Azure VMware Solution 워크로드에 대한 네트워킹 고려 사항
이 문서에서는 Azure VMware Solution 워크로드의 네트워킹 디자인 영역에 대해 설명합니다. 잘 설계된 네트워크는 연결을 사용하도록 설정하고, 응답 시간을 최적화하고, 트래픽을 분산하고, Azure VMware Solution에서 워크로드의 지속적인 가용성을 보장하는 데 중요합니다.
고가용성을 위해 부하 분산
영향: 안정성, 성능 효율성
확장성을 달성하고 성능을 최적화하려면 Azure VMware Solution 인프라 내의 대상 간에 트래픽을 분산해야 합니다. Azure VMware Solution 트래픽 부하를 분산하는 경우 성능 및 가중치를 고려하는 알고리즘과 같은 다양한 알고리즘을 통해 분산할 수 있습니다. 들어오는 트래픽을 분산하면 워크로드 애플리케이션의 규모와 안정성이 향상됩니다. 애플리케이션이 여러 SDDC(소프트웨어 정의 데이터 센터)에 걸쳐 있는 경우 Azure 부하 분산 장치는 모든 환경에 트래픽을 분산할 수 있습니다.
권장 사항
- 트래픽 분산을 위해 VMware NSX Advanced 로드 밸런서와 같은 로드 밸런서를 사용합니다. 내부 연결 및 외부 연결 애플리케이션 게이트웨이를 지원합니다. 라우팅, 애플리케이션 배달 및 TLS 종료에 부하 분산 장치를 사용합니다.
- Azure로 확장되는 워크로드의 경우 Azure Application Gateway를 사용합니다. 이 부하 분산 장치는 애플리케이션 성능을 향상시키기 위해 트래픽을 분산합니다. 또한 Application Gateway는 IDPS(침입 감지 및 방지 시스템) 및 Azure 웹 애플리케이션 방화벽 기능을 제공합니다. Azure Load Balancer는 여러 Azure 가용성 영역에 걸쳐 있는 워크로드에 대해 고가용성 및 내결함성을 제공하기 위해 영역 간에 트래픽을 분산할 수 있습니다.
전역 분포에서 거리 최소화
영향: 안정성, 성능 효율성, 비용 최적화
전역 존재가 있는 애플리케이션의 경우 인스턴스와 사용자 간의 거리를 최소화하는 것이 중요합니다. 가장 가까운 Azure VMware Solution SDDC로 트래픽을 라우팅하여 이 목표를 달성할 수 있습니다. Traffic Manager를 사용하는 경우 아웃바운드 데이터 전송 비용을 낮출 수도 있습니다. 특히 사용자를 가장 가까운 Azure VMware Solution 배포 또는 에지 위치로 보낼 수 있습니다. 데이터가 이동하는 거리를 줄이면 긴 데이터 전송을 방지할 수 있습니다.
권장 사항
- 여러 지역에 걸쳐 있는 애플리케이션의 경우 Azure Traffic Manager와 같은 도메인 이름 시스템 기반 글로벌 트래픽 부하 분산 솔루션을 배포하는 것이 좋습니다.
- 트래픽 라우팅 프로필을 만듭니다. 우선 순위 기반 라우팅, 가중 라운드 로빈, 성능 기반 라우팅 또는 지리적 기반 라우팅과 같은 다양한 라우팅 방법을 구성합니다.
콘텐츠 배달
영향: 성능, 비용 최적화
트래픽이 많은 애플리케이션에는 최적의 콘텐츠 검색이 필요합니다. 압축 및 HTTP 가속기와 같은 최적화 기술은 Azure VMware Solution 환경 내에서 자산의 검색 성능을 향상시킬 수 있습니다. 파일을 전송하기 전에 파일에서 압축 기술을 사용할 수 있습니다. 이 방법은 전송하는 데이터의 양을 줄여 비용을 절감할 수 있습니다. 콘텐츠 배달 네트워크는 자주 액세스하는 콘텐츠를 캐시합니다. 따라서 Azure VMware Solution에서 콘텐츠 배달 네트워크를 사용하면 검색 및 배포를 최적화할 수 있습니다. 콘텐츠 배달 네트워크는 다른 방법으로 비용을 절감하는 데도 도움이 될 수 있습니다. 이러한 네트워크는 사용자와 가까운 에지 위치에서 날짜를 캐시하므로 데이터가 이동하는 거리를 줄입니다.
권장 사항
- Azure Content Delivery Network를 사용하여 응답성을 개선하고 애플리케이션 및 웹 사이트에 액세스하는 사용자의 대기 시간을 줄입니다.
- 압축을 사용하여 정적 자산의 페이로드를 최소화합니다.
- Redis 또는 Azure Cache for Redis와 같은 캐싱 솔루션을 사용하여 자주 액세스하는 데이터를 캐시합니다.
