디자인 4단계: 아웃바운드 인터넷 연결
이 디자인 단계에서 선택하는 내용은 Azure VMware Solution에 배포된 애플리케이션의 아웃바운드 인터넷 연결 요구 사항에 따라 결정됩니다. 기본 인터넷 액세스는 프라이빗 클라우드에서 호스트되는 가상 머신이 소프트웨어 업데이트를 다운로드할 수 있도록 하기에 충분할 수 있습니다. 타사 API에 대한 액세스가 권한 있는 IP 주소에서만 허용되는 B2B 협업 시나리오에서는 NAT 풀에 대한 세부적인 제어가 필요할 수 있습니다. VDI(Virtual Desktop Infrastructure) 시나리오에서 지원되어야 하는 인터넷 검색 세션의 볼륨은 NAT 풀의 크기를 제어해야 할 수 있습니다.
거의 변함없이 방화벽 또는 프록시 디바이스를 통해 연결을 라우팅하여 아웃바운드 인터넷 액세스의 보안을 강화해야 합니다. Azure VMware Solution은 프라이빗 클라우드 자체 또는 프라이빗 클라우드에 연결된 Azure 가상 네트워크에 이러한 디바이스 배포를 지원합니다. 이 두 옵션 중에서 선택하는 것은 이 디자인 단계의 기본 목표입니다. 선택은 다음 고려 사항에 따라 결정됩니다.
- 비용 최적화 및 일관성을 위해 Azure 가상 네트워크에 배포된 기존의 향상된 보안 인터넷 액세스 NVA(예: 방화벽 및 전달 프록시)를 사용할 수 있습니다.
- Azure PaaS(Platform as a Service) 솔루션은 관리 오버헤드를 줄일 수 있습니다. 특히 프리미엄 SKU 기능을 사용하도록 설정하는 경우 향상된 보안 인터넷 액세스를 위해 Azure Firewall을 사용할 수 있습니다.
- Azure VMware Solution에서 타사 방화벽 및/또는 프록시 디바이스를 가상 어플라이언스 배포할 수 있습니다. 설치 지침 및 권장 토폴로지의 공급업체 설명서를 참조하세요.
이 디자인 단계에서 선택하는 내용은 3단계에서 선택한 항목에 따라 달라집니다. NSX-T Data Center Edge에서 인바운드 인터넷 연결 옵션으로 공용 IP를 선택하는 경우 아웃바운드 연결에도 사용해야 합니다. Azure VMware Solution의 가상 머신에서 시작한 모든 아웃바운드 연결은 NSX-T 에지에서 관리됩니다. 커넥트은 SNAT(원본 네트워크 주소 변환)를 통해 프라이빗 클라우드의 NSX-T 에지와 연결된 Azure 공용 IP 접두사 주소로 변환됩니다.
다음 순서도는 이 디자인 단계에 접근하는 방법을 요약합니다.
Azure VMware Solution의 기본 경로 및 아웃바운드 인터넷 연결
Azure VMware Solution 프라이빗 클라우드의 가상 머신에서 시작한 아웃바운드 인터넷 연결에 대한 라우팅은 구성된 기본 경로에 따라 결정됩니다. 관리 및 워크로드 세그먼트에는 다른 기본 경로가 사용됩니다.
- 프라이빗 클라우드의 관리 네트워크(vCenter Server 및 NSX-T 관리를 호스팅)는 항상 플랫폼 관리형 인터넷 중단을 통해 직접 인터넷 액세스를 제공하는 기본 경로를 사용합니다. 이 기본 경로는 재정의할 수 없습니다. 관리 네트워크에서 시작되는 연결에 대한 SNAT 풀을 제어할 수 없습니다.
- 모든 워크로드 세그먼트는 동일한 기본 경로 구성을 공유합니다. 경로 구성은 다음 중 하나일 수 있습니다.
- 플랫폼에서 제공하는 SNAT를 사용하여 플랫폼 관리 중단을 통해 인터넷에 액세스합니다. 사용자는 SNAT 풀의 공용 IP 주소를 제어할 수 없습니다. 자세한 내용은 Azure VMware Solution 관리형 SNAT를 참조하세요.
- 사용자가 NSX-T로 구성한 SNAT를 사용하여 플랫폼 관리형 중단을 통한 인터넷 액세스 사용자는 다음을 담당합니다.
- SNAT 풀에 대한 Azure 공용 IP 접두사를 프로비전합니다.
- NSX-T 에지에서 NAT 규칙 정의 자세한 내용은 NSX-T Data Center Edge에 대한 Azure 공용 IPv4 주소를 참조 하세요.
- 프라이빗 클라우드의 Azure ExpressRoute 회로를 통해 발표되는 기본 경로입니다. 이 기본 경로는 Azure 가상 네트워크 또는 온-프레미스 사이트의 BGP 지원 디바이스에서 시작될 수 있습니다. SNAT는 사용자의 책임이며 Azure 가상 네트워크 또는 온-프레미스의 네트워크 디바이스에서 수행해야 합니다. 자세한 내용은 Azure에서 호스트되는 인터넷 서비스를 참조하세요.
