Azure VMware Solution에 대한 네트워크 토폴로지 및 연결

Azure 클라우드 에코시스템에서 VMware SDDC(소프트웨어 정의 데이터 센터)를 사용하는 경우 클라우드 네이티브 및 하이브리드 시나리오 모두에 따라야 하는 고유한 디자인 고려 사항 집합이 있습니다. 이 문서에서는 Azure 및 Azure VMware Solution 배포에 대한 네트워킹 및 연결에 대한 주요 고려 사항 및 모범 사례를 제공합니다.

이 문서는 네트워크 토폴로지 및 대규모 연결을 관리하기 위한 몇 가지 클라우드 채택 프레임워크 엔터프라이즈 규모 랜딩 존 아키텍처 원칙 및 권장 사항을 기반으로 합니다. 중요 업무용 Azure VMware Solution 플랫폼에 대해 이 Azure 랜딩 존 디자인 영역 지침을 사용할 수 있습니다. 디자인 영역에는 다음이 포함됩니다.

• 온-프레미스, 다중 클라우드, 에지 및 글로벌 사용자 간의 연결을 위한 하이브리드 통합입니다. 자세한 내용은 하이브리드 및 다중 클라우드에 대한 엔터프라이즈 규모 지원을 참조하세요.
• 워크로드 확장성과 일관되고 짧은 대기 시간 환경을 위한 대규모 성능 및 안정성. 후속 문서에서는 이중 지역 배포에 대해 설명합니다.
• 네트워크 경계 및 트래픽 흐름 보안에 대한 제로 트러스트 기반 네트워크 보안입니다. 자세한 내용은 Azure의 네트워크 보안 전략을 참조하세요.
• 디자인 재작업 없이도 네트워크 공간을 쉽게 확장할 수 있는 확장성

일반적인 디자인 고려 사항 및 권장 사항

다음 섹션에서는 Azure VMware Solution 네트워크 토폴로지 및 연결에 대한 일반적인 디자인 고려 사항 및 권장 사항을 제공합니다.

허브-스포크 및 Virtual WAN 네트워크 토폴로지

온-프레미스에서 Azure로 ExpressRoute 연결이 없고 대신 S2S VPN을 사용하는 경우 Virtual WAN을 사용하여 온-프레미스 VPN과 Azure VMware Solution ExpressRoute 간의 연결을 전송할 수 있습니다. 허브-스포크 토폴로지를 사용하는 경우 Azure Route Server가 필요합니다. 자세한 내용은 ExpressRoute 및 Azure VPN에 대한 Azure Route Server 지원을 참조하세요.

프라이빗 클라우드 및 클러스터

• 모든 클러스터는 모두 동일한 /22 주소 공간을 공유하기 때문에 Azure VMware Solution 프라이빗 클라우드 내에서 통신할 수 있습니다.

• 모든 클러스터는 인터넷, ExpressRoute, HCX, 공용 IP 및 ExpressRoute Global Reach를 비롯한 동일한 연결 설정을 공유합니다. 또한 애플리케이션 워크로드는 네트워크 세그먼트, DHCP(동적 호스트 구성 프로토콜) 및 DNS(도메인 이름 시스템) 설정과 같은 몇 가지 기본 네트워킹 설정을 공유할 수 있습니다.

• 배포 전에 프라이빗 클라우드 및 클러스터를 미리 디자인합니다. 필요한 프라이빗 클라우드의 수는 네트워킹 요구 사항에 직접적인 영향을 줍니다. 각 프라이빗 클라우드에는 VM 워크로드에 대한 프라이빗 클라우드 관리 및 IP 주소 세그먼트를 위한 고유한 /22 주소 공간이 필요합니다. 이러한 주소 공간을 미리 정의하는 것이 좋습니다.

• 워크로드를 위해 프라이빗 클라우드, 클러스터 및 네트워크 세그먼트를 분할하고 배포하는 방법을 VMware 및 네트워킹 팀과 논의합니다. 잘 계획하고 IP 주소 낭비를 방지합니다.

프라이빗 클라우드의 IP 주소 관리에 대한 자세한 내용은 프라이빗 클라우드 관리를 위한 IP 주소 세그먼트 정의를 참조하세요.

