Azure Stack HCI 테넌트 가상 네트워크 설명 및 구현

8분

논리 네트워크에서 VLAN 기반 방식을 Azure Stack HCI 네트워킹 모델에 유연하게 통합할 수 있지만 기본 목표는 기존 VLAN에 대한 종속성을 제거하는 SDN 가상 네트워크를 최대한 활용하기 위함입니다. 결과적으로 유연성은 새 고객의 온보딩을 가속화하고 기본 인프라 관리를 간소화합니다. 또한 충분한 수준의 격리를 보장하고 여러 테넌트에서 겹치는 IP 주소 범위를 수용하는 데 도움이 됩니다.

Azure Stack HCI 테넌트 가상 네트워크 설명

Azure Stack HCI 테넌트 가상 네트워크는 오버레이 가상 네트워크의 프로그래밍 정책을 기반으로 합니다. 각 가상 네트워크는 VM이 서로 통신할 수 있는 격리 경계를 형성합니다. 일반적으로 이 격리는 VLAN을 통해 적용됩니다. 가상 네트워크에서는 NVGRE(Generic Routing Encapsulation) 또는 VXLAN(Virtual Extensible LAN) 캡슐화를 사용하여 네트워크 가상화로 이 작업을 수행합니다. 이러한 캡슐화 기술 모두 테넌트 간에 겹치는 IP 서브넷을 지원하는 오버레이 네트워크를 만들 수 있습니다.

가상 네트워크에 있는 VM의 각 네트워크 인터페이스는 다음과 같은 IP 주소 두 개와 연결됩니다.

고객 주소: 고객이 선호하는 IP 주소 지정 체계에 따라 각 VM에 할당한 IP 주소입니다. 이를 사용하면 고객은 Azure Stack HCI에 워크로드를 배포할 때 기존 네트워크 구성을 유지할 수 있습니다. 해당 VM 내 운영 체제에서 고객 주소를 볼 수 있습니다.
공급자 주소: 물리적 네트워크 인프라를 기준으로 Azure Stack HCI 클러스터 노드에 할당된 IP 주소입니다. 공급자 주소는 고객의 VM을 호스팅하는 클러스터 노드 간에 교환되는 네트워크 패킷에 표시됩니다. 물리적 네트워크에서 공급자 주소를 볼 수 있지만 고객 VM에서는 볼 수 없습니다.

고객 주소는 실제 기본 물리적 네트워크 토폴로지에서 가상화되고 분리되는 고객 네트워크 토폴로지의 일부이며 해당 주소 지정 체계는 공급자 주소에 의해 구현됩니다.

가상 네트워크는 하나 이상의 가상 서브넷으로 구성됩니다. 가상 서브넷은 연결된 VM의 L3(레이어 3) IP 서브넷 기능을 에뮬레이트합니다. NVGRE 또는 VXLAN을 사용하여 적용할 수 있는 격리를 사용하여 브로드캐스트 도메인(VLAN과 유사)을 형성합니다.

Azure Stack HCI 테넌트 가상 네트워크 만들기

Azure Stack HCI 테넌트 가상 네트워크를 만드는 가장 간단한 방법은 Windows Admin Center를 사용하는 것이며 다음 단계 시퀀스를 포함합니다.

Windows Admin Center에서 Azure Stack HCI 클러스터에 연결합니다.
도구 창의 네트워킹 섹션에서 가상 네트워크를 선택합니다.
가상 네트워크 페이지에서 인벤토리 탭을 선택한 다음, 새로 만들기를 선택합니다.
가상 네트워크 창에서 가상 네트워크 이름을 입력합니다.
주소 접두사 섹션에서 추가를 선택한 다음, 주소 접두사를 CIDR 표기법으로 입력합니다.
서브넷 섹션에서 추가를 선택한 다음, 주소 접두사를 CIDR 표기법으로 입력합니다.
가상 네트워크 창에서 제출을 선택합니다.

Azure Stack HCI 테넌트 가상 네트워크 구성

다음 스크린샷에서는 다음과 같은 일반적인 Azure Stack HCI 테넌트 가상 네트워크 구성 작업을 수행하는 데 사용할 수 있는 몇 가지 설정을 보여 줍니다.

가상 네트워크 주소 접두사 업데이트
가상 네트워크 피어링 구성
BGP(Border Gateway Protocol) 라우터 및 피어 구성

Windows Admin Center에서 다음 절차를 수행하여 서브넷 설정을 테넌트 논리 네트워크로 수정합니다.

