Azure의 온-프레미스 네트워크 통합
회사에서 대부분의 온-프레미스 리소스를 Azure로 마이그레이션하려고 합니다. 그러나 Azure 네트워크에 통합되려면 작은 데이터 센터는 온-프레미스에서 유지되어야 합니다. 아키텍처 모델은 여러 위성 사무실에 대한 Azure 네트워크 연결 사용을 고려해야 합니다. 온-프레미스 및 클라우드 기반 리소스 모두에 대한 액세스 권한을 부여하는 하이브리드 네트워크 아키텍처를 사용하려고 합니다.
마이그레이션을 처리하려면 Azure에서 사용할 수 있는 최상의 하이브리드 네트워크 옵션의 선택을 포함하는 Azure에 대한 네트워크 통합 계획을 생성합니다. 옵션은 하이브리드 연결에 대한 조직의 요구 사항을 충족해야 합니다.
이 단원에서는 Azure 플랫폼의 온-프레미스 연결을 살펴봅니다. 또한 Azure Virtual Network 개요를 확인하고 Azure VPN Gateway를 사용하여 온-프레미스 네트워크에 대한 트래픽을 보호하는 방법을 알아봅니다.
Azure Virtual Network 정보
Azure Virtual Network 서비스에는 조직의 클라우드 기반 네트워크 아키텍처를 빌드하기 위한 특정 도구 및 리소스 집합이 있습니다. Azure 가상 네트워크는 구독 내에서 허용되는 모든 Azure 리소스에 대한 보안 가상 통신 채널을 제공합니다.
Azure 가상 네트워크를 사용하여 다음을 수행할 수 있습니다.
- 가상 머신을 인터넷에 연결합니다.
- 다양한 데이터 센터 및 지역에서 호스트되는 Azure 리소스 간 보안 통신을 제공합니다.
- Azure 리소스를 격리 및 관리합니다.
- 온-프레미스 컴퓨터에 연결합니다.
- 네트워크 트래픽을 관리합니다.
기본적으로 가상 네트워크 내의 모든 Azure 리소스에는 인터넷에 대한 아웃바운드 연결이 있습니다. 외부 인바운드 통신은 퍼블릭 엔드포인트를 통해 들어와야 합니다. 모든 내부 리소스는 프라이빗 엔드포인트를 사용하여 가상 네트워크에 액세스합니다.
가상 네트워크는 많은 요소로 구성됩니다. 네트워크 인터페이스, 부하 분산 장치, 서브넷, 네트워크 보안 그룹 및 공용 IP 주소를 포함하되 이에 국한되지 않습니다. 해당 요소는 함께 작동하며, Azure 리소스, 인터넷 및 온-프레미스 네트워크 간에 보안이 설정되고 안정적인 네트워크 통신을 가능하게 합니다.
Azure 가상 네트워크에서 트래픽 라우팅
서브넷의 아웃바운드 트래픽은 대상 IP 주소를 기준으로 라우팅됩니다. 라우팅 테이블은 트래픽 라우팅 방법 및 다음에 수행할 작업을 정의합니다. 대상 IP 주소는 여러 라우팅 테이블 접두사 정의에 걸쳐 있을 수 있습니다(예: 10.0.0.0/16 및 10.0.0.0/24). 라우터는 복잡한 알고리즘을 사용하여 가장 긴 접두사 일치 항목을 찾습니다. 10.0.0.6 주소의 트래픽 제목은 10.0.0.0/24 접두사로 확인되며 이에 따라 라우팅됩니다.
시스템 및 사용자 지정의 두 가지 주요 라우팅 테이블이 있습니다.
시스템 라우팅 테이블
Azure는 가상 네트워크 및 가상 네트워크 내의 각 서브넷 마스크에 대한 기본 라우팅 테이블 세트를 자동으로 만듭니다. 이러한 시스템 경로는 고정되어 있으며 편집하거나 삭제할 수 없습니다. 그러나 사용자 지정 라우팅 테이블을 사용하여 기본 설정을 재정의할 수 있습니다.
일반적인 기본 라우팅 테이블은 다음과 같이 표시됩니다.
| 원본 | 주소 접두사 | 다음 홉 유형 |
|---|---|---|
| 기본값 | 가상 네트워크에서 고유한 접두사 | 가상 네트워크 |
| 기본값 | 0.0.0.0/0 | 인터넷 |
| 기본값 | 10.0.0.0/8 | 없음 |
| 기본값 | 172.16.0.0/12 | 없음 |
| 기본값 | 192.168.0.0/16 | 없음 |
| 기본값 | 100.64.0.0/10 | 없음 |
라우팅 테이블은 원본, 주소 접두사 및 다음 홉 형식으로 구성됩니다. 서브넷에서 나가는 모든 트래픽은 라우팅 테이블을 사용하여 다음에 이동해야 하는 위치를 확인합니다. 실제로 트래픽은 해당 여정에서 다음 홉을 찾습니다.
