다음을 통해 공유

지역 간 데이터 랜딩 존 연결

  • 아티클

둘 이상의 Azure 지역에 존재하고 여러 지역에서 데이터 플랫폼 및 데이터 애플리케이션을 호스트해야 하는 경우 연결이 약간 더 복잡해집니다.

다중 지역 배포에는 일반적으로 각 개별 Azure 위치에 연결 허브 구독이 있습니다. 예를 들어 미국 동부와 서유럽에서 실행되는 서비스가 있는 경우 각 지역의 공유 네트워크 리소스를 사용하여 연결 허브 구독을 설정합니다. 공유 네트워크 리소스는 다음과 같습니다.

  • 네트워크 가상 어플라이언스(예: Azure Firewall)
  • ExpressRoute 게이트웨이
  • VPN 게이트웨이들
  • 허브 가상 네트워크(허브 및 스포크 아키텍처) 또는 vWAN 허브(vWAN 설정)

지역 간 연결 그림 1: 지역 간 연결.

허브-스포크-스포크-허브 아키텍처에서 연결 허브의 가상 네트워크는 종종 글로벌 가상 네트워크 피어링을 사용하여 연결됩니다. 더 큰 환경의 경우 일반적인 대안은 ExpressRoute Global Reach를 사용하는 것입니다. 어떤 연결 옵션을 선택하든 여러 지역에서 스포크 네트워크 간에 글로벌 라우팅 및 연결을 달성할 수 있습니다. 즉, 연결 구독에서 트래픽이 차단되지 않는 경우 네트워크 가상 어플라이언스, 네트워크 보안 그룹 및 경로 테이블을 사용하여 지역 간에 데이터를 이동할 수 있습니다.

중요하다

이 문서 및 네트워킹 섹션의 다른 문서에서는 데이터를 공유하는 사업부 간을 간략하게 설명합니다. 그러나 초기 전략이 아니고 먼저 기본 수준에서 시작해야 할 수 있습니다.

데이터 랜딩 존 간에 권장되는 설정을 구현할 수 있도록 네트워킹을 디자인합니다. 거버넌스 랜딩 존과 직접 연결된 데이터 관리 랜딩 존이 있는지 확인하세요.

직접 글로벌 가상 네트워크 피어링을 사용하여 지역 간에 데이터 랜딩 존을 연결할 수 있습니다. 이 설정에서 이전 예제 시나리오를 계속 진행하면 서유럽의 가상 머신은 허브 및 스포크 또는 vWAN 네트워크 아키텍처를 사용하지 않고 미국 동부 스토리지 계정의 프라이빗 엔드포인트에 직접 액세스합니다. 데이터는 프라이빗 엔드포인트를 통해 가상 머신에 의해 직접 로드되고, 처리된 다음, 서유럽의 스토리지 계정에 다시 저장됩니다.

글로벌 가상 네트워크 피어링의 사용자 액세스 관리

제안된 지역 간 데이터 랜딩 존 연결 옵션 중 하나에 대한 특정 장단점은 없습니다.

요약: /

글로벌 가상 네트워크 피어링의 서비스 관리

글로벌 가상 네트워크 피어링에는 단일 실패 지점 또는 제한 처리량의 역할을 하는 네트워크 가상 어플라이언스는 없습니다. 데이터는 연결 허브를 통해 전송되지 않으므로 연결 허브 내에서 가상 어플라이언스 및 게이트웨이의 크기를 조정할 필요가 없습니다. 크기 조정이 부족하면 핵심 Azure 플랫폼 팀의 관리 오버헤드가 줄어듭니다. 또한 개별 지역 간 연결을 허용 목록에 추가할 필요가 없습니다. 데이터 팀은 경로 테이블 변경을 기다리지 않고도 다른 지역의 데이터 랜딩 존에서 데이터에 액세스할 수 있습니다.

이 네트워크 디자인에서 중앙 Azure 플랫폼 팀은 더 이상 계층 7 방화벽을 사용하여 모든 트래픽을 검사하고 기록할 수 없습니다. 그러나 클라우드 규모 분석 시나리오는 여러 구독에 걸쳐 있는 일관된 플랫폼으로, 규모를 허용하고 플랫폼 수준 제한을 극복하므로 단점이 아닙니다. 네트워크 보안 그룹 흐름 로그를 사용하여 네트워크 로그를 캡처할 수 있습니다. 서비스별 진단 설정을 사용하여 다른 애플리케이션 및 서비스 수준 로그를 통합하고 저장할 수 있습니다.

진단 설정대한 Azure Policy 정의를 사용하여 이러한 모든 로그를 대규모로 캡처할 수 있습니다.

