서브넷 만들기
서브넷은 가상 네트워크 내에서 논리적 구분을 구현하는 방법을 제공합니다. 네트워크를 서브넷으로 분할하여 보안을 개선하고 성능을 높이며 관리하기 쉽게 할 수 있습니다.
서브넷에 대해 알아야 할 사항
서브넷으로 구분을 적용할 때 가상 네트워크의 IP 주소에 대한 특정 조건이 있습니다.
각 서브넷은 가상 네트워크 주소 공간에 속하는 IP 주소 범위를 포함합니다.
서브넷의 주소 범위는 가상 네트워크의 주소 공간 내에서 고유해야 합니다.
하나의 서브넷에 대한 범위는 동일한 가상 네트워크의 다른 서브넷 IP 주소 범위와 겹치지 않아야 합니다.
CIDR 표기법을 사용하여 서브넷의 IP 주소 공간을 지정해야 합니다.
가상 네트워크를 Azure Portal 하나 이상의 서브넷으로 분할할 수 있습니다. 서브넷의 IP 주소에 대한 특성이 나열됩니다.
예약된 주소
각 서브넷에 대해 Azure는 5개의 IP 주소를 예약합니다. 처음 네 개의 주소와 마지막 주소는 예약되어 있습니다.
192.168.1.0/24의 IP 주소 범위에서 예약된 주소를 살펴보겠습니다.
| 예약된 주소 | 이유 |
|---|---|
192.168.1.0 |
이 값은 가상 네트워크 주소를 식별합니다. |
192.168.1.1 |
Azure는 이 주소를 기본 게이트웨이로 구성합니다. |
192.168.1.2 및 192.168.1.3 |
Azure는 Azure DNS IP 주소를 가상 네트워크 공간에 매핑합니다. |
192.168.1.255 |
이 값은 가상 네트워크 브로드캐스트 주소를 제공합니다. |
서브넷을 사용할 때 고려해야 할 사항
가상 네트워크 내에서 서브넷 세그먼트를 추가하려는 경우 고려해야 할 몇 가지 요소가 있습니다. 다음 시나리오를 살펴보세요.
서비스 요구 사항을 고려합니다. 가상 네트워크에 직접 배포된 각 서비스에는 관련 서브넷 내부 및 외부로 허용되어야 하는 트래픽 유형 및 라우팅에 대한 특정 요구 사항이 있습니다. 서비스에는 자체 서브넷이 필요하거나 생성될 수 있습니다. 서비스 요구 사항을 충족하려면 할당되지 않은 공간이 충분해야 합니다. Azure VPN Gateway 사용하여 가상 네트워크를 온-프레미스 네트워크에 연결한다고 가정합니다. 가상 네트워크에는 게이트웨이에 대한 전용 서브넷이 있어야 합니다.
네트워크 가상 어플라이언스를 고려합니다. 기본적으로 Azure에서는 가상 네트워크 내의 모든 서브넷 간에 네트워크 트래픽을 라우팅합니다. Azure의 기본 라우팅을 재정의하여 서브넷 간 Azure 라우팅을 방지할 수 있습니다. 기본값을 재정의하여 네트워크 가상 어플라이언스를 통해 서브넷 간 트래픽을 라우팅할 수도 있습니다. 따라서 동일한 가상 네트워크의 리소스 간 트래픽이 네트워크 가상 어플라이언스를 통해 이동해야 하는 경우 서로 다른 서브넷에 리소스를 배포합니다.
서비스 엔드포인트 고려. Azure Storage 계정 또는 Azure SQL 데이터베이스와 같은 Azure 리소스에 대한 액세스를 가상 네트워크 서비스 엔드포인트가 있는 특정 서브넷으로 제한할 수 있습니다. 또한 인터넷에서 리소스에 대한 액세스를 거부할 수 있습니다. 여러 서브넷을 만들고 일부 서브넷의 서비스 엔드포인트만 사용하도록 설정할 수 있습니다.
네트워크 보안 그룹을 고려합니다. 가상 네트워크의 각 서브넷에 하나의 네트워크 보안 그룹을 연결하거나 연결하지 않을 수 있습니다. 각 서브넷에 동일하거나 다른 네트워크 보안 그룹을 연결할 수 있습니다. 각 네트워크 보안 그룹에는 원본과 대상 간의 트래픽을 허용하거나 거부하는 규칙이 있습니다.
프라이빗 링크를 고려합니다. Azure Private Link는 가상 네트워크에서 Azure PaaS(Platform as a Service), 고객 소유 또는 Microsoft 파트너 서비스에 대한 프라이빗 연결을 제공합니다. Private Link는 네트워크 아키텍처를 단순화하고 Azure에서 엔드포인트 간의 연결을 보호합니다. 이 서비스는 퍼블릭 인터넷에 대한 데이터 노출을 제거합니다.