트워크 간의 동적 라우팅을 간소화합니다. 이를 통해 경로 테이블을 수동으로 구성하거나 유지 관리할 필요 없이 BGP(Border Gateway Protocol) 라우팅 프로토콜을 지원하는 NVA와 Azure VNet(Virtual Network)의 Azure SDN(Software Defined Network) 사이에서 BGP 라우팅 프로토콜을 통해 직접 라우팅 정보를 교환할 수 있습니다.
NAT Gateway
NAT 게이트웨이는 가상 네트워크에 대한 아웃바운드 전용 인터넷 연결을 간소화합니다. 서브넷에 구성되는 경우 모든 아웃바운드 연결에서 지정된 고정 공용 IP 주소를 사용합니다. 가상 머신에 직접 연결되는 부하 분산 장치 또는 공용 IP 주소가 없으면 아웃바운드 연결이 가능합니다. 자세한 내용은 Azure NAT Gateway란?을 참조하세요.
Traffic Manager
Azure Traffic Manager는 전 세계 Azure 지역의 서비스에 트래픽을 적절하게 분산하면서, 고가용성과 빠른 응답성을 제공하는 DNS 기반 트래픽 부하 분산 장치입니다. Traffic Manager는 우선 순위, 가중치, 성능, 지리적, 다중값 또는 서브넷과 같은 트래픽을 분산하기 위한 다양한 트래픽 라우팅 방법을 제공합니다.
다음 다이어그램은 Traffic Manager를 사용한 엔드포인트 우선 순위 기반 라우팅을 보여 줍니다.
Traffic Manager에 관한 자세한 내용은 Azure Traffic Manager란?을 참조하세요.
부하 분산 및 콘텐츠 제공
이 섹션에서는 애플리케이션과 워크로드를 제공하는 데 도움이 되는 Azure의 네트워킹 서비스를 설명합니다 - Load Balancer, Application Gateway, Azure Front Door Service.
Load Balancer
Azure Load Balancer는 모든 UDP 및 TCP 프로토콜에 대해 대기 시간이 낮은 고성능 계층 4 부하 분산을 제공합니다. 인바운드 및 아웃 바운드 연결을 관리합니다. 내부 부하가 분산된 공용 엔드포인트를 구성할 수 있습니다. 서비스 가용성 관리 옵션을 검색하는 TCP 및 HTTP 상태를 사용하여 백 엔드 풀 대상에 인바운드 연결을 매핑하는 규칙을 정의할 수 있습니다.
Azure Load Balancer는 표준, 지역 및 게이트웨이 SKU에서 사용할 수 있습니다.
다음 그림에서는 외부 및 내부 부하 분산 장치를 모두 활용하는 인터넷 연결 다중 계층 애플리케이션을 보여줍니다.
Application Gateway
Azure Application Gateway는 웹 애플리케이션에 대한 트래픽을 관리할 수 있도록 하는 웹 트래픽 부하 분산 장치입니다. 서비스 형태의 ADC(애플리케이션 전달 컨트롤러)이며 애플리케이션에 대한 다양한 계층 7 부하 분산 기능을 제공합니다.
다음 다이어그램에서는 Application Gateway를 사용하는 URL 경로 기반 라우팅을 보여 줍니다.
Azure Front Door
Azure Front Door를 사용하면 최적의 성능과 고가용성을 지원하는 즉시 글로벌 장애 조치(failover)를 최적으로 구현하여 웹 트래픽의 글로벌 라우팅을 정의, 관리, 모니터링할 수 있습니다. Front Door를 사용하면 글로벌(다중 지역) 소비자 및 기업 애플리케이션을 글로벌 Azure 잠재 고객에게 도달하는 견고한 고성능의 맞춤형 최신 애플리케이션, API 및 콘텐츠로 변환할 수 있습니다.
하이브리드 연결
이 섹션에서는 온-프레미스 네트워크와 Azure 간에 보안 통신을 제공하는 네트워크 연결 서비스를 설명합니다 - VPN Gateway, ExpressRoute, Virtual WAN, Peering Service.
VPN Gateway
VPN Gateway를 사용하면 온-프레미스 위치에서 가상 네트워크에 대한 암호화된 프레미스 간 연결을 만들거나 VNet 간에 암호화된 연결을 만들 수 있습니다. VPN Gateway 연결에는 다양한 구성을 사용할 수 있습니다. 주요 기능 중 일부는 다음과 같습니다.