일부 시나리오에서는 규제 또는 법적 영향으로 인해 제한해야 합니다. 예를 들어 특정 데이터 세트가 미립자 데이터 센터 내에 있어야 하는 로컬 규정이 있을 수 있으므로 지역 간에 전송할 수 없습니다. 네트워크 보안 그룹을 사용하여 이러한 종류의 규칙을 준수하는 데 도움을 받을 수 있으며, 트래픽이 미국 동부에서 서유럽으로 한 방향으로만 이동하도록 허용하고 서유럽에서 미국 동부로는 허용되지 않습니다. 네트워크 보안 그룹 내에서 미국 동부에서 발생하는 트래픽이 거부되고 서유럽에서 발생하는 트래픽이 허용되는지 확인할 수 있습니다.

이 솔루션 접근 방식은 대역폭 및 대기 시간에 영향을 주지 않으며, 여러 지역의 데이터 세트를 결합하면서 고객이 규정을 준수할 수 있도록 합니다. 또한 이 옵션은 DNS 아키텍처에 영향을 주지 않으며 Azure 프라이빗 DNS 영역을 기반으로 하는 Azure 네이티브 솔루션을 사용할 수 있습니다.

요약:

글로벌 가상 네트워크 피어링 비용

메모

피어링된 네트워크에서 프라이빗 엔드포인트에 액세스할 때 VNet 피어링이 아닌 프라이빗 엔드포인트 자체에 대해서만 요금이 청구됩니다. FAQ에서 공식 명세서를 읽을 수 있습니다. 피어링된 네트워크에서 프라이빗 엔드포인트에 액세스할 때 청구는 어떻게 작동합니까?.

이 네트워크 디자인을 사용하면 프라이빗 엔드포인트(시간당)와 이를 통해 전송되는 모든 수신 및 송신 트래픽에 대한 요금이 청구됩니다. 또한 지역 간 트래픽에 대한 데이터 전송 비용 지불해야 합니다. 그러나 글로벌 가상 네트워크 피어링의 수신 및 송신 비용은 청구되지 않으며, 기존의 스포크 허브-허브-스포크 옵션에 비해 주목할 만한 비용 이점이 있습니다.

요약:

글로벌 가상 네트워크 피어링의 대역폭 및 대기 시간

글로벌 가상 네트워크 피어링에서 대역폭 및 대기 시간에 미치는 영향은 기존의 ‘스포크-허브-허브-스포크’ 옵션보다 낮습니다. 글로벌 가상 네트워크 피어링에는 지역 간 데이터 랜딩 존 데이터 교환에 대한 홉 수가 적으며 처리량을 제한하는 네트워크 가상 어플라이언스가 없습니다. 지역 간 트래픽에 대해 수행할 수 있는 대역폭 및 대기 시간을 지시하는 유일한 방법은 데이터 센터의 물리적 제한(광섬유 케이블, 게이트웨이 및 라우터 속도)입니다.

요약:

글로벌 가상 네트워크 피어링 요약

특히 데이터 플랫폼 내에서 지역 간 데이터 트래픽이 증가함에 따라 서로 다른 지역의 데이터 랜딩 존 간 글로벌 가상 네트워크 피어링이 엄청난 이점을 제공합니다. 핵심 Azure 플랫폼 팀에 대한 서비스 관리를 간소화하며, 특히 대기 시간이 짧고 대역폭이 높은 사용 사례의 이점을 누릴 수 있습니다. 또한 기존의 스포크-허브-스포크 설계 옵션에 비해 상당한 비용 절감 효과를 제공합니다.

지역 간 데이터 전송에 대한 다른 옵션은 기존의 스포크-허브-허브-스포크 디자인입니다. 예제 시나리오에서 서유럽에서 호스트되는 데이터 랜딩 존 A의 가상 머신이 미국 동부에 호스트된 데이터 랜딩 존 B의 스토리지 계정에서 데이터 세트를 로드하는 경우, 데이터는 허브와 스포크 간의 두 개의 로컬 가상 네트워크 피어링, 허브 간의 글로벌 가상 네트워크 피어링 그리고 두 개의 게이트웨이 또는 네트워크 가상 어플라이언스를 거친 후 가상 머신이 데이터를 로드한 다음, 로컬 스토리지 계정으로 다시 전송됩니다.

기존 허브앤스포크 설계의 사용자 접근 관리

제안된 지역 간 데이터 랜딩 존 연결 옵션 중 하나에 대한 특정 장단점은 없습니다.

요약: /

기존 스포크-허브-허브-스포크 디자인의 서비스 관리

이 솔루션 접근 방식은 잘 알려져 있으며 다른 지역 간 연결 패턴과 일치하므로 쉽게 채택하고 구현할 수 있습니다. 또한 DNS 아키텍처에 영향을 주지 않으며 Azure 프라이빗 DNS 영역을 기반으로 하는 Azure 네이티브 솔루션을 사용할 수 있습니다.

이 연결 옵션은 올바르게 설정한 경우 원활하게 작동하지만 단점이 있습니다. 지역 간 트래픽은 기본적으로 거부되는 경우가 많으며 사례별로 사용하도록 설정해야 합니다. 각 필수 지역 간 데이터 액세스 요구 사항에 대해, 가상 머신과 지역 간 스토리지 계정 간의 각 특정 연결을 허용 목록에 추가할 수 있도록 핵심 Azure 플랫폼 팀에 반드시 티켓을 제출해야 합니다. 이 프로세스는 관리 오버헤드를 크게 증가합니다. 또한 데이터 프로젝트 팀은 필요한 데이터에 액세스할 수 없으므로 속도가 느려집니다.

