Azure VMware Solution에 대한 예제 아키텍처
Azure VMware Solution 랜딩 존을 설정하는 경우 먼저 네트워킹 기능을 디자인하고 구현해야 합니다. Azure 네트워킹 제품 및 서비스는 여러 네트워킹 시나리오를 지원합니다. 이 문서에서는 가장 일반적인 네 가지 네트워킹 시나리오를 설명합니다.
- 시나리오 1: 라우팅 의도가 있는 보안 Virtual WAN 허브
- 시나리오 2: Azure Virtual Network의 NVA(네트워크 가상 어플라이언스)가 모든 네트워크 트래픽을 검사하는
- 시나리오 3: Azure VMware Solution에서 아웃바운드 트래픽, NSX-T 또는 NVA를 사용하거나 사용하지 않는 경우
- 시나리오 4: Azure Route Server가 있는 허브 가상 네트워크에서 비 Microsoft 방화벽 솔루션
적절한 아키텍처를 선택하고 서비스를 구성하도록 계획하려면 조직의 워크로드, 거버넌스 및 요구 사항을 평가합니다.
시나리오 고려 사항
Azure VMware Solution 배포 시나리오를 선택하기 전에 다음 고려 사항 및 주요 요구 사항을 검토합니다.
Azure VMware Solution 애플리케이션에 진입하는 인터넷 트래픽에 대한 요구 사항
Azure VMware Solution 애플리케이션을 종료하는 인터넷 트래픽에 대한 경로 고려 사항
마이그레이션을 위한 네트워크 L2 확장
현재 아키텍처의 NVA 사용량
표준 허브 가상 네트워크 또는 Azure Virtual WAN 허브에 대한 Azure VMware Solution 연결
온-프레미스 데이터 센터에서 Azure VMware Solution으로의 Azure ExpressRoute 연결
ExpressRoute Global Reach의 사용
트래픽 검사 요구 사항:
- Azure VMware Solution 애플리케이션에 대한 인터넷 액세스
- 인터넷에 대한 Azure VMware Solution 액세스
- 온-프레미스 데이터 센터에 대한 Azure VMware Solution 액세스
- Virtual Network에 대한 Azure VMware Solution 액세스
- Azure VMware Solution 프라이빗 클라우드 내의 트래픽
다음 표에서는 각 시나리오에 대한 Azure VMware Solution 트래픽 검사 요구 사항을 기반으로 하는 권장 사항 및 고려 사항을 설명합니다.
| 시나리오 | 교통 검사 요구 사항 | 권장 솔루션 디자인 | 고려 사항 |
|---|---|---|---|
| 1 | - 인터넷에서 - 인터넷으로 |
기본 게이트웨이 전파를 설정한 가상 WAN 보안 허브를 사용합니다. HTTP 또는 HTTPS 트래픽에 Azure Application Gateway를 사용합니다. 비 HTTP 또는 HTTPS 트래픽에 Azure Firewall을 사용합니다. 라우팅 의도가 있는 보안 Virtual WAN 허브를 배포합니다. |
이 옵션은 Virtual WAN 허브를 우회하기 때문에 온-프레미스 필터링에 효과적이지 않은 Global Reach를 사용합니다. |
| 2 | - 인터넷에서 - 인터넷으로 - 온-프레미스 데이터 센터로 - 가상 네트워크로 |
경로 서버가 있는 허브 가상 네트워크에서 비 Microsoft 방화벽 NVA 솔루션을 사용합니다. Global Reach를 사용하지 마세요. HTTP 또는 HTTPS 트래픽에 Application Gateway를 사용합니다. 비 HTTP 또는 HTTPS 트래픽에 대해 Azure에서 비 Microsoft 방화벽 NVA를 사용합니다. |
기존 NVA를 사용하고 허브 가상 네트워크의 모든 트래픽 검사를 중앙 집중화하려면 이 옵션을 선택합니다. |
| 3 | - 인터넷에서 - 인터넷으로 - 온-프레미스 데이터 센터로 - 가상 네트워크로 - Azure VMware Solution 내에서 |
