�ݺ�ߣ

Azure 네트워크 어디까지 알아봤니?
ZIGISPACE.NET
Blog
고 재 성 : ZIGI(지기)
Microsoft MVP

ZIGISPACE.NET
ZIGISPACE.NET
Global Azure Korea 2022
Azure VNet : Virtual Network
Private Network

ZIGISPACE.NET
ZIGISPACE.NET
Azure VNet : Virtual Network
Address Space
Subnet (Address range)

ZIGISPACE.NET
ZIGISPACE.NET
Azure VNet : 설계 고려사항
서비스에 요건에 따른 최적화 된 IP Address와 Subnet 설계
중복되지 않은 IP 설계
Private IP Address
사용 중인 가상 네트워크 변경불가 다양한 서브넷 고려

ZIGISPACE.NET
ZIGISPACE.NET
Private IP Address
RFC 1918
Private Network Subnet Mask Bit Address Range
172.16.0.0 255.240.0.0 12 172.16.0.0 – 172.31.255.255
192.168.0.0 255.255.0.0 16 192.168.0.0 – 192.168.255.255
10.0.0.0 255.0.0.0 8 10.0.0.0 – 10.255.255.255
100.64.0.0 255.255.192.0 10 100.64.0.0 – 100.127.255.255
RFC 6598
※ RFC1918 : IANA - Address Allocation for Private Internets
※ RFC 6598 : IANA – Reserved IPv4 Prefix for Shared Address Space

ZIGISPACE.NET
ZIGISPACE.NET
Azure VNet : 다양한 전용 서브넷
• (일반) 서브넷
• Gateway 서브넷
• Application Gateway 용 서브넷
※ Application Gateway v1/v2 혼용 불가
• Azure Firewall 서브넷
Subnet
Address Space
Gateway Subnet
Application Gateway Subnet
AzureFirewallSubnet
Virtual Network
Subnet
• 기타 다수 서비스

ZIGISPACE.NET
ZIGISPACE.NET
Azure VNet : 다양한 전용 서브넷

Azure Global(2022)-by-ZIGI-배포용.pdf

ZIGISPACE.NET
ZIGISPACE.NET
라우팅 테이블이란?
목적지(네트워크)
여기로(Next Hop)
어떤 로 가려면
로 가세요

ZIGISPACE.NET
ZIGISPACE.NET
Azure 라우팅 •
•
【 Azure Default 】
Prefix Next hop
가상 네트워크에서 고유한 접두사 가상 네트워크
0.0.0.0/0 인터넷
10.0.0.0/8 -
192.168.0.0/16 -
100.64.0.0/10 -
• Azure Default
• Optional Default Route
• Static Route
• Border Gateway Protocol
- Virtual Private Network 선택
- ExpressRoute 필수
【 Optional Default Route 】
Address Prefixes Next hop type
가상 네트워크에서 고유한 접두사 VNet Peering
On-Premise에서 BGP를 통해서 광고 받거나,
Local Network Gateway에 설정된 네트워크
Virtual Network
Gateway
Multiple
Virtual Network
Service Endpoint
System Route
User Defined Route

ZIGISPACE.NET
ZIGISPACE.NET
Azure 라우팅 : 유효 경로 확인
【 경로(라우팅) 테이블 】【 유효 경로 확인 】

ZIGISPACE.NET
ZIGISPACE.NET
Azure VNet : 인터넷 통신
VNet
인터넷 통신

ZIGISPACE.NET
ZIGISPACE.NET
· Azure 리소스에 고정 공인 IP를
연결하여 인터넷 통신
· 고정된 공인 IP는 변경되지 않음
Azure VNet : 인터넷 통신 (Outbound)
Gateway
인터넷
Gateway
인터넷
Gateway
인터넷
PIP
· Azure 리소스에 동적으로 할당된
공인 IP를 이용하여 인터넷 통신
· 초기 할당된 공인 IP는 변동 가능
NAT Gateway
·Azure NAT Gateway를 이용하여
공통된 공인 IP로 인터넷 통신
· NAT G/W를 이용할 서브넷 연결

