Azure Stack Hub에 대한 네트워크 통합 계획
이 문서에서는 Azure Stack Hub를 기존 네트워킹 환경에 가장 잘 통합하는 방법을 결정하는 데 도움이 되는 Azure Stack Hub 네트워크 인프라 정보를 제공합니다.
메모
Azure Stack Hub에서 외부 DNS 이름(예: www.bing.com)을 확인하려면 DNS 요청을 전달할 DNS 서버를 제공해야 합니다. Azure Stack Hub DNS 요구 사항에 대한 자세한 내용은 azure Stack Hub 데이터 센터 통합 DNS참조하세요.
물리적 네트워크 디자인
Azure Stack Hub 솔루션은 운영 및 서비스를 지원하기 위해 복원력 있고 고가용성 물리적 인프라가 필요합니다. Azure Stack Hub를 네트워크에 통합하려면 ToR(Top-of-Rack 스위치)에서 가장 가까운 스위치 또는 라우터로의 업링크가 필요하며, 이 문서에서는 Border라고 합니다. ToR은 단일 또는 한 쌍의 경계 장치로 연결될 수 있습니다. ToR은 자동화 도구에 의해 미리 구성됩니다. BGP 라우팅을 사용하는 경우 ToR과 Border 간에 최소 1개의 연결이 예상되며, 정적 라우팅을 사용하는 경우 ToR과 Border 간에 최소 두 개의 연결(ToR당 하나)이 있으며, 두 라우팅 옵션에 대해 최대 4개의 연결이 필요합니다. 이러한 연결은 SFP+ 또는 SFP28 미디어로 제한되며 최소 1GB 속도로 제한됩니다. 가용성은 OEM(원래 장비 제조업체) 하드웨어 공급업체에 문의하세요. 다음 다이어그램에서는 권장되는 디자인을 제공합니다.
권장되는 Azure Stack 네트워크 디자인
대역폭 할당
Azure Stack Hub는 Windows Server 2019 장애 조치 클러스터 및 다이렉트 공간 기술을 사용하여 빌드됩니다. Spaces Direct 스토리지 통신이 솔루션에 필요한 성능 및 규모를 충족할 수 있도록 Azure Stack Hub 물리적 네트워크 구성의 일부가 트래픽 분리 및 대역폭 보증을 사용하도록 설정됩니다. 네트워크 구성은 트래픽 클래스를 사용하여 Space Direct 및 RDMA 기반 통신을 Azure Stack Hub 인프라 및/또는 테넌트의 네트워크 활용과 구분합니다. Windows Server 2019에 대해 정의된 현재 모범 사례에 맞게 Azure Stack Hub는 장애 조치(failover) 클러스터링 제어 통신을 지원하기 위해 서버와 서버 통신을 추가로 분리하기 위해 추가 트래픽 클래스 또는 우선 순위를 사용하도록 변경하고 있습니다. 이 새 트래픽 클래스 정의는 사용 가능한 실제 대역폭의 2% 예약하도록 구성됩니다. 이 트래픽 클래스 및 대역폭 예약 구성은 Azure Stack Hub 솔루션의 ToR(Top-of-Rack) 스위치와 Azure Stack Hub의 호스트 또는 서버에서 변경하여 수행됩니다. 고객 테두리 네트워크 디바이스에서는 변경이 필요하지 않습니다. 이러한 변경은 장애 조치(failover) 클러스터 통신에 더 나은 복원력을 제공하며 네트워크 대역폭이 완전히 사용되어 장애 조치(failover) 클러스터 제어 메시지가 중단되는 상황을 방지하기 위한 것입니다. 장애 조치(failover) 클러스터 통신은 Azure Stack Hub 인프라의 중요한 구성 요소입니다. 이 통신이 장기간 중단되면 Spaces Direct 스토리지 서비스 또는 테넌트 및 최종 사용자 워크로드의 안정성에 영향을 줄 수 있는 다른 서비스에 불안정을 초래할 수 있습니다.
