Microsoft Entra 프라이빗 네트워크 커넥터 그룹 이해
프라이빗 네트워크 커넥터 그룹을 사용하여 특정 애플리케이션에 특정 커넥터를 할당합니다. 커넥터 그룹을 사용하면 더 많은 제어 기능을 제공하고 배포를 최적화할 수 있습니다.
각 개인 네트워크 커넥터는 커넥터 그룹에 할당됩니다. 동일한 커넥터 그룹에 속한 모든 커넥터는 고가용성 및 부하 분산을 위해 별도의 단위로 작동합니다. 모든 커넥터는 커넥터 그룹에 속합니다. 그룹을 만들지 않는 경우 모든 커넥터는 기본 그룹에 있습니다. 새 커넥터 그룹을 만들고 Microsoft Entra 관리 센터에서 커넥터를 할당합니다.
커넥터 그룹은 애플리케이션이 다른 위치에 호스트되는 경우에 유용합니다. 위치에 따라 커넥터 그룹을 만듭니다. 애플리케이션은 물리적으로 가까운 커넥터를 사용합니다.
팁
대규모 애플리케이션 프록시 배포가 있는 경우 기본 커넥터 그룹에 애플리케이션을 할당하지 마세요. 이런 방식으로 새 커넥터는 활성 커넥터 그룹에 할당될 때까지 라이브 트래픽을 수신하지 않습니다. 또한 이 구성을 통해 사용자에 영향을 주지 않고 유지 관리를 수행할 수 있도록 기본 그룹으로 다시 이동하여 커넥터를 유휴 모드로 전환할 수 있습니다.
필수 조건
커넥터 그룹을 사용하려면 여러 커넥터가 있어야 합니다. 새 커넥터는 기본 커넥터 그룹에 자동으로 추가됩니다. 커넥터 설치에 대한 자세한 내용은 커넥터D 구성을 참조하세요.
커넥터 그룹에 애플리케이션 할당
애플리케이션을 처음 게시할 때 커넥터 그룹에 할당합니다. 커넥터가 할당된 그룹을 업데이트할 수도 있습니다.
커넥터 그룹의 사용 사례
커넥터 그룹은 다음을 비롯한 다양한 시나리오에 유용합니다.
여러 데이터 센터가 연결되어 있는 사이트
대규모 조직에서는 여러 데이터 센터를 사용합니다. 데이터 센터 간 링크는 비용이 많이 들고 속도가 느리기 때문에 특정 데이터 센터 내에서 가능한 한 많은 트래픽을 유지하려고 합니다. 데이터 센터 내에 있는 애플리케이션만 제공하기 위해 각 데이터 센터에 커넥터를 배포합니다. 이 방법은 데이터 센터 간 링크를 최소화하고 사용자에게 완전히 투명한 경험을 제공합니다.
격리된 네트워크에 설치된 애플리케이션
애플리케이션은 주 회사 네트워크의 일부가 아닌 네트워크에서 호스트될 수 있습니다. 커넥터 그룹을 사용하여 격리된 네트워크의 전용 커넥터를 설치하고 해당 네트워크에 애플리케이션도 격리할 수 있습니다. 이 시나리오는 특정 애플리케이션을 유지 관리하는 공급업체에 일반적입니다.
IaaS(서비스 제공 인프라)에 설치된 애플리케이션
클라우드 액세스를 위해 IaaS(서비스 제공 인프라)에 설치된 애플리케이션의 경우 커넥터 그룹은 모든 앱에 대한 액세스를 보호하는 공통 서비스를 제공합니다. 커넥터 그룹은 회사 네트워크에 더 많은 종속성을 만들거나 앱 환경을 조각화하지 않습니다. 커넥터는 모든 클라우드 데이터 센터에 설치되며 해당 네트워크에 상주하는 애플리케이션만 제공합니다. 고가용성을 달성하기 위해 여러 커넥터를 설치합니다.
예를 들어 IaaS 호스팅된 고유한 가상 네트워크에 연결된 가상 머신이 여러 개 있는 조직을 사용합니다. 직원이 이러한 애플리케이션을 사용할 수 있도록 이러한 프라이빗 네트워크는 사이트 간 VPN(가상 사설망)을 사용하여 회사 네트워크에 연결됩니다. 사이트 간 VPN은 온-프레미스에 있는 직원에게 좋은 환경을 제공합니다. 그러나 다이어그램에 나와 있는 것처럼 액세스를 라우팅하는 데 더 많은 온-프레미스 인프라가 필요하기 때문에 원격 직원에게는 적합하지 않습니다.
