편집

다음을 통해 공유


Azure Virtual WAN을 사용하는 허브 스포크 네트워크 토폴로지

Azure 가상 WAN

이 허브 스포크 아키텍처는 Azure의 허브 스포크 네트워크 토폴로지보안 하이브리드 네트워크 구현이라는 참조 아키텍처를 대체하는 솔루션을 제공합니다.

허브는 온-프레미스 네트워크에 대한 연결의 중심점 역할을 하는 Azure의 가상 네트워크입니다. 스포크는 허브와 피어링하는 가상 네트워크이며 워크로드를 격리하는 데 사용할 수 있습니다. 트래픽은 ExpressRoute 또는 VPN 게이트웨이 연결을 통해 온-프레미스 데이터 센터와 허브 사이를 흐릅니다. 이 방법의 주요 차이점은 Azure Virtual WAN(VWAN)을 사용하여 허브를 관리되는 서비스로 교체하는 것입니다.

이 아키텍처는 표준 허브-스포크 네트워크 토폴로지의 이점을 가지고 있으며, 다음과 같은 새로운 이점을 제공합니다.

  • 기존 허브를 완전히 관리되는 VWAN 서비스로 바꿔서 운영 오버 헤드가 감소합니다.

  • 관리되는 서비스를 사용하고 네트워크 가상 어플라이언스의 필요성을 제거하여 비용을 절감합니다.

  • 잘못된 구성과 관련된 보안 위험을 최소화하기 위해 중앙에서 관리되는 보안 허브를 Azure Firewall과 VWAN에 도입하여 보안을 개선합니다.

  • 문제 구분: 중앙 IT(SecOps, InfraOps)와 워크로드(DevOps)간 문제를 분리합니다.

잠재적인 사용 사례

이 아키텍처의 일반적인 용도는 다음과 같은 경우입니다.

  • 워크로드 간의 연결에는 중앙 제어와 공유 서비스에 대한 액세스 권한이 필요합니다.

  • 기업에서는 방화벽과 같은 보안 측면을 중앙에서 제어해야 하며 각 스포크에서 워크로드에 대한 분리된 관리가 필요합니다.

아키텍처

허브 스포크 참조 아키텍처 인포그래픽

이 아키텍처의 Visio 파일을 다운로드합니다.

이 아키텍처는 다음으로 구성됩니다.

  • 온-프레미스 네트워크. 조직 내에서 실행되는 프라이빗 LAN(로컬 영역 네트워크)입니다.

  • VPN 디바이스. 온-프레미스 네트워크에 외부 연결을 제공하는 디바이스 또는 서비스입니다.

  • VPN 가상 네트워크 게이트웨이 또는 ExpressRoute 게이트웨이. 가상 네트워크 게이트웨이를 사용하면 가상 네트워크를 온-프레미스 네트워크에 연결하는 데 사용되는 VPN 디바이스 또는 ExpressRoute 회로에 연결할 수 있습니다.

  • Virtual WAN 허브. Virtual WAN은 허브 스포크 토폴로지의 허브로 사용됩니다. 허브는 온-프레미스 네트워크에 대한 연결의 중심이며, 스포크 가상 네트워크에 호스트되는 다양한 워크로드에서 사용할 수 있는 서비스를 호스트하는 위치입니다.

  • 보안 가상 허브. Azure Firewall Manager에서 구성하는 연결된 보안 및 라우팅 정책을 포함하는 Virtual WAN 허브. 보안 가상 허브에는 기본 제공 라우팅이 제공되므로 사용자 정의 경로를 구성할 필요가 없습니다.

  • 게이트웨이 서브넷. 가상 네트워크 게이트웨이는 동일한 서브넷에 있습니다.

  • 스포크 가상 네트워크. 허브-스포크 토폴로지에서 스포크로 사용되는 하나 이상의 가상 네트워크. 스포크는 자체 가상 네트워크에 워크로드를 격리하는 데 사용할 수 있으며 다른 스포크와 별도로 관리됩니다. 각 워크로드에는 Azure Load Balancer를 통해 여러 서브넷이 연결된 여러 계층이 포함될 수 있습니다.

  • 가상 네트워크 피어링. VNet 피어링 연결을 사용하여 2개의 가상 네트워크를 연결할 수 있습니다. 피어링 연결은 가상 네트워크 간의 비전이적인 연결이며 대기 시간이 짧습니다. 피어링되면 가상 네트워크는 라우터 없이 Azure 백본을 사용하여 트래픽을 교환합니다. 허브-스포크 네트워크 토폴로지에서는 가상 네트워크 피어링을 사용하여 허브를 각 스포크에 연결합니다. Azure Virtual WAN을 사용하면 허브 간에 전이성을 사용할 수 있으며, 이는 피어링만 사용할 수 없습니다.

구성 요소

대안

허브-스포크 아키텍처는 고객 관리형 허브 인프라 또는 Microsoft에서 관리하는 허브 인프라의 두 가지 방법으로 달성할 수 있습니다. 두 경우 모두 스포크는 가상 네트워크 피어링을 사용하여 허브에 연결됩니다.