다음 홉은 접두사에 따라 다음에 트래픽 흐름에 발생하는 작업을 정의합니다. 세 가지 형식의 다음 홉이 있습니다.
- 가상 네트워크: 트래픽이 가상 네트워크 내의 IP 주소에 따라 라우팅됩니다.
- 인터넷: 트래픽이 인터넷으로 라우팅됩니다.
- 없음: 트래픽이 삭제됩니다.
사용자 지정 라우팅 테이블
시스템 정의 라우팅 테이블과는 별도로 사용자 지정 라우팅 테이블을 만들 수도 있습니다. 해당 사용자 정의 라우팅 테이블은 기본 시스템 테이블을 재정의합니다. 사용자 지정 테이블에 포함할 수 있는 라우팅 항목 수에는 제한 사항이 있습니다.
다음 표에는 가상 네트워크에 적용되는 많은 제한 사항 중 몇 가지가 나와 있습니다.
| 리소스 | 기본값 또는 최대 수 |
|---|---|
| 가상 네트워크 | 1,000 |
| 가상 네트워크당 서브넷 | 3,000 |
| 가상 네트워크당 가상 네트워크 피어링 | 500 |
| 가상 네트워크당 프라이빗 IP 주소 | 65,536 |
시스템 라우팅 테이블과 비슷하게 사용자 지정 라우팅 테이블에도 다음 홉 형식이 있습니다. 그러나 사용자 지정 라우팅 테이블에는 다음과 같은 몇 가지 추가 옵션이 제공됩니다.
- 가상 어플라이언스: 이 옵션은 일반적으로 방화벽과 같은 특정 네트워크 애플리케이션을 실행하는 가상 머신입니다.
- 가상 네트워크 게이트웨이: 가상 네트워크 게이트웨이로 트래픽을 전송하려는 경우 이 옵션을 사용합니다. 가상 네트워크 게이트웨이 형식은 VPN이어야 합니다. 형식은 BGP(Border Gateway Protocol) 라우팅 프로세스를 설정해야 하는 Azure ExpressRoute일 수 없습니다.
- 없음: 이 옵션은 트래픽을 전달하지 않고 삭제합니다.
- 가상 네트워크: 이 옵션을 사용하면 기본 시스템 라우팅을 재정의할 수 있습니다.
- 인터넷: 이 옵션을 사용하면 모든 접두사가 트래픽을 인터넷에 전달하도록 지정할 수 있습니다.
Azure 가상 네트워크 연결
여러 가지 방법으로 가상 네트워크를 연결할 수 있습니다. Azure VPN Gateway 또는 ExpressRoute를 사용하거나 직접 피어링 방법을 사용할 수 있습니다.
Azure VPN Gateway
온-프레미스 네트워크를 Azure와 통합하려는 경우 두 항목 간에 브리지가 있어야 합니다. VPN Gateway는 이 기능을 제공하는 Azure 서비스입니다. VPN Gateway는 두 네트워크 간에 암호화된 트래픽을 보낼 수 있습니다. VPN Gateway는 사용 가능한 대역폭을 통해 VPN 터널을 라우팅하는 데 사용되는 여러 연결을 지원합니다. 가상 네트워크에는 하나의 게이트웨이만 할당될 수 있습니다. VPN 게이트웨이는 Azure의 가상 네트워크 간 연결에도 사용할 수 있습니다.
VPN Gateway를 구현하는 경우 가상 네트워크를 설정할 때 만든 서브넷에 두 개 이상의 가상 머신을 배포해야 합니다. 이 인스턴스에서 서브넷을 게이트웨이 서브넷이라고도 부릅니다. 각 가상 머신에는 프로비저닝된 게이트웨이에 명시적인 라우팅 및 게이트웨이 서비스의 기본 구성이 할당됩니다. 이러한 가상 머신은 직접 구성할 수 없습니다.
게이트웨이를 만들 때 여러 토폴로지를 사용할 수 있습니다. 게이트웨이 형식이라고도 하는 이러한 토폴로지는 구성되는 요소와 예상 연결 형식을 결정합니다.
사이트 간
프레미스 간 및 하이브리드 네트워크 구성에는 사이트 간 연결을 사용합니다. 이 연결 토폴로지를 사용하려면 온-프레미스 VPN 디바이스에 공개적으로 액세스 가능한 IP 주소가 있어야 하며 이 토폴로지는 NAT(Network Address Translation) 뒤에 배치되면 안 됩니다. 연결은 최대 128자의 비밀 ASCII 문자열을 사용하여 게이트웨이와 VPN 디바이스 간에 인증합니다.