Azure VMware Solution에서 NSX-T 데이터 센터 또는 비 Microsoft NVA 방화벽을 사용합니다. HTTPS 트래픽에 Application Gateway를 사용합니다. 비 HTTPS 트래픽에 Azure Firewall을 사용합니다. 보안 Virtual WAN 허브를 배포하고 Azure VMware Solution에서 공용 IP 주소를 사용하도록 설정합니다. |
둘 이상의 Azure VMware Solution 프라이빗 클라우드에서 트래픽을 검사해야 하는 경우 이 옵션을 선택합니다. NSX-T 네이티브 기능을 활용하려면 이 옵션을 사용합니다. 이 옵션을 Azure VMware Solution에서 실행되는 NVA와 결합할 수도 있습니다. |
| 4 | - 인터넷에서 - 인터넷으로 - 온-프레미스 데이터 센터로 - 가상 네트워크로 |
Route Server가 있는 허브 가상 네트워크에서 비 Microsoft 방화벽 솔루션을 사용합니다. HTTP 또는 HTTPS 트래픽에 Application Gateway를 사용합니다. 비 HTTP 또는 HTTPS 트래픽에 대해 Azure에서 비 Microsoft 방화벽 NVA를 사용합니다. 온-프레미스 비 Microsoft 방화벽 NVA를 사용합니다. Route Server가 있는 허브 가상 네트워크에 비 Microsoft 방화벽 솔루션을 배포합니다. |
Azure 허브 가상 네트워크의 NVA에서 Azure VMware Solution으로 0.0.0.0/0 경로를 알리려면 이 옵션을 선택합니다. |
네트워킹 시나리오에 대한 다음 주요 사항을 고려합니다.
모든 시나리오에는 Application Gateway 및 Azure Firewall을 통한 비슷한 유입 패턴이 있습니다.
Azure VMware Solution에서 L4~L7 부하 분산 장치 솔루션을 사용할 수 있습니다.
이러한 시나리오에 NSX-T 분산 방화벽을 사용할 수 있습니다.
다음 섹션에서는 Azure VMware Solution 프라이빗 클라우드의 아키텍처 패턴을 간략하게 설명합니다. 자세한 내용은 Azure VMware Solution 네트워킹 및 상호 연결 개념참조하세요.
시나리오 1: 라우팅 의도를 가진 보안 가상 WAN 허브
이 시나리오에는 다음과 같은 아키텍처 구성 요소 및 고려 사항이 포함됩니다.
이 시나리오를 사용하는 경우
다음과 같은 경우 이 시나리오를 사용합니다.
Azure VMware Solution과 온-프레미스 데이터 센터 간의 트래픽 검사는 필요하지 않습니다.
Azure VMware Solution 워크로드와 인터넷 간의 트래픽 검사가 필요합니다.
Azure VMware Solution 워크로드에 대한 공공 인그레스 트래픽을 보안해야 합니다.
또한 다음과 같은 다른 요인을 고려합니다.
이 시나리오에서는 공용 IP 주소를 소유할 수 있습니다. 자세한 내용은 사용자 지정 IP 주소 접두사참조하세요.
필요한 경우 공용 L4 또는 L7 인바운드 서비스를 추가할 수 있습니다.
온-프레미스 데이터 센터와 Azure 간에 ExpressRoute 연결이 있거나 아직 연결되지 않았을 수 있습니다.
개요
다음 다이어그램은 시나리오 1의 개략적인 개요를 제공합니다.
라우팅 의도가 있는 보안 Virtual WAN 허브가 있는 시나리오 1의 개요를 보여 주는 
이 아키텍처의 PowerPoint 파일 다운로드합니다.
구성 요소
이 시나리오는 다음 구성 요소로 구성됩니다.
방화벽용 보안 Virtual WAN 허브의 Azure Firewall
애플리케이션 게이트웨이: L7 부하 분산 및 Azure 웹 애플리케이션 방화벽용
Azure Firewall을 사용하여 네트워크 인바운드 트래픽을 변환하고 필터링하는 L4 DNAT(대상 네트워크 주소 변환)
Virtual WAN 허브에서 Azure Firewall을 통한 아웃바운드 인터넷
온-프레미스 데이터 센터와 Azure VMware Solution 간의 연결을 위한 EXR, VPN 또는 SD-WAN
라우팅 의도를 가진 보안 Virtual WAN 허브를 포함한 시나리오 1을 보여주는 다이어그램 
이 아키텍처의 Visio 파일 다운로드합니다.