장점

허브 스포크 참조 아키텍처 인포그래픽

이 아키텍처의 Visio 파일을 다운로드합니다.

이 다이어그램에서는 이 아키텍처가 제공할 수 있는 몇 가지 이점을 보여 줍니다.

  • Azure Virtual Network 간 풀 메시 허브
  • Azure 연결로 분기
  • 분기 간 연결
  • VPN 및 Express Route의 혼합 사용
  • 사이트에 대한 사용자 VPN의 혼합 사용
  • VNET 대 VNET 연결

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

리소스 그룹

허브 및 각 스포크를 서로 다른 리소스 그룹에서 구현할 수 있으며, 서로 다른 구독에서 구현할 수도 습니다. 서로 다른 구독의 가상 네트워크를 피어하는 경우 두 구독을 동일하거나 다른 Microsoft Entra 테넌트에 연결할 수 있습니다. 따라서 허브에서 관리되는 서비스를 공유하면서도 각 워크로드를 분산 관리할 수 있습니다.

가상 WAN

다음에 대한 요구 사항이 있는 경우 표준 Virtual WAN을 만듭니다.

  • 더 높은 처리량을 위해 크기 조정

  • 프라이빗 연결(Global Reach 위치에서 프리미엄 회로 필요)

  • ExpressRoute VPN 상호 연결

  • Azure Monitor를 사용한 통합 모니터링(메트릭 및 Resource Health)

표준 Virtual WAN은 기본적으로 전체 메시에 연결됩니다. 표준 Virtual WAN은 단일 허브에서, 그리고 허브 간에 Any-to-Any 연결(사이트 간 VPN, VNet, ExpressRoute, 지점 및 사이트 간 엔드포인트)을 지원합니다. 기본 Virtual WAN은 단일 허브에서 사이트 간 VPN 연결, 분기 간 연결, 분기 및 VNet 간 연결만 지원합니다.

Virtual WAN 허브

가상 허브는 Microsoft에서 관리하는 가상 네트워크입니다. 허브에는 연결을 활성화하는 다양한 서비스 엔드포인트가 있습니다. 허브는 지역에서 네트워크의 핵심입니다. Azure 지역당 여러 허브가 있을 수 있습니다. 자세한 내용은 Virtual WAN FAQ를 참조하세요.

Azure Portal을 사용하여 허브를 만들면 가상 허브 VNet 및 가상 허브 VPN 게이트웨이가 생성됩니다. Virtual WAN 허브에는 최소 /24의 주소 범위가 필요합니다. 이 IP 주소 공간은 게이트웨이 및 기타 구성 요소에 대한 서브넷을 예약하는 데 사용됩니다.

보안 가상 허브

가상 허브는 보안 가상 허브로 만들 수 있으며, 만든 후 언제든지 보안 허브로 변환할 수 있습니다. 자세한 내용은 Azure Firewall Manager를 사용하여 가상 허브 보안을 참조하세요.

GatewaySubnet

게이트웨이 설정에 대한 자세한 내용은 VPN Gateway를 사용하는 하이브리드 네트워크를 참조하세요.

고가용성이 필요한 경우 장애 조치(failover)를 위해 ExpressRoute와 VPN을 모두 사용할 수 있습니다. VPN 장애 조치(failover)를 사용하는 ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure에 연결을 참조하세요.

온-프레미스 네트워크에 연결할 필요가 없더라도 게이트웨이 없이는 허브-스포크 토폴로지를 사용할 수 없습니다.

가상 네트워크 피어링

가상 네트워크 피어링은 두 가상 네트워크 간의 비전이적 관계입니다. 그러나 Azure Virtual WAN은 전용 피어링을 사용하지 않고도 스포크가 서로 연결될 수 있게 해줍니다.

그러나 여러 개의 스포크를 서로 연결해야 하는 경우에는 가상 네트워크당 가상 네트워크 피어링 개수 제한으로 인해 사용 가능한 피어링 연결이 모자라게 됩니다. (자세한 내용은 네트워킹 제한을 참조하세요.) 이 시나리오에서 Azure VWAN은 기본 제공 기능으로 이 문제를 해결합니다. 자세한 내용은 글로벌 전송 네트워크 아키텍처 및 Virtual WAN을 참조하세요.

스포크가 허브 게이트웨이를 사용하여 원격 네트워크와 통신하도록 구성할 수도 있습니다. 게이트웨이 트래픽이 스포크에서 허브로 흐르고 원격 네트워크에 연결되도록 허용하려면:

  • 허브의 피어링 연결이 게이트웨이 전송을 허용하도록 구성해야 합니다.

  • 각 스포크의 피어링 연결이 원격 게이트웨이를 사용하도록 구성해야 합니다.

  • 모든 피어링 연결이 전달된 트래픽을 허용하도록 구성해야 합니다.

자세한 내용은 가상 네트워크 피어링과 VPN 게이트웨이 중에서 선택을 참조하세요.

허브 확장

DNS 리소스, 사용자 지정 NVA, Azure Bastion 등과 같은 네트워크 차원의 공유 서비스를 지원하려면 가상 허브 확장 패턴따라 각 서비스를 구현합니다. 이 모델에 따라 단일 책임 확장을 빌드하고 운영하여 가상 허브에 직접 배포할 수 없는 중요 비즈니스용 공유 서비스를 개별적으로 노출할 수 있습니다.

