Azure Virtual Network의 Azure Well-Architected Framework 관점
Azure Virtual Network는 Azure에서 프라이빗 네트워크를 설정하기 위한 기본 구성 요소입니다. 이를 사용하여 Azure 리소스 간의 통신을 사용하도록 설정하고 인터넷 연결을 제공할 수 있습니다. Virtual Network는 온-프레미스 시스템과도 통합됩니다. 여기에는 예상, 허용 및 안전한 트래픽만 네트워크 경계 내의 구성 요소에 도달할 수 있도록 하는 기본 제공 필터링 기능이 포함되어 있습니다.
이 문서에서는 설계자로서 Azure의 네트워킹 구문에 익숙하다고 가정합니다. 이 지침은 Well-Architected Framework 핵심 요소의 원칙에 매핑되는 아키텍처 권장 사항에 중점을 줍니다.
중요하다
이 가이드를 사용하는 방법
각 섹션에는 기술 범위로 지역화된 디자인 전략과 함께 관심 있는 아키텍처 영역을 제공하는 디자인 검사 목록 있습니다.
또한 이러한 전략을 구체화하는 데 도움이 될 수 있는 기술 기능에 대한 권장 사항도 포함되어 있습니다. 권장 사항은 Virtual Network 및 해당 종속성에 사용할 수 있는 모든 구성의 전체 목록을 나타내지 않습니다. 대신 디자인 관점에 매핑된 주요 권장 사항을 나열합니다. 권장 사항을 사용하여 개념 증명을 빌드하거나 기존 환경을 최적화합니다.
Azure에서 주요 권장 사항을 보여주는 기본 아키텍처: 허브-스포크 네트워크 토폴로지.
기술 범위
이 검토는 다음 Azure 리소스에 대한 상호 연결된 결정에 중점을 둡니다.
- Virtual Network 및 해당 서브넷
- NIC(네트워크 인터페이스 카드)
- 프라이빗 엔드포인트
- NSG(네트워크 보안 그룹)
- IP 주소 및 IP 주소 할당
- 경로 테이블
- 네트워크 관리자
Azure의 간단한 네트워크 레이아웃을 보여 주는 
부하 분산 장치와 같은 Virtual Network와 연결된 다른 서비스가 있습니다. 이러한 서비스는 해당 가이드에서 다룹니다.
신뢰도
안정성 핵심 요소의 목적은 충분한 복원력과 오류로부터 빠르게 복구할 수 있는 기능을지속적인 기능을 제공하는 것입니다.
신뢰성 설계 원칙은 개별 구성 요소, 시스템 흐름 및 시스템 전체에 적용되는 고급 설계 전략을 제공합니다.
디자인 검사 목록
안정성 대한디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다. Virtual Network의 기능 및 종속성을 염두에 두고 비즈니스 요구 사항과 관련성을 확인합니다. 필요에 따라 더 많은 접근 방식을 포함하도록 전략을 확장합니다.
안정성 목표설정합니다. Virtual Network 및 대부분의 하위 서비스에는 Microsoft 지원 SLA(서비스 수준 계약) 보장이 없습니다. 그러나 부하 분산 장치, NIC 및 공용 IP 주소와 같은 특정 서비스에는 SLA가 있습니다. Azure에서 게시된 백분위수 주위에 제공되는 적용 범위를 잘 이해해야 합니다. 중앙 IT 서비스 조직은 일반적으로 가상 네트워크 및 중앙 서비스를 소유하고 있습니다. 목표 계산에 이 종속성이 포함되어 있는지 확인합니다.
실패 지점을최소화합니다. 오류 모드 분석을 수행하고 네트워크 연결에서 단일 실패 지점을 식별합니다.
다음 예제에서는 네트워크 연결에서 단일 실패 지점을 보여 줍니다.
