디자인 3단계: 인바운드 인터넷 연결
이 디자인 단계에서 선택하는 사항은 공용 IP 주소를 통해 연결할 수 있어야 하는 Azure VMware Solution에서 실행되는 애플리케이션의 요구 사항에 따라 결정됩니다. 거의 변함없이 인터넷 연결 애플리케이션은 보안(차세대 방화벽, 웹 애플리케이션 방화벽) 및 부하 분산(계층 3 또는 계층 4 부하 분산 장치, 애플리케이션 배달 컨트롤러)을 제공하는 네트워크 디바이스를 통해 게시됩니다. 프라이빗 클라우드 자체 또는 프라이빗 클라우드에 연결된 Azure 가상 네트워크에 이러한 디바이스를 배포할 수 있습니다. 선택은 다음과 같은 고려 사항에 따라 달라집니다.
- 비용 최적화 및 일관성을 위해 Azure 가상 네트워크(예: 방화벽 및 애플리케이션 배달 컨트롤러)에 배포된 기존 NVA를 사용하여 프라이빗 클라우드에서 실행되는 애플리케이션을 게시할 수 있습니다.
- Azure Firewall(고객 관리형 가상 네트워크에 배포된 경우 및 Azure Virtual WAN 허브에 배포될 때 모두) 및 Azure 애플리케이션 Gateway와 같은 인터넷 연결 애플리케이션을 게시하는 데 사용할 수 있는 Azure PaaS 서비스는 관리 오버헤드를 줄이는 데 도움이 될 수 있습니다.
- 공급업체에서 지원하는 경우 Azure VMware Solution에서 방화벽 및 애플리케이션 배달 컨트롤러를 가상 어플라이언스 배포할 수 있습니다.
다음 순서도는 이 단계에 접근하는 방법을 요약합니다.
Azure 가상 네트워크에서 호스트되는 NVA
Azure 서비스(Azure Firewall, Application Gateway) 또는 가상 네트워크에서 호스트되는 타사 NVA를 통해 Azure VMware Solution 애플리케이션을 게시하려면 가상 네트워크와 Azure VMware Solution 프라이빗 클라우드 간의 계층 3 연결만 필요합니다. 자세한 내용은 디자인 2단계: Azure 가상 네트워크를 사용한 커넥트ivity를 참조하세요.
다음 섹션에서는 각 옵션에 대한 지침을 제공합니다.
Azure Firewall에 대한 고려 사항
Azure Firewall 은 Microsoft 계층 3 또는 계층 4 디바이스를 통해 일반 TCP 또는 UDP 엔드포인트를 노출하기 위한 기본 옵션입니다. Azure Firewall을 통해 Azure VMware Solution 애플리케이션을 게시하려면 방화벽의 공용 IP 중 하나를 Azure VMware Solution 애플리케이션 엔드포인트의 개인 IP에 매핑하는 DNAT(대상 네트워크 주소 변환) 규칙을 구성해야 합니다. Azure Firewall은 자동으로 SNAT(원본 네트워크 주소 변환)를 사용하여 인터넷에서 인바운드된 IP 주소를 자체 개인 IP 주소로 변환합니다. 결과적으로 Azure VMware Solution VM(가상 머신)은 원본 IP 주소가 방화벽의 IP인 트래픽을 수신합니다. 자세한 내용은 Azure Portal을 사용하여 Azure Firewall DNAT를 사용하여 인바운드 인터넷 트래픽 필터링을 참조하세요.
Azure 애플리케이션 게이트웨이에 대한 고려 사항
Application Gateway 는 Azure VMware Solution에서 실행되는 HTTP(S) 애플리케이션을 노출하기 위한 기본 옵션입니다. 이 Microsoft HTTP 역방향 프록시는 다음을 제공합니다.
- HTTP 요청 라우팅.
- WAF(웹 애플리케이션 방화벽) 기능
Application Gateway를 사용하는 경우 Azure VMware Solution 프라이빗 클라우드에서 실행되는 애플리케이션 서버는 원본 IP 주소가 애플리케이션 게이트웨이의 IP인 트래픽을 수신합니다. 애플리케이션 논리에서 해당 정보에 액세스해야 하는 경우 클라이언트의 IP 주소는 HTTP 요청(일반적으로 사용자 지정 x-forwarded-for 헤더)으로 수행할 수 있습니다. 자세한 내용은 Application Gateway를 통해 Azure VMware Solution 애플리케이션을 게시하는 방법에 대한 이 문서를 참조 하세요.
참고 항목
Application Gateway는 현재 Azure VMware Solution VM에서 실행되는 웹앱을 노출하는 데 사용할 수 있는 유일한 Microsoft 부하 분산 장치입니다. 이는 VM의 백 엔드 풀을 구성할 때 Azure VMware Solution에서 실행되는 VM의 개인 IP 주소를 직접 가리킬 수 있기 때문입니다.
