Azure Virtual Network Manager FAQ

이 문서에서는 Azure Virtual Network Manager에 대해 질문과 대답에 답변합니다.

일반

Azure Virtual Network Manager를 지원하는 Azure 지역은 어디인가요?

지역 지원에 대한 최신 정보는 지역별 사용 가능한 제품을 참조하세요.

참고 항목

프랑스 중부를 제외한 모든 지역에는 가용성 영역이 있습니다.

Azure Virtual Network Manager의 일반적인 사용 사례는 무엇인가요?

• 환경 및 해당 함수의 보안 요구 사항을 충족하도록 네트워크 그룹을 만들 수 있습니다. 예를 들어 프로덕션 및 테스트 환경에 대한 네트워크 그룹을 만들어 연결 및 보안 규칙을 대규모로 관리할 수 있습니다.

  보안 규칙의 경우 두 개의 컬렉션이 있는 보안 관리 구성을 만들 수 있습니다. 각 컬렉션은 각각 프로덕션 및 테스트 네트워크 그룹을 대상으로 합니다. 배포 후 이 구성은 프로덕션 환경의 네트워크 리소스에 대해 한 집합의 보안 규칙과 테스트 환경에 대한 한 집합의 보안 규칙을 적용합니다.

• 연결 구성을 적용하여 조직의 구독에서 많은 수의 가상 네트워크에 대한 메시 또는 허브 및 스포크 네트워크 토폴로지를 만들 수 있습니다.

• 위험도가 높은 트래픽을 거부할 수 있습니다. 엔터프라이즈의 관리자는 일반적으로 트래픽을 허용하는 NSG(네트워크 보안 그룹) 규칙을 재정의하는 특정 프로토콜이나 원본을 차단할 수 있습니다.

• 항상 트래픽을 허용할 수 있습니다. 예를 들어, NSG 규칙이 트래픽을 거부하도록 구성된 경우에도 특정 보안 스캐너가 항상 모든 리소스에 대한 인바운드 연결을 갖도록 허용할 수 있습니다.

Azure Virtual Network Manager 사용 비용은 어떻게 되나요?

Azure Virtual Network Manager 요금은 활성 네트워크 관리자 구성이 배포된 가상 네트워크가 포함된 구독 수를 기반으로 합니다. 또한 피어링 요금은 배포된 연결 구성(메시 또는 허브 및 스포크)으로 관리되는 가상 네트워크의 트래픽 볼륨에 적용됩니다.

Azure Virtual Network Manager 가격 책정 페이지에서 해당 지역의 현재 가격을 확인할 수 있습니다.

Azure Virtual Network Manager를 어떻게 배포하나요?

다음을 포함한 다양한 도구를 통해 Azure Virtual Network Manager 인스턴스 및 구성을 배포하고 관리할 수 있습니다.

• Azure Portal
• Azure CLI
• Azure PowerShell
• ARM 템플릿
• Terraform

기술적

가상 네트워크가 여러 Azure Virtual Network Manager 인스턴스에 속할 수 있나요?

예, Virtual Network는 둘 이상의 Azure Virtual Network Manager 인스턴스에 속할 수 있습니다.

스포크 VNet이 직접 통신할 수 있도록 메시 토폴로지에서 VWAN 허브에 연결할 수 있나요?

예, 스포크 VNet은 메시 그룹에 있는 동안 VWAN 허브에 연결할 수 있습니다. 메시 그룹의 해당 VNet은 직접 연결됩니다.

Azure Virtual Network Manager 메시의 일부인 VNET의 IP 접두사에 대한 작업이 자동으로 전파될까요?

메시의 VNet은 자동으로 동기화됩니다. IP 접두사는 자동으로 업데이트됩니다. 즉, 메시의 VNet에 IP 접두사 변경 내용이 있는 경우에도 메시 내의 트래픽이 작동합니다.

메시 토폴로지가 구성되고 적용되는지 어떻게 할까요??"?

적용된 구성을 보는 방법은 설명서를 참조하세요. 메시 토폴로지는 VNet 피어링이 아니므로 피어링에서 메시 연결을 볼 수 없습니다.

Azure Virtual Network Manager가 만들어지는 지역이 다운되면 어떻게 되나요? 배포된 구성에 영향을 주거나 구성 변경만 방지하나요?

구성을 변경하는 기능만 영향을 받게 됩니다. 구성을 커밋한 후 Azure Virtual Network Manager가 구성을 프로그래밍하면 계속 작동합니다. 예를 들어 Azure Virtual Network Manager 인스턴스가 지역 1에서 만들어지고 메시 토폴로지를 지역 2에 설정하면 지역 1을 사용할 수 없게 되더라도 지역 2의 메시가 계속 작동합니다.

글로벌 메시 네트워크 토폴로지란?

글로벌 메시를 사용하면 여러 지역의 가상 네트워크가 서로 통신할 수 있습니다. 효과는 글로벌 가상 네트워크 피어링의 작동 방식과 유사합니다.