실패 완화 단일 가용성 영역에서 공용 IP 주소 오류가 발생했습니다. 영역 간에 IP 주소 리소스를 배포하거나 부하 분산 장치에서 보조 IP 주소를 사용합니다. 단일 영역에서 NVA(네트워크 가상 어플라이언스) 오류가 발생했습니다. 다른 영역에 보조 NVA를 배포하고 부하 분산 장치를 사용하여 트래픽을 NVA로 보냅니다. 지역 또는 영역에 분산된 워크로드에서의 대기 시간으로 인해 처리량이 감소하고 시간 초과가 발생합니다. 한 지역 또는 영역에서 리소스를 공동 배치합니다. 각 스탬프가 부하를 처리하고 인근 리소스와 함께 작동할 수 있도록 부하 분산 장치가 있는 배포 스탬프와 같은 안정성 패턴을 사용하도록 아키텍처를 다시 디자인합니다. 콜드 장애 조치(failover) 사이트로 단일 지역 워크로드 오류가 발생했습니다. 네트워크 설정을 장애 조치(failover) 지역에서 미리 구성합니다. 이 방법을 사용하면 IP 주소가 겹치지 않습니다. Azure Private Link를 통해 데이터베이스와 통신하고 콜드 장애 조치 사이트를 사용하는 가상 네트워크 내 단일 지역의 애플리케이션 오류입니다. 통신을 위해 보조 지역과 피어 가상 네트워크 간의 연결을 복제합니다. 오버프로비전 IP 주소 공간 . 안정적인 크기 조정을 보장하기 위해 일반적인 전략은 IP 주소 소모를 방지하기 위해 용량을 과도하게 프로비전하는 것입니다. 그러나 이 접근 방식은 신뢰성과 운영 효율성 간에 절충이 있습니다. 서브넷은 가상 네트워크의 주소 공간 일부만 사용해야 합니다. 목표는 운영 효율성과 안정성의 균형을 맞추기 위해 가상 네트워크 및 서브넷에 충분한 추가 주소 공간만 갖추는 것입니다.
네트워킹 제한에 유의하세요. Azure는 배포할 수 있는 리소스 수에 제한을 적용합니다. 대부분의 Azure 네트워킹 제한은 최대값으로 설정되지만 몇 가지 제한을 늘릴 수 있습니다. 자세한 내용은 Azure Resource Manager 네트워킹 제한을 참조하십시오.
사용자 흐름에 초점을 맞춘 네트워크 다이어그램을 만듭니다. 이러한 다이어그램은 네트워크 구분을 시각화하고, 잠재적인 실패 지점을 식별하고, 인터넷 수신 및 송신 지점과 같은 키 전환을 정확히 파악하는 데 도움이 될 수 있습니다. 또한 감사 및 인시던트 대응을 위한 중요한 도구이기도 합니다.
사용자와 워크로드 리소스 간의 우선 순위가 높은 트래픽 흐름을 강조 표시합니다. 예를 들어 엔터프라이즈 네트워크 흐름에 대한 Azure ExpressRoute의 우선 순위를 지정하거나 경계 네트워크 디자인에서 사용자 요청을 보호하는 경우 방화벽 및 기타 서비스에 대한 용량 계획에 대한 인사이트를 얻을 수 있습니다.
중복성을 추가합니다. 필요한 경우 여러 지역에 NAT 게이트웨이 및 가상 네트워크를 배포하는 것이 좋습니다. 공용 IP 주소 및 기타 가용성 영역을 인식하는 서비스가 영역 중복성을 사용하도록 설정되어 있는지 확인하고, 방화벽과 같은 공유 리소스가 영역 중복성을 갖도록 하십시오.
자세한 내용은 Virtual Network 비즈니스 연속성참조하세요.
복잡성을 피하기 가상 네트워크, 서브넷, IP 주소, 경로, ASG(애플리케이션 보안 그룹) 및 태그에 주의하세요. 간단한 구성은 잘못된 구성 및 오류의 가능성을 줄입니다. 잘못된 구성 및 오류는 안정성 문제에 기여하고 운영 및 유지 관리 비용을 추가합니다. 간소화의 몇 가지 예는 다음과 같습니다.
- 가능한 경우 프라이빗 DNS를 사용하고 DNS 영역 수를 최소화합니다.
- 라우팅 구성을 간소화합니다. 아키텍처에서 사용되는 경우 방화벽을 통해 모든 트래픽을 라우팅하는 것이 좋습니다.
네트워크복원력을 테스트합니다. Azure Chaos Studio를 사용하여 네트워크 연결 중단을 시뮬레이션합니다. 이 방법을 사용하면 워크로드가 중복 상태를 유지하고 잠재적인 오류의 영향을 평가하는 데 도움이 됩니다.
네트워크 트래픽이 안정성에 미치는 영향을 모니터링합니다. 트래픽 흐름 모니터링은 안정성을 위한 중요한 작업입니다. 예를 들어 네트워크에서 대용량 통신자를 식별하여 중단을 일으킬 수 있는지 여부를 확인하려고 합니다. Azure는 흐름 로깅 기능을 제공합니다. 자세한 내용은 운영 우수성참조하세요.