ZIGISPACE.NET
ZIGISPACE.NET
Azure VNet : 인터넷 통신 (Inbound)
Gateway
인터넷
Azure
Service
인터넷
Gateway
인터넷
PIP
· Azure 리소스에 고정 공인 IP를
연결하여 인터넷 통신
· Azure 리소스에 동적으로 할당된
공인 IP를 이용하여 인터넷 통신
·Azure의 Inbound 트래픽 통신을
위한 서비스를 통한 외부 통신
· 주로 부하분산을 위한 서비스

ZIGISPACE.NET
ZIGISPACE.NET
Azure VNet : 인터넷 통신 (Inbound) – 부하 분산 서비스
· 여러 컴퓨팅 리소스에 걸쳐 워크로드를 분산하는 것.
· 부하 분산은 리소스 사용량을 최적화하고, 처리량을 최대화하며, 응답 시간을 최소화하고,
단일 리소스의 오버로드 방지 및 중복 컴퓨팅 리소스에서 워크로드 공유를 통해 가용성을 향상 시킨다.
부하 분산이란?
대상 범위
서비스 유형
Non-HTTP(S) HTTP(S) Regional Global

ZIGISPACE.NET
ZIGISPACE.NET
Load Balancer Application Gateway
· Layer 4 로드 밸런싱 (TCP/UDP)
- Backend : VM, VMSS, AKS
- 서비스 포트 기반의 라우팅
· Internal 및 Public 구성 가능
· 가용 영역 간의 고가용성 지원
· Layer 7 로드 밸런싱 (HTTP/HTTPS)
- Backend : VM, VMSS, AKS, App Svc, Endpoint
- Host, URI와 같은 HTTP request 기반의 라우팅
· Internal 및 Public 구성 가능
· 가용 영역 간의 고가용성 지원 및 App G/W ScalingIP 고정가능
· SSL Offload / 웹 방화벽WAF / URL Rewrite 등

ZIGISPACE.NET
ZIGISPACE.NET
Preview
Azure Cross-region Load Balancer
Cross-region Load Balancer
• 다수 지역에서 발생한 트래픽을 최적 경로의 Region으로 트래픽 라우팅으로 매우 낮은 Latency 유지
• 특정 Region에서 장애 발생 시, 다른 Region으로 트래픽 우회 처리 가능(Failover)
• 정적 Anycast Global IP 주소를 사용한 단일 Endpoint 유지
• Client IP를 유지하여, 서비스 단에서 Client IP를 이용한 처리 가능
Cross-region Load Balancer
Region 1 Region 2

ZIGISPACE.NET
ZIGISPACE.NET
Traffic Manager Front Door
· Global하게 DNS 기반의 다양한 Endpoint로 라우팅 처리
- Endpoint : Azure, External, Nested
· 6가지 트래픽 라우팅 방법 지원
- 우선순위, 가중치, 성능, 지리적, 다중 값, 서브넷
· Global Edge Network를 이용한 최신의 Cloud CDN서비스
· Front DoorClassic + Azure CDN + Azure WAF
· Content Delivery 중심의 Standard Tier와, Security를
위한 추가적인 기능이 포함된 Premium Tier제공

ZIGISPACE.NET
ZIGISPACE.NET
GA
Azure Front Door

ZIGISPACE.NET
ZIGISPACE.NET
Azure VNet : VNet 내부 통신
VNet
로컬 통신

ZIGISPACE.NET
ZIGISPACE.NET
Local
Network Local
Network
Azure Local 네트워크
On-Premises Azure
Local Network
가상 네트워크
Address Space
( 10.0.0.0/22 )
Subnet
( 10.0.0.0/24 )
Subnet
( 10.0.1.0/24 )
Subnet
( 10.0.0.0/24 )
Subnet
( 10.0.1.0/24 )
Address Plan
( 10.0.0.0/22 )