고려 사항
보안 Virtual WAN 허브의 Azure Firewall은 Azure VMware Solution에 대한
0.0.0.0/0경로를 전파합니다. 이 경로는 Global Reach를 통해 현장에서도 광고됩니다. SD-WAN 또는 VPN을 사용하여 온-프레미스 경로 필터를 구현하여0.0.0.0/0경로 학습을 방지할 수 있습니다.0.0.0.0/0광고 메시지가 필요하지 않은 보안 Virtual WAN 허브에 연결된 VPN, ExpressRoute 또는 가상 네트워크 연결은 여전히 광고 메시지를 수신합니다. 이 작업을 방지하려면 다음 중 하나를 수행할 수 있습니다.온-프레미스 에지 디바이스를 사용하여
0.0.0.0/0경로를 필터링합니다.특정 연결에서
0.0.0.0/0전파를 사용하지 않도록 설정합니다.- ExpressRoute, VPN 또는 가상 네트워크 연결의 연결을 끊습니다.
-
0.0.0.0/0전파를 활성화합니다. - 해당 특정 연결에서
0.0.0.0/0전파를 사용하지 않도록 설정합니다. - 이러한 연결을 다시 연결합니다.
Virtual WAN 허브에 연결하는 스포크(Spoke) 가상 네트워크에서 Application Gateway를 호스트할 수 있습니다.
온-프레미스 트래픽을 Azure Firewall을 통해 검사할 수 있도록 Azure VMware Solution을 활성화합니다.
Azure VMware Solution이 Azure Firewall을 통해 온-프레미스 트래픽을 검사할 수 있도록 하려면 다음 단계를 수행합니다.
- Azure VMware Solution과 온-프레미스 간의 Global Reach 연결을 제거합니다.
- Microsoft 지원팀에 지원 사례를 열고, 프라이빗 라우팅 정책로 구성된 허브의 Azure Firewall 장치를 통해 ExpressRoute 간 전송 연결을 사용하도록
설정합니다.
시나리오 2: Virtual Network의 NVA가 모든 네트워크 트래픽을 검사합니다.
이 시나리오에는 다음과 같은 아키텍처 구성 요소 및 고려 사항이 포함됩니다.
이 시나리오를 사용하는 경우
다음과 같은 경우 이 시나리오를 사용합니다.
허브 가상 네트워크에서 타사 방화벽 NVA를 사용하여 모든 트래픽을 검사해야 하며, 지정학적 이유 또는 기타 이유로 Global Reach를 사용할 수 없습니다.
- 온-프레미스 데이터 센터와 Azure VMware Solution 간에 연결이 있습니다.
- Virtual Network와 Azure VMware Solution 간에 연결이 있습니다.
- Azure VMware Solution에서 인터넷에 액세스해야 합니다.
- Azure VMware Solution에 대한 인터넷 액세스가 필요합니다.
Azure VMware Solution 프라이빗 클라우드 외부에 있는 방화벽을 세밀하게 제어해야 합니다.
인바운드 서비스에는 여러 공용 IP 주소가 필요하며 Azure에서 미리 정의된 IP 주소 블록이 필요합니다. 이 시나리오에서는 공용 IP 주소를 소유하지 않습니다.
이 시나리오에서는 온-프레미스 데이터 센터와 Azure 간에 ExpressRoute 연결이 있다고 가정합니다.
개요
다음 다이어그램은 시나리오 2의 개략적인 개요를 제공합니다.
Microsoft가 아닌 NVA를 사용하여 허브 Virtual Network에서 모든 네트워크 트래픽을 검사하는 시나리오 2의 개요를 보여 주는 
이 아키텍처의 Visio 파일 다운로드합니다.
구성 요소
이 시나리오는 다음 구성 요소로 구성됩니다.
Microsoft가 아닌 방화벽 NVA가 가상 네트워크에서 호스트되어 트래픽 검사 및 기타 네트워킹 기능을 제공합니다.
경로 서버는 Azure VMware Solution, 온-프레미스 데이터 센터 및 가상 네트워크 간에 트래픽을 라우팅합니다.