권장 사항
| 추천 | 이익 |
|---|---|
| 크기 조정 전략에 따라 가상 네트워크 및 서브넷의 크기를 조정합니다. 오류에 대한 완화 전략으로 중복성을 수용하려면 더 적은 수의 더 큰 가상 네트워크를 선택합니다. 통신해야 하는 다른 가상 네트워크와 주소 공간이 겹치지 않도록 하고 주소 공간을 미리 계획합니다. 자세한 내용은 가상 네트워크 만들기, 변경 또는 삭제참조하세요. |
과도하게 프로비전하면 주소 공간 제한 없이 네트워크가 효율적으로 확장되도록 할 수 있습니다. 충돌을 방지하고 원활하고 확장 가능한 네트워크 아키텍처를 보장하기 위해 주소 공간을 미리 계획합니다. |
| 가용성 영역을 통한 안정성 지원을 향상하기 위해 표준 IP SKU 사용합니다. 기본적으로 공용 IP 주소는 하나의 영역으로 제한되지 않는 한 여러 영역에 배포됩니다. | 이 SKU를 사용하면 영역 오류가 발생하는 동안 공용 IP 주소 내의 통신이 계속 작동하도록 할 수 있습니다. |
안전
보안 핵심 요소의 목적은 워크로드에 기밀성, 무결성 및 가용성 보증을 제공하는 것입니다.
보안 디자인 원칙은 가상 네트워크의 기술 디자인에 접근 방식을 적용하여 이러한 목표를 달성하기 위한 높은 수준의 디자인 전략을 제공할 있습니다.
디자인 검사 목록
보안 대한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작하고 취약성 및 컨트롤을 식별하여 보안 상태를 개선합니다. 필요에 따라 더 많은 접근 방식을 포함하도록 전략을 확장합니다.
보안 기준설정합니다. Virtual Network 대한 보안 기준을 검토하고 해당 측정값을 기준에 통합합니다.
네트워크 경계를 최신 상태로유지하십시오. NSG, ASG 및 IP 주소 범위와 같은 보안 설정은 정기적으로 업데이트해야 합니다. 오래된 규칙은 현재 네트워크 아키텍처 또는 트래픽 패턴과 일치하지 않을 수 있습니다. 이러한 보안 격차로 인해 수신 및 송신 트래픽에 대한 제한을 낮추면 네트워크가 잠재적인 공격에 노출될 수 있습니다.
세분화를 사용하여 보안강화합니다. 서브넷 수준에서 NSG를 L4 방화벽으로 사용합니다. 모니터링 및 관리를 위해 사용자 정의 경로를 사용하여 방화벽과 같은 네트워크 가상 어플라이언스로 모든 외부 트래픽을 라우팅합니다. FQDN(정규화된 도메인 이름)을 사용하여 인터넷 액세스를 필터링합니다.
아웃바운드 연결을 차단하는 동안 프라이빗 엔드포인트를 사용하여 서비스로서의 플랫폼 연결을 보호합니다.
최소 권한원칙을 적용합니다. 네트워크 관련 역할에 대한 액세스 권한 없음 사고방식을 사용하여 RBAC(역할 기반 액세스 제어)를 구성합니다. 사용자가 작업 함수에 필요한 경우에만 설정을 수정할 수 있는지 확인합니다.
공용 IP 주소제한합니다. 보안 및 초기 요청 확인을 향상하기 위해 Azure Front Door와 같은 서비스의 공유 공용 IP 주소를 사용합니다. 전용 공용 IP 주소를 관리하려면 포트 관리 및 요청 유효성 검사를 포함하여 해당 보안을 감독해야 합니다. 가능하면 프라이빗 연결을 사용합니다.
