Azure Well-Architected Framework 검토 - Azure ExpressRoute
이 문서에서는 Azure ExpressRoute에 대한 아키텍처 모범 사례를 제공합니다. 이 지침은 아키텍처 우수성의 다섯 가지 핵심 요소에 기반합니다.
Azure ExpressRoute에 대한 실무 지식이 있으며 모든 기능에 정통하다고 가정합니다. 자세한 내용은 Azure ExpressRoute를 참조하세요.
사전 요구 사항
컨텍스트의 경우 디자인에서 이러한 고려 사항을 반영하는 참조 아키텍처를 검토하는 것이 좋습니다. Azure ExpressRoute를 사용하여 하이브리드 연결을 위해Azure에 연결 및 설계자 클라우드 채택 프레임워크 준비 방법론의 지침부터 시작하는 것이 좋습니다. 로우 코드 애플리케이션 아키텍처의 경우 Microsoft Power Platform에서 사용할 ExpressRoute를 계획하고 구성할 때 Power Platform용 ExpressRoute 사용을 검토하는 것이 좋습니다.
안정성
클라우드에서도 오류가 발생한다는 것을 인정합니다. 목표는 모든 장애를 막는 것이 아니라 단일 장애 구성 요소의 영향을 최소화하는 것입니다. 다음 정보를 사용하여 Azure ExpressRoute를 사용하여 연결을 설정할 때 Azure 간 가동 중지 시간을 최소화합니다.
Azure ExpressRoute를 사용하여 안정성에 대해 논의할 때는 대역폭 사용, 네트워크의 물리적 레이아웃 및 오류가 있는 경우 재해 복구를 고려해야 합니다. Azure ExpressRoute는 이러한 디자인 고려 사항을 달성할 수 있으며 검사 목록의 각 항목에 대한 권장 사항을 제공합니다.
아래 의 디자인 검사 목록 및 권장 사항 목록에서 Azure 환경과 온-프레미스 네트워크 간에 고가용성 네트워크를 설계하기 위해 정보가 제공됩니다.
디자인 검사 목록
Azure ExpressRoute에 대한 디자인을 선택할 때 아키텍처에 안정성을 추가하기 위한 디자인 원칙 을 검토합니다.
- 비즈니스 요구 사항에 대해 ExpressRoute 회로 또는 ExpressRoute Direct 중에서 선택합니다.
- 서비스 공급자에 대한 다양한 물리적 계층 네트워크를 구성합니다.
- 다양한 라우팅 경로를 갖도록 서로 다른 서비스 공급자를 사용하여 ExpressRoute 회로를 구성합니다.
- 온-프레미스와 Azure 간의 Active-Active ExpressRoute 연결을 구성합니다.
- 가용성 영역 인식 ExpressRoute Virtual Network 게이트웨이를 설정합니다.
- 온-프레미스 네트워크와 다른 위치에서 ExpressRoute 회로를 구성합니다.
- 다른 지역에서 ExpressRoute Virtual Network 게이트웨이를 구성합니다.
- 사이트간 VPN을 ExpressRoute 프라이빗 피어링에 대한 백업으로 구성합니다.
- ExpressRoute 회로 및 ExpressRoute Virtual Network 게이트웨이 상태에 대한 모니터링을 설정합니다.
- ExpressRoute 회로 유지 관리 알림을 받도록 서비스 상태를 구성합니다.
권장 사항
안정성을 위해 ExpressRoute 구성을 최적화하려면 다음 권장 사항 표를 살펴보세요.