가상 네트워크 간의 연동
Connectivity

ZIGISPACE.NET
ZIGISPACE.NET
Azure VNet : VNet 간의 연동
VNet VNet
인터넷 연동
내부 연동

ZIGISPACE.NET
ZIGISPACE.NET
VNet 간의 연동 : Peering
VNet VNet
Subnet Subnet
내부 연동
• 가상 네트워크(VNet)간의 Private 연결
• VNet 간의 연결 및 라우팅
• VNet의 Address Space 모두 적용
- 필요 시, NSG를 이용한 연동 대역 제한
• VNet간의 중복된 IP 사용 시, 연동 불가
VNet Peering

ZIGISPACE.NET
ZIGISPACE.NET
VNet VNet
Subnet Subnet
10.0.1.0/24
ZIGI-NM-
10.0.2.0/24
ZIGI-NM-
VNet Peering
【 Peering 상태에서 Vnet 변경 】

ZIGISPACE.NET
ZIGISPACE.NET
VNet
Subnet
VNet
Subnet
VNet
Subnet
Peering Peering
Peering

ZIGISPACE.NET
ZIGISPACE.NET
VNet
Subnet
VNet
Subnet
VNet
Subnet
VNet
Subnet

ZIGISPACE.NET
ZIGISPACE.NET
VNet
Subnet
VNet
Subnet
VNet
Subnet
VNet
Subnet
HUB

ZIGISPACE.NET
ZIGISPACE.NET
Azure의 가상 네트워크 중앙 관리
Virtual WAN
• 네트워킹, 보안 및 라우팅 기능을 결합하여 단일 운영 인터페이스를 제공하는 네트워킹 서비스
• VNet 간의 연결, Express Route, Site-to-Site VPN, Point-to-Site VPN, SD-WAN 연결 지원
• Hub & Spoke 아키텍처 구성을 위한 Managed Hub 역할 제공
• Hub에 연결되는 VNet은 Peering 방식으로 연결되며, Hub에 연결된 VNet 간의 통신 가능

ZIGISPACE.NET
ZIGISPACE.NET
Azure Virtual WAN 구성 개념도
서브넷
VNet
서브넷
연결 (Connection)
서브넷
VNet
서브넷
서브넷
VNet
서브넷
Virtual WAN
허브
라우팅
연결
전파
Routes

ZIGISPACE.NET
ZIGISPACE.NET
Preview
Azure Network Manager
Network Manager
• 가상 네트워크(VNet)을 그룹화하여, 중앙에서 연결 및 보안 정책을 적용할 수 있는 네트워크 중앙 관리 서비스
• Management Group에 속하는 VNet을 동적/정적 방식으로 관리 그룹으로 지정하여 정책 적용
- 리전/글로벌 인프라 전체를 포함한 대규모 환경에서도 연결 및 보안 정책의 일괄적용 가능
• VNet 간의 연결 유형으로 Mesh와 Hub & Spoke Topology 지원하며, 혼용하여 적용 가능
• 보안 정책을 중앙 관리 하기 위해서, VNet에 Network Security Group(NSG)를 추가 적용
Connectivity Security Admin

ZIGISPACE.NET
ZIGISPACE.NET
Preview
Azure Network Manager : 구성 요소와 개념
『 Network Manager 구성 요소와 구성 요소 간 적용 개념도 』
Network Group
· Network Manager로 관리하는 VNet의 집합
· Connectivity 혹은 Security Admin policy 적용 범위
Configuration
· VNet간의 연결을 위한 Connectivity 나,
VNet의 중앙 보안 관리를 위한 Security 설정을 정의
Deployment
· Connectivity / Security에 대한 Configuration을
Network Group에 배포하는 작업배포 리전 선택 가능