권장 사항
| 추천 | 이익 |
|---|---|
| 가상 네트워크 암호화를 사용하십시오. | 암호화된 트래픽을 적용하여 동일한 가상 네트워크 내에서 Azure Virtual Machines와 Azure Virtual Machine Scale Sets 간에 전송 중인 데이터를 보호할 수 있습니다. 또한 지역 및 전역 피어된 가상 네트워크 간의 트래픽을 암호화합니다. |
|
Azure Virtual Network Manager에서 Virtual Network 검증 도구 사용하도록 설정합니다. 사전 프로덕션 환경에서 이 기능을 사용하여 리소스 간의 연결을 테스트합니다. 이 기능은 프로덕션 환경에서는 권장되지 않습니다. |
네트워크 내의 Azure 리소스에 연결할 수 있고 정책에 의해 차단되지 않았는지 확인합니다. |
| 가상 네트워크에 Azure DDoS Protection 사용하도록 설정합니다. 또는 Azure DDoS IP Protection 통해 개별 공용 IP 주소를 보호할 수 있습니다. DDoS IP Protection 및 DDoS 네트워크 보호에 제공된 보안 기능을 검토하고 요구 사항에 맞는 기능을 선택합니다. 예를 들어 DDoS 네트워크 보호 계층은 공격이 발생할 때 신속한 대응 팀의 지원을 제공합니다. DDoS IP 보호 계층은 이 지원을 제공하지 않습니다. |
분산 서비스 거부 공격으로부터 보호할 수 있습니다. |
|
NSG사용하여 가상 네트워크 내의 세그먼트를 보호합니다. 가능하면 ASG를 사용하여 규칙을 정의합니다. |
네트워크로 들어오고 나가는 트래픽은 IP 주소 및 포트 범위에 따라 필터링할 수 있습니다. ASG는 기본 IP 주소 범위를 추상화하여 관리를 간소화합니다. |
|
프라이빗 엔드포인트 사용하여 가상 네트워크 내의 개인 IP 주소를 통해 Azure 서비스에 액세스합니다. 프라이빗 네트워킹을 구현하는 또 다른 방법은 서비스 엔드포인트을 이용하는 것입니다. 이러한 엔드포인트는 Azure 네트워크 백본을 통해 트래픽을 서비스로 라우팅합니다. 서비스에 사용할 수 있는 경우 서비스 엔드포인트 대신 프라이빗 엔드포인트를 선택합니다. |
프라이빗 엔드포인트는 공용 IP 주소의 필요성을 제거하므로 공격 노출 영역이 줄어듭니다. |
비용 최적화
비용 최적화는 지출 패턴을 감지하고, 중요한 영역에 대한 투자의 우선 순위를 지정하고, 비즈니스 요구 사항을 충족하면서 조직의 예산을 충족하도록 다른 영역에서 최적화하는 데 중점을 둡니다.
비용 최적화 설계 원칙은 네트워킹 환경과 관련된 기술 설계에서 필요시 목표를 달성하고 타협점을 마련하기 위한 고수준의 설계 전략을 제공합니다.
디자인 검사 목록
투자 비용 최적화 을 위한 디자인 검토 체크리스트를 기반으로 디자인 전략을 시작하세요. 워크로드가 워크로드에 할당된 예산에 맞게 조정되도록 디자인을 미세 조정합니다. 디자인은 적절한 Azure 기능을 사용하고, 투자를 모니터링하고, 시간이 지남에 따라 최적화할 기회를 찾아야 합니다.
엔드포인트간의 대용량 데이터 전송을 최적화합니다. 가상 네트워크 피어링을 사용하여 가상 네트워크 간에 데이터를 효율적으로 이동합니다. 피어링에는 인바운드 및 아웃바운드 비용이 있지만 대역폭 사용량 및 네트워크 성능 문제를 줄이기 때문에 이 방법은 비용 효율적일 수 있습니다. 비효율성과 비용을 최소화하기 위해 허브를 통한 라우팅을 방지합니다.
지역 간 데이터 전송을 최적화하려면 빈도와 전송 방법을 모두 고려해야 합니다. 예를 들어 백업을 처리할 때 백업을 저장하는 위치는 비용에 큰 영향을 줄 수 있습니다. 다른 지역에 백업 데이터를 저장하면 대역폭이 발생합니다. 이러한 비용을 완화하려면 데이터를 지역 간에 전송하기 전에 압축해야 합니다. 데이터 전송 빈도를 조정하여 비용 및 효율성을 더욱 최적화할 수 있습니다.
네트워킹 구성 요소를 비용 모델에 포함합니다. 예산을 만들거나 조정할 때 숨겨진 비용을 고려합니다. 예를 들어 다중Region 아키텍처에서는 지역 간에 데이터를 전송하는 데 추가 비용이 듭니다.
Azure 비용 보고서에는 별도의 라이선스 비용이 있는 타사 NVA와 관련된 비용이 포함되지 않을 수 있습니다. 고정 가격 및 소비 기반 옵션에 대한 청구 모델도 다를 수 있습니다. 이러한 요소를 예산 고려 사항에 포함해야 합니다.
Azure Firewall 및 ExpressRoute와 같은 일부 네트워킹 리소스는 비용이 많이 들 수 있습니다. 이러한 리소스를 중앙 집중식 허브 모델에 프로비전하고 발생한 비용에 대한 요금을 팀에 할당할 수 있습니다. 비용 모델에 해당 요금을 포함합니다.
사용하지 않는 기능대한 비용을 지불하지 마세요. 구성 요소 비용을 정기적으로 검토하고 레거시 기능 또는 기본 구성을 제거합니다. 비용을 절감하려면 공용 IP 주소 수를 제한합니다. 또한 이 방법은 공격 노출 영역을 줄여 보안을 강화합니다.