이 옵션에서는 연결 허브가 단일 장애 지점으로 작용하게 된다는 점을 주의해야 합니다. 네트워크 가상 어플라이언스 또는 게이트웨이 가동 중지 시 연결 및 데이터 플랫폼이 작동을 멈춥니다. 또한 연결 허브에서 경로를 잘못 구성할 위험이 높습니다. 이러한 잘못된 구성으로 인해 데이터 플랫폼에서 더 심각한 가동 중지 시간이 발생하고 일련의 종속 워크플로 및 데이터 제품 오류가 발생할 수 있습니다.

이 솔루션 방법을 사용하는 동안 지역 간에 전송해야 하는 데이터의 양을 모니터링해야 합니다. 시간이 지남에 따라 이 모니터링에는 중앙 인스턴스를 통해 이동하는 기가바이트 또는 테라바이트의 데이터가 포함될 수 있습니다. 네트워크 가상 어플라이언스의 대역폭은 종종 1-2자리 기가바이트 처리량으로 제한되므로 어플라이언스는 지역 간의 트래픽 흐름과 데이터 자산의 공유 가능성을 제한하는 중요한 병목 현상으로 작용할 수 있습니다. 이러한 병목 현상으로 인해 공유 네트워크 리소스에는 시간이 많이 걸리고 비용이 많이 드는 크기 조정 메커니즘이 필요할 수 있으며 테넌트의 다른 워크로드에 영향을 미칠 수 있습니다.

요약:

기존 스포크 허브(Hub-Spoke) 디자인 비용

메모

피어링된 네트워크에서 프라이빗 엔드포인트에 액세스할 때 VNet 피어링이 아닌 프라이빗 엔드포인트 자체에 대해서만 요금이 청구됩니다. FAQ에서 공식 명세서를 읽을 수 있습니다. 피어링된 네트워크에서 프라이빗 엔드포인트에 액세스할 때 청구는 어떻게 작동합니까?.

전통적인 스포크-허브-허브-스포크 구조 디자인에서는 각각의 스토리지 계정에 따른 프라이빗 엔드포인트(시간당)에 대한 요금과 이를 통해 전송되는 모든 유입 및 유출 트래픽에 대한 요금이 청구됩니다. 또한 하나의 로컬 가상 네트워크 피어링 및 연결 허브 간의 글로벌 가상 네트워크 피어링의 수신 및 송신 트래픽에 대한 요금이 청구됩니다. 그러나 이전 노트에서 설명한 대로 첫 번째 가상 네트워크 피어링에 대해서는 요금이 청구되지 않습니다.

이 네트워크 디자인을 선택하면 중앙 네트워크 가상 어플라이언스에도 상당한 비용이 발생합니다. 이 비용은 Azure Firewall과 마찬가지로 수요에 따라 어플라이언스를 확장하거나 처리된 기가바이트당 요금을 지불하기 위해 추가 라이선스를 구매해야 하기 때문입니다.

요약:

기존 스포크-허브-허브-스포크 디자인에서의 대역폭 및 대기 시간

이 네트워크 디자인에는 심각한 대역폭 제한이 있습니다. 플랫폼이 증가함에 따라 중앙 네트워크 가상 어플라이언스가 심각한 병목 상태가 되어 지역 간 데이터 랜딩 존 사용 사례 및 데이터 세트 공유를 제한합니다. 또한 시간이 지남에 따라 데이터 세트의 여러 복사본을 만들 수 있습니다. 이 설계는 데이터가 여러 경로를 거치므로 실시간 분석 상황에서 특히 중요한 대기 시간에 큰 영향을 미칩니다.

요약:

기존 스포크-허브-스포크 디자인

스포크-허브-허브-스포크 디자인은 많은 조직에서 잘 확립되어 잘 알려져 있어 기존 환경에서도 쉽게 구현할 수 있습니다. 그러나 서비스 관리, 비용, 대역폭 및 대기 시간에 대한 상당한 단점이 있습니다. 이러한 문제는 지역 간 사용 사례 수가 증가함에 따라 특히 두드러집니다.

결론

글로벌 가상 네트워크 피어링기존의 스포크 허브-허브-스포크 디자인비해 많은 이점이 있습니다. 이는 비용 효율적이고 쉽게 관리되며 지역 간에 안정적인 연결을 제공합니다. 기존 스포크-허브-허브-스포크 디자인은 데이터 볼륨과 지역 간 데이터 교환의 필요성이 적을 때에는 실현 가능한 옵션일 수 있지만, 지역 간 교환에 필요한 데이터의 양이 증가함에 따라 글로벌 가상 네트워크 피어링 접근 방식을 사용할 것을 권장합니다.

다음 단계