ZIGISPACE.NET
ZIGISPACE.NET
Azure Network Manager : 관리 VNet 구조 및 연결
Network Manager Hierarchy Network Group Membership
· Network Manager로 관리할 범위 정의(Scope) 시,
1개 이상의 Management Group을 설정
· 설정된 Management Group 계층을 VNet과 함께
하위 계층의 VNet을 Network Manager에서 관리 가능
·Network Group에 VNet을 연결하는 방식으로,
Static과 Define Dynamic 2가지 방식을 지원
·Static : 관리자가 직접 VNet을 선택하여 연결하는 방식
·Define Dynamic : 정의 조건에 따라 VNet이 동적으로 연결
Network Manager는 계층적인 구조의 관리 범위를 갖고, 범위 內 VNet을 Group화 하여 중앙 관리
Network Manager
Network Group
Prd-VNet1 Prd-VNet2
Network Group
Dev-VNet1 Dev-VNet2
Static Membership Define Dynamic
Membership
Name / Contains / Dev

ZIGISPACE.NET
ZIGISPACE.NET
Azure Network Manager : Connectivity
Mesh Hub & Spoke
· Network Group속한 VNet 간에 Full Mesh 형태로 구성
· 기본 적으로 동일 리전 內에서 적용되지만,
‘across region’으로 서로 다른 리전 간에도 Mesh 구성 가능
· VNet 간에 중복 네트워크는 허용되지만, 통신은 불가
· Vnet 간은 ‘Connected Group’에 속함.
·Hub VNet을 지정 하고, Network Group을 Spoke로 설정
·Spoke VNet은 Isolation되어 있어서 서로 통신이 불가하나,
‘Direct Connectivity’ 설정 시, 리전 內 Spoke간 통신 가능
·Spoke VNet은 Hub VNet의 ER/VPN Gateway 사용 가능
·Hub와 Spoke 간의 연결은 VNet Peering으로 구성
Network Group에 속한 VNet 간의 연결되는 네트워크 Topology를 만드는 기능
VNet VNet
VNet VNet
Hub-VNet
Prd-VNet
Prd-VNet
Prd-VNet
Dev-VNet
Dev-VNet
Dev-VNet

ZIGISPACE.NET
ZIGISPACE.NET
Azure Network Manager : Connectivity

ZIGISPACE.NET
ZIGISPACE.NET
Azure Network Manager : Security

Hybrid Cloud를 위한 Connectivity

ZIGISPACE.NET
ZIGISPACE.NET
하이브리드 클라우드 구성 방안
Azure VNet On-Premise
전용선
인터넷
VPN

ZIGISPACE.NET
ZIGISPACE.NET
Azure Virtual Private Network(VPN) 서비스
Azure
On-Premise On-Premise
Virtual Network
• 공용 인터넷 망을 통해 Azure와 On-Premises 간을
논리적으로 직접 연동하는 터널링 서비스IPSec/IKE
• Azure와 On-Premises 간은 트래픽은 모두 암호화 처리
• Static 혹은 BGP 라우팅 사용 선택
• VPN Gateway 혹은 Virtual WAN을 통해 VPN 구성 가능
• VPN을 연결하는 서비스 SKU에 따라서, 연결되는 터널 수
및 Bandwidth 및 가용 영역에 대한 서비스 보장이 상이함.
Virtual Private Network
인터넷

ZIGISPACE.NET
ZIGISPACE.NET
연결
Connection
Azure VPN 연결
연결
Connection
가상 네트워크
게이트웨이
Virtual Network Gateways
Azure
VNet
터널 2
Tunnel
터널 1
Tunnel
로컬 네트워크
게이트웨이
Local Network
Gateway On-Premise
네트워크
VPN 구성을 위한 컴포넌트
로컬 네트워크
게이트웨이
Local Network
Gateway
인터넷

