하이브리드 클라우드 애플리케이션
Tailwind Traders에는 현재 경계 네트워크에서 온-프레미스로 실행되는 프런트 엔드 구성 요소가 있는 애플리케이션이 다수 있습니다. 백 엔드 요소는 보호된 내부 네트워크에 있습니다. Tailwind Traders가 하이브리드 클라우드로 이동하는 목표 중 하나는 경계 네트워크를 사용 중지하고 클라우드에서 모든 퍼블릭 워크로드를 호스트하는 것입니다. 규정 준수 문제와 워크로드 소유자의 우려 때문에 이러한 애플리케이션 중 일부는 Azure 데이터 센터에서 호스트되는 대신 물리적으로 Tailwind Traders 시설에 유지되어야 합니다.
Tailwind Traders에는 VPN 연결을 통해 시드니, 멜버른 및 오클랜드 데이터 센터의 보호된 내부 네트워크에 액세스하는 애플리케이션도 일부 있습니다. 이러한 애플리케이션은 일반적으로 사용자가 온-프레미스 Active Directory 인스턴스로 인증해야 합니다.
이 단원에서는 데이터 또는 애플리케이션 자체가 Tailwind Traders 장비에서 호스트되더라도 사용자가 Azure를 통해 연결하는 애플리케이션을 유지 관리하는 데 Tailwind Traders에서 사용할 수 있는 기술에 대해 알아봅니다.
Azure Relay란?
Azure Relay는 조직의 내부 네트워크에서 실행되는 워크로드를 퍼블릭 클라우드에 안전하게 노출하는 데 사용할 수 있는 서비스입니다. 이 서비스를 사용하면 경계 네트워크 방화벽에서 인바운드 포트를 열지 않고도 이 작업을 수행할 수 있습니다.
Azure Relay는 Azure에서 실행되는 온-프레미스 서비스와 애플리케이션 간에 다음과 같은 시나리오를 지원합니다.
- 기존의 단방향 요청/응답 및 피어 투 피어 통신
- 게시/구독 시나리오를 구현하는 이벤트 배포
- 네트워크 경계를 넘어가는 양방향 및 버퍼링되지 않은 소켓 통신
Azure Relay에는 다음과 같은 기능이 있습니다.
- 하이브리드 연결. 이 기능은 공개 표준 웹 소켓을 사용하며 다중 플랫폼 아키텍처에서 사용할 수 있습니다. .NET Core, .NET Framework, JavaScript/Node.js, 표준 기반 개방형 프로토콜 및 RPC(원격 프로시저 호출) 프로그래밍 모델을 지원합니다.
- WCF Relay. 이 기능은 WCF(Windows Communication Foundation)를 사용하여 원격 프로시저 호출을 구현합니다. 이는 많은 고객이 WCF 프로그램과 함께 사용하는 옵션으로서 .NET Framework도 지원합니다.
Azure Relay를 사용하면 Tailwind Traders가 VPN 연결 없이 내부 네트워크에서 실행되는 일부 애플리케이션을 인터넷의 클라이언트에 게시할 수 있습니다. Azure에서 실행되는 프런트 엔드 웹앱이 없는 경우 회사는 Azure App Service 하이브리드 연결 대신 Azure Relay를 사용해야 합니다. 애플리케이션에 Microsoft Entra 인증이 필요하지 않은 경우 Microsoft Entra 애플리케이션 프록시 대신 Azure Relay를 사용해야 합니다.
App Service 하이브리드 연결이란?
Azure App Service의 하이브리드 연결 기능은 포트 443에서 Azure로 아웃바운드 요청을 보낼 수 있는 모든 네트워크에서 모든 애플리케이션 리소스를 사용할 수 있습니다. 예를 들어 하이브리드 연결을 사용하면 Azure에서 실행되는 웹앱이 온-프레미스로 실행되는 SQL Server 데이터베이스를 사용할 수 있습니다. 하이브리드 연결 기능은 Azure에서 실행되는 앱에서 TCP(Transmission Control Protocol) 엔드포인트로의 액세스를 제공합니다.
하이브리드 연결은 Windows Server 플랫폼에서 실행되는 워크로드로 제한되지 않습니다. 어떤 애플리케이션 프로토콜이 사용되는지와 관계없이 TCP 엔드포인트로 작동하는 모든 리소스에 액세스하도록 하이브리드 연결을 구성할 수 있습니다. 예를 들어 Azure에서 실행 중인 웹앱과 온-프레미스 Linux 가상 머신에서 실행되는 MySQL 데이터베이스 간에 하이브리드 연결을 구성할 수 있습니다.