인터넷 연결 워크로드에 방화벽 사용
영향: 보안
Azure VMware Solution의 전면 워크로드는 공용 IP 주소에 매핑됩니다. 결과적으로 인터넷에 노출될 수 있으며 외부 원본에서 들어오는 연결을 허용합니다. VM(가상 머신) 또는 부하 분산 장치와의 연결은 워크로드에 위험을 초래합니다.
권장 사항
- 인터넷 연결 애플리케이션의 경우 Azure Firewall과 같은 방화벽 또는 인증된 타사 NVA를 사용하여 인터넷 및 Azure에 대한 Azure VMware Solution 트래픽을 검사합니다.
- 방화벽에 인바운드 트래픽을 제한하고 필터링하는 규칙 및 액세스 제어 목록이 있는지 확인합니다.
내부 워크로드 간의 트래픽 보호
영향: 보안
네트워크는 Azure VMware Solution 환경에서 중요한 경계입니다. 네트워크는 액세스를 제어하고, 데이터를 보호하고, 위협을 완화하는 데 도움이 됩니다. 강력한 네트워크 보안 조치는 Azure VMware Solution 워크로드의 가용성과 복원력을 보장하는 데 도움이 됩니다. 예를 들어 분할을 통해 네트워크 격리를 구현하고 가상 란을 사용하면 Azure VMware Solution 환경의 구성 요소 간에 무단 액세스를 방지할 수 있습니다. 네트워크 보안 그룹을 사용하여 워크로드 가상 네트워크 내에서 트래픽을 격리하고 보호할 수 있습니다.
권장 사항
- Azure VMware Solution 워크로드에 대한 네트워크 세그먼트를 만듭니다.
- VMware NSX-T 데이터 센터 내에서 방화벽 규칙을 만듭니다.
- HCX 확장을 고가용성으로 활성화합니다. 기본적으로 HCX 네트워크 확장 어플라이언스는 단일 인스턴스로 배포됩니다. 원본 또는 대상에서 실행되는 인스턴스가 실패하면 전체 확장된 VLAN이 작동되지 않습니다. HCX 네트워크 확장 HA을 사용하면, vMotion과 같은 HCX 작업이 단일 인스턴스 장애를 견딜 수 있도록 보장합니다.
성장을 위한 IP 주소 지정 체계 디자인
영향: 보안, 운영 우수성
의도적인 서브넷 보안 전략을 사용하여 성장을 위해 Azure VMware Solution 및 클라우드 가상 네트워크를 디자인할 수 있습니다. 이 디자인에는 IP 주소 할당을 전략적으로 구성하는 작업이 포함됩니다. 또한 IP 주소 지정 도구를 사용하고 할당을 적용해야 합니다.
/22 RFC-1918 주소 범위 외에도 워크로드 세그먼트에는 별도의 충돌하지 않는 클래스리스 도메인 간 라우팅 (CIDR) 범위가 있습니다. VM, 공용 IP 주소 및 부하 분산 장치에 충분한 IP 주소를 갖도록 계획합니다.
권장 사항
- IP 주소 범위가 현재 및 미래의 모든 Azure VMware Solution 워크로드를 수용할 수 있을 만큼 충분히 큰지 확인합니다.
- 스프레드시트 또는 IPAM(IP 주소 관리) 도구를 사용하여 사용 가능한 IP 주소를 효율적으로 구성하고, IP 주소 사용량을 추적하고, IP 주소 충돌을 방지할 수 있습니다.
- 디바이스, 세그먼트 또는 서브넷의 잠재적인 증가를 계획합니다. 수요 증가를 처리할 수 있는 IP 주소 지정 체계를 사용합니다.
- NSX-T Data Center T0 라우터에서 중복 경로를 식별합니다. 중복 경로는 비대칭 경로의 가능한 표시입니다. 비대칭이 검색되지 않으면 온-프레미스 환경과의 연결이 중지될 수 있습니다.
- 프라이빗 FQDN 영역당 여러 DNS 서버를 사용합니다. Azure VMware Solution SDDC는 단일 FQDN에 대해 최대 3개의 DNS 서버를 지원할 수 있습니다. DNS 해결을 위해 단일 DNS 서버를 사용하는 것은 단일 장애 지점이 됩니다. Azure VMware Solution SDDC의 온-프레미스 FQDN 확인 시 여러 DNS 서버가 사용되도록 보장합니다.
- 동적 IP 주소 할당에 DHCP(동적 호스트 구성 프로토콜)를 사용합니다.
추가 리소스
- 구성 제한을 초과하면 Azure VMware Solution SDDC가 지원되지 않는 상태로 유지되고 지원/업그레이드 작업에 대한 가용성에 영향을 미칠 수 있습니다. 여러 NSX 세그먼트를 사용하여
VMware 구성 제한을 초과하지 않도록 합니다.
다음 단계
이제 Azure VMware Solution에서 네트워킹을 검토했으므로 인프라 및 애플리케이션 모니터링에 대한 모범 사례를 조사합니다.
평가 도구를 사용하여 디자인 선택을 평가합니다.