Azure Portal을 사용하여 워크로드 세그먼트에 대한 아웃바운드 인터넷 연결을 구성할 수 있습니다. 다음 섹션에서 설명하는 옵션 중 하나를 선택합니다. 자세한 내용은 인터넷 연결 디자인 고려 사항을 참조하세요.
Azure VMware Solution 관리형 SNAT 사용
관리되는 SNAT는 Azure VMware Solution에서 아웃바운드 인터넷 액세스를 구현하는 가장 쉬운 방법입니다. 프라이빗 클라우드에서 이 옵션을 사용하도록 설정하면 T0/T1 게이트웨이에 기본 경로가 설치됩니다. 이 경로는 인터넷 바인딩된 트래픽을 플랫폼 관리형 에지로 전달합니다. 플랫폼 관리형 에지는 SNAT를 수행합니다. NAT 풀을 제어할 수 없습니다. 관리형 SNAT를 사용하여 Azure VMware Solution 가상 머신에 대한 직접 인터넷 액세스를 제공할 수 있습니다. 가상 머신에서 시작한 인터넷 바인딩 연결이 프라이빗 클라우드 자체에서 가상 어플라이언스 배포되는 향상된 보안 인터넷 에지 디바이스(방화벽 또는 전달 프록시)로 라우팅되는 NSX-T 토폴로지를 정의할 수도 있습니다. 다음은 아웃바운드 연결에 이 옵션을 사용하지 않기로 결정하는 몇 가지 일반적인 이유입니다.
- NAT 풀을 세부적으로 제어해야 합니다. 예를 들어 SNAT를 사용하여 공용 IP를 통해 특정 퍼블릭 엔드포인트를 가리키도록 특정 가상 머신에서 시작한 연결을 번역해야 하는 경우 이 경우 NSX-T 데이터 센터 Edge에서 공용 IP를 사용하는 것이 좋습니다.
- 디자인 3단계에서 인바운드 인터넷 인바운드 연결을 위해 NSX-T Data Center Edge에서 공용 IP를 선택했습니다. 이 경우 아웃바운드 인터넷 연결을 위해 NSX-T 데이터 센터 에지에서 공용 IP를 사용해야 합니다. 자세한 내용은 다음 섹션을 참조하십시오.
- Azure 가상 네트워크(또는 온-프레미스 사이트)에서 호스트되는 향상된 보안 인터넷 에지를 통해 아웃바운드 인터넷 연결을 라우팅하려고 합니다. 이 경우 기본 경로는 Azure의 인터넷 에지에서 시작되어 프라이빗 클라우드에 보급되어야 합니다. 자세한 내용은 이 문서의 Azure 섹션에서 기본 경로 시작 섹션을 참조하세요.
NSX-T 데이터 센터 에지에 공용 IP 배포
NSX-T Data Center Edge에서 공용 IP를 사용하는 경우 T1/T0 게이트웨이에서 Azure 네트워크의 인터넷 에지로 트래픽을 전달하는 기본 경로가 프라이빗 클라우드에 있습니다. 프라이빗 클라우드와 연결된 공용 IP 중 하나를 사용하려면 T1 게이트웨이의 아웃바운드 인터넷 연결을 SNAT를 통해 변환해야 합니다. T1 게이트웨이에서 NAT 규칙을 구성하는 방법에 대한 자세한 내용은 VM에 대한 아웃바운드 인터넷 액세스를 참조 하세요. 이 옵션을 사용하여 Azure VMware Solution 가상 머신에 대한 직접 인터넷 액세스를 제공할 수 있습니다. Azure VMware Solution 가상 머신에서 시작한 인터넷 바인딩 연결을 프라이빗 클라우드의 가상 어플라이언스 배포된 향상된 보안 인터넷 에지 디바이스(방화벽 또는 전달 프록시)로 라우팅하는 NSX-T 토폴로지를 정의할 수도 있습니다.
Azure(고객 관리형 가상 네트워크 또는 Azure Virtual WAN)에서 기본 경로 시작
프라이빗 클라우드의 관리되는 ExpressRoute 회로를 통해 기본 경로를 발표하여 Azure VMware Solution 가상 머신에서 시작한 인터넷 바인딩 트래픽을 Azure 네이티브 NVA로 라우팅할 수 있습니다. 프라이빗 클라우드의 T0 게이트웨이는 Azure에서 받은 기본 경로를 사용하고 수신된 기본 경로로 지정된 다음 홉으로 인터넷 바인딩된 트래픽을 보냅니다. Azure 지원 BGP의 인터넷 에지 NVA인 경우 BGP 스피커로 사용하여 기본 경로를 시작합니다. NVA가 BGP를 지원하지 않거나 보안 제약 조건으로 인해 BGP 스피커로 사용할 수 없는 경우 다른 NVA를 배포하여 BGP 스피커로 사용할 수 있습니다. 추가 BGP 지원 NVA가 필요한 일반적인 시나리오는 Azure 인터넷 에지에서 Azure Firewall을 사용하는 경우입니다. (Azure Firewall은 BGP를 지원하지 않습니다.) 결과 네트워크 토폴로지는 다음과 같습니다.
다음 단계
Azure VMware Solution의 거버넌스에 대해 알아봅니다.