만들 수 있는 네트워크 그룹 수에 제한이 있나요?

만들 수 있는 네트워크 그룹 수에는 제한이 없습니다.

적용된 모든 구성의 배포를 제거하려면 어떻게 해야 하나요?

구성이 적용된 모든 지역에 없음 구성을 배포해야 합니다.

내가 관리하지 않는 다른 구독에서 가상 네트워크를 추가할 수 있나요?

예, 해당 가상 네트워크에 액세스할 수 있는 적절한 권한이 있는 경우 가능합니다.

동적 그룹 멤버 자격이란 무엇인가요?

동적 멤버십을 참조하세요.

동적 멤버 자격 및 정적 멤버 자격에 대한 구성 배포는 어떻게 다른가요?

Azure Virtual Network Manager의 구성 배포를 참조하세요.

Azure Virtual Network Manager 구성 요소를 삭제하려면 어떻게 해야 하나요?

Azure Virtual Network Manager 구성 요소 검사 목록 제거 및 업데이트를 참조하세요.

Azure Virtual Network Manager는 고객 데이터를 저장하나요?

아니요. Azure Virtual Network Manager는 고객 데이터를 저장하지 않습니다.

Azure Virtual Network Manager 인스턴스를 이동할 수 있나요?

아니요. Azure Virtual Network Manager는 현재 해당 기능을 지원하지 않습니다. 인스턴스를 이동해야 하는 경우 해당 인스턴스를 삭제하고 Azure Resource Manager 템플릿을 사용하여 다른 위치에 다른 인스턴스를 만드는 것이 좋습니다.

Azure Virtual Network Manager를 사용하여 구독을 다른 테넌트로 이동할 수 있나요?

예, 하지만 유의해야 할 몇 가지 고려 사항이 있습니다.

• 대상 테넌트에는 Azure Virtual Network Manager를 만들 수 없습니다.
• 네트워크 그룹의 스포크 가상 네트워크는 테넌트 변경 시 참조가 손실되어 허브 vnet에 대한 연결이 끊어질 수 있습니다. 이 문제를 해결하려면 구독을 다른 테넌트로 이동한 후 Azure Virtual Network Manager의 네트워크 그룹에 스포크 vnet을 수동으로 추가해야 합니다.

문제를 해결하는 데 도움이 되는 구성을 확인하려면 어떻게 해야 하나요?

가상 네트워크에 대한 Network Manager에서 Azure Virtual Network Manager 설정을 볼 수 있습니다. 설정에는 적용되는 연결 및 보안 관리 구성이 모두 표시됩니다. 자세한 내용은 Azure Virtual Network Manager가 적용한 구성 보기를 참조하세요.

Virtual Network Manager 인스턴스가 있는 지역에서 모든 영역이 다운되면 어떻게 되나요?

지역 중단이 발생하면 현재 관리되는 가상 네트워크 리소스에 적용된 모든 구성은 중단 중에 그대로 유지됩니다. 가동 중단 중에는 새 구성을 만들거나 기존 구성을 수정할 수 없습니다. 중단이 해결되면 이전과 같이 가상 네트워크 리소스를 계속 관리할 수 있습니다.

Azure Virtual Network Manager에서 관리하는 가상 네트워크를 관리되지 않는 가상 네트워크에 피어링할 수 있나요?

예. Azure Virtual Network Manager는 피어링을 사용하는 기존 허브 및 스포크 토폴로지 배포와 완벽하게 호환됩니다. 스포크와 허브 사이의 기존 피어링 연결을 삭제할 필요가 없습니다. 마이그레이션은 네트워크 가동 중지 시간 없이 발생합니다.

Azure Virtual Network Manager를 사용하여 기존 허브 및 스포크 토폴로지를 마이그레이션할 수 있나요?

예. Azure Virtual Network Manager에서 기존 Virtual Network를 허브 및 스포크 토폴로지로 마이그레이션하는 것은 간단합니다. 허브 및 스포크 토폴로지 연결 구성을 만들 수 있습니다. 이 구성을 배포하면 Virtual Network Manager가 자동으로 필요한 피어링을 만듭니다. 기존 피어링은 그대로 유지되므로 가동 중지 시간이 없습니다.

가상 네트워크 간의 연결 설정에 있어서 연결된 그룹은 가상 네트워크 피어링과 어떻게 다른가요?

Azure에서 가상 네트워크 피어링과 연결된 그룹은 가상 네트워크 간의 연결을 설정하는 두 가지 방법입니다. 피어링은 가상 네트워크 간에 일대일 매핑을 만들어 작동하는 반면, 연결된 그룹은 이러한 매핑 없이 연결을 설정하는 새로운 구문을 사용합니다.

연결된 그룹에서 모든 가상 네트워크는 개별 피어링 관계 없이 연결됩니다. 예를 들어, 세 개의 가상 네트워크가 동일한 연결된 그룹의 일부인 경우 개별 피어링 관계가 필요 없이 각 가상 네트워크 간에 연결이 사용하도록 설정됩니다.

