Azure Arc 지원 서버에 대한 네트워크 토폴로지 및 연결

Azure Arc 지원 서버를 사용하여 Azure 컨트롤 플레인을 통해 Windows 및 Linux 물리적 서버 및 가상 머신을 관리할 수 있습니다. 이 문서에서는 Azure 엔터프라이즈 규모 랜딩 존 지침에 대한 클라우드 채택 프레임워크의 일부로 Azure Arc 지원 서버 연결에 대한 주요 디자인 고려 사항 및 모범 사례를 설명합니다. 이 지침은 온-프레미스 환경에서 또는 파트너 클라우드 공급자를 통해 호스트하는 물리적 서버 및 가상 머신에 적용됩니다.

이 문서에서는 엔터프라이즈 규모 랜딩 존 및 하이브리드 네트워크 연결이 성공적으로 구현되었다고 가정합니다. 이 지침은 Azure Arc 지원 서버에 연결된 컴퓨터 에이전트의 연결에 중점을 둡니다. 자세한 내용은 엔터프라이즈 규모 랜딩 존 개요 및 엔터프라이즈 규모 랜딩 존 구현을 참조하세요.

아키텍처

다음 다이어그램에서는 Azure Arc 지원 서버의 연결에 대한 개념 참조 아키텍처를 보여 줍니다.

디자인 고려 사항

Azure Arc 지원 서버에 대해 다음과 같은 네트워크 디자인 고려 사항을 고려합니다.

• Azure 서비스 태그에 대한 액세스 관리:연결된 컴퓨터 에이전트 네트워크 요구 사항에 따라 방화벽 및 프록시 네트워크 규칙을 업데이트된 상태로 유지하는 자동화된 프로세스를 만듭니다.
• Azure Arc에 대한 네트워크 연결 보안: TLS(전송 계층 보안) 버전 1.2를 사용하도록 컴퓨터 운영 체제를 구성합니다. 알려진 취약성 때문에 이전 버전은 사용하지 않는 것이 좋습니다.
• 확장 연결 방법 정의: Azure Arc 지원 서버에 배포하는 Azure 확장이 다른 Azure 서비스와 통신할 수 있는지 확인합니다. 공용 네트워크, 방화벽 또는 프록시 서버를 통해 직접 이 연결을 제공할 수 있습니다. Azure Arc 에이전트에 대한 프라이빗 엔드포인트를 구성해야 합니다. 디자인에 프라이빗 연결이 필요한 경우 액세스를 확장하는 각 서비스에 대해 프라이빗 엔드포인트 연결을 사용하도록 설정하는 추가 단계를 수행해야 합니다. 또한 비용, 가용성 및 대역폭 요구 사항에 따라 공유 또는 전용 회로를 사용하는 것이 좋습니다.
• 전체 연결 아키텍처 검토:네트워크 토폴로지 및 연결 디자인 영역을 검토하여 Azure Arc 지원 서버가 전체 연결에 미치는 영향을 평가합니다.

디자인 권장 사항

Azure Arc 지원 서버에 대해 다음과 같은 네트워크 디자인 권장 사항을 고려합니다.

Azure Arc 에이전트 연결 방법 정의

먼저 기존 인프라 및 보안 요구 사항을 검토합니다. 그런 다음 연결된 머신 에이전트 가 온프레미스 네트워크 또는 다른 클라우드 공급자에서 Azure와 어떻게 통신할지 결정합니다. 이 연결은 인터넷을 통해, 프록시 서버를 통해 또는 프라이빗 연결을 위해 Azure Private Link 통해 갈 수 있습니다. 프록시를 사용하거나 사용하지 않고 인터넷을 통해 Azure Arc를 구현할 경우, 현재 공개 미리 보기 중인 기능인 Azure Arc 게이트웨이 를 사용할 수 있습니다. 이 기능은 프록시가 액세스를 허용하는 데 필요한 전체 엔드포인트 수를 줄이는 데 도움이 됩니다.

직접 연결

Azure Arc 지원 서버는 Azure 퍼블릭 엔드포인트에 대한 직접 연결을 제공할 수 있습니다. 이 연결 방법을 사용하는 경우, 모든 머신 에이전트는 퍼블릭 엔드포인트를 사용하여 인터넷을 통해 Azure에 대한 연결을 엽니다. Linux 및 Windows용 연결된 컴퓨터 에이전트는 HTTPS 프로토콜(TCP/443)을 통해 Azure와 안전하게 아웃바운드 통신합니다.

직접 연결 방법을 사용하는 경우 연결된 컴퓨터 에이전트에 대한 인터넷 액세스를 평가합니다. 필요한 네트워크 규칙을 구성하는것이 좋습니다.

프록시 서버 또는 방화벽 연결

컴퓨터가 방화벽 또는 프록시 서버를 사용하여 인터넷을 통해 통신하는 경우, 에이전트는 HTTPS 프로토콜을 통해 아웃바운드로 연결됩니다.

방화벽 또는 프록시 서버를 사용하여 아웃바운드 연결을 제한하는 경우, 연결된 컴퓨터 에이전트 네트워크 요구 사항에 따라 IP 범위를 허용해야 합니다. 에이전트가 서비스와 통신하는 데 필요한 IP 범위 또는 도메인 이름만 허용하는 경우, 서비스 태그 및 URL을 사용하여 방화벽 또는 프록시 서버를 구성합니다.

