중요 업무용 워크로드에 대한 네트워킹 및 연결
중요 업무용 참조 아키텍처 리소스의 지역 배포에는 강력한 네트워크 인프라가 필요합니다.
Azure 서비스가 함께 모여 고가용성 애플리케이션을 제공하는 경우 전역적으로 분산된 디자인을 사용하는 것이 좋습니다. 지역 스탬프와 결합된 글로벌 부하 분산 장치는 안정적인 연결을 통해 보장합니다.
지역 스탬프는 아키텍처에서 배포 가능한 단위입니다. 새 스탬프를 신속하게 배포하는 기능은 확장성을 제공하고 고가용성을 지원합니다. 스탬프는 격리된 가상 네트워크 디자인따릅니다. 교차 스탬프 트래픽은 권장되지 않습니다. 가상 네트워크 피어링 또는 다른 스탬프에 대한 VPN 연결은 필요하지 않습니다.
아키텍처는 지역 스탬프를 수명이 짧은 것으로 정의하는 데 의도적인 것입니다. 인프라의 전역 상태는 전역 리소스에 저장됩니다.
트래픽을 정상 스탬프로 라우팅하고 보안 서비스를 제공하려면 전역 부하 분산 장치가 필요합니다. 특정 기능이 있어야 합니다.
부하 분산 장치가 트래픽을 라우팅하기 전에 원본의 상태를 확인할 수 있도록 상태 검색이 필요합니다.
가중 트래픽 분포입니다.
옵션으로 에지에서 캐싱을 수행할 수 있어야 합니다. 웹 애플리케이션 방화벽(WAF)을 사용하여 인바운드 트래픽의 보안을 강화하는 방안을 제공합니다.
이 아키텍처의 Visio 파일 다운로드합니다.
트래픽 유입
아키텍처에 정의된 애플리케이션은 인터넷에 연결되어 있으며 몇 가지 요구 사항이 있습니다.
전역적이고 독립적인 지역 스탬프 간에 트래픽을 분산할 수 있는 라우팅 솔루션입니다.
건강 상태 검사에서 대기 시간이 짧고, 비정상적인 스탬프에 트래픽 전송을 중지할 수 있는 기능이 있습니다.
에지에서 악의적인 공격을 방지합니다.
에지에서 캐싱 기능을 제공합니다.
디자인의 모든 트래픽에 대한 진입점은 Azure Front Door를 통해서입니다. Front Door는 HTTP(S) 트래픽을 등록된 백 엔드/원본으로 라우팅하는 전역 부하 분산 장치입니다. Front Door는 각 백엔드/오리진의 URI에 요청을 보내는 상태 점검 프로브를 사용합니다. 참조 구현에서 호출된 URI는 건강 서비스입니다. 보건 서비스는 스탬프의 건강을 홍보합니다. Front Door는 응답을 사용하여 개별 스탬프의 상태를 확인하고 애플리케이션 요청을 서비스할 수 있는 정상 스탬프로 트래픽을 라우팅합니다.
Azure Monitor와 Azure Front Door 통합은 트래픽, 보안, 성공 및 실패 메트릭 및 경고에 대한 거의 실시간 모니터링을 제공합니다.
Azure Front Door와 통합된 Azure Web Application Firewall은 네트워크에 들어가기 전에 에지에서 공격을 방지하는 데 사용됩니다.
격리된 가상 네트워크 - API
아키텍처의 API는 Azure Virtual Network를 트래픽 격리 경계로 사용합니다. 한 가상 네트워크의 구성 요소는 다른 가상 네트워크의 구성 요소와 직접 통신할 수 없습니다.
표준 외부 Azure Load Balancer는 애플리케이션 플랫폼에 요청을 배포합니다. 부하 분산 장치에 도달하는 트래픽이 Azure Front Door를 통해 라우팅되었는지 확인하여 Azure WAF가 모든 트래픽을 검사하도록 합니다.
아키텍처의 작업 및 배포에 사용되는 빌드 에이전트는 격리된 네트워크에 연결할 수 있어야 합니다. 에이전트가 통신할 수 있도록 격리된 네트워크를 열 수 있습니다. 또는 자체 호스팅 에이전트를 가상 네트워크에 배포할 수 있습니다.
네트워크 처리량 모니터링, 개별 구성 요소의 성능 및 애플리케이션의 상태가 필요합니다.