Application Gateway는 HTTP 또는 HTTPS 트래픽에 대한 L7 부하 분산을 제공합니다.
이 시나리오에서는 ExpressRoute Global Reach를 사용하지 않도록 설정해야 합니다. 비마이크로소프트 NVA는 Azure VMware Solution에 대한 아웃바운드 인터넷 액세스를 제공합니다.
허브 Virtual Network에서 비 Microsoft의 NVA가 모든 네트워크 트래픽을 검사하는 시나리오 2를 보여 주는 
이 아키텍처의 Visio 파일 다운로드합니다.
고려 사항
Azure VMware Solution 트래픽이 MSEE(Microsoft Enterprise Edge) ExpressRoute 라우터 간에 직접 흐르므로 이 시나리오에 대해 ExpressRoute Global Reach를 구성하지 마세요. 트래픽은 허브 가상 네트워크를 건너뜁니다.
허브 가상 네트워크에 경로 서버를 배포합니다. 경로 서버는 전송 가상 네트워크의 NVA와 피어링된 BGP(Border Gateway Protocol)여야 합니다. 분기 간 연결을 허용하도록 Route Server를 구성합니다.
사용자 지정 경로 테이블 및 사용자 정의 경로를 사용하여 Azure VMware Solution과 타사 방화벽 NVA 부하 분산 장치 간에 양방향으로 트래픽을 라우팅합니다. 이 설정은 활성/활성 및 활성/대기를 포함한 모든 고가용성 모드를 지원하며 라우팅 대칭을 보장하는 데 중요한 역할을 합니다.
NVA에 대한 고가용성이 필요한 경우 NVA 공급업체 설명서를 참조하고 고가용성 NVA를배포할 있습니다.
시나리오 3: NSX-T 또는 NVA를 사용하거나 사용하지 않는 Azure VMware Solution의 아웃바운드 트래픽
이 시나리오에는 다음과 같은 아키텍처 구성 요소 및 고려 사항이 포함됩니다.
이 시나리오를 사용하는 경우
다음과 같은 경우 이 시나리오를 사용합니다.
네이티브 NSX-T Data Center 플랫폼을 사용하므로 Azure VMware Solution에 대한 PaaS(Platform as a Service) 배포가 필요합니다.
트래픽 검사를 위해 Azure VMware Solution 내에서 BYOL(사용자 라이선스 필요) NVA가 필요합니다.
인바운드 HTTP, HTTPS 또는 L4 서비스가 필요합니다.
온-프레미스 데이터 센터와 Azure 간에 ExpressRoute 연결이 있거나 아직 연결되지 않았을 수 있습니다. Azure VMware Solution에서 Virtual Network로, Azure VMware Solution에서 인터넷으로, Azure VMware Solution에서 온-프레미스 데이터 센터로의 모든 트래픽은 NSX-T Data Center 계층-0 또는 계층 1 게이트웨이 또는 NVA를 통해 유입됩니다.
개요
다음 다이어그램에서는 시나리오 3에 대한 개략적인 개요를 제공합니다.
이 아키텍처의 Visio 파일 다운로드합니다.
구성 요소
이 시나리오는 다음 구성 요소로 구성됩니다.
- Azure VMware Solution의 계층 1 뒤에 있는 NSX 분산 방화벽 또는 NVA입니다.
- Application Gateway는 L7 부하 분산을 제공합니다.
- Azure Firewall을 통한 L4 DNAT.
- Azure VMware Solution에서 인터넷 중단.
Azure VMware Solution의 송신 경로를 포함한 시나리오 3을 보여주는 
이 아키텍처의 Visio 파일 다운로드합니다.
고려 사항
Azure Portal에서 인터넷 액세스를 사용하도록 설정합니다. 이 시나리오에서는 아웃바운드 IP 주소가 변경되고 결정적이지 않습니다. 공용 IP 주소는 NVA 외부에 있습니다. Azure VMware Solution의 NVA는 여전히 개인 IP 주소를 가지고 있으며 아웃바운드 공용 IP 주소를 결정하지 않습니다.
NVA는 BYOL입니다. 즉, 라이선스를 가져오고 NVA에 대한 고가용성을 구현합니다.
