Azure 가상 네트워킹 살펴보기

  • 10분

유지하려는 온-프레미스 데이터 센터가 있지만 Azure에서 호스팅된 VM(가상 머신)을 사용하여 급증한 트래픽을 오프로드하기 위해 Azure를 사용하려고 합니다. 기존 IP 주소 지정 스키마 및 네트워크 어플라이언스를 유지하고 데이터 전송을 안전하게 하려 합니다.

Azure 가상 네트워킹이란?

Azure 가상 네트워크를 사용하면 가상 머신, 웹앱 및 데이터베이스와 같은 Azure 리소스가 인터넷의 사용자 및 온-프레미스 클라이언트 컴퓨터와 서로 통신할 수 있습니다. Azure 네트워크를 다른 Azure 리소스와 연결되는 리소스 집합으로 생각할 수 있습니다.

Azure 가상 네트워크는 주요 네트워킹 기능을 제공합니다.

  • 격리 및 구분
  • 인터넷 통신
  • Azure 리소스 간 통신
  • 온-프레미스 리소스와 통신
  • 네트워크 트래픽 라우팅
  • 네트워크 트래픽 필터링
  • 가상 네트워크 연결

격리 및 구분

Azure를 사용하면 여러 격리된 가상 네트워크를 만들 수 있습니다. 가상 네트워크를 설정할 때 퍼블릭 또는 프라이빗 IP 주소 범위를 사용하여 프라이빗 IP(인터넷 프로토콜) 주소 공간을 정의합니다. 그런 다음, 서브넷에 해당 IP 주소 공간을 분할하고, 각 명명된 서브넷에 정의된 주소 공간의 일부를 할당할 수 있습니다.

이름 확인을 위해 Azure에 기본 제공되는 이름 확인 서비스를 사용하거나 내부 또는 외부 DNS(Domain Name System) 서버를 사용하도록 가상 네트워크를 구성할 수 있습니다.

인터넷 통신

Azure의 VM은 기본적으로 인터넷에 연결할 수 있습니다. 공용 IP 주소 또는 공용 부하 분산 장치를 정의하여 인터넷에서 들어오는 연결이 가능하도록 설정할 수 있습니다. VM 관리의 경우 Azure CLI, RDP(Remote Desktop Protocol) 또는 SSH(Secure Shell)를 통해 연결할 수 있습니다.

Azure 리소스 간 통신

Azure 리소스를 사용하여 서로 안전하게 통신할 수 있도록 설정하려 합니다. 다음 두 가지 방법 중 하나를 수행할 수 있습니다.

  • 가상 네트워크

    가상 네트워크는 VM뿐만 아니라 App Service Environments, Azure Kubernetes Service 및 Azure 가상 머신 확장 집합과 같은 다른 Azure 리소스도 연결할 수 있습니다.

  • 서비스 엔드포인트

    서비스 엔드포인트를 사용하여 Azure SQL Databases 및 스토리지 계정과 같은 다른 Azure 리소스 형식에 연결할 수 있습니다. 이 방법을 사용하면 가상 네트워크에 여러 Azure 리소스를 연결하여 보안을 개선하고 리소스 간에 최적의 라우팅을 제공할 수 있습니다.

온-프레미스 리소스와 통신

Azure 가상 네트워크를 사용하면 온-프레미스 환경 및 Azure 구독 내에서 리소스를 함께 연결하여 실제로 로컬 및 클라우드 환경에 걸쳐 있는 네트워크를 만들 수 있습니다. 이 연결을 수행하는 세 가지 메커니즘이 있습니다.

  • 지점 및 사이트 간 VPN(가상 프라이빗 네트워크)

    이 방법은 반대 방향으로 작동한다는 점을 제외하고 조직 외부의 컴퓨터가 회사 네트워크에 다시 연결하는 VPN(가상 프라이빗 네트워크) 연결과 비슷합니다. 이 경우에 클라이언트 컴퓨터는 Azure에 암호화된 VPN 연결을 시작하여 해당 컴퓨터를 Azure 가상 네트워크에 연결합니다.

  • 사이트 간 VPN(가상 프라이빗 네트워크) 사이트 간 VPN은 온-프레미스 VPN 디바이스 또는 게이트웨이를 가상 네트워크의 Azure VPN 게이트웨이에 연결합니다. 실제로 Azure의 디바이스는 로컬 네트워크에 있는 것으로 표시될 수 있습니다. 연결은 암호화되고 인터넷에서 작동합니다.