프라이빗 엔드포인트최적화합니다. 다른 가상 네트워크의 리소스에 대한 프라이빗 링크를 다시 사용할 수 있는지 여부를 결정합니다. 지역 가상 네트워크 피어링에서 프라이빗 엔드포인트를 사용하는 경우 프라이빗 엔드포인트 간 트래픽에 대한 피어링 요금이 부과되지 않습니다. 가상 네트워크 간의 트래픽이 아닌 프라이빗 링크 액세스 자체에 대해서만 비용을 지불합니다. 자세한 내용은 허브 및 스포크 네트워크 구조의 에서프라이빗 링크를 참조하세요.
흐름우선 순위 및 보안 요구 사항에 따라 네트워크 트래픽 검사 기능을 정렬합니다. 대역폭 요구 사항의 경우 트래픽을 저렴한 경로로 라우팅하는 것이 좋습니다. ExpressRoute는 대용량 트래픽에 적합하지만 비용이 많이 들 수 있습니다. 비용 절감을 위해 퍼블릭 엔드포인트와 같은 대안을 고려합니다. 그러나 보안에는 타협이 있습니다. 네트워크-네트워크 트래픽에 네트워크 피어링을 사용하여 방화벽을 우회하고 불필요한 검사를 방지합니다.
구성 요소 간에 필요한 트래픽만 허용하고 예기치 않은 트래픽을 차단합니다. 트래픽이 예상되고 흐름이 보안 요구 사항에 부합하는 경우 해당 검사점을 생략할 수 있습니다. 예를 들어 원격 리소스가 트러스트 경계 내에 있는 경우 방화벽을 통해 트래픽을 라우팅해야 하는지 여부를 평가합니다.
가상 네트워크 내에서도 서브넷 수와 연결된 NSG 수를 평가합니다. NSG가 많을수록 규칙 집합을 관리하기 위한 운영 비용이 높아질 수 있습니다. 가능하면 ASG를 사용하여 관리를 간소화하고 비용을 절감합니다.
코드 비용을 최적화합니다. 애플리케이션을 개발할 때 더 효율적인 프로토콜을 선택하고 데이터 압축을 적용하여 성능을 최적화합니다. 예를 들어 데이터를 압축하도록 구성 요소를 구성하여 웹앱의 효율성을 높일 수 있습니다. 이러한 최적화는 성능에도 영향을 줍니다.
중앙 집중식 가상 네트워크리소스를 활용합니다. 중앙 집중식 리소스를 사용하여 중복 및 오버헤드를 줄입니다. 또한 기존 팀에 책임을 오프로드하면 비용을 최적화하고 특정 기능에 대한 전문 지식을 위임할 수 있습니다.
권장 사항
| 추천 | 이익 |
|---|---|
|
가상 네트워크 피어링 사용하여 제어를 우회하여 네트워크 흐름을 보다 효율적으로 만듭니다. 과도한 피어링을 피하세요. |
피어된 가상 네트워크 간에 직접 데이터를 전송하여 방화벽을 우회하여 대역폭 사용량 및 네트워크 성능 문제를 줄입니다. 모든 리소스를 단일 가상 네트워크에 배치하지 않습니다. 피어링 비용이 발생할 수 있지만 비용을 절감하기 위해서만 모든 리소스를 단일 가상 네트워크에 배치하는 것은 실용적이지 않습니다. 그것은 성장을 방해 할 수 있습니다. 가상 네트워크는 결국 새 리소스가 더 이상 적합하지 않은 지점에 도달할 수 있습니다. |
|
필요하지 않은 경우 공용 IP 주소 리소스를 최소화합니다. 삭제하기 전에 IP 주소가 IP 주소 구성 또는 가상 머신 네트워크 인터페이스와 연결되지 않았는지 확인합니다. |
불필요한 공용 IP는 리소스 요금 및 운영 오버헤드로 인해 비용을 증가시킬 수 있습니다. |
운영 우수성
운영 우수성은 주로 개발 사례, 관찰 가능성 및 릴리스 관리대한 절차에 중점을 둡니다.
운영 우수성 디자인 원칙은 워크로드의 운영 요구 사항에 대해 이러한 목표를 달성하기 위한 높은 수준의 디자인 전략을 제공할 있습니다.
디자인 검사 목록
디자인 검토 검사 목록을 기반으로 하여 네트워킹 환경과 관련된 관측 가능성, 테스트 및 배포의 프로세스를 정의하기 위한 운영 우수성의 디자인 전략을 시작합니다.
새 Azure 네트워킹 구문알아봅니다. Azure에 온보딩할 때 네트워킹 팀은 종종 기존 지식이 충분하다고 가정합니다. 그러나 Azure에는 다양한 측면이 있습니다. 팀에서 기본 Azure 네트워킹 개념, DNS 복잡성, 라우팅 및 보안 기능을 이해해야 합니다. 팀이 지식을 공유하고 일반적인 이해를 가질 수 있도록 네트워킹 서비스의 분류를 작성합니다.