| 권장 | 이점 |
|---|---|
| ExpressRoute 회로 또는 ExpressRoute Direct 계획 | 초기 계획 단계에서 ExpressRoute 회로 또는 ExpressRoute 직접 연결을 구성할지 여부를 결정하려고 합니다. ExpressRoute 회로는 연결 공급자의 도움을 받아 Azure에 대한 프라이빗 전용 연결을 허용합니다. ExpressRoute Direct를 사용하면 피어링 위치에서 온-프레미스 네트워크를 Microsoft 네트워크로 직접 확장할 수 있습니다. 또한 비즈니스 요구 사항에 대한 대역폭 요구 사항 및 SKU 유형 요구 사항을 식별해야 합니다. |
| 물리적 계층 다양성 | 복원력을 향상하려면 온-프레미스 에지와 피어링 위치(공급자/Microsoft 에지 위치) 사이에 여러 경로를 포함하도록 계획합니다. 이 구성은 다른 서비스 공급자를 거치거나 온-프레미스 네트워크와 다른 위치를 통해 수행할 수 있습니다. |
| 지역 중복 회로 계획 | 재해 복구를 계획하려면 둘 이상의 피어링 위치에서 ExpressRoute 회로를 설정합니다. 동일한 지하철 또는 다른 지하철의 피어링 위치에 회로를 만들고 각 회로를 통해 다양한 경로에 대해 다른 서비스 공급자와 작업하도록 선택할 수 있습니다. 자세한 내용은 재해 복구를 위한 디자인 및 고가용성을 위한 디자인을 참조하세요. |
| Active-Active 연결 계획 | ExpressRoute 전용 회로는 온-프레미스와 Azure 간에 활성-활성 연결이 구성된 경우 가용성을 보장 99.95% 합니다. 이 모드는 Expressroute 연결의 고가용성을 제공합니다. 또한 연결에 링크 오류가 있는 경우 더 빠른 장애 조치(failover)를 위해 BFD를 구성하는 것이 좋습니다. |
| Virtual Network 게이트웨이 계획 | 더 높은 복원력을 위해 가용성 영역 인식 Virtual Network 게이트웨이를 만들고 재해 복구 및 고가용성을 위해 다른 지역의 Virtual Network 게이트웨이에 대한 계획을 수립합니다. |
| 회로 및 게이트웨이 상태 모니터링 | 사용 가능한 다양한 메트릭을 기반으로 ExpressRoute 회로 및 Virtual Network 게이트웨이 상태에 대한 모니터링 및 경고를 설정합니다. |
| 서비스 상태 사용 | ExpressRoute는 서비스 상태를 사용하여 계획되고 계획되지 않은 유지 관리에 대해 알립니다. 서비스 상태를 구성하면 ExpressRoute 회로의 변경 내용에 대해 알립니다. |
자세한 제안은 안정성 핵심 요소의 원칙을 참조하세요.
Azure Advisor는 안정성과 관련된 ExpressRoute 회로에 대한 많은 권장 사항을 제공합니다. 예를 들어 Azure Advisor는 다음을 검색할 수 있습니다.
- 여러 회로가 아닌 단일 ExpressRoute 회로만 배포되는 ExpressRoute 게이트웨이입니다. 피어링 위치에 대한 복원력을 추가하려면 여러 ExpressRoute 회로를 사용하는 것이 좋습니다.
- ExpressRoute 회로의 엔드 투 엔드 모니터링은 안정성 인사이트에 중요하므로 연결 모니터 관찰되지 않는 ExpressRoute 회로입니다.
- ExpressRoute Global Reach의 이점을 누릴 수 있는 여러 피어링 위치가 포함된 네트워크 토폴로지로 계획되지 않은 연결 손실을 고려하여 온-프레미스 연결에 대한 재해 복구 디자인을 개선합니다.
보안
보안은 아키텍처에서 가장 중요한 요소입니다. ExpressRoute는 최소 권한과 방어 방어 원칙을 모두 사용하는 기능을 제공합니다. 보안 디자인 원칙을 검토하는 것이 좋습니다.
디자인 검사 목록
- 보관할 로그를 보내도록 활동 로그를 구성합니다.
- ExpressRoute 리소스에 액세스할 수 있는 관리 계정의 인벤토리를 유지 관리합니다.
- ExpressRoute 회로에서 MD5 해시를 구성합니다.
- ExpressRoute Direct 리소스에 대해 MACSec을 구성합니다.
- 가상 네트워크 트래픽에 대한 프라이빗 피어링 및 Microsoft 피어링을 통해 트래픽을 암호화합니다.