논리 네트워크
논리 네트워크는 기본 물리적 네트워크 인프라의 추상화입니다. 호스트, VM(가상 머신) 및 서비스에 대한 네트워크 할당을 구성하고 간소화하는 데 사용됩니다. 논리 네트워크 만들기의 일환으로 네트워크 사이트는 각 물리적 위치에서 논리 네트워크와 연결된 VLAN(가상 로컬 영역 네트워크), IP 서브넷 및 IP 서브넷/VLAN 쌍을 정의하기 위해 만들어집니다.
다음 표에서는 계획해야 하는 논리 네트워크 및 연결된 IPv4 서브넷 범위를 보여 줍니다.
| 논리 네트워크 | 설명 | 크기 |
|---|---|---|
| 공용 VIP | Azure Stack Hub는 이 네트워크에서 총 31개의 주소를 사용하며 나머지는 테넌트 VM에서 사용됩니다. 31개 주소에서 8개의 공용 IP 주소가 작은 Azure Stack Hub 서비스 집합에 사용됩니다. App Service 및 SQL 리소스 공급자를 사용하려는 경우 7개의 주소가 더 사용됩니다. 나머지 16개 IP는 향후 Azure 서비스를 위해 예약됩니다. | /26(호스트 62개) - /22(호스트 1022개) 권장 = /24(IP 주소 254개) |
| 인프라 전환 | 라우팅을 위한 지점 및 지점 간의 IP 주소, 전용 스위치 관리 인터페이스 및 스위치에 할당된 루프백 주소입니다. | /26 |
| 인프라 | 통신할 Azure Stack Hub 내부 구성 요소에 사용됩니다. | /24 |
| 민간의 | 스토리지 네트워크, 프라이빗 VIP, 인프라 컨테이너 및 기타 내부 함수에 사용됩니다. 자세한 내용은 이 문서의 프라이빗 네트워크 섹션을 참조하세요. | /20 |
| BMC | 물리적 호스트의 BMC와 통신하는 데 사용됩니다. | /26 |
메모
포털의 경고는 운영자에게 새로운 /20 개인 IP 공간을 추가하기 위해 SET-AzsPrivateNetwork PEP cmdlet을 실행하도록 알려줍니다. /20 개인 IP 공간 선택에 대한 자세한 내용과 지침은 이 문서의 프라이빗 네트워크 섹션을 참조하세요.
네트워크 인프라
Azure Stack Hub의 네트워크 인프라는 스위치에 구성된 여러 논리 네트워크로 구성됩니다. 다음 다이어그램에서는 이러한 논리 네트워크와 TOR(Top-of-Rack), BMC(베이스보드 관리 컨트롤러) 및 테두리(고객 네트워크) 스위치와 통합하는 방법을 보여 줍니다.
논리 네트워크 다이어그램 
BMC 네트워크
이 네트워크는 모든 기본 보드 관리 컨트롤러(BMC 또는 서비스 프로세서라고도 함)를 관리 네트워크에 연결하는 데만 사용됩니다. 예를 들어 iDRAC, iLO, iBMC 등이 있습니다. BMC 계정은 BMC 노드와 통신하는 데만 사용됩니다. 있는 경우 HLH(하드웨어 수명 주기 호스트)는 이 네트워크에 있으며 하드웨어 유지 관리 또는 모니터링을 위한 OEM 관련 소프트웨어를 제공할 수 있습니다.
HLH는 DVM(배포 VM)도 호스트합니다. DVM은 Azure Stack Hub 배포 중에 사용되며 배포가 완료되면 제거됩니다. DVM은 여러 구성 요소를 테스트, 유효성 검사 및 액세스하기 위해 연결된 배포 시나리오에서 인터넷에 액세스해야 합니다. 이러한 구성 요소는 회사 네트워크 내부 및 외부에 있을 수 있습니다(예: NTP, DNS 및 Azure). 연결 요구 사항에 대한 자세한 내용은 Azure Stack Hub 방화벽 통합 NAT 섹션을 참조하세요.
