안정성 및 Azure Virtual Network

프라이빗 네트워크의 기본 구성 요소인 Azure Virtual Network Azure 리소스를 통해 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다.

Azure Virtual Network 주요 기능은 다음과 같습니다.

• Azure 리소스와의 통신
• 인터넷과의 통신
• 온-프레미스 리소스와의 통신
• 네트워크 트래픽 필터링

자세한 내용은 Azure Virtual Network란?을 참조하세요.

Azure Virtual Network 신뢰할 수 있는 워크로드를 지원하는 방법을 이해하려면 다음 topics 참조하세요.

• 자습서: 지역 간에 Azure VM 이동
• 빠른 시작: Azure 포털을 사용하여 가상 네트워크 만들기
• Virtual Network – 비즈니스 연속성

디자인 고려 사항

VNet(Virtual Network)에는 신뢰할 수 있는 Azure 워크로드에 대한 다음과 같은 디자인 고려 사항이 포함되어 있습니다.

• 온-프레미스 및 Azure 지역에서 IP 주소 공간이 겹치면 주요 경합 문제가 발생합니다.
• Virtual Network 주소 공간을 만든 후에 추가할 수 있지만 피어링을 통해 Virtual Network 이미 다른 Virtual Network 연결된 경우 이 프로세스는 중단이 필요합니다. Virtual Network 피어링이 삭제되고 다시 생성되므로 중단이 필요합니다.
• 피어링된 Virtual Network의 크기 조정은 공개 미리 보기 로 제공됩니다(2021년 8월 20일).
• 일부 Azure 서비스에는 다음과 같은 전용 서브넷이 필요합니다.
  • Azure Firewall
  • Azure Bastion
  • Virtual Network 게이트웨이
• 서브넷은 특정 서비스에 위임되어 서브넷 내에서 해당 서비스의 인스턴스를 만들 수 있습니다.
• Azure는 각 서브넷 내에서 5개의 IP 주소를 예약하며, 가상 네트워크 및 포괄 서브넷의 크기를 조정할 때 고려해야 합니다.

검사 목록

안정성을 염두에 두고 Azure Virtual Network 구성했나요?

• Azure DDoS 표준 보호 계획을 사용하여 고객 Virtual Networks 내에서 호스트되는 모든 퍼블릭 엔드포인트를 보호합니다.
• 엔터프라이즈 고객은 고려된 온-프레미스 위치 및 Azure 지역에서 IP 주소 공간이 겹치지 않도록 Azure에서 IP 주소 지정을 계획해야 합니다.
• 개인 인터넷의 주소 할당에서 IP 주소를 사용합니다(RFC(Request for Comment) 1918).
• 제한된 개인 IP 주소(RFC 1918) 가용성이 있는 환경의 경우 IPv6 사용을 고려하세요.
• 불필요한 IP 주소 공간 낭비가 없도록 불필요하게 큰 Virtual Network(예: /16)를 만들지 마세요.
• 필요한 주소 공간을 미리 계획하지 않고 Virtual Network를 만들지 마세요.
• 특히 공용 IP 주소가 고객에 속하지 않는 경우 Virtual Network에 공용 IP 주소를 사용하지 마세요.
• VNet 서비스 엔드포인트를 사용하여 고객 VNet 내에서 Azure PaaS(Platform as a Service) 서비스에 대한 액세스를 보호합니다.
• 서비스 엔드포인트에서 데이터 반출 문제를 해결하려면 Azure Storage에 대한 NVA(네트워크 가상 어플라이언스) 필터링 및 VNet 서비스 엔드포인트 정책을 사용합니다.
• Azure 간 리소스의 통신을 사용하기 위해 강제 터널링을 구현하지 마세요.
• ExpressRoute 프라이빗 피어링을 통해 온-프레미스에서 Azure PaaS 서비스에 액세스합니다.
• VNet 삽입 또는 Private Link 사용할 수 없는 경우 온-프레미스 네트워크에서 Azure PaaS 서비스에 액세스하려면 데이터 반출 문제가 없는 경우 Microsoft 피어링과 함께 ExpressRoute를 사용합니다.
• 온-프레미스 경계 네트워크(DMZ, 완역 영역 및 스크린된 서브넷이라고도 함) 개념과 아키텍처를 Azure에 복제하지 마세요.
• Virtual Network 삽입된 Azure PaaS 서비스 간의 통신이 UDR(사용자 정의 경로) 및 NSG(네트워크 보안 그룹)를 사용하여 Virtual Network 내에서 잠겨 있는지 확인합니다.
• NVA 필터링을 사용하지 않는 한 데이터 반출 문제가 있는 경우 VNet 서비스 엔드포인트를 사용하지 마세요.
• 모든 서브넷에서 기본적으로 VNet 서비스 엔드포인트를 사용하도록 설정하지 마세요.

구성 권장 사항

Azure Virtual Network 구성할 때 안정성을 최적화하려면 다음 권장 사항을 고려하세요.

권장	Description
필요한 주소 공간을 미리 계획하지 않고 Virtual Network를 만들지 마세요.	주소 공간을 추가하면 Virtual Network Virtual Network 피어링을 통해 연결되면 중단이 발생합니다.
VNet 서비스 엔드포인트를 사용하여 고객 VNet 내에서 Azure PaaS(Platform as a Service) 서비스에 대한 액세스를 보호합니다.	Private Link 사용할 수 없고 데이터 반출 문제가 없는 경우에만.
ExpressRoute 프라이빗 피어링을 통해 온-프레미스에서 Azure PaaS 서비스에 액세스합니다.	전용 Azure 서비스에 VNet 삽입을 사용하거나 사용 가능한 공유 Azure 서비스에 Azure Private Link 사용합니다.
VNet 삽입 또는 Private Link 사용할 수 없는 경우 온-프레미스 네트워크에서 Azure PaaS 서비스에 액세스하려면 데이터 반출 문제가 없는 경우 Microsoft 피어링과 함께 ExpressRoute를 사용합니다.	공용 인터넷을 통해 전송을 방지합니다.
온-프레미스 경계 네트워크(DMZ, 완역 영역 및 스크린된 서브넷이라고도 함) 개념과 아키텍처를 Azure에 복제하지 마세요.	고객은 Azure에서 온-프레미스와 유사한 보안 기능을 얻을 수 있지만 구현 및 아키텍처는 클라우드에 맞게 조정되어야 합니다.
Virtual Network 삽입된 Azure PaaS 서비스 간의 통신이 UDR(사용자 정의 경로) 및 NSG(네트워크 보안 그룹)를 사용하여 Virtual Network 내에서 잠겨 있는지 확인합니다.	Virtual Network 삽입된 Azure PaaS 서비스는 여전히 공용 IP 주소를 사용하여 관리 평면 작업을 수행합니다.

다음 단계

운영 우수성 및 Azure Virtual Network