네트워크 설계를 공식화하고 단순함을 추구하세요. 경로 테이블, NSG 및 방화벽 규칙과 같은 구성 세부 정보를 포함하여 디자인 및 변경 내용을 문서화합니다. 포트 차단과 같이 적용된 거버넌스 정책을 포함합니다. 명확한 설명서를 통해 다른 팀 및 관련자와의 공동 작업을 효과적으로 수행할 수 있습니다.
간소화된 네트워크는 모니터링, 문제 해결 및 유지 관리가 더 쉽습니다. 예를 들어 허브 및 스포크 토폴로지를 사용하는 경우 스포크 간의 직접 피어링을 최소화하여 운영 부담을 줄이고 보안을 강화합니다. 항상 디자인을 문서화하고 각 디자인 결정에 대한 근거를 제공합니다.
직접 IP 주소 범위 대신 별칭을 사용하여 복잡성을 줄입니다. 이 방법을 사용하면 운영 부담이 줄어듭니다.
네트워크 트래픽최적화하는 디자인 패턴을 사용합니다. 네트워크 사용 및 구성을 최적화하려면 네트워크 트래픽을 최소화하거나 최적화하는 알려진 디자인 패턴을 구현합니다. 보안 스캐너를 사용하여 빌드하는 동안 네트워크 구성의 유효성을 검사하여 모든 것이 올바르게 설정되었는지 확인합니다.
일관된 네트워크 배포수행합니다. 네트워크 피어링 및 프라이빗 엔드포인트를 비롯한 모든 구성 요소에 대해 IaC(Infrastructure as Code)를 사용합니다. 핵심 네트워킹 구성 요소는 다른 구성 요소보다 자주 변경되지 않습니다. 각 계층을 독립적으로 배포할 수 있도록 스택에 대해 계층화된 배포 방법을 구현합니다. 복잡성을 방지하기 위해 IaC를 스크립팅과 결합하지 마세요.
네트워킹 스택모니터링합니다. 연속적인 오류가 발생하기 전에 트래픽 패턴을 지속적으로 모니터링하여 연결 끊기와 같은 변칙 및 문제를 식별합니다. 가능하면 경고를 설정하여 이러한 중단에 대한 알림을 받습니다.
이 아키텍처의 다른 구성 요소와 마찬가지로 가상 네트워크, 서브넷, NSG, 방화벽 및 부하 분산 장치와 같은 다양한 네트워킹 구성 요소에서 모든 관련 메트릭 및 로그를 캡처합니다. 대시보드에서 집계, 시각화 및 분석합니다. 중요한 이벤트에 대한 경고를 만듭니다.
실패 완화 전략에 네트워킹을 포함하십시오. 가상 네트워크 및 서브넷은 처음에 배포되며 일반적으로 변경되지 않은 상태로 유지되어 롤백이 어려워집니다. 그러나 다음과 같은 몇 가지 전략에 따라 복구를 최적화할 수 있습니다.
특히 하이브리드 설정의 경우 네트워킹 인프라 중복을 미리. 서로 다른 지역의 개별 경로가 서로 미리 통신할 준비가 되었는지 확인합니다. 기본 및 재해 복구(DR) 사이트 모두에서 일관된 NSG 및 Azure Firewall 규칙을 복제하고 유지 관리합니다. 이 프로세스는 시간이 오래 걸리고 승인이 필요하지만 사전에 수행하면 문제 및 오류를 방지하는 데 도움이 됩니다. DR 사이트에서 네트워킹 스택을 테스트해야 합니다.
프로덕션 네트워크와 DR 네트워크간에 IP 주소 범위가 겹치지 않도록 합니다. 고유한 IP 주소 범위를 유지 관리하면 네트워크 관리를 간소화하고 장애 조치(failover) 이벤트 중에 전환을 신속하게 수행할 수 있습니다.
비용과 안정성 간의 장차를 고려합니다. 자세한 내용은 Trade-offs을 참조하세요.
네트워크 작업을 중앙 팀오프로드합니다. 가능하면 네트워킹 인프라의 관리 및 거버넌스를 중앙 집중화합니다. 예를 들어 허브-스포크 토폴로지에서 Azure Firewall 및 ExpressRoute와 같은 서비스는 공유 사용을 위한 DNS가 허브 네트워크에 배치됩니다. 해당 네트워킹 스택은 중앙에서 관리되어야 하므로 워크로드 팀의 부담이 줄어듭니다.
스포크 네트워크에서도 가상 네트워크 관리를 중앙 팀에 오프로드합니다. NSG 관리와 같이 워크로드와 관련되는 네트워크 작업을 최소화합니다.