프라이빗 네트워크
이 /20(4096 IP) 네트워크는 Azure Stack Hub 지역에 비공개이며(Azure Stack Hub 시스템의 테두리 스위치 디바이스를 넘어 라우팅되지 않음) 여러 서브넷으로 나뉩니다. 다음은 몇 가지 예입니다.
- 스토리지 네트워크: 공간 다이렉트 및 SMB(서버 메시지 블록) 스토리지 트래픽과 VM 실시간 마이그레이션을 지원하기 위한 /25 네트워크(128개의 IP)입니다.
- 내부 가상 IP 네트워크: 소프트웨어 부하 분산 장치에 대한 내부 전용 VIP 전용 /25 네트워크입니다.
- 컨테이너 네트워크: 인프라 서비스를 실행하는 컨테이너 간의 내부 전용 트래픽 전용 /23(512 IP) 네트워크입니다.
Azure Stack Hub 시스템에는 추가 /20개의 개인 내부 IP 공간이 필요합니다. 이 네트워크는 Azure Stack Hub 시스템에 비공개이며(Azure Stack Hub 시스템의 테두리 스위치 디바이스를 넘어 라우팅되지 않음) 데이터 센터 내의 여러 Azure Stack Hub 시스템에서 다시 사용할 수 있습니다. 네트워크는 Azure Stack에 비공개이지만 데이터 센터의 다른 네트워크와 겹치지 않아야 합니다. /20 개인 IP 공간은 컨테이너에서 Azure Stack Hub 인프라를 실행할 수 있도록 하는 여러 네트워크로 나뉩니다. 또한 이 새로운 개인 IP 공간을 통해 배포 전에 필요한 라우팅 가능한 IP 공간을 줄이기 위한 지속적인 노력을 수행할 수 있습니다. 컨테이너에서 Azure Stack Hub 인프라를 실행하는 목표는 사용률을 최적화하고 성능을 향상시키는 것입니다. 또한 /20 개인 IP 공간은 배포 전에 필요한 라우팅 가능한 IP 공간을 줄이는 지속적인 노력을 가능하게 하는 데도 사용됩니다. 개인 IP 공간에 대한 지침은 RFC 1918참조하세요.
Azure Stack Hub 인프라 네트워크
이 /24 네트워크는 자체적으로 데이터를 통신하고 교환할 수 있도록 내부 Azure Stack Hub 구성 요소 전용입니다. 이 서브넷은 Azure Stack Hub 솔루션에서 데이터 센터로 외부에서 라우팅할 수 있습니다. 이 서브넷에서 공용 또는 인터넷 라우팅 가능 IP 주소를 사용하지 않는 것이 좋습니다. 이 네트워크는 테두리에 보급되지만 대부분의 IP는 ACL(액세스 제어 목록)으로 보호됩니다. 액세스에 허용되는 IP는 /27 네트워크 및 호스트 서비스(예: PEP) 및 azure Stack Hub 백업 같은 작은 범위 내에 있습니다.
공용 VIP 네트워크
공용 VIP 네트워크는 Azure Stack의 네트워크 컨트롤러에 할당됩니다. 그것은 스위치의 논리 네트워크가 아닙니다. SLB는 주소 풀을 사용하고 테넌트 워크로드에 /32 네트워크를 할당합니다. 스위치 라우팅 테이블에서 이러한 /32 IP는 BGP를 통해 사용 가능한 경로로 보급됩니다. 이 네트워크에는 외부 액세스 가능 또는 공용 IP 주소가 포함되어 있습니다. Azure Stack Hub 인프라는 이 공용 VIP 네트워크에서 처음 31개의 주소를 예약하고 나머지는 테넌트 VM에서 사용됩니다. 이 서브넷의 네트워크 크기는 최소 /26(호스트 64개)에서 최대 /22(호스트 1022개)에 이르기까지 다양할 수 있습니다. /24 네트워크를 계획하는 것이 좋습니다.
