다음을 통해 공유


Azure 랜딩 존의 Azure Virtual Network Manager

이 문서에서는 Virtual Network Manager를 사용하여 대규모 애플리케이션 마이그레이션, 현대화 및 혁신을 수용하기 위해 Azure 랜딩 존 디자인 원칙을 구현하는 방법을 설명합니다. Azure 랜딩 존 개념 아키텍처는 Azure Virtual WAN을 기반으로 하는 네트워크 토폴로지 또는 기존 허브 및 스포크 아키텍처를 기반으로 하는 네트워크 토폴로지라는 두 가지 네트워킹 토폴로지 중 하나를 권장합니다.

가상 네트워크 관리자를 사용하여 온-프레미스 애플리케이션을 Azure로 마이그레이션하기 위해 하이브리드 연결이 필요한 경우와 같이 시간이 지남에 따라 비즈니스 요구 사항이 변경됨에 따라 네트워킹 변경을 확장하고 구현할 수 있습니다. 대부분의 경우 Azure에서 배포된 리소스를 방해하지 않고 네트워킹 변경 내용을 확장하고 구현할 수 있습니다.

Virtual Network Manager를 사용하여 기존 및 새 가상 네트워크 모두에 대한 구독에서 세 가지 유형의 토폴로 지 만들기를 수행할 수 있습니다.

  • 허브 및 스포크 토폴로지
  • 메시 토폴로지(미리 보기)
  • 스포크 간 직접 연결을 사용하는 허브 및 스포크 토폴로지

Azure 가상 네트워크 토폴로지 다이어그램

Virtual Network Manager는 프라이빗 미리 보기에서 Virtual WAN을 지원합니다.

Virtual Network Manager에서 직접 연결된 허브 및 스포크 토폴로지에는 서로 직접 연결하는 스포크가 있습니다. 연결된 그룹 기능을 자동으로 양방향으로 사용하면 동일한 네트워크 그룹의 스포크 가상 네트워크 간에 직접 연결할 수 있습니다. 연결된 두 그룹은 동일한 가상 네트워크를 가질 수 있습니다.

Virtual Network Manager를 사용하여 특정 네트워크 그룹에 가상 네트워크를 정적으로 또는 동적으로 추가할 수 있습니다. 특정 네트워크 그룹에 가상 네트워크를 추가하여 Virtual Network Manager의 연결 구성에 따라 원하는 토폴로지 정의 및 만듭니다.

여러 네트워크 그룹을 만들어 직접 연결에서 가상 네트워크 그룹을 격리할 수 있습니다. 각 네트워크 그룹은 스포크 간 연결에 대해 동일한 지역 및 다중 지역 지원을 제공합니다. Virtual Network 관리자 정의 한도 내에서 유지합니다. 자세한 내용은 Virtual Network Manager FAQ를 참조 하세요.

보안 관점에서 Virtual Network Manager는 NSG(네트워크 보안 그룹)의 정의된 규칙에 관계없이 트래픽 흐름을 중앙에서 거부하거나 허용하는 보안 관리자 규칙을 적용하는 효율적인 방법을 제공합니다. 이 기능을 사용하면 네트워크 보안 관리자가 액세스 제어를 적용하고 애플리케이션 소유자가 NSG에서 자체 하위 수준 규칙을 관리할 수 있습니다.

Virtual Network Manager를 사용하여 가상 네트워크를 그룹화할 수 있습니다. 그런 다음 개별 가상 네트워크가 아닌 그룹에 구성을 적용할 수 있습니다. 이 기능을 사용하여 세분화된 제어를 잃지 않고 하나 이상의 지역에 대한 연결, 구성 및 토폴로지, 보안 규칙 및 배포를 동시에 관리할 수 있습니다.

환경, 팀, 위치, 비즈니스 라인 또는 요구 사항에 맞는 기타 기능별로 네트워크를 분할할 수 있습니다. 네트워크 그룹을 정적 또는 동적으로 정의하려면 그룹 멤버 자격을 제어하는 조건 집합을 만듭니다.

디자인 고려 사항

  • 기존 허브 및 스포크 배포에서는 가상 네트워크 피어링 연결을 수동으로 만들고 기본. Virtual Network Manager는 가상 네트워크 피어링을 위한 자동화 계층을 도입하여 메시와 같은 크고 복잡한 네트워크 토폴로지에서 대규모로 쉽게 관리할 수 있도록 합니다. 자세한 내용은 네트워크 그룹 개요를 참조하세요.