Microsoft Entra 개인 네트워크 커넥터 그룹을 사용하면 회사 네트워크에 더 많은 종속성을 만들지 않고도 공통 서비스를 사용하여 모든 애플리케이션에 대한 액세스를 보호할 수 있습니다.
다중 포리스트 - 포리스트마다 서로 다른 커넥터 그룹
Single Sign-On은 일반적으로 KCD(Kerberos 제한 위임)를 사용하여 수행됩니다. 커넥터의 컴퓨터는 사용자를 애플리케이션에 위임할 수 있는 도메인에 가입됩니다. KCD는 포리스트 간 기능을 지원합니다. 그러나 둘 사이에 신뢰가 없는 고유한 다중 포리스트 환경이 있는 회사의 경우 모든 포리스트에 단일 커넥터를 사용할 수 없습니다. 대신 특정 커넥터는 포리스트별로 배포되고 해당 특정 포리스트의 사용자만 제공하도록 게시된 애플리케이션을 제공하도록 설정됩니다. 각 커넥터 그룹마다 별도의 포리스트를 나타냅니다. 테넌트와 대부분의 환경이 모든 포리스트에 대해 통합되지만 Microsoft Entra 그룹을 사용하여 사용자를 포리스트 애플리케이션에 할당할 수 있습니다.
재해 복구 사이트
DR(재해 복구) 사이트에는 다음 두 가지 방법을 고려해야 합니다.
- DR 사이트는 기본 사이트와 정확히 같은 활성-활성 모드로 구축됩니다. 사이트에는 동일한 네트워킹 및 AD(Active Directory) 설정도 있습니다. 기본 사이트와 동일한 커넥터 그룹의 DR 사이트에 커넥터를 만들 수 있습니다. Microsoft Entra ID는 장애 조치(failover)를 검색합니다.
- DR 사이트는 기본 사이트와 별개입니다. DR 사이트에서 다른 커넥터 그룹을 만듭니다. 백업 애플리케이션이 있거나 필요에 따라 기존 애플리케이션을 DR 커넥터 그룹으로 수동으로 전환합니다.
단일 테넌트에서 여러 회사 제공
단일 서비스 공급자가 여러 회사에 대해 Microsoft Entra 관련 서비스를 배포하고 유지 관리하는 모델을 구현할 수 있습니다. 커넥터 그룹을 사용하면 커넥터와 애플리케이션을 다른 그룹으로 분리할 수 있습니다. 소규모 회사에 적합한 한 가지 방법은 단일 Microsoft Entra 테넌트를 보유하지만 다른 회사는 자체의 도메인 이름과 네트워크를 보유하는 것입니다. 동일한 접근 방식은 단일 부서가 규제 또는 비즈니스상의 이유로 여러 회사에 서비스를 제공하는 합병 시나리오 및 상황에 적합합니다.
샘플 구성
이러한 샘플 커넥터 그룹 구성을 고려합니다.
기본 구성 - 커넥터 그룹 사용 안 함
커넥터 그룹을 사용하지 않는 경우 구성은 다음과 같습니다.
구성은 소규모 배포 및 테스트에 충분합니다. 조직에 플랫 네트워크 토폴로지가 있는 경우에도 작동합니다.
기본 구성 및 격리된 네트워크
구성은 기본값의 진화이며, 특정 앱은 IaaS 가상 네트워크와 같은 격리된 네트워크에서 실행됩니다.
권장 구성 - 여러 특정 그룹 및 유휴 상태의 기본 그룹
크고 복잡한 조직에 권장되는 구성은 기본 커넥터 그룹을 어떤 애플리케이션도 제공하지 않고 유휴 또는 새로 설치된 커넥터에 사용되는 그룹으로 사용하는 것입니다. 모든 애플리케이션은 사용자 지정된 커넥터 그룹을 통해 제공됩니다.
이 예제에서 회사에는 각 사이트에 서비스를 제공하는 두 개의 커넥터가 있는 두 개의 데이터 센터 A와 B가 있습니다. 각 사이트에는 실행되는 다양한 애플리케이션이 있습니다.