VM 워크로드의 IP 주소 관리에 대한 자세한 내용은 VM 워크로드 에 대한 IP 주소 세그먼트 정의를 참조하세요.

DNS 및 DHCP

DHCP의 경우 NSX-T 데이터 센터에 기본 제공되는 DHCP 서비스를 사용하거나 프라이빗 클라우드에서 로컬 DHCP 서버를 사용합니다. WAN을 통해 브로드캐스트 DHCP 트래픽을 온-프레미스 네트워크로 다시 라우팅하지 마세요.

DNS의 경우 채택하는 시나리오 및 요구 사항에 따라 다음과 같은 여러 옵션이 있습니다.

• Azure VMware Solution 환경의 경우에만 Azure VMware Solution 프라이빗 클라우드에 새 DNS 인프라를 배포할 수 있습니다.
• 온-프레미스 환경에 연결된 Azure VMware Solution의 경우 기존 DNS 인프라를 사용할 수 있습니다. 필요한 경우 DNS 전달자를 배포하여 Azure Virtual Network로 확장하거나, 바람직하게는 Azure VMware Solution으로 확장합니다. 자세한 내용은 DNS 전달자 서비스 추가를 참조하세요.
• 온-프레미스 및 Azure 환경 및 서비스 모두에 연결된 Azure VMware Solution의 경우 사용 가능한 경우 허브 가상 네트워크에서 기존 DNS 서버 또는 DNS 전달자를 사용할 수 있습니다. 기존 온-프레미스 DNS 인프라를 Azure 허브 가상 네트워크로 확장할 수도 있습니다. 자세한 내용은 엔터프라이즈 규모 랜딩 존 다이어그램을 참조하세요.

자세한 내용은 다음 문서를 참조하세요.

• DHCP 및 DNS 확인 고려 사항
• Azure VMware Solution에 대한 DHCP 구성
• L2 확장 VMware HCX 네트워크에서 DHCP 구성
• Azure Portal에서 DNS 전달자 구성

인터넷

인터넷을 사용하도록 설정하고 트래픽을 필터링하고 검사하기 위한 아웃바운드 옵션은 다음과 같습니다.

• Azure 인터넷 액세스를 사용하는 Azure Virtual Network, NVA 및 Azure Route Server.
• 온-프레미스 인터넷 액세스를 사용하는 온-프레미스 기본 경로입니다.
• Azure 인터넷 액세스를 사용하여 Azure Firewall 또는 NVA를 사용하는 Virtual WAN 보안 허브.

콘텐츠 및 애플리케이션을 배달하기 위한 인바운드 옵션은 다음과 같습니다.

• L7, SSL(Secure Sockets Layer) 종료 및 웹 애플리케이션 방화벽을 사용하는 Azure Application Gateway.
• 온-프레미스의 DNAT 및 부하 분산 장치.
• 다양한 시나리오에서 Azure Virtual Network, NVA 및 Azure Route Server.
• Azure Firewall 및 L4 및 DNAT로 보안된 가상 WAN 허브
• NVA를 사용하여 다양한 시나리오에서 보안을 강화한 Virtual WAN 허브.

ExpressRoute

Azure VMware Solution 기본 제공 프라이빗 클라우드 배포는 무료 10Gbps ExpressRoute 회로를 자동으로 만듭니다. 이 회로는 Azure VMware Solution을 D-MSEE에 연결합니다.

고객 데이터 센터 근처의 Azure 페어 지역에 Azure VMware Solution을 배포하는 것이 좋습니다. Azure VMware Solution에 대한 이중 지역 네트워크 토폴로지의 권장 사항은 이 문서를 검토하세요.

Global Reach

• Global Reach는 온-프레미스 데이터 센터, Azure Virtual Network 및 Virtual WAN과 통신하기 위해 Azure VMware Solution에 필요한 ExpressRoute 추가 기능입니다. 대안은 Azure Route Server를 사용하여 네트워크 연결을 설계하는 것입니다.

• Global Reach를 사용하여 Azure VMware Solution ExpressRoute 회로를 다른 ExpressRoute 회로와 무료로 피어할 수 있습니다.

• ISP를 통해 ExpressRoute 회로 및 ExpressRoute Direct 회로를 피어링하는 데 Global Reach를 사용할 수 있습니다.