권장 사항
다음 권장 사항 표를 탐색하여 보안을 위해 ExpressRoute 구성을 최적화합니다.
| 권장 | 이점 |
|---|---|
| 보관할 로그를 보내도록 활동 로그 구성 | 활동 로그는 ExpressRoute 리소스에 대한 구독 수준에서 수행된 작업에 대한 인사이트를 제공합니다. 활동 로그를 사용하면 컨트롤 플레인에서 작업이 수행된 사용자와 시기를 확인할 수 있습니다. 데이터 보존 기간은 90일이며 보관을 위해 Log Analytics, Event Hubs 또는 스토리지 계정에 저장해야 합니다. |
| 관리 계정의 인벤토리 유지 관리 | Azure RBAC를 사용하여 ExpressRoute 회로에서 피어링 구성을 추가, 업데이트 또는 삭제할 수 있는 사용자 계정을 제한하는 역할을 구성합니다. |
| ExpressRoute 회로에서 MD5 해시 구성 | 프라이빗 피어링 또는 Microsoft 피어링을 구성하는 동안 MD5 해시를 적용하여 온-프레미스 경로와 MSEE 라우터 간에 메시지를 보호합니다. |
| ExpressRoute Direct 리소스에 대한 MACSec 구성 | 미디어 Access Control 보안은 데이터 링크 계층의 지점 및 지점 보안입니다. ExpressRoute Direct는 ARP, DHCP, LACP와 같은 프로토콜에 대한 보안 위협이 이더넷 링크에서 일반적으로 보호되지 않도록 MACSec 구성을 지원합니다. MACSec을 구성하는 방법에 대한 자세한 내용은 ExpressRoute Direct 포트용 MACSec을 참조하세요. |
| IPsec을 사용하여 트래픽 암호화 | 온-프레미스 네트워크와 Azure 가상 네트워크 간에 전송되는 데이터를 암호화하도록 ExpressRoute 회로를 통해 사이트 간 VPN 터널을 구성합니다. 프라이빗 피어링을 사용하거나 Microsoft 피어링을 사용하여 터널을 구성할 수 있습니다. |
더 많은 제안 사항은 보안 핵심 요소의 원칙을 참조하세요.
비용 최적화
비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 비용 최적화 디자인 원칙을 검토하고 Azure ExpressRoute에 대한 비용을 계획하고 관리하는 것이 좋습니다.
디자인 검사 목록
- ExpressRoute 가격 책정에 익숙해지세요.
- 필요한 ExpressRoute 회로 SKU 및 대역폭을 결정합니다.
- 필요한 ExpressRoute 가상 네트워크 게이트웨이 크기를 결정합니다.
- 비용을 모니터링하고 예산 경고를 만듭니다.
- ExpressRoute 회로 프로비전 해제는 더 이상 사용되지 않습니다.
권장 사항
비용 최적화를 위해 ExpressRoute 구성을 최적화하려면 다음 권장 사항 표를 살펴보세요.
| 권장 | 이점 |
|---|---|
| ExpressRoute 가격 책정에 익숙해지세요. | ExpressRoute 가격 책정에 대한 자세한 내용은 Azure ExpressRoute의 가격 책정 이해를 참조하세요. 가격 계산기를 사용할 수도 있습니다. 리소스를 낭비하지 않고 용량 수요를 충족하고 예상 성능을 제공하도록 옵션의 크기를 적절하게 조정해야 합니다. |
| 필요한 SKU 및 대역폭 확인 | ExpressRoute 사용량에 대한 요금이 청구되는 방법은 세 가지 SKU 유형에 따라 다릅니다. 로컬 SKU를 사용하면 무제한 데이터 요금제를 통해 자동으로 요금이 청구됩니다. 표준 및 프리미엄 SKU를 사용하면 데이터 요금제 또는 무제한 데이터 요금제 중에서 선택할 수 있습니다. Global Reach 추가 기능을 사용하는 경우를 제외하고 모든 수신 데이터는 무료로 제공됩니다. 비용 및 예산 최적화를 위해 워크로드에 가장 적합한 SKU 유형 및 데이터 요금제를 이해하는 것이 중요합니다. ExpressRoute 회로의 크기를 조정하는 자세한 내용은 ExpressRoute 회로 대역폭 업그레이드를 참조하세요. |