고려 사항

작업

Azure VWAN은 Microsoft에서 제공하는 관리되는 서비스입니다. 기술 관점에서 볼 때 고객 관리형 허브 인프라와 완전히 다르지는 않습니다. Azure Virtual WAN은 스포크 간의 전이적 네트워크 연결을 통해 메시 네트워크 토폴로지를 제공하여 전체 네트워크 아키텍처를 간소화합니다. Azure Monitor를 사용하여 Azure VWAN 모니터링을 수행할 수 있습니다. 온-프레미스 네트워크와 Azure 간의 사이트 간 구성 및 연결은 완전히 자동화될 수 있습니다.

안정성

Azure Virtual WAN은 라우팅을 처리하므로 스포크 간의 네트워크 대기 시간을 최적화하고 대기 시간의 예측 가능성을 보장하는 데 도움이 됩니다. 또한 Azure Virtual WAN은 여러 지역에 걸친 워크로드에 대해 서로 다른 Azure 지역 간에 안정적인 연결을 제공합니다. 이 설정을 사용하면 Azure 내의 엔드투엔드 흐름을 더 잘 볼 수 있습니다.

성능

Azure Virtual WAN을 통해 스포크 간, 지역 간 대기 시간을 줄일 수 있습니다. Azure Virtual WAN 사용하면 최대 20Gbps까지 집계 처리량을 확장할 수 있습니다.

확장성

Azure Virtual WAN은 필요에 따라 트래픽을 제한하는 기능을 유지하여 스포크 간에 전체 메시 연결을 제공합니다. 이 아키텍처를 사용하면 대규모 사이트 대 사이트 성능을 가질 수 있습니다. 또한 전역적으로 분산된 클라우드 워크로드 집합 간에 Any-to-Any 연결을 사용하도록 설정하여 글로벌 전송 네트워크 아키텍처를 만들 수 있습니다.

보안

Azure VWAN의 허브는 Azure Firewall을 활용하여 보안 HUB로 변환할 수 있습니다. UDR(사용자 정의 경로)을 동일한 방식으로 계속 활용하여 네트워크 격리를 구현할 수 있습니다. Azure VWAN은 ExpressRoute를 통해 온-프레미스 네트워크와 Azure 가상 네트워크 간의 트래픽 암호화를 지원합니다.

애플리케이션 설계 모범 사례와 결합된 Azure DDoS Protection은 향상된 DDoS 완화 기능을 제공하여 DDoS 공격에 대한 방어력을 높입니다. 경계 가상 네트워크에서 Azure DDOS Protection을 사용하도록 설정해야 합니다.

스포크 연결 및 공유 서비스

스포크 간의 연결은 이미 Azure Virtual WAN을 사용하여 구현되었습니다. 그러나 스포크 트래픽에서 UDR을 사용하면 가상 네트워크를 격리하는 데 유용합니다. 스포크와 동일한 Virtual WAN에서 모든 공유 서비스를 호스트할 수도 있습니다.

가상 네트워크 피어링 - 허브 연결

가상 네트워크 피어링은 두 가상 네트워크 간의 비전이적 관계입니다. Azure Virtual WAN을 사용하는 동안 가상 네트워크 피어링은 Microsoft에서 관리합니다. 허브에 추가된 각 연결은 가상 네트워크 피어링도 구성합니다. Virtual WAN을 통해 모든 스포크는 전이적 관계를 맺게 됩니다.

비용 최적화

Azure Virtual WAN 가격 책정 페이지를 사용하여 네트워크 토폴로지에서 가장 비용 효율적인 솔루션을 이해하고 예측합니다. Azure Virtual WAN 가격 책정에는 다음과 같은 몇 가지 주요 비용 요소가 포함됩니다.

  1. 배포 시간: Virtual WAN 허브의 배포 및 사용에 대한 요금입니다.
  2. 배율 단위: VPN(S2S, P2S) 및 ExpressRoute 게이트웨이 크기 조정을 위한 대역폭 용량(Mbps/Gbps)에 따른 요금입니다.
  3. 연결 단위: VPN, ExpressRoute 또는 원격 사용자에 대한 각 연결에 대한 비용입니다.
  4. 데이터 처리 단위: 허브를 통해 처리되는 데이터에 대한 GB당 요금입니다.
  5. 라우팅 인프라 단위: 허브의 라우팅 기능에 대한 비용입니다.
  6. 보안 가상 허브를 사용하는 Azure Firewall: 배포 단위 및 데이터 처리 단위당 추가 비용을 권장하고 추가합니다.
  7. 허브 간 데이터 전송: Azure 대역폭 가격 책정에 자세히 설명된 대로 지역 간(대륙 간) 요금이 적용되는 허브 간에 데이터를 전송하는 비용입니다.

일반적인 네트워킹 시나리오에 맞게 조정된 가격 책정은 가상 WAN 가격 책정을 참조하세요.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인하세요.

다음 단계

자세한 정보: