Azure에서 하이브리드 네트워크 작업

  • 10분

조직은 클라우드로 마이그레이션을 계속 진행하려고 합니다. Azure ExpressRoute를 사용하여 온-프레미스 네트워크와 Azure 간에 전용 고속 연결을 제공하는 장점에 대해 살펴보았습니다.

온-프레미스 네트워크를 Azure에 연결하는 데 사용할 수 있는 다른 하이브리드 아키텍처 옵션을 신중하게 살펴보아야 합니다.

이 단원에서 학습할 내용은 다음과 같습니다.

  • 가상 프라이빗 네트워크 연결 알아보기
  • ExpressRoute에 대한 복원력 옵션 살펴보기
  • 허브-스포크 네트워크 토폴로지의 장점 고려

하이브리드 네트워크 아키텍처란 무엇인가요?

하이브리드 네트워크는 서로 다른 두 네트워크 토폴로지를 결합하여 단일 결합 네트워크를 형성할 때 사용되는 용어입니다. Azure에서 하이브리드 네트워크는 온-프레미스 네트워크와 Azure 가상 네트워크의 병합 또는 결합을 나타냅니다. 기존 인프라를 계속 사용하면서 클라우드 기반 컴퓨팅 및 액세스의 모든 이점을 얻을 수 있습니다.

하이브리드 네트워크 솔루션을 채택하는 여러 가지 이유가 있습니다. 가장 일반적인 두 가지 이유는 다음과 같습니다.

  • 순수 온-프레미스 네트워크에서 순수 클라우드 기반 네트워크로 마이그레이션
  • 클라우드 서비스를 지원하기 위해 온-프레미스 네트워크 및 리소스를 확장

인프라에 클라우드 서비스를 추가하기 위한 동기가 무엇이든 고려해야 할 몇 가지 아키텍처가 있습니다. 이전 단원에서는 ExpressRoute를 설명했습니다. 그 밖의 아키텍처는 다음과 같습니다.

  • Azure VPN Gateway
  • VPN 장애 조치(failover)가 있는 ExpressRoute
  • 허브-스포크 네트워크 토폴로지

Azure VPN Gateway

가상 네트워크 게이트웨이인 Azure VPN Gateway를 통해 온-프레미스 네트워크와 Azure 간에 사이트 간 VPN 연결과 지점 및 사이트 간 VPN 연결을 사용할 수 있습니다.

VPN(가상 프라이빗 네트워크)은 확실히 안정되고 널리 인정받는 네트워크 아키텍처입니다.

VPN Gateway는 인터넷에 대한 기존 연결을 사용합니다. 그러나 모든 통신은 IKE(Internet Key Exchange) 및 IPsec(인터넷 프로토콜 보안) 프로토콜을 사용하여 암호화됩니다. 가상 네트워크마다 하나의 가상 네트워크 게이트웨이만 포함될 수 있습니다.

가상 네트워크 게이트웨이를 설정하는 경우 VPN Gateway 또는 ExpressRoute 게이트웨이인지를 지정해야 합니다.

VPN 형식은 필요한 연결 토폴로지 형식에 따라 달라집니다. 예를 들어 P2S(지점 및 사이트 간) 또는 P2P(지점 간) 게이트웨이를 만들려면 RouteBased 형식을 사용합니다. 두 가지 VPN 형식은 다음과 같습니다.

  • PolicyBased: IPsec 터널을 사용하여 데이터 패킷을 암호화합니다. 정책 구성에는 Azure 가상 네트워크 및 온-프레미스 네트워크에서 가져온 주소 접두사를 사용합니다.
  • RouteBased: 라우팅 또는 IP 전달 테이블을 사용하여 데이터 패킷을 올바른 터널로 라우팅합니다. 각 터널은 모든 패킷을 암호화하고 해독합니다.

가상 네트워크 게이트웨이에 대한 VPN 형식을 지정한 후에는 변경할 수 없습니다. 변경해야 하는 경우에는 가상 네트워크 게이트웨이를 삭제하고 다시 만듭니다.

사이트 간

모든 사이트 간 게이트웨이 연결은 IPsec/IKE VPN 터널을 사용하여 Azure와 온-프레미스 네트워크 간에 연결을 만듭니다. 사이트 간 연결은 공개적으로 액세스할 수 있는 IP 주소를 사용하는 온-프레미스 VPN 디바이스가 필요합니다.

Diagram of a VPN Site-to-Site connection between the on-premises network and the Azure virtual network.

지점 및 사이트 간

지점 및 사이트 간 게이트웨이 연결은 개별 디바이스와 Azure 가상 네트워크 간에 보안 연결을 만듭니다. 이 게이트웨이 형식은 원격 작업자에게 적합합니다(예: 회의에 참석하거나 재택 근무하는 사용자). 지점 및 사이트 간 연결에는 전용 온-프레미스 VPN 디바이스가 필요하지 않습니다.

Diagram of a VPN point-to-site connection between the on-premises network and the Azure virtual network.

이점

VPN 연결 사용의 몇 가지 이점은 다음과 같습니다.

  • 쉽게 구성하고 유지 관리할 수 있는 잘 알려진 기술입니다.
  • 모든 데이터 트래픽이 암호화됩니다.
  • 가벼운 데이터 트래픽 로드를 처리하는 데 더 좋습니다.

고려 사항

이 하이브리드 아키텍처 사용을 평가할 때 다음 항목을 고려하세요.

  • VPN 연결이 인터넷을 사용합니다.
  • 대역폭 크기 및 사용량에 따라 잠재적 대기 시간 문제가 있을 수 있습니다.
  • Azure는 최대 1.25Gbps 대역폭을 지원합니다.
  • 사이트 간 연결에는 로컬 VPN 디바이스가 필요합니다.

VPN 장애 조치(failover)가 있는 ExpressRoute

ExpressRoute를 사용하면 높은 수준의 가용성 제공이 보장됩니다. 각 ExpressRoute 회로에는 이중 ExpressRoute 게이트웨이가 함께 제공됩니다. 그러나 이 수준의 복원력이 네트워크의 Azure 쪽에 기본 제공되더라도 연결이 중단될 수 있습니다. 이 상황을 해결하고 연결을 유지하는 한 가지 방법은 VPN 장애 조치(failover) 서비스를 제공하는 것입니다.

VPN 연결 및 ExpressRoute를 병합하면 네트워크 연결의 복원력이 향상됩니다. 정상 상태에서 작동하는 경우 ExpressRoute는 VPN 연결이 유휴 상태로 유지되는 일반 ExpressRoute 아키텍처와 동일하게 동작합니다. ExpressRoute 회로가 고장나거나 오프라인 상태가 되면 VPN 연결이 대신합니다. 이 작업은 모든 상황에서 네트워크 가용성을 보장합니다. ExpressRoute 회로가 복원되면 모든 트래픽이 ExpressRoute 연결 사용으로 되돌아갑니다.

VPN 장애 조치(failover)가 있는 ExpressRoute에 대한 참조 아키텍처

다음 다이어그램은 VPN 장애 조치(failover)가 있는 ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure에 연결하는 방법을 보여 줍니다. 이 솔루션에서 선택된 토폴로지는 높은 트래픽 흐름이 포함된 VPN 기반 사이트 간 연결입니다.

Diagram of ExpressRoute reference architecture.

이 모델에서 모든 네트워크 트래픽은 ExpressRoute 프라이빗 연결을 통해 라우팅됩니다. ExpressRoute 회로에서 연결이 끊어지면 게이트웨이 서브넷이 자동으로 사이트 간 VPN Gateway 회로로 장애 조치(failover)됩니다. Azure Virtual Network의 게이트웨이에서 VPN Gateway까지의 점선은 이 시나리오를 나타냅니다.

ExpressRoute 회로가 복원되면 트래픽이 VPN Gateway에서 자동으로 다시 전환됩니다.

이점

VPN 장애 조치(failover)가 있는 ExpressRoute를 구현하는 경우 다음과 같은 이점이 있습니다.

  • 복원력 있는 고가용성 네트워크를 만듭니다.

고려 사항

VPN 장애 조치(failover) 아키텍처가 있는 ExpressRoute를 구현하는 경우 다음 사항을 고려하세요.

  • 장애 조치(failover)가 발생하면 대역폭이 VPN 연결 속도로 감소됩니다.

  • ExpressRoute 및 VPN Gateway 리소스는 동일한 가상 네트워크에 있어야 합니다.

  • 매우 복잡한 구성이 있습니다.

  • 구현에는 ExpressRoute 연결과 VPN 연결이 둘 다 필요합니다.

  • 구현에는 중복 Azure VPN Gateway 및 로컬 VPN 하드웨어가 필요합니다.

    참고

    중복 VPN Gateway는 사용되고 있지 않더라도 결제 요금이 발생합니다.

허브-스포크 네트워크 토폴로지

허브 스포크 네트워크 토폴로지를 사용하면 서버가 수행하는 워크로드를 구조화할 수 있습니다. 단일 가상 네트워크를 허브로 사용하며, VPN 또는 ExpressRoute를 통해 온-프레미스 네트워크에 연결됩니다. 스포크는 허브와 피어링된 다른 가상 네트워크입니다. 각 스포크에 특정 워크로드를 할당하고 공유 서비스에 허브를 사용할 수 있습니다.

Diagram of hub-spoke architecture.

허브 및 각 스포크를 별도 구독 또는 리소스 그룹에서 구현한 후 함께 피어링할 수 있습니다.

이 모델은 앞에서 설명한 세 가지 방법인 VPN, ExpressRoute 및 VPN 장애 조치(failover)가 있는 ExpressRoute 중 하나를 사용합니다. 다음 섹션에서는 관련 이점 및 문제에 대해 설명합니다.

이점

허브-스포크 아키텍처를 구현하면 다음과 같은 이점이 있습니다.

  • 허브에서 공유 및 중앙 집중식 서비스를 사용하면 스포크에서 중복의 필요성이 감소되므로 비용을 절감할 수 있습니다.
  • 구독 한도는 가상 네트워크를 피어링하여 해결합니다.
  • 허브-스포크 모델을 사용하면 조직 작업 영역을 전용 스포크(예: SecOps, InfraOps 및 DevOps)로 분리할 수 있습니다.

고려 사항

이 하이브리드 아키텍처 사용을 평가할 때 다음 항목을 고려하세요.

  • 허브에서 공유되는 서비스 및 스포크에 남아 있는 항목을 살펴봅니다.

지식 점검

1.

Azure 가상 네트워크에서 VPN Gateway을 구현하는 이유는 무엇인가요?

2.

온-프레미스 네트워크에 대한 VPN Gateway 연결은 어떻게 라우팅되나요?

3.

허브-스포크 아키텍처를 구현하는 근본적인 이유는 무엇인가요?