다중 사이트
다중 사이트 연결은 사이트 간 연결과 유사하지만 약간 변형이 있습니다. 다중 사이트는 온-프레미스 VPN 디바이스에 대한 여러 VPN 연결을 지원합니다. 이 연결 토폴로지에는 동적 게이트웨이라는 RouteBased VPN이 필요합니다. 다중 사이트 구성을 사용하면 모든 연결이 사용 가능한 모든 대역폭을 통해 라우팅되고 해당 대역폭을 공유한다는 점에 유의해야 합니다.
지점 및 사이트 간
지점 및 사이트 간 연결은 네트워크에 연결되는 원격 개별 클라이언트 디바이스에 적합합니다. Microsoft Entra ID 또는 Azure 인증서 인증을 사용하여 클라이언트 디바이스를 인증해야 합니다. 이 모델은 재택 근무 시나리오에 적합합니다.
네트워크 간
네트워크 간 연결을 사용하여 여러 Azure 가상 네트워크 간에 연결을 만듭니다. 다른 연결과 달리 이 연결 토폴로지에는 공용 IP 또는 VPN 디바이스가 필요하지 않습니다. 다중 사이트 구성에서 네트워크 간 연결을 사용하여 가상 네트워크 간 연결과 결합된 프레미스 간 연결을 설정하는 데도 사용할 수 있습니다.
ExpressRoute
ExpressRoute는 인터넷을 사용하지 않는 Azure 가상 네트워크와 온-프레미스 네트워크 간에 직접 연결을 만듭니다. ExpressRoute를 사용하여 로컬 네트워크를 Azure 가상 네트워크 공간으로 원활하게 확장합니다. Microsoft 이외의 많은 연결 공급자는 ExpressRoute 서비스를 제공합니다. 다음과 같은 세 가지 ExpressRoute 연결 형식이 있습니다.
- CloudExchange 공동 배치
- 지점 간 이더넷 연결
- 임의(IPVPN) 연결
피어링
가상 네트워크는 구독 및 Azure 지역 간에 피어링할 수 있습니다. 가상 네트워크가 피어링되고 나면 해당 네트워크의 리소스가 동일한 네트워크에 있는 것처럼 서로 통신합니다. 트래픽은 개인 IP 주소만 사용하여 리소스 간에 라우팅됩니다. 피어링된 가상 네트워크는 Azure 네트워크를 통해 트래픽을 라우팅하고 Azure 백본 네트워크의 일부로 연결을 비공개로 유지합니다. 백본 네트워크는 짧은 대기 시간 및 고대역폭 네트워크 연결을 제공합니다.
사이트 간 VPN Gateway 참조 아키텍처
하이브리드 네트워크를 디자인할 때 사용할 수 있는 많은 참조 아키텍처가 있지만, 한 가지 인기 있는 아키텍처는 사이트 간 구성입니다. 다음 다이어그램에 표시된 단순화된 참조 아키텍처는 온-프레미스 네트워크를 Azure 플랫폼에 연결하는 방법을 보여 줍니다. 인터넷 연결에는 IPsec VPN 터널이 사용됩니다.
아키텍처는 다음과 같은 여러 구성 요소를 갖추고 있습니다.
- 온-프레미스 네트워크는 온-프레미스 Active Directory 및 모든 데이터나 리소스를 나타냅니다.
- 게이트웨이는 공용 연결을 사용할 때 암호화된 트래픽을 가상 IP 주소로 전송합니다.
- Azure 가상 네트워크에는 모든 클라우드 애플리케이션 및 모든 Azure VPN Gateway 구성 요소가 포함됩니다.
- Azure VPN Gateway는 Azure 가상 네트워크와 온-프레미스 네트워크 간에 암호화된 링크를 제공합니다. Azure VPN 게이트웨이는 다음 요소로 구성됩니다.
- 가상 네트워크 게이트웨이
- 로컬 네트워크 게이트웨이
- 연결
- 게이트웨이 서브넷
- 클라우드 애플리케이션은 Azure를 통해 제공되는 애플리케이션입니다.
- 프런트 엔드에 있는 내부 부하 분산 장치는 클라우드 트래픽을 올바른 클라우드 기반 애플리케이션 또는 리소스로 라우팅합니다.
이 아키텍처를 사용하면 다음과 같은 여러 이점이 있습니다.
- 구성 및 유지 관리가 간편합니다.
- VPN Gateway를 사용하면 온-프레미스 게이트웨이와 Azure 게이트웨이 간에 모든 데이터와 트래픽이 암호화됩니다.
- 이 아키텍처는 조직의 네트워킹 요구 사항에 맞게 크기를 조정하고 확장할 수 있습니다.
이 아키텍처는 기존 인터넷 연결을 두 게이트웨이 지점 간 링크로 사용하기 때문에 일부 상황에는 적용할 수 없습니다. 대역폭 제약 조건은 기존 인프라를 다시 사용하기 때문에 대기 시간 문제를 일으킬 수 있습니다.