  • Azure ExpressRoute

    큰 대역폭과 더 높은 수준의 보안이 필요한 환경의 경우 Azure ExpressRoute를 사용하는 것이 가장 좋습니다. Azure ExpressRoute는 Azure에 대한 전용 프라이빗 연결을 제공합니다. 이 연결은 인터넷을 통해 이동하지 않습니다.

네트워크 트래픽 라우팅

기본적으로 Azure에서는 연결된 가상 네트워크의 서브넷, 온-프레미스 네트워크 및 인터넷 간에 트래픽을 라우팅합니다. 그러나 다음과 같이 라우팅을 제어하고 해당 설정을 재정의할 수 있습니다.

  • 경로 테이블

    경로 테이블을 사용하면 트래픽이 전달되어야 하는 방법에 대한 규칙을 정의할 수 있습니다. 서브넷 간에 패킷이 라우팅되는 방법을 제어하는 사용자 지정 경로 테이블을 만들 수 있습니다.

  • Border Gateway Protocol

    BGP(Border Gateway Protocol)는 Azure VPN 게이트웨이 또는 ExpressRoute와 함께 작동하여 온-프레미스 BGP 경로를 Azure 가상 네트워크로 전파합니다.

네트워크 트래픽 필터링

Azure 가상 네트워크를 사용하면 다음 방법을 사용하여 서브넷 간 트래픽을 필터링할 수 있습니다.

  • 네트워크 보안 그룹

    NSG(네트워크 보안 그룹)는 Azure 리소스로서 여러 인바운드 및 아웃바운드 보안 규칙을 포함할 수 있습니다. 원본 및 대상 IP 주소, 포트 및 프로토콜과 같은 요인에 따라 트래픽을 허용하거나 차단하도록 이러한 규칙을 정의할 수 있습니다.

  • 네트워크 가상 어플라이언스

    네트워크 가상 어플라이언스는 강화된 네트워크 어플라이언스와 비교될 수 있는 특수한 VM입니다. 네트워크 가상 어플라이언스는 방화벽 실행 또는 WAN 최적화 수행과 같은 특정 네트워크 기능을 수행합니다.

가상 네트워크 연결

가상 네트워크 피어링을 사용하여 가상 네트워크를 함께 연결할 수 있습니다. 피어링을 사용하면 각 가상 네트워크의 리소스가 서로 통신할 수 있습니다. 이러한 가상 네트워크는 별도 지역에 위치하여 Azure를 통해 상호 연결된 글로벌 네트워크를 만들 수 있습니다.

Azure 가상 네트워크 설정

Azure Portal, 로컬 컴퓨터의 Azure PowerShell 또는 Azure Cloud Shell에서 Azure 가상 네트워크를 만들고 구성할 수 있습니다.

가상 네트워크 만들기

Azure 가상 네트워크를 만들 때 여러 기본 설정을 구성합니다. 또한 여러 서브넷, DDoS(서비스 거부 공격) 방지, 서비스 엔드포인트 등 고급 설정을 구성할 수 있습니다.

Screenshot of the Azure portal showing an example of the Create virtual network pane fields.

기본 가상 네트워크에 대해 다음 설정을 구성합니다.

  • 네트워크 이름

    네트워크 이름은 구독에서 고유해야 하지만 전역적으로 고유할 필요는 없습니다. 다른 가상 네트워크와 식별하고 기억하기 쉽도록 설명이 포함된 이름을 만듭니다.

  • 주소 공간

    가상 네트워크를 설정할 때 CIDR(Classless Interdomain Routing) 형식으로 내부 주소 공간을 정의합니다. 이 주소 공간은 구독과, 해당 사용자가 연결된 모든 다른 네트워크 안에서 고유해야 합니다.

    첫 번째 가상 네트워크에 대해 주소 공간 10.0.0.0/24를 선택한다고 가정하겠습니다. 이 주소 공간에 정의된 주소 범위는 10.0.0.1 - 10.0.0.254입니다. 이제 두 번째 가상 네트워크를 만들고 주소 공간 10.0.0.0/8을 선택합니다. 이 주소 공간의 주소 범위는 10.0.0.1 - 10.255.255.254입니다. 일부 주소는 겹치며 두 가상 네트워크에 대해 사용할 수 없습니다.