• ExpressRoute 로컬 회로에는 Global Reach가 지원되지 않습니다. ExpressRoute Local의 경우 Azure 가상 네트워크의 타사 NVA를 통해 Azure VMware Solution에서 온-프레미스 데이터 센터로 전송합니다.

• Global Reach는 모든 위치에서 사용할 수 없습니다.

대역폭

Azure VMware Solution과 Azure Virtual Network 간에 최적의 대역폭을 위해 적절한 가상 네트워크 게이트웨이 SKU 를 선택합니다. Azure VMware Solution은 한 지역의 ExpressRoute 게이트웨이에 최대 4개의 ExpressRoute 회로 를 지원합니다.

네트워크 보안

네트워크 보안에는 트래픽 검사 및 포트 미러링이 포함됩니다.

SDDC 내 의East-West 트래픽 검사는 NSX-T Data Center 또는 NVA를 사용하여 지역 간 Azure Virtual Network에 대한 트래픽을 검사합니다.

North-South 트래픽 검사는 Azure VMware Solution과 데이터 센터 간의 양방향 트래픽 흐름을 검사합니다. 남북 교통 검사는 다음을 사용할 수 있습니다.

• Azure 인터넷을 통해 타사 방화벽 NVA 및 Azure 라우트 서버를 사용하십시오.
• 온프레미스 인터넷을 통한 온프레미스 기본 라우트입니다.
• Azure Firewall 및 Virtual WAN (가상 WAN) Azure 인터넷을 통해
• SDDC 내에서 Azure VMware Solution 인터넷을 통해 NSX-T 데이터 센터.
• Azure VMware Solution의 SDDC 내에서 작동하는 타사 방화벽 NVA, Azure VMware Solution의 인터넷을 통해 운영됩니다.

포트 및 프로토콜 요구 사항

모든 Azure VMware Solution 프라이빗 클라우드 구성 요소에 대한 적절한 액세스를 보장하도록 온-프레미스 방화벽에 필요한 모든 포트를 구성합니다. 자세한 내용은 필수 네트워크 포트를 참조하세요.

Azure VMware Solution 관리 액세스

• 배포하는 동안 Azure Virtual Network에서 Azure Bastion 호스트를 사용하여 Azure VMware Solution 환경에 액세스하는 것이 좋습니다.

• 온-프레미스 환경으로 라우팅을 설정하면 Azure VMware Solution 관리 네트워크는 온-프레미스 네트워크의 경로를 인정하지 않으므로 온-프레미스 네트워크에 대한 보다 구체적인 경로를 알려야 합니다.

BCDR(비즈니스 연속성, 재해 복구) 및 마이그레이션

• VMware HCX 마이그레이션에서 기본 게이트웨이는 온-프레미스로 유지됩니다. 자세한 내용은 VMware HCX 배포 및 구성을 참조하세요.

• VMware HCX 마이그레이션은 HCX L2 확장을 사용할 수 있습니다. 계층 2 확장이 필요한 마이그레이션에는 ExpressRoute도 필요합니다. 네트워크 언더레이 최소 요구 사항이 충족되는 경우 S2S VPN이 지원됩니다. HCX의 오버헤드를 수용하려면 MTU(최대 전송 단위) 크기가 1350이어야 합니다. 계층 2 확장 디자인에 대한 자세한 내용은 관리자 모드의 계층 2 브리징(VMware.com)을 참조하세요.

다음 단계

• 허브 및 스포크 네트워크에서 Azure VMware Solution에 대한 자세한 내용은 허브 및 스포크 아키텍처에서 Azure VMware Solution 통합을 참조하세요.

• VMware NSX-T Data Center 네트워크 세그먼트에 대한 자세한 내용은 Azure VMware Solution사용하여 NSX-T Data Center 네트워크 구성 요소 구성을 참조하세요.

• 클라우드 채택 프레임워크 엔터프라이즈 규모 랜딩 존 아키텍처 원칙, 다양한 디자인 고려 사항 및 Azure VMware Solution에 대한 모범 사례를 알아보려면 이 시리즈의 다음 문서를 참조하세요.

  단일 지역 허브 및 스포크 토폴로지