운영 우수성 및 Azure Virtual Network

프라이빗 네트워크의 기본 구성 요소인 Azure Virtual Network 를 사용하면 Azure 리소스가 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다.

Azure Virtual Network의 주요 기능은 다음과 같습니다.

• Azure 리소스와의 통신
• 인터넷과의 통신
• 온-프레미스 리소스와의 통신
• 네트워크 트래픽 필터링

자세한 내용은 Azure Virtual Network란?을 참조 하세요.

Azure Virtual Network가 운영 우수성을 지원하는 방법을 이해하려면 다음 항목을 참조하세요.

• Azure Virtual Network 모니터링
• Azure Virtual Network 데이터 참조 모니터링
• Azure Virtual Network 개념 및 모범 사례

디자인 고려 사항

VNet(Virtual Network)에는 운영 우수성에 대한 다음과 같은 디자인 고려 사항이 포함되어 있습니다.

• 온-프레미스 및 Azure 지역에서 IP 주소 공간이 겹치면 주요 경합 문제가 발생합니다.
• Virtual Network 주소 공간을 만든 후에 추가할 수 있지만 가상 네트워크가 피어링을 통해 이미 다른 Virtual Network에 연결된 경우 이 프로세스에 중단이 필요합니다. Virtual Network 피어링이 삭제되고 다시 생성되므로 중단이 필요합니다.
• 일부 Azure 서비스에는 다음과 같은 전용 서브넷이 필요합니다.
  • Azure Firewall
  • Azure Bastion
  • Virtual Network Gateway
• 서브넷을 특정 서비스에 위임하여 서브넷 내에서 해당 서비스의 인스턴스를 만들 수 있습니다.
• Azure는 각 서브넷 내에서 5개의 IP 주소를 예약합니다. 이 주소는 Virtual Network의 크기를 조정하고 서브넷을 포괄할 때 고려해야 합니다.

검사 목록

운영 우수성을 염두에 두고 Azure Virtual Network를 구성했나요?

• Azure DDoS 표준 보호 계획을 사용하여 고객 Virtual Networks 내에서 호스트되는 모든 퍼블릭 엔드포인트를 보호합니다.
• 엔터프라이즈 고객은 고려된 온-프레미스 위치 및 Azure 지역에 겹치는 IP 주소 공간이 없도록 Azure에서 IP 주소 지정을 계획해야 합니다.
• 개인 인터넷의 주소 할당에서 IP 주소를 사용합니다(RFC(Request for Comment) 1918).
• 제한된 개인 IP 주소(RFC 1918) 가용성이 있는 환경의 경우 IPv6을 사용하는 것이 좋습니다.
• 불필요한 IP 주소 공간 낭비가 없도록 불필요하게 큰 Virtual Network(예: /16)를 만들지 마세요.
• 필요한 주소 공간을 미리 계획하지 않고 Virtual Network를 만들지 마세요.
• 특히 공용 IP 주소가 고객에 속하지 않는 경우 Virtual Network에 공용 IP 주소를 사용하지 마세요.
• VNet 서비스 엔드포인트를 사용하여 고객 VNet 내에서 Azure PaaS(Platform as a Service) 서비스에 대한 액세스를 보호합니다.
• 서비스 엔드포인트의 데이터 반출 문제를 해결하려면 Azure Storage에 대한 NVA(네트워크 가상 어플라이언스) 필터링 및 VNet 서비스 엔드포인트 정책을 사용합니다.
• Azure 간 리소스의 통신을 사용하기 위해 강제 터널링을 구현하지 마세요.
• ExpressRoute 프라이빗 피어링을 통해 온-프레미스에서 Azure PaaS 서비스에 액세스합니다.
• VNet 삽입 또는 Private Link를 사용할 수 없는 경우 온-프레미스 네트워크에서 Azure PaaS 서비스에 액세스하려면 데이터 반출 문제가 없는 경우 Microsoft 피어링과 함께 ExpressRoute를 사용합니다.
• 온-프레미스 경계 네트워크(DMZ, 완역 영역 및 스크린된 서브넷이라고도 함) 개념과 아키텍처를 Azure에 복제하지 마세요.
• Virtual Network에 삽입된 Azure PaaS 서비스 간의 통신이 UDR(사용자 정의 경로) 및 NSG(네트워크 보안 그룹)를 사용하여 Virtual Network 내에서 잠겨 있는지 확인합니다.
• NVA 필터링을 사용하지 않는 한 데이터 반출 문제가 있는 경우 VNet 서비스 엔드포인트를 사용하지 마세요.
• 기본적으로 모든 서브넷에서 VNet 서비스 엔드포인트를 사용하도록 설정하지 마세요.

구성 권장 사항

Azure Virtual Network를 구성할 때 운영 우수성에 대한 다음 권장 사항을 고려합니다.

추천	설명
필요한 주소 공간을 미리 계획하지 않고 Virtual Network를 만들지 마세요.	가상 네트워크 피어링을 통해 Virtual Network가 연결되면 주소 공간을 추가하면 중단이 발생합니다.
VNet 서비스 엔드포인트를 사용하여 고객 VNet 내에서 Azure PaaS(Platform as a Service) 서비스에 대한 액세스를 보호합니다.	Private Link를 사용할 수 없고 데이터 반출 문제가 없는 경우에만.
ExpressRoute 프라이빗 피어링을 통해 온-프레미스에서 Azure PaaS 서비스에 액세스합니다.	전용 Azure 서비스에 VNet 주입을 사용하거나 사용 가능한 공유 Azure 서비스에 Azure Private Link를 사용합니다.
VNet 삽입 또는 Private Link를 사용할 수 없는 경우 온-프레미스 네트워크에서 Azure PaaS 서비스에 액세스하려면 데이터 반출 문제가 없는 경우 Microsoft 피어링과 함께 ExpressRoute를 사용합니다.	공용 인터넷을 통해 전송을 방지합니다.
온-프레미스 경계 네트워크(DMZ, 완역 영역 및 스크린된 서브넷이라고도 함) 개념과 아키텍처를 Azure에 복제하지 마세요.	고객은 Azure에서 온-프레미스와 비슷한 보안 기능을 얻을 수 있지만 구현 및 아키텍처는 클라우드에 맞게 조정되어야 합니다.
Virtual Network에 삽입된 Azure PaaS 서비스 간의 통신이 UDR(사용자 정의 경로) 및 NSG(네트워크 보안 그룹)를 사용하여 Virtual Network 내에서 잠겨 있는지 확인합니다.	Virtual Network에 삽입된 Azure PaaS 서비스는 여전히 공용 IP 주소를 사용하여 관리 평면 작업을 수행합니다.

다음 단계

안정성 및 ExpressRoute