Azure에서 공용 및 개인 IP 주소 지정
여러분은 제조회사를 다니며, 회사 리소스를 Azure로 이동하려고 합니다. 온-프레미스 네트워크의 클라이언트에서 데이터베이스 서버에 액세스할 수 있어야 합니다. 웹 서버와 같은 공용 리소스는 인터넷에서 액세스할 수 있어야 합니다. 이러한 두 요구 사항을 지원하는 IP 주소를 계획하려고 합니다.
이 단원에서는 Azure에서 공용 및 프라이빗 IP 주소의 제약 조건 및 제한 사항을 살펴봅니다. 또한 네트워크의 IP 주소를 다시 할당하기 위해 Azure에서 사용할 수 있는 기능을 살펴봅니다.
IP 주소 유형
Azure에서는 다음 두 가지 유형의 IP 주소를 사용할 수 있습니다.
- 공용 IP 주소
- 프라이빗 IP 주소
다음 두 가지 방법 가운데 하나로 두 가지 유형의 IP 주소를 모두 할당할 수 있습니다.
- 동적
- 정적
IP 주소 유형이 함께 작동하는 방법을 좀 더 자세히 살펴보겠습니다.
공용 IP 주소
공용 서비스에 공용 IP 주소를 사용합니다. 퍼블릭 주소는 정적 이거나 동적일 수 있습니다. 공용 IP 주소는 VM(가상 머신), 인터넷에 연결된 부하 분산 장치, VPN Gateway 또는 애플리케이션 게이트웨이에 할당될 수 있습니다.
동적 공용 IP 주소는 Azure 리소스의 수명 동안 변경될 수 있는 할당된 주소입니다. VM을 만들거나 시작할 때 동적 IP 주소가 할당됩니다. VM을 중지하거나 삭제하면 IP 주소가 해제됩니다. 각 Azure 지역에서 공용 IP 주소는 고유한 주소 풀에서 할당됩니다. 기본 할당 방법은 동적입니다.
정적 공용 IP 주소는 Azure 리소스의 수명 동안 변경되지 않는 할당된 주소입니다. 리소스의 IP 주소를 동일하게 유지하려면 정적 할당 방법을 설정하면 됩니다. 이 경우 IP 주소가 즉시 할당되고 리소스를 삭제하거나 IP 할당 방법을 동적으로 변경할 때만 할당이 해제됩니다.
공용 IP 주소에 대한 SKU
공용 IP 주소의 경우 두 가지 유형의 SKU(기본, 표준)에서 선택할 수 있습니다. SKU 도입 전에 생성된 모든 공용 IP 주소는 기본 SKU 공용 IP 주소입니다. SKU를 도입하면 인터넷 트래픽 부하 분산을 위한 크기 조정, 기능, 가격 책정을 선택할 수 있습니다.
기본 및 표준 SKU에는 기본적으로 다음이 있습니다.
- 기본 인바운드 시작 흐름의 유휴 시간 제한은 4분이며 최대 30분으로 조정할 수 있습니다.
- 고정 아웃바운드 시작 흐름의 유휴 시간 제한은 4분입니다.
기본 SKU
정적 또는 동적 할당 방법을 사용하여 기본 공용 IP를 할당할 수 있습니다. 공용 IP 주소를 할당할 수 있는 모든 Azure 리소스에 기본 공용 IP를 할당할 수 있습니다. 네트워크 인터페이스, VPN Gateway, 애플리케이션 게이트웨이 및 인터넷 연결 부하 분산 장치를 포함합니다.
기본적으로 기본 SKU IP 주소는 다음과 같은 특징이 있습니다.
- 열려 있습니다. 필요에 따라 인바운드 또는 아웃바운드 트래픽을 제한하기 위해 네트워크 보안 그룹을 사용하는 것이 좋습니다.
- 인바운드 전용 트래픽에 사용할 수 있습니다.
- 인스턴스 IMDS(인스턴스 메타데이터 서비스)를 사용할 때 사용할 수 있습니다.
- 가용성 영역을 지원하지 않습니다.
- 라우팅 기본 설정을 지원하지 않습니다.
표준 SKU
기본적으로 표준 SKU IP 주소는 다음과 같은 특징이 있습니다.
- 항상 정적 할당을 사용합니다.
- 안전하며 인바운드 트래픽에 대해 닫혀 있습니다. 네트워크 보안 그룹을 사용하여 인바운드 트래픽을 지원합니다.
- 영역 중복이며 필요에 따라 영역별로 지정할 수 있습니다(영역별로 생성할 수 있으며 특정 가용성 영역에서 보장 가능).
- 네트워크 인터페이스, 표준 공용 부하 분산 장치, 애플리케이션 게이트웨이 또는 VPN 게이트웨이에 할당됩니다.
- 라우팅 기본 설정으로 활용하여 Azure와 인터넷 간에 트래픽이 라우팅되는 방식을 보다 세부적으로 제어할 수 있습니다.
- 지역 간 부하 분산에 대한 애니캐스트 프런트 엔드 IP로 사용할 수 있습니다.