애플리케이션 플랫폼 통신 종속성
인프라의 개별 스탬프와 함께 사용되는 애플리케이션 플랫폼에는 다음과 같은 통신 요구 사항이 있습니다.
애플리케이션 플랫폼은 Microsoft PaaS 서비스와 안전하게 통신할 수 있어야 합니다.
애플리케이션 플랫폼은 필요할 때 다른 서비스와 안전하게 통신할 수 있어야 합니다.
정의된 아키텍처는 Azure Key Vault를 사용하여 연결 문자열 및 API 키와 같은 비밀을 저장하여 인터넷을 통해 Azure PaaS 서비스와 안전하게 통신합니다. 이 통신을 위해 인터넷을 통해 애플리케이션 플랫폼을 노출할 수 있는 위험이 있습니다. 비밀은 손상될 수 있으며 퍼블릭 엔드포인트의 보안 및 모니터링을 강화하는 것이 좋습니다.
확장 네트워킹 고려 사항
이 섹션에서는 네트워크 디자인에 대한 대체 방법의 장단점을 설명합니다. 대체 네트워킹 고려 사항 및 Azure 프라이빗 엔드포인트의 사용은 다음 섹션에서 중점 사항입니다.
서브넷 및 네트워크 보안 그룹
가상 네트워크 내의 서브넷을 사용하여 디자인 내에서 트래픽을 분할할 수 있습니다. 서브넷 격리는 다양한 함수에 대한 리소스를 구분합니다.
네트워크 보안 그룹을 사용하여 각 서브넷 내/외부로 허용되는 트래픽을 제어할 수 있습니다. 네트워크 보안 그룹 내에서 사용되는 규칙은 IP, 포트 및 프로토콜에 따라 트래픽을 제한하여 서브넷으로의 원치 않는 트래픽을 차단하는 데 사용할 수 있습니다.
프라이빗 엔드포인트 - 진입
프리미엄 버전의 Front Door는 Azure 프라이빗 엔드포인트 사용을 지원합니다. 프라이빗 엔드포인트는 가상 네트워크의 개인 IP 주소에 Azure 서비스를 노출합니다. 트래픽을 퍼블릭 엔드포인트로 라우팅할 필요 없이 서비스 간에 안전하고 비공개로 연결됩니다.
Azure Front Door 프리미엄 및 Azure 프라이빗 엔드포인트를 사용하면 개별 스탬프에서 완전 프라이빗 컴퓨팅 클러스터를 사용할 수 있습니다. 모든 Azure PaaS 서비스에 대해 트래픽이 완전히 잠깁니다.
프라이빗 엔드포인트를 사용하면 디자인의 보안이 강화됩니다. 그러나 또 다른 실패 지점이 도입됩니다. 애플리케이션 스탬프에 노출되는 퍼블릭 엔드포인트는 더 이상 필요하지 않으며 더 이상 액세스하여 가능한 DDoS 공격에 노출될 수 없습니다.
향상된 보안은 안정성 노력, 비용 및 복잡성 증가와 비교해야 합니다.
자체 호스팅 빌드 에이전트는 스탬프 배포에 사용해야 합니다. 이러한 에이전트의 관리에는 유지 관리 오버헤드가 발생합니다.
프라이빗 엔드포인트 - 애플리케이션 플랫폼
프라이빗 엔드포인트는 이 디자인에 사용되는 모든 Azure PaaS 서비스에 대해 지원됩니다. 애플리케이션 플랫폼에 대해 구성된 프라이빗 엔드포인트를 사용하면 모든 통신이 스탬프의 가상 네트워크를 통해 이동합니다.
개별 Azure PaaS 서비스의 퍼블릭 엔드포인트는 공용 액세스를 허용하지 않도록 구성할 수 있습니다. 이 프로세스는 안정성 및 가용성에 영향을 주는 가동 중지 시간 및 제한을 일으킬 수 있는 공용 공격으로부터 리소스를 격리합니다.
자체 호스팅 빌드 에이전트는 이전과 동일하게 스탬프 배포에 사용해야 합니다. 이러한 에이전트의 관리에는 유지 관리 오버헤드가 발생합니다.
다음 단계
참조 구현을 배포하여 이 아키텍처에 사용되는 리소스 및 해당 구성을 완전히 이해합니다.