Azure Bastion의 안정성
이 문서에서는 Azure Bastion의 안정성 지원에 대해 설명합니다. 가용성 영역을 통해 지역 내 복원력을 다룹니다. 또한 다중 지역 배포에 대해서도 다룹니 다.
복원력은 사용자와 Microsoft 간의 공동 책임이므로 이 문서에서는 요구 사항을 충족하는 복원력 있는 솔루션을 만드는 방법도 설명합니다.
Important
Azure Bastion 리소스에 대한 영역 중복 기능은 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 법적 용어는 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
Azure Bastion은 프라이빗 IP 주소를 통해 가상 머신에 높은 보안 연결을 제공하도록 프로비전하는 PaaS(완전 관리형 플랫폼 as a Service)입니다. Azure Portal에서 TLS를 통해 직접 또는 로컬 컴퓨터에 이미 설치된 네이티브 SSH 또는 RDP 클라이언트를 통해 가상 머신에 대한 원활한 RDP/SSH 연결을 제공합니다. Azure Bastion을 통해 연결하는 경우 가상 머신에는 공용 IP 주소, 에이전트 또는 특수 클라이언트 소프트웨어가 필요하지 않습니다.
프로덕션 배포 권장 사항
프로덕션 배포의 경우 Azure Bastion 리소스가 지원되는 지역에 있는 경우 영역 중복을 사용하도록 설정해야 합니다.
일시적인 오류
일시적인 오류는 구성 요소에서 짧고 간헐적인 오류입니다. 클라우드와 같은 분산 환경에서 자주 발생하며 작업의 일반적인 부분입니다. 그들은 짧은 기간 후에 자신을 수정합니다. 애플리케이션은 일반적으로 영향을 받는 요청을 다시 시도하여 일시적인 오류를 처리하는 것이 중요합니다.
모든 클라우드 호스팅 애플리케이션은 클라우드 호스팅 API, 데이터베이스 및 기타 구성 요소와 통신할 때 Azure의 일시적인 오류 처리 지침을 따라야 합니다. 일시적인 오류 처리에 대한 자세한 내용은 일시적인 오류를 전달하기 위한 권장 사항을 참조 하세요.
일시적인 오류가 가상 머신 또는 Azure Bastion 호스트에 영향을 미치는 경우 SSH(보안 소켓 호스트) 및 RDP(원격 데스크톱 프로토콜) 프로토콜을 사용하는 클라이언트는 일반적으로 자동으로 다시 시도합니다.
가용성 영역 지원
가용성 영역은 각 Azure 지역 내에서 물리적으로 별도의 데이터 센터 그룹입니다. 한 영역이 실패하면 서비스가 나머지 영역 중 하나로 장애 조치(failover)될 수 있습니다.
Azure의 가용성 영역에 대한 자세한 내용은 가용성 영역이란?을 참조하세요.
Azure Bastion은 영역 및 영역 중복 구성 모두에서 가용성 영역을 지원합니다.
영역: Azure Bastion 리소스에 대한 단일 가용성 영역을 선택할 수 있습니다.
참고 항목
단일 영역에 고정해도 복원력이 증가하지는 않습니다. 복원력을 향상하려면 영역 중복 구성을 사용하거나 리소스를 여러 영역에 명시적으로 배포해야 합니다.
영역 중복: Azure Bastion 리소스에 대한 영역 중복을 사용하도록 설정하면 인스턴스가 여러 가용성 영역에 분산됩니다. 가용성 영역에 리소스를 분산하는 경우 프로덕션 워크로드에 대한 복원력과 안정성을 달성할 수 있습니다.
다음 다이어그램은 해당 인스턴스가 세 영역에 분산된 영역 중복 Azure Bastion 리소스를 보여 줍니다.
참고 항목
인스턴스보다 더 많은 가용성 영역을 지정하는 경우 Azure Bastion은 가능한 한 많은 영역에 인스턴스를 분산합니다. 가용성 영역을 사용할 수 없는 경우 잘못된 영역의 인스턴스가 정상 영역의 다른 인스턴스로 대체됩니다.
지원되는 지역
영역 및 영역 중복 Azure Bastion 리소스를 다음 지역에 배포할 수 있습니다.
| 아메리카 | 유럽 | 중동 | 아프리카 | 아시아 태평양 |
|---|---|---|---|---|
| 캐나다 중부 | 북유럽 | 카타르 중부 | 남아프리카 공화국 북부 | 오스트레일리아 동부 |
| 미국 중부 | 스웨덴 중부 | 이스라엘 중부 | 한국 중부 | |
| 미국 동부 | 영국 남부 | |||
| 미국 동부 2 | 서유럽 | |||
| 미국 서부 2 | 노르웨이 동부 | |||
| 미국 동부 2 EUAP | 이탈리아 북부 | |||
| 멕시코 중부 | 스페인 중부 |
요구 사항
Azure Bastion 리소스를 영역 또는 영역 중복으로 구성하려면 기본, 표준 또는 프리미엄 SKU를 사용하여 배포해야 합니다.
Azure Bastion에는 표준 SKU 영역 중복 공용 IP 주소가 필요합니다.
비용
Azure Bastion에 대한 영역 중복을 사용하는 데 추가 비용은 없습니다.
가용성 영역 지원 구성
새 리소스: 가용성 영역을 지원하는 지역에 새 Azure Bastion 리소스를 배포하는 경우 배포하려는 특정 영역을 선택합니다. 영역 중복의 경우 여러 영역을 선택해야 합니다.
Important
Azure Bastion 리소스를 배포한 후에는 가용성 영역 설정을 변경할 수 없습니다.
사용할 가용성 영역을 선택하면 실제로 논리적 가용성 영역을 선택합니다. 다른 Azure 구독에 다른 워크로드 구성 요소를 배포하는 경우 다른 논리 가용성 영역 번호를 사용하여 동일한 물리적 가용성 영역에 액세스할 수 있습니다. 자세한 내용은 물리적 및 논리적 가용성 영역을 참조하세요.
마이그레이션: 기존 Azure Bastion 리소스의 가용성 영역 구성을 변경할 수 없습니다. 대신 새 구성을 사용하여 Azure Bastion 리소스를 만들고 이전 리소스를 삭제해야 합니다.
영역 간 트래픽 라우팅
SSH 또는 RDP 세션을 시작할 때 선택한 가용성 영역에서 Azure Bastion 인스턴스로 라우팅할 수 있습니다.
Azure Bastion에서 영역 중복을 구성하는 경우 세션이 연결 중인 가상 머신과 다른 가용성 영역의 Azure Bastion 인스턴스로 전송될 수 있습니다. 다음 다이어그램에서는 가상 머신이 영역 1에 있지만 사용자의 요청이 영역 2의 Azure Bastion 인스턴스로 전송됩니다.
대부분의 시나리오에서 적은 양의 영역 간 대기 시간은 중요하지 않습니다. 그러나 Azure Bastion 워크로드에 대해 비정상적으로 엄격한 대기 시간 요구 사항이 있는 경우 가상 머신의 가용성 영역에 전용 단일 영역 Azure Bastion 인스턴스를 배포해야 합니다. 이 구성은 영역 중복성을 제공하지 않으며 대부분의 고객에게는 권장되지 않습니다.
영역 다운 환경
검색 및 응답: 영역 중복을 사용하는 경우 Azure Bastion은 가용성 영역에서 오류를 감지하고 응답합니다. 가용성 영역 장애 조치(failover)를 시작하기 위해 아무 것도 할 필요가 없습니다.
활성 요청: 가용성 영역을 사용할 수 없는 경우 결함이 있는 가용성 영역에서 Azure Bastion 인스턴스를 사용하는 진행 중인 RDP 또는 SSH 연결이 종료되고 다시 시도해야 합니다.
연결하려는 가상 머신이 영향을 받는 가용성 영역에 없는 경우 가상 머신에 계속 액세스할 수 있습니다. VM 영역 다운 환경에 대한 자세한 내용은 가상 머신의 안정성: 영역 다운 환경을 참조하세요.
트래픽 경로 변경: 영역 중복을 사용하는 경우 새 연결은 유지되는 가용성 영역에서 Azure Bastion 인스턴스를 사용합니다. 전반적으로 Azure Bastion은 계속 작동합니다.
장애 복구(Failback)
가용성 영역이 복구되면 Azure Bastion:
- 가용성 영역에서 인스턴스를 자동으로 복원합니다.
- 다른 가용성 영역에서 만든 임시 인스턴스를 제거합니다.
- 인스턴스 간의 트래픽을 정상적으로 다시 라우팅합니다.
영역 오류 테스트
Azure Bastion 플랫폼은 영역 중복 Azure Bastion 리소스에 대한 트래픽 라우팅, 장애 조치(failover) 및 장애 복구(failback)를 관리합니다. 이 기능은 완전히 관리되므로 아무것도 시작하거나 가용성 영역 오류 프로세스의 유효성을 검사할 필요가 없습니다.
다중 지역 지원
Azure Bastion은 가상 네트워크 또는 피어된 가상 네트워크 내에 배포되며 Azure 지역과 연결됩니다. Azure Bastion은 단일 지역 서비스입니다. 지역을 사용할 수 없게 되면 Azure Bastion 리소스도 사용할 수 없습니다.
Azure Bastion은 전역적으로 피어링된 가상 네트워크에서 가상 머신에 연결할 수 있도록 지원하지만 Azure Bastion 리소스를 호스트하는 지역을 사용할 수 없는 경우 Azure Bastion 리소스를 사용할 수 없습니다. 복원력을 높이려면 각 지역에 별도의 가상 네트워크를 사용하여 여러 지역에 전체 솔루션을 배포하는 경우 각 지역에 Azure Bastion을 배포해야 합니다.
다른 Azure 지역에 재해 복구 사이트가 있는 경우 해당 지역의 가상 네트워크에 Azure Bastion을 배포해야 합니다.
서비스 수준 약정
Azure Bastion에 대한 SLA(서비스 수준 계약)는 서비스의 예상 가용성 및 해당 가용성 기대치를 달성하기 위해 충족해야 하는 조건을 설명합니다. 이러한 조건을 이해하려면 온라인 서비스에 대한 SLA를 검토하는 것이 중요합니다.