서브넷 위임이란?
서브넷 위임을 사용하면 가상 네트워크에 삽입해야 하는 Azure PaaS 서비스에 특정 서브넷을 지정할 수 있습니다. 서브넷 위임을 통해 고객은 Azure 서비스를 가상 네트워크에 통합하는 작업을 완벽하게 제어할 수 있습니다.
Azure 서비스에 서브넷을 위임하면 해당 서비스가 해당 서브넷에 대한 몇 가지 기본 네트워크 구성 규칙을 설정하여 Azure 서비스가 안정적인 방식으로 인스턴스를 작동하도록 합니다. 따라서 Azure 서비스는 다음과 같은 배포 전 또는 배포 후 조건을 설정할 수 있습니다.
서비스를 공유 서브넷 또는 전용 서브넷에 배포합니다.
서비스가 제대로 작동하는 데 필요한 배포 후 네트워크 의도 정책 집합을 서비스에 추가합니다.
서브넷 위임의 이점
특정 서비스에 서브넷을 위임하면 다음과 같은 이점이 있습니다.
하나 이상의 Azure 서비스에 대한 서브넷을 지정하고 요구 사항에 따라 서브넷의 인스턴스를 관리하는 데 도움이 됩니다. 예를 들어 가상 네트워크 소유자는 리소스를 보다 잘 관리하기 위해 위임된 서브넷에 대해 다음 정책 및 옵션을 정의할 수 있습니다.
네트워크 보안 그룹을 통한 네트워크 필터링 트래픽 정책
사용자 정의 경로를 통한 라우팅 정책
서비스 엔드포인트 구성을 통한 서비스 통합
네트워크 의도 정책 형식으로 배포의 사전 조건을 정의함으로써 삽입된 서비스가 가상 네트워크에 보다 잘 통합되도록 합니다. 이 정책을 통해 삽입된 서비스의 작동에 영향을 줄 수 있는 모든 작업이 PUT에서 차단될 수 있습니다.
누가 위임할 수 있나요?
가상 네트워크 소유자가 서브넷 중 하나를 특정 Azure 서비스에 지정하기 위해 서브넷 위임을 수행합니다. 그러면 Azure 서비스가 고객 워크로드에서 사용할 수 있는 인스턴스를 해당 서브넷에 배포합니다.
서브넷 위임이 서브넷에 미치는 영향
각 Azure 서비스는 삽입 용도로 위임된 서브넷에서 무슨 속성을 지원하고 지원하지 않는지 정의할 수 있는 자체 배포 모델을 다음과 같이 정의합니다.
다른 Azure Services 또는 VM/가상 머신 확장 집합이 동일한 서브넷에 있는 공유 서브넷을 지원하거나 해당 서비스의 인스턴스만 있는 전용 서브넷만 지원합니다.
위임된 서브넷과의 NSG 연결을 지원합니다.
위임된 서브넷과 연결된 NSG를 다른 서브넷에 연결할 수도 있습니다.
위임된 서브넷과의 경로 테이블 연결을 허용합니다.
위임된 서브넷과 연결된 경로 테이블을 다른 서브넷과 연결할 수 있습니다.
위임된 서브넷의 최소 IP 주소 수를 결정합니다.
개인 IP 주소 공간(10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12)에서 위임된 서브넷의 IP 주소 공간을 지정합니다.
사용자 지정 DNS 구성이 Azure DNS 항목을 갖도록 합니다.
서브넷이나 가상 네트워크를 삭제하기 전에 먼저 위임을 제거하도록 합니다.
서브넷을 위임한 경우 프라이빗 엔드포인트와 함께 사용할 수 없습니다.
삽입된 서비스는 다음과 같이 자체 정책을 추가할 수도 있습니다.
보안 정책: 지정된 서비스가 작동하는 데 필요한 보안 규칙 컬렉션입니다.
경로 정책: 지정된 서비스가 작동하는 데 필요한 경로 컬렉션입니다.
서브넷 위임이 수행하지 않는 것
위임된 서브넷에 삽입되는 Azure 서비스에는 위임되지 않은 서브넷에서 사용할 수 있는 다음과 같은 여러 기본 속성이 있습니다.
Azure 서비스는 고객 서브넷에 인스턴스를 삽입할 수 있지만 기존 워크 로드에는 영향을 줄 수 없습니다.
해당 서비스에서 적용하는 정책 또는 경로는 유연하며 고객에 의해 재정의됩니다.