공유 리소스의 구성에 영향을 줄 수 있는 워크로드의 필요한 변경 내용을 중앙 팀에 알려 줍니다. 별칭은 작업을 간소화하는 기본 IP 주소를 추상화합니다.
가상 네트워크 및 서브넷권한을 부여합니다. 관리 오버헤드를 줄이고 서브넷이 지나치게 커지는 것을 방지하려면 더 적은 수의 더 큰 가상 네트워크를 선택합니다. 서브넷 및 해당 NSG의 관리는 운영 부담을 가중할 수 있습니다. 개인 IP 주소(RFC 1918) 가용성이 제한된 환경의 경우 IPv6을 사용하는 것이 좋습니다.
| 추천 | 이익 |
|---|---|
| Virtual Network Manager배포합니다. | Virtual Network Manager는 각 가상 네트워크를 개별적으로 구성하는 대신 규칙에 따라 연결을 중앙에서 관리합니다. 이 방법은 네트워킹 작업을 간소화합니다. |
| 네트워킹 모니터링 도구를 사용합니다. 정기적으로 가상 네트워크 흐름 로그 및 트래픽 분석 사용하여 수요 및 패턴의 변화를 식별합니다. 연결 모니터 기능 사용하여 애플리케이션에 영향을 미치기 전에 연결 삭제와 같은 문제를 분석하고 식별합니다. |
네트워크를 통해 데이터가 흐르는 방식을 이해하고, 병목 상태를 식별하고, 비정상적이거나 무단 액세스 시도를 식별할 수 있습니다. |
| 경로를 정의할 때 특정 IP 주소 대신 서비스 태그 사용합니다. 마찬가지로 NSG에 대한 트래픽 규칙을 정의할 때 ASG를 사용합니다. |
이 방법은 IP 주소가 변경 될 수 있지만 구성이 필요하지 않기 때문에 안정성을 보장합니다. 또한 보다 일반적인 이름을 사용하여 설정할 수 있는 경로 또는 규칙 수에 대한 제한을 극복하는 데 도움이 됩니다. |
성능 효율성
성능 효율성은 부하 가 증가하는 경우에도 용량을 관리하여 사용자 경험을 유지합니다. 이 전략에는 리소스 크기 조정, 잠재적인 병목 현상 식별 및 최적화, 최고 성능 최적화가 포함됩니다.
성능 효율성 디자인 원칙은 예상 사용량에 대해 이러한 용량 목표를 달성하기 위한 높은 수준의 디자인 전략을 제공할 있습니다.
디자인 검사 목록
핵심 성과 지표를 기반으로 기준을 정의하기 위한 성능 효율성 대한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다.
성능 대상정의합니다. 성능 목표를 정의하려면 특히 대기 시간 및 대역폭에 대한 모니터링 메트릭을 사용합니다. 대기 시간 및 홉 수와 같은 연결 모니터 데이터를 사용하여 허용 가능한 성능에 대한 대상 및 임계값을 설정합니다. Application Insights는 워크로드 요청이 네트워크에서 소비하는 시간에 대한 자세한 보기를 제공하므로 이러한 대상을 구체화하는 데 도움이 됩니다.
서브넷 크기를 적절히 조정하세요 서브넷을 할당할 때는 크기와 확장성의 균형을 맞추는 것이 중요합니다. 서브넷이 운영 부담 없이 예상되는 성장을 수용할 수 있을 만큼 충분히 커지길 원합니다.
용량을 효과적으로 관리하기 위해 일반적인 전략은 불확실성으로 인해 용량을 과도하게 프로비전하는 것이지만, 목표는 시간이 지남에 따라 최적화하는 것입니다. 지속적으로 데이터를 분석하여 네트워크에서 부하를 처리할 수 있지만 사용하지 않는 리소스에 대해서는 추가 비용을 지불하지 않습니다.
성능 테스트수행합니다. 가상 데이터와 프로덕션 데이터의 조합을 사용하여 대기 시간 및 대역폭을 테스트합니다. 이 방법은 이러한 요인이 워크로드 성능에 어떤 영향을 미칠 수 있는지 평가하는 데 도움이 됩니다. 예를 들어 시끄러운 인접 문제를 일으키는 리소스를 검색하고 예상보다 더 많은 대역폭을 사용할 수 있습니다. 또한 여러 번의 홉을 거쳐 대기 시간이 높은 트래픽을 식별합니다.
프로덕션에서 테스트하거나 프로덕션 데이터를 테스트 데이터로 캡처하고 재생하는 것이 좋습니다. 이 방법을 사용하면 실제 사용량을 테스트에 반영하므로 실제 성능 목표를 설정하는 데 도움이 됩니다.