현재 VNet 피어링을 사용하는 가상 네트워크를 관리할 때 Azure Virtual Network Manager로 VNet 피어링 요금을 두 번 지불하나요?

피어링에 대한 두 번째 또는 이중 요금은 없습니다. 가상 네트워크 관리자는 이전에 만든 모든 VNet 피어링을 존중하고 해당 연결을 마이그레이션합니다. 가상 네트워크 관리자 내부 또는 외부에서 만들어지는 모든 피어링 리소스에는 단일 피어링 요금이 발생합니다.

보안 관리자 규칙에 대한 예외를 만들 수 있나요?

일반적으로 보안 관리 규칙은 가상 네트워크 전반의 트래픽을 차단하도록 정의됩니다. 그러나 특정 가상 네트워크 및 해당 리소스에서 관리 또는 기타 프로세스에 대한 트래픽을 허용해야 하는 경우가 있습니다. 이러한 시나리오에서는 필요한 경우 예외를 만들 수 있습니다. 이러한 시나리오에 대해 예외를 적용하여 고위험 포트를 차단하는 방법을 알아봅니다.

한 지역에 보안 관리자 구성 여러 개를 어떻게 배포할 수 있나요?

한 지역에 하나의 보안 관리자 구성만 배포할 수 있습니다. 그러나 보안 구성에서 여러 규칙 컬렉션을 만드는 경우 한 지역에 여러 연결 구성이 존재할 수 있습니다.

보안 관리자 규칙을 Azure 프라이빗 엔드포인트에 적용하나요?

현재 보안 관리자 규칙은 Azure Virtual Network Manager에서 관리하는 가상 네트워크의 범위에 속하는 프라이빗 엔드포인트에는 적용되지 않습니다.

아웃바운드 규칙

포트	프로토콜	원본	대상	작업
443, 12000	TCP	VirtualNetwork	AzureCloud	Allow
모두	모두	VirtualNetwork	VirtualNetwork	허용

Azure Virtual WAN 허브가 네트워크 그룹의 일부가 될 수 있나요?

아니요, 현재 Azure Virtual WAN 허브는 네트워크 그룹에 있을 수 없습니다.

Virtual Network Manager 허브 및 스포크 토폴로지 구성에서 Azure Virtual WAN 인스턴스를 허브로 사용할 수 있나요?

아니요, 현재 Azure Virtual WAN 허브는 현재 허브 및 스포크 토폴로지의 허브로 지원되지 않습니다.

내 가상 네트워크가 필요한 구성을 가져오지 않습니다. 문제를 해결하려면 어떻게 해야 하나요?

가능한 솔루션을 찾으려면 다음 질문을 사용합니다.

구성을 가상 네트워크 지역에 배포했나요?

Azure Virtual Network Manager의 구성은 배포될 때까지 적용되지 않습니다. 적절한 구성을 사용하여 가상 네트워크 지역에 배포합니다.

가상 네트워크가 범위 내에 있나요?

네트워크 관리자는 해당 범위 내의 가상 네트워크에 구성을 적용하는 데 충분한 액세스 권한만 위임받습니다. 리소스가 네트워크 그룹에 있지만 범위를 벗어나는 경우 구성을 수신하지 않습니다.

관리되는 인스턴스가 포함된 가상 네트워크에 보안 규칙을 적용하고 있나요?

Azure SQL Managed Instance에는 몇 가지 네트워크 요구 사항이 있습니다. 이러한 요구 사항은 보안 관리 규칙과 목적이 충돌하는 우선 순위가 높은 네트워크 의도 정책을 통해 적용됩니다. 기본적으로 이러한 의도 정책이 포함된 가상 네트워크에서는 관리 규칙 적용을 건너뜁니다. 허용 규칙은 충돌 위험이 없으므로 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices에 AllowRulesOnly를 설정하여 허용 전용 규칙을 적용하도록 선택할 수 있습니다.

보안 구성 규칙을 차단하는 서비스가 포함된 가상 네트워크 또는 서브넷에 보안 규칙을 적용하고 있나요?

특정 서비스가 제대로 작동하려면 특정 네트워크 요구 사항이 필요합니다. 이러한 서비스에는 Azure SQL Managed Instance, Azure Databricks 및 Azure Application Gateway가 포함됩니다. 기본적으로 이러한 서비스가 포함된 가상 네트워크 및 서브넷에서는 보안 관리 규칙 적용을 건너뜁니다. 허용 규칙이 충돌할 위험이 없으므로 securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET 클래스에서 보안 구성의 AllowRulesOnly 필드를 설정하여 허용 전용 규칙을 적용하도록 선택할 수 있습니다.

제한

Azure Virtual Network Manager의 서비스 제한 사항은 무엇인가요?

최신 정보는 Azure Virtual Network Manager의 제한 사항을 참조하세요.

다음 단계

• Azure Portal을 사용하여 Azure Virtual Network Manager 인스턴스를 만듭니다.