    그러나 주소 범위 10.0.0.1 - 10.0.255.254에서 10.0.0.0/16 , 주소 범위 10.1.0.1 - 10.1.255.254에서 10.1.0.0/16을 사용할 수 있습니다. 주소가 겹치지 않기 때문에 이 주소 공간을 가상 네트워크에 할당할 수 있습니다.

    참고

    가상 네트워크를 만든 후에 주소 공간을 추가할 수 있습니다.

  • 구독

    선택할 여러 구독이 있는 경우에만 적용됩니다.

  • 리소스 그룹

    다른 Azure 리소스와 마찬가지로 가상 네트워크는 리소스 그룹에 존재해야 합니다. 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다.

  • 위치

    가상 네트워크가 존재할 위치를 선택합니다.

  • 서브넷

    각 가상 네트워크 주소 범위 내에서 가상 네트워크의 주소 공간을 분할하는 하나 이상의 서브넷을 만들 수 있습니다. 서브넷 간의 라우팅은 기본 트래픽 경로에 따라 다르거나 사용자 지정 경로를 정의할 수 있습니다. 또는 모든 가상 네트워크의 주소 범위를 포함하는 하나의 서브넷을 정의할 수 있습니다.

    참고

    서브넷 이름은 영문, 숫자, 밑줄, 마침표 또는 하이픈만 포함할 수 있습니다. 단 영문이나 숫자로 시작하고 영문, 숫자 또는 하이픈으로 끝나야 합니다.

  • DDoS(서비스 거부 공격) 방지

    기본 또는 표준 DDoS 방지 중 하나를 선택할 수 있습니다. Standard DDoS Protection은 프리미엄 서비스입니다. Azure DDoS Protection은 DDoS 보호에 관한 자세한 정보를 제공합니다.

  • 서비스 엔드포인트

    여기서는 서비스 엔드포인트를 설정한 다음, 목록에서 사용하려는 Azure 서비스 엔드포인트를 선택합니다. 옵션에는 Azure Cosmos DB, Azure Service Bus, Azure Key Vault 등이 포함됩니다.

이러한 설정을 구성하면 만들기를 선택합니다.

기타 설정 정의

가상 네트워크를 만든 후에 추가 설정을 정의할 수 있습니다. 이러한 설정은 다음과 같습니다.

  • 네트워크 보안 그룹

    네트워크 보안 그룹에는 가상 네트워크 서브넷 및 네트워크 인터페이스 내외부로 이동할 수 있는 네트워크 트래픽 유형을 필터링할 수 있는 보안 규칙이 있습니다. 네트워크 보안 그룹을 별도로 만든 다음, 가상 네트워크와 연결합니다.

  • 경로 테이블

    Azure는 Azure 가상 네트워크 내의 각 서브넷에 대한 경로 테이블을 자동으로 만들고 시스템 기본 경로를 테이블에 추가합니다. 그러나 사용자 지정 경로 테이블을 추가하여 가상 네트워크 간에 트래픽을 수정할 수 있습니다.

서비스 엔드포인트를 수정할 수도 있습니다.

Screenshot of the Azure portal showing an example pane for editing virtual network settings.

가상 네트워크 구성

가상 네트워크를 만들면 Azure Portal의 가상 네트워크 창에서 추가 설정을 변경할 수 있습니다. 또는 PowerShell 명령이나 Cloud Shell의 명령을 사용하여 변경할 수 있습니다.

Screenshot of the Azure portal showing an example pane for configuring a virtual network.

그런 다음, 추가 하위 창에서 설정을 검토하고 변경할 수 있습니다. 설정에는 다음이 포함됩니다.

  • 주소 공간: 초기 정의에 추가 주소 공간을 추가할 수 있습니다.

  • 연결된 디바이스: 가상 네트워크를 사용하여 머신을 연결합니다.

  • 서브넷: 추가 서브넷을 추가합니다.

  • 피어링: 피어링 배열에서 가상 네트워크를 연결합니다.

가상 네트워크를 모니터링하고 문제를 해결하거나 자동화 스크립트를 만들어서 현재 가상 네트워크를 생성할 수도 있습니다.

가상 네트워크는 Azure에서 엔터티를 연결하기 위한 강력하고 구성 가능한 메커니즘입니다. Azure 리소스를 서로 또는 온-프레미스의 리소스에 연결할 수 있습니다. 네트워크 트래픽을 격리, 필터링 및 라우팅할 수 있으며, Azure를 사용하면 필요한 경우 보안을 강화할 수 있습니다.