지역 간 트래픽을 모니터링합니다. 워크로드 리소스가 다른 지역에 있을 수 있다는 점을 고려해야 합니다. 지역 간 통신은 상당한 대기 시간을 추가할 수 있습니다. 동일한 지역의 가용성 영역 간 트래픽은 대기 시간이 짧지만 일부 특수 워크로드에는 충분히 빠르지 않을 수 있습니다.
권장 사항
| 추천 | 이익 |
|---|---|
|
Azure Network Watcher 연결 모니터사용하도록 설정합니다. 테스트하는 동안 연결 모니터를 사용하여 가상 트래픽을 생성할 수 있습니다. |
네트워크 간 손실 및 대기 시간을 나타내는 메트릭을 수집할 수 있습니다. 또한 네트워크 병목 상태를 감지하는 데 중요한 전체 트래픽 경로를 추적할 수 있습니다. |
| 크기 조정을 지원할 수 있을 만큼 가상 네트워크 주소 공간을 충분히 크게 유지합니다. | 운영 부담 없이 예상 성장을 수용할 수 있습니다. |
타협점
핵심 요소 검사 목록의 접근 방식을 사용하는 경우 디자인에서 타협을 해야 할 수도 있습니다. 다음 예제에서는 장점과 단점을 강조 표시합니다.
중복 네트워킹 스택
NSG, 경로 및 기타 구성을 포함하여 중복 네트워킹 스택을 구현하도록 선택하면 인프라 및 철저한 테스트 비용이 추가됩니다.
이 선행 투자는 안정성을 향상시킵니다. 모든 것이 예상대로 작동하고 중단 중에 복구 속도를 높일 수 있습니다.
가상 네트워크 피어링
직접 가상 네트워크 피어링에서는 방화벽이 페이로드를 암호 해독, 검사 및 다시 암호화하는 허브를 통해 트래픽을 라우팅할 필요가 없으므로 대기 시간을 줄여 성능을 향상시킵니다.
이러한 성능 향상은 보안 저하로 인해 발생합니다. 허브 라우팅이 제공하는 방화벽 검사가 없으면 워크로드가 잠재적 위협에 더 취약합니다.
큰 서브넷
큰 서브넷은 충분한 주소 공간을 제공하므로 워크로드를 원활하게 확장할 수 있습니다. 주소 공간이 크면 예기치 않은 수요 급증을 방지할 수 있습니다. 그러나 IP 주소를 비효율적으로 사용할 수 있습니다. 시간이 지남에 따라 이러한 비효율성으로 인해 워크로드가 진화함에 따라 IP 주소가 소모될 수 있습니다. 또한 이 전략에는 더 높은 운영 비용이 발생합니다. 운영 우수성의 관점에서 서브넷을 가능한 한 작게 유지하는 것이 이상적입니다.
Azure 정책
Azure는 Virtual Network 및 해당 종속성과 관련된 광범위한 기본 제공 정책 집합을 제공합니다. 리소스가 조직 표준을 준수하는지 확인하는 데 도움이 되는 정책을 정의하고 할당합니다. 비규격 리소스를 식별하고 수정 작업을 수행하는 Azure Policy 규정 준수 대시보드 만듭니다.
Azure 정책 집합은 이전 권장 사항 중 일부를 감사할 수 있습니다. 예를 들어 자동으로 정책을 설정할 수 있습니다.
- 볼륨 및 프로토콜 공격으로부터 가상 네트워크를 보호합니다.
- 공용 IP 주소가 있는 네트워크 인터페이스 만들기를 거부합니다.
- 가상 네트워크에 대한 Network Watcher를 배포합니다.
- 트래픽 분석 및 흐름 로그를 사용하도록 설정하여 트래픽 패턴을 모니터링합니다.
포괄적인 거버넌스를 위해 Azure Policy 기본 제공 정의 및 네트워크 계층의 보안에 영향을 줄 수 있는 기타 정책을 검토합니다.
Azure Advisor 권장 사항
Azure Advisor 모범 사례를 따라 Azure 배포를 최적화하는 데 도움이 되는 맞춤형 클라우드 컨설턴트입니다. 다음은 가상 네트워크의 안정성, 보안, 비용 효율성, 성능 및 운영 우수성을 개선하는 데 도움이 되는 몇 가지 권장 사항입니다.
다음 단계
다음 문서에서는 이 문서에서 설명하는 권장 사항을 보여 줍니다.
허브-스포크 토폴로지의 경우 허브-스포크 네트워크 토폴로지 참조 아키텍처 사용하여 초기 스탬프를 설정합니다.
구현 전문 지식을 향상하려면 다음 제품 설명서를 사용합니다.