- 사이트 간 VPN 연결
- 지점 및 사이트 간 VPN 연결
- VNet 간 VPN 연결
다음 다이어그램은 동일한 가상 네트워크에 대한 여러 사이트 간 VPN 연결을 보여 줍니다. 더 많은 연결 다이어그램을 보려면 VPN Gateway - 디자인을 참조하세요.
ExpressRoute
ExpressRoute를 사용하면 연결 공급자가 지원하는 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장할 수 있습니다. 이 연결은 프라이빗 전용입니다. 트래픽은 인터넷을 통해 이동하지 않습니다. ExpressRoute를 사용하면 Microsoft Azure, Microsoft 365, Dynamics 365와 같은 Microsoft 클라우드 서비스에 대한 연결을 설정할 수 있습니다.
가상 WAN
Azure Virtual WAN은 많은 네트워킹, 보안 및 라우팅 기능을 결합하여 단일 운영 인터페이스를 제공하는 네트워킹 서비스입니다. Azure VNet에 대한 연결은 가상 네트워크 연결을 사용하여 설정합니다. 주요 기능 중 일부는 다음과 같습니다.
- 분기 연결(SD-WAN 또는 VPN CPE와 같은 Virtual WAN 파트너 디바이스의 연결 자동화를 통해)
- 사이트 간 VPN 연결
- 원격 사용자 VPN연결(지점 및 사이트 간)
- 프라이빗 연결(ExpressRoute)
- 클라우드 내 연결(가상 네트워크에 대한 전이적 연결)
- VPN ExpressRoute 간 연결
- 프라이빗 연결에 대한 라우팅, Azure Firewall 및 암호화
Peering Service
Azure Peering Service는 Microsoft 365, Dynamics 365, SaaS(Software as a Service) 서비스, Azure 또는 공용 인터넷을 통해 액세스할 수 있는 Microsoft 서비스와 같은 Microsoft 클라우드 서비스에 대한 고객의 연결을 향상시킵니다.
네트워크 보안
이 섹션에서는 네트워크 리소스를 보호하고 모니터링하는 Azure의 네트워킹 서비스를 설명합니다 - Firewall Manager, Firewall, Web Application Firewall, DDoS Protection.
Firewall Manager
Azure Firewall Manager는 클라우드 기반 보안 경계에 대한 중앙 보안 정책과 경로 관리를 제공하는 보안 관리 서비스입니다. Azure Firewall Manager는 보안 가상 허브와 허브 가상 네트워크라는 두 가지 유형의 네트워크 아키텍처에 대한 보안 관리를 제공할 수 있습니다. Azure Firewall Manager를 사용하면 Azure 지역과 구독에 여러 Azure Firewall 인스턴스를 배포하고, DDoS 보호 계획을 구현하고, 웹 애플리케이션 방화벽 정책을 관리하고, 강화된 보안을 위해 파트너 보안 서비스와 통합할 수 있습니다.
Azure Firewall
Azure Firewall은 Azure Virtual Network 리소스를 보호하는 클라우드 기반 관리 네트워크 보안 서비스입니다. Azure Firewall을 사용하면 구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다. Azure Firewall은 가상 네트워크 리소스에 정적 공용 IP 주소를 사용하기 때문에 외부 방화벽이 사용자의 가상 네트워크에서 시작된 트래픽을 식별할 수 있습니다.
Web Application Firewall
WAF(Azure Web Application Firewall)는 SQL 삽입, 사이트 간 스크립팅 등의 일반적인 웹 익스플로잇 및 취약성으로부터 웹 애플리케이션을 보호합니다. Azure WAF는 관리형 규칙을 통해 OWASP 상위 10개 취약성에 대한 보호를 기본 제공합니다. 또한 고객은 사용자 지정 규칙을 구성할 수도 있습니다. 이 규칙은 원본 IP 범위에 따라 추가 보호를 제공하고 헤더, 쿠키, 양식 데이터 필드 또는 쿼리 문자열 매개 변수와 같은 특성을 요청하는 고객 관리 규칙입니다.
고객은 공용 및 개인 주소 공간의 엔터티에 지역 보호를 제공하는 Application Gateway를 사용하여 Azure WAF를 배포하도록 선택할 수 있습니다. 또한 고객은 네트워크 에지에서 공용 엔드포인트에 대한 보호를 제공하는 Front Door를 사용하여 Azure WAF를 배포하도록 선택할 수 있습니다.