Azure Arc 지원 서버에 확장을 배포하는 경우 모든 확장은 자체 엔드포인트 또는 엔드포인트에 연결되며, 방화벽 또는 프록시에서 해당 URL을 모두 허용해야 합니다. 이러한 엔드포인트를 추가하여 세분화된 보안 네트워크 트래픽을 보장하고 최소 권한 원칙을 충족합니다.

방화벽 또는 프록시에 필요한 총 URL 수를 줄이려면 Azure Arc 게이트웨이 서비스가 도움이 되는지 여부를 결정합니다.

Azure Arc 게이트웨이

Azure Arc 게이트웨이(공개 미리 보기) Azure Arc가 작동하기 위해 프록시에 필요한 아웃바운드 HTTPS 엔드포인트의 총 수를 줄입니다. 대부분의 와일드카드 엔드포인트가 필요하지 않으며 필요한 엔드포인트의 총 수를 8개로 줄입니다. 일부 확장 엔드포인트에서 작동할 수 있으므로 프록시에서 더 많은 URL 제외를 만들 필요가 없습니다.

인터넷을 통해 Azure Arc 게이트웨이 서비스에 액세스해야 하므로 Azure Arc 게이트웨이 서비스는 현재 Private Link 또는 Azure ExpressRoute 피어링에서 작동하지 않습니다.

Private Link

Azure Arc 에이전트의 모든 트래픽이 네트워크에 유지되도록 하려면 Azure Arc Private Link 범위가 있는 Azure Arc 지원 서버를 사용합니다. 이 구성은 보안 이점을 제공합니다. 트래픽은 인터넷을 트래버스하지 않으며 데이터 센터 방화벽에서 아웃바운드 예외를 많이 열 필요가 없습니다. 그러나 Private Link는 많은 관리 과제를 부과하고 특히 글로벌 조직의 경우 전반적인 복잡성과 비용을 증가합니다. 다음 문제를 고려해 보세요.

• Azure Arc 프라이빗 링크 범위는 동일한 DNS(Domain Name System) 범위 아래의 모든 Azure Arc 클라이언트를 포함합니다. 프라이빗 엔드포인트를 사용하는 일부 Azure Arc 클라이언트와 DNS 서버를 공유할 때 퍼블릭 엔드포인트를 사용하는 일부 Azure Arc 클라이언트는 포함할 수 없습니다. 그러나 DNS 정책과 같은 해결 방법을 구현할 수 있습니다.

• Azure Arc 클라이언트는 주 지역에 모든 프라이빗 엔드포인트를 가질 수 있습니다. 그렇지 않은 경우 동일한 프라이빗 엔드포인트 이름이 다른 IP 주소로 확인되도록 DNS를 구성해야 합니다. 예를 들어 Windows Server Active Directory 통합 DNS에 대해 선택적으로 복제된 DNS 파티션을 사용할 수 있습니다. 모든 Azure Arc 클라이언트에 동일한 프라이빗 엔드포인트를 사용하는 경우, 모든 네트워크에서 프라이빗 엔드포인트로 트래픽을 라우팅할 수 있는 기능이 있어야 합니다.

• Azure Arc를 통해 배포하는 확장 소프트웨어 구성 요소에서 액세스하는 모든 Azure 서비스에 프라이빗 엔드포인트를 사용하려면 추가 단계를 수행해야 합니다. 이러한 서비스에는 Log Analytics 작업 영역, Azure Automation 계정, Azure Key Vault 및 Azure Storage가 포함됩니다.

• Microsoft Entra ID에 대한 연결은 퍼블릭 엔드포인트를 사용하므로 클라이언트는 일부 인터넷 액세스가 필요합니다.

• 프라이빗 연결에 ExpressRoute를 사용하는 경우 회로, 게이트웨이,연결 및 ExpressRoute Direct대한 복원력 모범 사례를 검토하는 것이 좋습니다.

이러한 문제 때문에 Azure Arc 구현에 Private Link가 필요한지 평가하는 것이 좋습니다. 퍼블릭 엔드포인트는 트래픽을 암호화합니다. 서버에 Azure Arc를 사용하는 방법에 따라 트래픽을 관리 및 메타데이터 트래픽으로 제한할 수 있습니다. 보안 문제를 해결하려면 로컬 에이전트 보안 제어를 구현합니다.

자세한 내용은 Private Link 보안을 참조하고 Azure Arc에 대한 Private Link 지원과 관련된 제한 및 제한 사항을 참조하세요.

Azure 서비스 태그에 대한 액세스 관리

Azure Arc 네트워크 요구 사항에 따라 방화벽 및 프록시 네트워크 규칙을 업데이트하는 자동화된 프로세스를 구현하는 것이 좋습니다.

다음 단계

하이브리드 클라우드 채택 과정에 대한 자세한 내용은 다음 리소스를 참조하세요.

• Azure Arc 빠른 시작 시나리오
• 연결된 컴퓨터 에이전트 필수 조건
• Private Link 연결 방법에 대한 네트워크 구성
• Private Link를 사용하여 Azure Arc에 서버 연결
• Azure Arc 지원 서버 대규모 배포 계획
• Private Link 설정
• Azure Connected Machine 에이전트 연결 문제 해결
• 학습: Azure Arc를 사용하여 하이브리드 환경에 Azure 혁신을 가져오세요.