자세한 내용은 SKU 비교, 부하 분산 장치 개요 및 구성 요소를 참조하세요.
공용 IP 주소 접두사
Azure에서 ‘공용 IP 주소 접두사’는 공용 IP 주소의 예약된 정적 범위입니다. Azure는 Azure 클라우드별로 각 지역에 대해 고유하고 사용 가능한 고유 주소 풀의 IP 주소를 할당합니다. 공용 IP 주소 접두사를 정의하면 연결된 공용 IP 주소가 Azure 지역의 풀에서 할당됩니다.
가용성 영역이 있는 지역에서는 공용 IP 주소 접두사를 영역 중복으로 만들거나 특정 가용성 영역에 연결할 수 있습니다.
공용 IP 주소 접두사의 장점은 알려진 IP 주소 범위에 대한 방화벽 규칙을 지정할 수 있다는 점입니다. 서로 다른 지역에 데이터 센터가 있어야 하는 경우 각 지역마다 공용 IP 주소 범위가 달라집니다. 공용 IP 주소 접두사의 주소를 공용 IP 주소를 지원하는 모든 Azure 리소스에 할당할 수 있습니다.
이름 및 접두사 크기를 지정하여 공용 IP 주소 접두사를 만듭니다. 접두사 크기는 사용할 수 있는 예약된 주소 수입니다.
- 공용 IP 주소 접두사는 IPv4 또는 IPv6 주소로 구성됩니다.
- Azure Traffic Manager와 같은 기술을 사용하여 지역별 인스턴스의 균형을 맞출 수 있습니다.
- 사용자 지정 IP 주소 접두사를 사용하여 온-프레미스 네트워크에서 Azure로 사용자 고유의 공용 IP 주소만 가져올 수 있습니다.
- 주소는 접두사를 만들 때 지정할 수 없으며, Azure에서 할당합니다. 접두사가 만들어진 후 IP 주소는 인접한 범위에서 고정됩니다.
- 공용 IP 주소는 지역 간에 이동할 수 없으며, 모든 주소는 지역마다 다릅니다.
개인 IP 주소
개인 IP 주소는 가상 네트워크와 온-프레미스 네트워크를 비롯한 Azure Virtual Network 내에서 통신하는 데 사용됩니다. 개인 IP 주소를 동적(DHCP 임대) 또는 정적(DHCP 예약)으로 설정할 수 있습니다.
동적 프라이빗 IP 주소는 DHCP 임대를 통해 할당되며 Azure 리소스의 수명 동안 변경될 수 있습니다.
정적 개인 IP 주소는 DHCP 예약을 통해 할당되며 Azure 리소스의 수명 동안 변경되지 않습니다. 고정 프라이빗 IP 주소는 리소스가 중지되거나 할당 취소되어도 유지됩니다.
Azure 가상 네트워크의 IP 주소 지정
Azure에서 가상 네트워크는 조직의 네트워크로 동작하는 기본 구성 요소입니다. 관리자가 IP 주소 할당, 보안 설정 및 보안 규칙을 완전히 제어합니다. 가상 네트워크를 만들 때 IP 주소의 범위를 정의합니다. 개인 IP 주소 지정은 온-프레미스 네트워크의 경우와 동일한 방식으로 작동합니다. 네트워크 요구 사항에 따라 IANA(Internet Assigned Numbers Authority)가 예약하는 프라이빗 IP 주소를 선택합니다.
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
서브넷은 가상 네트워크 내 IP 주소의 범위입니다. 가상 네트워크를 여러 서브넷으로 나눌 수 있습니다. 각 서브넷에는 CIDR(클래스 없는 도메인 간 라우팅) 형식으로 지정된 고유한 주소 범위가 있어야 합니다. CIDR은 네트워크 IP 주소 블록을 나타내는 방법입니다. IP 주소의 일부로 지정된 IPv4 CIDR는 네트워크 접두사의 길이를 표시합니다.
예를 들면 CIDR 192.168.10.0/24와 같습니다. “192.168.10.0”은 네트워크 주소이며 “24”는 첫 번째 24비트가 네트워크 주소의 일부이며 특정 호스트 주소로 마지막 8비트를 남겨둔다는 것을 나타냅니다. 서브넷 주소 범위는 가상 네트워크의 다른 서브넷이나 온-프레미스 네트워크와 겹칠 수 없습니다.
Azure의 모든 서브넷에서 처음 3개의 IP 주소가 기본적으로 예약됩니다. 프로토콜 규정 준수를 위해 모든 서브넷의 첫 번째 및 마지막 IP 주소도 예약됩니다. Azure에서 내부 DHCP 서비스는 IP 주소의 임대를 할당하고 유지 관리합니다. .1, .2, .3과 마지막 IP 주소는 Azure 고객이 보거나 구성할 수 없습니다. 이러한 주소는 예약되어 있으며 내부 Azure 서비스에서 사용됩니다.
Azure 가상 네트워크에서 IP 주소를 다음 리소스 유형에 할당할 수 있습니다.
- 가상 머신 네트워크 인터페이스
- 부하 분산 장치
- 애플리케이션 게이트웨이