DDoS Protection
Azure DDoS Protection은 매우 정교한 DDoS 위협에 대한 대책을 제공합니다. 이 서비스는 가상 네트워크에 배포된 애플리케이션 및 리소스에 대해 향상된 DDoS 완화 기능을 제공합니다. 또한 Azure DDoS Protection을 사용하는 고객은 활성 공격 중에 DDoS 전문가를 참여시키도록 DDoS Rapid Response 지원에 액세스할 수 있습니다.
Azure DDoS Protection은 다음 두 계층으로 구성됩니다.
- 애플리케이션 설계 모범 사례와 결합된 DDoS Network Protection은 DDoS 공격으로부터 방어하기 위해 향상된 DDoS 완화 기능을 제공합니다. 가상 네트워크에서 특정 Azure 리소스를 보호하도록 자동으로 조정됩니다.
- DDoS IP Protection은 보호된 IP당 요금 모델입니다. DDoS IP Protection은 핵심 엔지니어링 기능은 DDoS 네트워크 보호와 동일하지만, DDoS 신속한 응답 지원, 비용 보호, WAF 할인과 같은 부가 가치 서비스가 다릅니다.
컨테이너 네트워크 보안
컨테이너 네트워크 보안은 ACNS(Advanced Container Networking Services)의 일부입니다. AKS 네트워크 보안에 대한 향상된 제어를 제공합니다. FQDN(정규화된 도메인 이름) 필터링과 같은 기능을 통해 Cilium에서 제공하는 Azure CNI를 사용하는 클러스터는 FQDN 기반 네트워크 정책을 구현하여 AKS에서 제로 트러스트 보안 아키텍처를 달성할 수 있습니다.
네트워크 관리 및 모니터링
이 섹션에서는 Azure의 네트워크 관리 및 모니터링 서비스인 Network Watcher, Azure Monitor 및 Azure Virtual Network Manager에 대해 설명합니다.
Azure Network Watcher
Azure Network Watcher는 Azure 가상 네트워크의 리소스를 모니터링 및 진단하고 메트릭을 보고 그에 대한 로그를 활성화 또는 비활성화하는 도구를 제공합니다.
Azure Monitor
Azure Monitor는 클라우드 및 온-프레미스 환경에서 원격 분석 데이터를 수집, 분석하고 이에 따른 작업을 수행하는 포괄적인 솔루션을 제공하여 애플리케이션의 가용성과 성능을 최대화합니다. 애플리케이션을 수행하는 방법과 애플리케이션 및 종속된 리소스에 영향을 주는 문제를 사전에 식별하는 방법을 파악할 수 있습니다.
Azure Virtual Network Manager
Azure Virtual Network Manager는 구독 전체에서 가상 네트워크를 전역적으로 그룹화, 구성, 배포 및 관리할 수 있는 관리 서비스입니다. Virtual Network Manager를 사용하면 가상 네트워크를 식별하고 논리적으로 분할하는 네트워크 그룹을 정의할 수 있습니다. 그런 다음, 원하는 연결 및 보안 구성을 결정하고 네트워크 그룹에서 선택한 모든 가상 네트워크에서 한 번에 적용할 수 있습니다.
컨테이너 네트워크 관찰 가능성
컨테이너 네트워크 관찰성은 ACNS(Advanced Container Networking Services)의 일부입니다. ACNS는 허블의 컨트롤 플레인을 사용하여 AKS 네트워킹 및 성능에 대한 포괄적인 가시성을 제공합니다. 노드 수준, Pod 수준, TCP 및 DNS 메트릭에 대한 실시간 상세 인사이트를 제공하여 네트워크 인프라에 대한 철저한 모니터링을 보장합니다.
다음 단계
- 첫 번째 가상 네트워크 만들기 문서의 단계를 완료하여 첫 번째 가상 네트워크를 만들고 여기에 몇 개의 가산 머신을 연결합니다.
- 지점 및 사이트 간 연결 구성 문서의 단계를 완료하여 가상 네트워크에 컴퓨터를 연결합니다.
- 인터넷 연결 부하 분산 장치 만들기 문서의 단계를 완료하여 공용 서버에 인터넷 트래픽의 부하를 분산합니다.