온-프레미스 네트워크에 연결
Azure Stack Hub는 가상 머신, 부하 분산 장치 등과 같은 고객 리소스에 가상 네트워크를 사용합니다.
가상 네트워크 내의 리소스에서 온-프레미스/회사 리소스로 연결하는 여러 가지 옵션이 있습니다.
- 공용 VIP 네트워크의 공용 IP 주소를 사용합니다.
- Virtual Network 게이트웨이 또는 NVA(네트워크 가상 어플라이언스)를 사용합니다.
S2S VPN 터널을 사용하여 온-프레미스 네트워크 간에 리소스를 연결하는 경우 리소스에 공용 IP 주소도 할당되어 해당 공용 IP 주소를 통해 더 이상 연결할 수 없는 시나리오가 발생할 수 있습니다. 원본이 로컬 네트워크 게이트웨이 경로(Virtual Network Gateway) 또는 NVA 솔루션에 대한 사용자 정의 경로에 정의된 동일한 서브넷 범위 내에 있는 공용 IP에 액세스하려고 하면 Azure Stack Hub는 구성된 라우팅 규칙에 따라 S2S 터널을 통해 트래픽 아웃바운드를 원본으로 다시 라우팅하려고 시도합니다. 반환 트래픽은 공용 IP 주소로 소스 NAT되지 않고, VM의 개인 IP 주소를 사용합니다.
라우팅 트래픽 
이 문제에 대한 두 가지 해결 방법이 있습니다.
- 공용 VIP 네트워크로 전송되는 트래픽을 인터넷으로 라우팅합니다.
- 로컬 네트워크 게이트웨이에 정의된 서브넷 IP를 공용 VIP 네트워크로 전송하기 위해 NAT 디바이스를 추가합니다.
인프라 네트워크 전환
이 /26 네트워크는 라우팅 가능한 지점 간 IP /30(두 호스트 IP) 서브넷과 루프백을 포함하는 서브넷으로, 대역 내 스위치 관리 및 BGP 라우터 ID를 위한 전용 /32 서브넷입니다. 이 IP 주소 범위는 Azure Stack Hub 솔루션 외부에서 데이터 센터로 라우팅할 수 있어야 합니다. 개인 또는 공용 IP일 수 있습니다.
네트워크 스위치 관리
이 /29(6개의 호스트 IP) 네트워크는 스위치의 관리 포트 연결 전용입니다. 배포, 관리 및 문제 해결을 위해 대역 외 액세스를 허용합니다. 앞에서 언급한 스위치 인프라 네트워크에서 계산됩니다.
허용된 네트워크
배포 워크시트에는 운영자가 신뢰할 수 있는 데이터 센터 네트워크 범위에서 네트워크 디바이스 관리 인터페이스 및 HLH(하드웨어 수명 주기 호스트)에 대한 액세스를 허용하도록 일부 액세스 제어 목록을 변경할 수 있는 필드가 있습니다. 액세스 제어 목록이 변경되면 운영자는 특정 네트워크 범위 내의 관리 jumpbox VM이 스위치 관리 인터페이스 및 HLH OS에 액세스하도록 허용할 수 있습니다. 연산자는 이 목록에 하나 이상의 서브넷을 제공할 수 있습니다. 비워 두면 기본적으로 액세스를 거부합니다. 이 새로운 기능은 Azure Stack Hub 스위치 구성특정 설정 수정에 설명된 대로 배포 후 수동 개입의 필요성을 대체합니다.
다음 단계
- 가상 네트워크 트래픽 라우팅
- 네트워크 계획에 대해 알아보기: Border 연결