Windows Admin Center에서 Azure Stack HCI 클러스터에 연결합니다.
도구 창의 네트워킹 섹션에서 가상 네트워크를 선택합니다.
다음으로, 가상 네트워크 페이지에서 인벤토리 탭을 선택합니다. 수정할 가상 네트워크를 선택한 다음, 설정을 선택합니다.
가상 네트워크의 설정 창에서 일반 섹션 설정을 사용하여 다음 작업을 수행합니다.
- 주소 접두사를 제거하거나 추가합니다.
- 다른 가상 네트워크와의 피어링을 구성합니다.
- 가상 네트워크에 BGP 라우터를 추가합니다. 이렇게 하려면 BGP 라우터 이름과 ASN(자치 시스템 번호) 번호를 제공해야 합니다.
- BGP 라우터의 BGP 피어를 하나 이상 추가합니다. 이렇게 하려면 각 BGP 피어의 이름, 주소 및 ASN 번호를 제공해야 합니다.
가상 네트워크 창의 설정 창에서 제출을 선택합니다.

가상 네트워크 피어링 구성

각 개별 가상 네트워크는 다른 가상 네트워크와 격리되어 해당 가상 네트워크에 배포된 VM의 기본 보안 경계를 형성합니다. 경우에 따라 가상 네트워크를 함께 연결하여 격리 범위를 확장해야 할 수 있습니다. 이는 가상 네트워크 하나에 워크로드 하나를 배포했지만 다른 가상 네트워크에 배포된 다른 워크로드에서 개인 IP 주소를 통해 이 워크로드에 액세스하도록 하려는 경우일 수 있습니다. 가상 네트워크 피어링에서는 게이트웨이를 트래버스하지 않고도 서로 직접 통신할 수 있도록 두 가상 네트워크의 가상 라우터를 결합하여 이 기능을 제공합니다. 피어링에서는 단순성 외에도 가상 네트워크 간의 낮은 대기 시간의 고처리량 통신을 사용하여 성능상의 이점을 제공합니다.

가상 네트워크 피어링을 사용하는 이점은 다음과 같습니다.

피어링된 가상 네트워크에 있는 VM 간의 트래픽은 개인 IP 주소를 통해 라우팅됩니다. 가상 네트워크 간의 통신에는 가상 게이트웨이가 필요 없습니다.
다른 가상 네트워크에 있는 리소스 간에 낮은 대기 시간의 높은 대역폭 연결이 있습니다.
피어링을 설정할 때 가상 네트워크의 워크로드는 부정적인 영향을 받지 않습니다.

피어링에는 다음과 같은 추가 요구 사항과 제약 조건이 도입됩니다.

피어링된 가상 네트워크에는 겹치지 않는 IP 주소 공간이 있어야 합니다.
가상 네트워크를 다른 가상 네트워크와 피어링한 후에는 주소 공간에서 주소 범위를 추가하거나 삭제할 수 없습니다.

피어링에는 다음과 같은 특징이 있습니다.

피어링은 단방향입니다. 피어링에서 두 가상 네트워크 간에 연결을 제공하려면 방향마다 하나씩 피어링 두 개를 만들어야 합니다.
가상 네트워크를 피어링하면 가상 네트워크의 리소스가 피어링된 가상 네트워크의 리소스와 직접 연결될 수 있습니다.
피어링된 가상 네트워크에 있는 VM 간의 네트워크 대기 시간은 단일 가상 네트워크 내의 대기 시간과 동일합니다.
네트워크 처리량은 VM에 허용되는 대역폭을 따릅니다. 피어링에 의해 부과되는 대역폭에는 추가 제한 사항이 없습니다.
가상 네트워크에 ACL을 적용하여 다른 가상 네트워크나 서브넷에 대한 액세스를 차단할 수 있습니다.
피어링은 비 전이적입니다. 예를 들어 가상 네트워크 A를 가상 네트워크 B와, 가상 네트워크 B를 가상 네트워크 C와 피어하면 가상 네트워크 A와 C가 자동으로 직접 연결되지 않습니다.

Windows Admin Center에서는 가상 네트워크 피어링을 만들고 구성할 수 있는 직관적인 인터페이스를 제공합니다. 구성 설정에는 다음과 같은 옵션이 포함됩니다.

로컬 가상 네트워크에서 피어링된 가상 네트워크로의 액세스를 허용합니다.
피어링된 가상 네트워크로 트래픽 전달(예: 다른 가상 네트워크에서 발생한 트래픽 전달)을 허용합니다.
로컬 또는 원격 가상 네트워크에서 원격 게이트웨이를 사용할 수 있습니다.

Azure Stack HCI 테넌트 가상 네트워크 삭제

Windows Admin Center는 Azure Stack HCI 테넌트 가상 네트워크 삭제 작업도 간소화합니다. 테넌트 가상 네트워크를 삭제하려면 다음을 수행합니다.

Windows Admin Center에서 Azure Stack HCI 클러스터에 연결합니다.
도구 창의 네트워킹 섹션에서 가상 네트워크를 선택합니다.
가상 네트워크 페이지에서 인벤토리 탭을 선택하고 삭제하려는 가상 네트워크를 선택한 다음, 삭제를 선택합니다.
확인하라는 메시지가 표시되면 예를 선택합니다.

계속