| ExpressRoute 가상 네트워크 게이트웨이 크기 결정 | ExpressRoute 가상 네트워크 게이트웨이는 프라이빗 피어링을 통해 가상 네트워크로 트래픽을 전달하는 데 사용됩니다. 기본 설정 Virtual Network Gateway SKU의 성능 및 크기 조정 요구 사항을 검토합니다. 온-프레미스에서 Azure 워크로드에 대한 적절한 게이트웨이 SKU를 선택합니다. |
| 비용 모니터링 및 예산 경고 만들기 | ExpressRoute 회로의 비용을 모니터링하고 변칙 지출 및 과다 지출 위험에 대한 경고를 만듭니다. 자세한 내용은 ExpressRoute 비용 모니터링을 참조하세요. |
| ExpressRoute 회로의 프로비전 해제 및 삭제가 더 이상 사용되지 않습니다. | ExpressRoute 회로는 생성된 순간부터 요금이 청구됩니다. 불필요한 비용을 줄이려면 서비스 공급자를 사용하여 회로의 프로비전을 해제하고 구독에서 ExpressRoute 회로를 삭제합니다. ExpressRoute 회로를 제거하는 방법에 대한 단계는 ExpressRoute 회로 프로비전 해제를 참조하세요. |
자세한 제안은 비용 최적화를 위한 디자인 검토 검사 목록을 참조하세요.
Azure Advisor는 상당한 시간 동안 배포되었지만 공급자가 프로비전되지 않음 상태 ExpressRoute 회로를 검색할 수 있습니다. 이 상태의 회로는 작동하지 않습니다. 사용하지 않는 리소스를 제거하면 불필요한 비용이 줄어듭니다.
운영 우수성
모니터링 및 진단은 매우 중요한 요소입니다. 성능 통계를 측정할 수 있을 뿐만 아니라 메트릭을 사용하여 문제를 신속하게 해결하고 수정할 수 있습니다. 운영 우수성 디자인 원칙을 검토하는 것이 좋습니다.
디자인 검사 목록
- 온-프레미스와 Azure 네트워크 간에 연결 모니터링을 구성합니다.
- 알림을 수신할 Service Health를 구성합니다.
- Network Insights를 사용하여 ExpressRoute Insights를 통해 사용할 수 있는 메트릭 및 대시보드를 검토합니다.
- ExpressRoute 리소스 메트릭을 검토합니다.
권장 사항
다음 권장 사항 표를 탐색하여 운영 우수성을 위해 ExpressRoute 구성을 최적화합니다.
| 권장 | 이점 |
|---|---|
| 연결 모니터링 구성 | 연결 모니터링을 사용하면 ExpressRoute 프라이빗 피어링 및 Microsoft 피어링 연결을 통해 온-프레미스 리소스와 Azure 간의 연결을 모니터링할 수 있습니다. 연결 모니터는 네트워크 경로에서 문제가 있는 위치를 식별하여 네트워킹 문제를 감지하고 구성 또는 하드웨어 오류를 신속하게 resolve 수 있습니다. |
| Service Health 구성 | 구독의 모든 ExpressRoute 회로에서 계획된 유지 관리 및 예정된 유지 관리가 발생하는 경우 경고하도록 Service Health 알림을 설정합니다. 계획되지 않은 유지 관리가 발생하는 경우 Service Health는 RCA와 함께 과거 유지 관리를 표시합니다. |
| Network Insights를 사용하여 메트릭 검토 | Network Insights를 사용하는 ExpressRoute Insights 를 사용하면 ExpressRoute 회로, 게이트웨이, 연결 메트릭 및 상태 대시보드를 검토하고 분석할 수 있습니다. 또한 ExpressRoute Insights는 피어링 구성 요소의 세부 정보를 한 곳에서 볼 수 있는 ExpressRoute 연결의 토폴로지 보기를 제공합니다. 사용 가능한 메트릭: -가용성 -처리량 - 게이트웨이 메트릭 |
| ExpressRoute 리소스 메트릭 검토 | ExpressRoute는 Azure Monitor를 사용하여 메트릭을 수집하고 구성 기반의 경고를 만듭니 다. 메트릭은 ExpressRoute 회로, ExpressRoute 게이트웨이, ExpressRoute 게이트웨이 연결 및 ExpressRoute Direct에 대해 수집됩니다. 이러한 메트릭은 연결 문제를 진단하고 ExpressRoute 연결의 성능을 이해하는 데 유용합니다. |
더 많은 제안은 운영 우수성 핵심 요소의 원칙을 참조하세요.