하이브리드 연결은 에이전트가 내부 네트워크의 TCP 엔드포인트에 대한 연결을 설정하고 Azure에 대한 연결을 설정할 수 있는 위치에 배포하는 릴레이 에이전트를 사용합니다. 이 연결은 TLS(전송 계층 보안) 1.2를 통해 보호됩니다. SAS(공유 액세스 서명) 키는 인증 및 권한 부여에 사용됩니다.
다음 이미지는 Azure에서 실행되는 웹앱과 온-프레미스로 실행되는 데이터베이스 엔드포인트 간의 하이브리드 연결을 보여 줍니다.
하이브리드 연결에는 다음과 같은 기능이 있습니다.
- Azure에서 실행되는 앱이 안전한 방식으로 온-프레미스 시스템 및 서비스에 액세스할 수 있습니다.
- 온-프레미스 시스템 또는 서비스는 인터넷의 호스트에서 직접 액세스할 필요가 없습니다.
- Azure에서 릴레이 에이전트로 인바운드 액세스를 허용하기 위해 방화벽에서 포트를 열 필요가 없습니다. 모든 통신은 포트 443을 통해 릴레이 에이전트에서 아웃바운드 방식으로 시작됩니다.
하이브리드 연결에는 다음과 같은 제한 사항이 있습니다.
- 온-프레미스 네트워크에 SMB 공유를 탑재하는 데 사용할 수 없습니다.
- UDP(User Datagram Protocol)를 사용할 수 없습니다.
- 동적 포트를 사용하는 TCP 기반 서비스에 액세스할 수 없습니다.
- UDP에 의존하기 때문에 LDAP(Lightweight Directory Access Protocol)를 지원하지 않습니다.
- Active Directory Domain Services 도메인 조인 작업을 수행하는 데 사용할 수 없습니다.
Tailwind Traders의 경우 하이브리드 연결을 사용하면 현재 Tailwind Traders 경계 네트워크에서 프런트 엔드가 실행되는 여러 애플리케이션을 사용 중지할 수 있습니다. 이러한 앱을 Azure로 마이그레이션할 수 있습니다. 그러면 하이브리드 연결은 앱의 백 엔드 구성 요소를 호스트하는 보호된 네트워크에 대한 보안 연결을 제공합니다.
Microsoft Entra 애플리케이션 프록시란?
Microsoft Entra 애플리케이션 프록시를 사용하면 외부 URL을 통해 온-프레미스 환경에서 실행되는 웹 애플리케이션에 대한 보안 원격 액세스를 제공할 수 있습니다. 애플리케이션 프록시를 구성하여 SharePoint, Microsoft Teams, IIS 웹 애플리케이션 및 원격 데스크톱에 원격 액세스 및 Single Sign-On을 허용할 수 있습니다. 애플리케이션 프록시는 내부 네트워크 또는 역방향 프록시에 대한 VPN을 대체하도록 구현할 수 있습니다.
애플리케이션 프록시는 다음과 같은 애플리케이션에서 작동합니다.
- Windows 통합 인증을 사용하는 웹 애플리케이션
- 헤더 기반 인증 또는 양식 기반 인증을 사용하는 웹 애플리케이션
- 원격 데스크톱 게이트웨이를 통해 호스트되는 애플리케이션
애플리케이션 프록시는 다음과 같은 방식으로 작동합니다.
- 사용자가 공용 엔드포인트를 통해 애플리케이션에 연결한 다음 Microsoft Entra 로그온을 수행합니다.
- 로그인이 완료되면 사용자의 디바이스에 토큰이 전달됩니다.
- 클라이언트 디바이스는 이 토큰을 애플리케이션 프록시 서비스에 전달하고, 이 서비스는 토큰에서 UPN(사용자 계정 이름) 및 SPN(보안 주체 이름)을 반환합니다. 그러면 애플리케이션 프록시가 애플리케이션 프록시 커넥터에 요청을 전달합니다.
- Single Sign-On이 사용하도록 설정된 경우 애플리케이션 프록시 커넥터는 추가 인증을 수행합니다.
- 애플리케이션 프록시 커넥터가 온-프레미스 애플리케이션에 요청을 전달합니다.
- 응답이 커넥터 및 애플리케이션 프록시 서비스를 통해 사용자에게 전송됩니다.
다음 이미지는 이 프로세스를 보여 줍니다.
애플리케이션에 대한 직접 연결을 허용하는 내부 네트워크의 사용자는 애플리케이션 프록시를 사용하지 않아야 합니다.
Tailwind Traders에서는 Microsoft Entra 애플리케이션 프록시를 사용하여 외부 사용자에게 Active Directory 인증을 사용하는 내부 애플리케이션에 대한 액세스를 제공할 수 있습니다.