ZIGISPACE.NET
ZIGISPACE.NET
Azure 전용선 서비스
Azure
On-Premise On-Premise
1) 제공되는 대역폭 : 50M, 100M, 200M, 500M, 1G, 2G, 5G, 10G, 100G
2) SKU별 지원되는 Bandwidth, PPS, CPS가 상이함.
3) Microsoft Peering을 통한 연동
Virtual Network
• Azure와 On-Premise 간의 연결을 위한 전용선 서비스
• 빠른 속도, 서비스 품질보장, 강화된 보안 제공
• BGP 사용 필수
• 다양한 대역폭 옵션 제공1)
• Standard, High/Ultra Performance SKU 제공2)
• 서비스 안정성을 위해 모든 피어링 위치는 이중화
• Azure 서비스 및 Office 365 서비스 액세스 가능3)
Express Route

ZIGISPACE.NET
ZIGISPACE.NET
Azure Express Route 연결 방식
Microsoft
Enterprise Edge
(MSEE)
사용자
라우터
Partner
Edge
전용선
On-Premise
ER(Peering) 로케이션
ER 파트너
Azure
Express Route
Microsoft
Enterprise Edge
(MSEE)
사용자
라우터
전용선
On-Premise
ER 로케이션
Azure
Express Route Direct

ZIGISPACE.NET
ZIGISPACE.NET
가상 네트워크 간의 Private 통신
VNet VNet
내부 연동
서비스 호출

ZIGISPACE.NET
ZIGISPACE.NET
Azure Endpoint/Private Link
• Azure 가상 네트워크의 Service Endpoint를 이용해서
Azure PaaS Service(Azure Storage, Cosmos DB, SQL
Database 등) 에 접근 할 수 있도록 하는 서비스
• 서비스에 대한 목적지 IP는 Public IP를 그대로 유지
• Service Endpoint 를 이용하는 경우 Azure 가상
네트워크는 인터넷 경로를 사용하지 않고,
Microsoft Backbone 네트워크를 사용
Virtual Network
Service Endpoint

ZIGISPACE.NET
ZIGISPACE.NET
Azure Service Endpoint

ZIGISPACE.NET
ZIGISPACE.NET
• Azure 가상 네트워크의 Private Endpoint를 이용해서
Azure PaaS Service(Azure Storage, Cosmos DB, SQL
Database 등)와 Azure에 올린 사용자/파트너 서비스
에 접근 할 수 있도록 하는 서비스
• 서비스에 대한 목적지 IP는 VNet의 IP 주소Private Endpoint
• Private Link를 이용하는 경우 Azure 가상 네트워크는
인터넷 경로를 사용하지 않고, Microsoft Backbone
네트워크를 사용
Consumer
Provider
Provider
Private Endpoint
Private Link Service
Virtual Network
Virtual Network
Private Link

ZIGISPACE.NET
ZIGISPACE.NET
• 가상 네트워크에서 Private Link가 제공하는 서비스로
연결하기 위한 네트워크 인터페이스
• Azure 가상 네트워크의 서브넷에 Private IP를 사용
Virtual Network
Consumer
Virtual Network
Provider
Provider
• 사용자가 만든 서비스를 Private endpoint에서 사용
할 수 있도록 제공하는 서비스
• Standard Load Balancer를 이용해서 구성
Private Endpoint
Private Endpoint

ZIGISPACE.NET
ZIGISPACE.NET
Azure Private Link

ZIGISPACE.NET
ZIGISPACE.NET
Preview
Azure Private Link : Network Security Group
• Private Endpoint로 향하는 트래픽에 대한 Network Security Group 지원
• Private Endpoint가 속한 Subnet에 적용된 NSG에 정책 설정 및
’PrivateEndpointNetworkPolicies’ 라는 서브넷 속성에 대한 활성화 필요
Private Endpoint
ZIGI-VNet
ZIGI-Sub1 ZIGI-Sub2
Private Endpoint

ZIGISPACE.NET
ZIGISPACE.NET
Preview
Azure Private Link : Network Security Group

�ݺ�ߣ

Azure Global(2022)-by-ZIGI-배포용.pdf

Recommended

More Related Content

Similar to Azure Global(2022)-by-ZIGI-배포용.pdf (20)

Azure Global(2022)-by-ZIGI-배포용.pdf