성능 효율성
성능 효율성은 사용자가 배치된 요구 사항을 효율적인 방식으로 충족하기 위해 워크로드의 크기를 조정할 수 있는 기능입니다. 성능 효율성 원칙을 검토하는 것이 좋습니다.
디자인 검사 목록
- ExpressRoute 게이트웨이 성능을 테스트하여 작업 부하 요구 사항을 충족합니다.
- ExpressRoute 게이트웨이의 크기를 늘입니다.
- ExpressRoute 회로 대역폭을 업그레이드합니다.
- 더 높은 처리량에 대해 ExpressRoute FastPath를 사용하도록 설정합니다.
- ExpressRoute 회로 및 게이트웨이 메트릭을 모니터링합니다.
권장 사항
성능 효율성을 위해 ExpressRoute 구성을 최적화하려면 다음 권장 사항 표를 살펴봅니다.
| 권장 | 이점 |
|---|---|
| ExpressRoute 게이트웨이 성능을 테스트하여 작업 부하 요구 사항을 충족합니다. | Azure 연결 도구 키트를 사용하여 ExpressRoute 회로에서 성능을 테스트하여 네트워크 연결의 대역폭 용량 및 대기 시간을 파악합니다. |
| ExpressRoute 게이트웨이의 크기를 늘입니다. | 온-프레미스 환경과 Azure 환경 간의 처리량 성능을 향상시키려면 더 높은 게이트웨이 SKU 로 업그레이드합니다. |
| ExpressRoute 회로 대역폭 업그레이드 | 작업 부하 요구 사항을 충족하도록 회로 대역폭 을 업그레이드합니다. 회로 대역폭은 ExpressRoute 회로에 연결된 모든 가상 네트워크 간에 공유됩니다. 작업 부하에 따라 하나 이상의 가상 네트워크가 회로의 모든 대역폭을 사용할 수 있습니다. |
| 더 높은 처리량을 위해 ExpressRoute FastPath 사용 | Ultra 성능 또는 ErGW3AZ 가상 네트워크 게이트웨이를 사용하는 경우 FastPath 를 사용하도록 설정하여 온-프레미스 네트워크와 Azure 가상 네트워크 간의 데이터 경로 성능을 향상시킬 수 있습니다. |
| ExpressRoute 회로 및 게이트웨이 메트릭 모니터링 | 특정 임계값이 충족되면 사전에 알리도록 ExpressRoute 메트릭 에 기반한 경고를 설정합니다. 이러한 메트릭은 ExpressRoute 회로에 발생하는 중단 및 유지 관리와 같은 ExpressRoute 연결에서 발생할 수 있는 변칙을 이해하는 데 유용합니다. |
자세한 제안은 성능 효율성 핵심 요소의 원칙을 참조하세요.
Azure Advisor는 회로가 최근에 조달된 대역폭의 90% 이상을 소비한 경우 사용을 수용하도록 ExpressRoute 회로 대역폭을 업그레이드하는 권장 사항을 제공합니다. 트래픽이 할당된 대역폭을 초과하는 경우 패킷이 삭제되어 상당한 성능 또는 안정성 영향을 줄 수 있습니다.
Azure Policy
Azure Policy ExpressRoute에 대한 기본 제공 정책을 제공하지 않지만 SKU 선택, 피어링 유형, 피어링 구성 등 ExpressRoute 회로가 원하는 최종 상태와 일치하는 방식을 제어하는 데 도움이 되는 사용자 지정 정책을 만들 수 있습니다.
추가 리소스
클라우드 채택 프레임워크 지침
다음 단계
온-프레미스 네트워크와 Azure 간의 통신을 설정하도록 ExpressRoute 회로 또는 ExpressRoute Direct 포트 를 구성합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기