  • 다양한 비즈니스 기능의 보안 요구 사항에 따라 네트워크 그룹을 만들어야 하는 필요성이 결정됩니다. 네트워크 그룹은 수동으로 또는 조건문을 통해 선택하는 가상 네트워크 집합입니다. 네트워크 그룹을 만들 때 정책을 지정해야 하거나, 명시적으로 허용하는 경우 Virtual Network Manager에서 정책을 만들 수 있습니다. 이 정책을 사용하면 Virtual Network Manager에 변경 내용에 대한 알림을 받을 수 있습니다. 기존 Azure 정책 이니셔티브를 업데이트하려면 Virtual Network Manager 리소스 내에서 네트워크 그룹에 변경 내용을 배포해야 합니다.

  • 적절한 네트워크 그룹을 디자인하려면 네트워크의 어느 부분이 일반적인 보안 특성을 공유하는지 평가해야 합니다. 예를 들어 회사 및 온라인용 네트워크 그룹을 만들어 연결 및 보안 규칙을 대규모로 관리할 수 있습니다.

  • 조직의 구독에서 여러 가상 네트워크가 동일한 보안 특성을 공유하는 경우 Virtual Network Manager를 사용하여 효율적으로 적용할 수 있습니다. 예를 들어 HR 또는 재무와 같은 사업부에서 사용하는 모든 시스템을 별도의 네트워크 그룹에 배치해야 합니다. 다른 관리 규칙을 적용해야 하기 때문입니다.

  • Virtual Network Manager는 서브넷 수준에서 적용되는 NSG 규칙보다 우선 순위가 높은 보안 관리자 규칙을 중앙에서 적용할 수 있습니다. (이 기능은 미리 보기로 제공됩니다.) 이 기능을 사용하면 네트워크 및 보안 팀이 회사 정책을 효과적으로 적용하고 대규모 보안 보호책을 만들 수 있습니다. 또한 제품 팀이 랜딩 존 구독 내에서 NSG 제어를 동시에 기본 수 있습니다.

  • Virtual Network Manager 보안 관리자 규칙 기능을 사용하여 서브넷 또는 네트워크 인터페이스 수준에서 NSG 구성에 관계없이 특정 네트워크 흐름을 명시적으로 허용하거나 거부할 수 있습니다. 예를 들어 이 기능을 사용하여 관리 서비스 네트워크 흐름을 항상 허용할 수 있습니다. 애플리케이션 팀에서 제어하는 NSG는 이러한 규칙을 재정의할 수 없습니다.

디자인 권장 사항

  • Virtual Network Manager의 범위를 정의합니다. 루트 관리 그룹 또는 테넌트에서 조직 수준 규칙을 적용하는 보안 관리자 규칙을 적용합니다. 이 전략은 기존 리소스, 새 리소스 및 모든 연결된 관리 그룹에 자동으로 규칙을 계층적으로 적용합니다.

  • Contoso와 같은 중간 루트 관리 그룹의 범위를 사용하여 커넥트ivity 구독에 Virtual Network Manager 인스턴스를 만듭니다. 이 인스턴스에서 보안 관리자 기능을 사용하도록 설정합니다. 이 구성을 사용하면 Azure 랜딩 존 계층 구조의 모든 가상 네트워크 및 서브넷에 적용되는 보안 관리자 규칙을 정의할 수 있으며 애플리케이션 랜딩 존 소유자 및 팀에 NSG를 민주화할 수 있습니다.

  • 수동 프로세스인 가상 네트워크를 정적으로 그룹화하거나 정책 기반 프로세스인 동적으로 네트워크를 분할합니다.

  • 선택한 스포크에서 짧은 대기 시간과 높은 처리량으로 자주 통신해야 하고, 서로 통신해야 하고, 스포크에서 허브의 공통 서비스 또는 NVA(네트워크 가상 어플라이언스)에 액세스해야 하는 경우 스포크 간에 직접 연결을 사용하도록 설정합니다.

  • 지역 간 모든 가상 네트워크가 서로 통신해야 하는 경우 전역 메시를 사용하도록 설정합니다.

  • 규칙 컬렉션의 각 보안 관리자 규칙에 우선 순위 값을 할당합니다. 값이 낮을수록 규칙의 우선 순위가 높습니다.

  • 보안 관리자 규칙을 사용하여 애플리케이션 팀이 제어하는 NSG 구성에 관계없이 네트워크 흐름을 명시적으로 허용하거나 거부합니다. 보안 관리자 규칙을 사용하여 NSG 및 해당 규칙의 제어를 애플리케이션 팀에 완전히 위임합니다.

다음 단계