타사 NVA에 대한 고려 사항
타사 NVA는 계층 3 또는 계층 4 방화벽 기능 또는 계층 7 역방향 프록시/WAF 기능을 제공할 수 있습니다. NVA 공급업체의 지침에 따라 Azure 가상 네트워크에 디바이스를 배포합니다. Azure에서 고가용성 NVA 클러스터를 만드는 방법에 대한 자세한 지침은 이 가이드의 범위를 벗어납니다. 다음 개략적인 고려 사항은 NVA 기술에 적용할 수 있을 만큼 일반적입니다.
- HA(고가용성)는 사용자의 책임입니다. NVA 클러스터에는 두 개 이상의 활성 NVA 인스턴스( N-활성 HA 모델)가 포함되어야 합니다. 수평 확장성을 방지하기 때문에 활성-수동 HA를 피해야 합니다.
- 표준 SKU Azure Load Balancer를 사용하여 모든 인바운드 인터넷 연결을 실행 중인 모든 인스턴스에 배포해야 합니다.
- DNAT를 사용하여 인바운드 인터넷 연결을 게시하려는 Azure VMware Solution 애플리케이션의 개인 IP로 변환하도록 계층 3 및 계층 4 NVA를 구성해야 합니다.
- 흐름 대칭을 유지하려면 SNAT를 사용하여 인바운드 인터넷 연결을 송신 인터페이스의 개인 IP 주소로 변환하도록 계층 3 및 계층 4 NVA를 구성해야 합니다.
- 계층 7 NVA는 역방향 프록시 역할을 하며 기본 각 인바운드 클라이언트 연결에 대해 두 개의 고유한 TCP 세션(클라이언트와 NVA 간 및 NVA와 업스트림 애플리케이션 서버 간)을 연결합니다. 후자의 세션은 NVA 송신 인터페이스의 개인 IP 주소에서 시작됩니다. HTTP(S) 애플리케이션을 사용하면 계층 7 NVA가 클라이언트의 공용 IP 주소를 HTTP 요청 헤더의 애플리케이션 서버에 전달할 수 있습니다.
Azure VMware Solution에서 호스트되는 NVA(NSX-T Data Center Edge의 공용 IP)
Azure VMware Solution에 배포된 타사 NVA를 통해 Azure VMware Solution 애플리케이션을 게시하려면 프라이빗 클라우드용 NSX-T Data Center Edge에서 공용 IP를 사용하도록 설정해야 합니다. 이 기능은 Azure 공용 IP 접두사에서 Azure 공용 IP를 프라이빗 클라우드와 연결하고 해당 IP를 대상으로 하는 인터넷 트래픽을 프라이빗 클라우드의 NSX-T T0 또는 T1 게이트웨이로 라우팅하도록 Microsoft 백본을 구성합니다. 그런 다음, DNAT를 사용하여 인바운드 연결을 NSX-T 세그먼트에 연결된 NVA의 개인 IP로 변환하도록 T1 게이트웨이를 구성할 수 있습니다. NSX-T Data Center Edge에서 공용 IP를 구성하고 인바운드 인터넷 연결에 대한 DNAT 규칙을 구성하는 방법에 대한 지침은 NSX-T 데이터 센터 에지에서 공용 IP 사용을 참조 하세요. NSX-T Data Center Edge에서 공용 IP와 함께 Azure VMware Solution을 사용하는 경우 다음 고려 사항이 적용됩니다.
- T0 게이트웨이가 아닌 T1 게이트웨이에서 NAT를 수행합니다. Azure VMware Solution 프라이빗 클라우드에서 T0 게이트웨이는 활성-활성 디바이스 쌍이므로 상태 저장 NAT 세션을 처리할 수 없습니다.
- 공용 IP를 Azure 공용 IP 접두사에 연결해야 합니다. 사용자 지정 IP 주소 접두사(BYOIP)의 IP 사용은 현재 지원되지 않습니다.
- Azure VMware Solution 프라이빗 클라우드가 NSX-T Data Center Edge의 공용 IP로 구성된 경우 T0/T1 게이트웨이에 기본 경로가 설치됩니다. Microsoft 백본의 가장자리를 통해 아웃바운드 인터넷 연결을 라우팅합니다. 따라서 인바운드 인터넷 연결을 위해 NSX-T Data Center Edge에서 공용 IP를 사용하면 아웃바운드 연결에 대한 구현 옵션도 결정되며 이 가이드의 다음 문서에서 설명합니다.
다음 단계
아웃바운드 인터넷 연결에 대해 알아봅니다.