NVA 배치 옵션 및 가상 머신에서 8개의 가상 네트워크 인터페이스 카드의 VMware 제한에 대한 정보는 VMware 설명서를 참조하세요. 자세한 내용은 Azure VMware Solution
방화벽 통합을 참조하세요.
시나리오 4: 경로 서버가 있는 허브 가상 네트워크의 비 Microsoft 방화벽 솔루션
이 시나리오에는 다음과 같은 아키텍처 구성 요소 및 고려 사항이 포함됩니다.
이 시나리오를 사용하는 경우
다음과 같은 경우 이 시나리오를 사용합니다.
Azure 가상 네트워크 허브에서 비 Microsoft NVA를 통해 Azure VMware Solution 인터넷 송신을 사용하도록 설정하려고 합니다. 또한 Azure VMware Solution과 Virtual Network 간의 트래픽을 검사하려고 합니다.
온-프레미스, 비 Microsoft NVA를 통해 온-프레미스 데이터 센터와 Azure 간의 트래픽을 검사하려고 합니다.
인바운드 서비스에는 여러 공용 IP 주소가 필요하며 Azure에서 미리 정의된 IP 주소 블록이 필요합니다. 이 시나리오에서는 공용 IP 주소를 소유하지 않습니다.
Azure VMware Solution 프라이빗 클라우드 외부의 방화벽을 세밀하게 제어해야 합니다.
개요
다음 다이어그램에서는 시나리오 4에 대한 개략적인 개요를 제공합니다.
허브 가상 네트워크에 Microsoft NVA가 아닌 시나리오 4의 개요를 보여 주는 
이 아키텍처의 Visio 파일 다운로드합니다.
구성 요소
이 시나리오는 다음 구성 요소로 구성됩니다.
비마이크로소프트 NVA는 방화벽 및 기타 네트워킹 기능을 수행하기 위해 가상 네트워크에서 호스팅되며, 활성/활성 또는 활성/대기 모드로 구성됩니다.
경로 서버은 Azure VMware Solution, 온-프레미스 데이터 센터 및 가상 네트워크 간에 경로를 교환합니다.
Azure 가상 네트워크 허브에서 비마이크로소프트 NVA를 사용하여 Azure VMware Solution에 아웃바운드 인터넷 연결을 제공합니다.
온-프레미스 데이터 센터와 Azure VMware Solution 간의 연결을 위한 ExpressRoute입니다.
허브 가상 네트워크에 Microsoft NVA가 아닌 시나리오 4를 보여 주는 
이 아키텍처의 Visio 파일 다운로드합니다.
고려 사항
이 시나리오에서는 아웃바운드 공용 IP 주소가 Azure 가상 네트워크의 NVA에 할당됩니다.
가상 네트워크 허브의 비마이크로소프트 NVA는 BGP 및 Equal-Cost ECMP(다중 경로) 라우팅을 통해 Route Service와의 피어링이 가능하도록 구성됩니다. 이 NVAs 는
0.0.0.0/0기본 경로를 Azure VMware Solution에 광고합니다.기본 경로
0.0.0.0/0는 Global Reach를 통해 온-프레미스로도 광고됩니다. 기본 경로0.0.0.0/0학습을 방지하기 위해 온-프레미스 경로 필터를 구현합니다.Azure VMware Solution과 온-프레미스 네트워크 간의 트래픽은 ExpressRoute Global Reach를 통해 흐릅니다. 자세한 내용은 Azure VMware Solution
피어 온-프레미스 환경을 참조하세요. Microsoft가 아닌 온-프레미스 NVA는 Azure 가상 네트워크 허브 내의 비 Microsoft NVA 대신 온-프레미스와 Azure VMware Solution 간의 트래픽을 검사합니다. 허브에 연결된 스포크 가상 네트워크나 허브 가상 네트워크에서 Application Gateway를 호스트할 수 있습니다.
다음 단계
Azure VMware Solution 사용하여 NSX 네트워크 구성 요소 구성
클라우드 채택 프레임워크 엔터프라이즈 규모 랜딩 존 아키텍처 원칙, 다양한 디자인 고려 사항 및 Azure VMware Solution에 대한 모범 사례를 알아보려면 이 시리즈의 다음 문서를 참조하세요.
Azure VMware Solution 대한
보안, 거버넌스 및 규정 준수