Azure 네트워크 서비스 부분의 처음 시작은 Azure Virtual Network 로 시작해 본다.
네트워크 전체 서비스 확인을 원하면 아래 글을 참고하길 바란다.
[MS Azure] - [MS Azure] 기초지식 : Azure 제공 서비스- 카테고리별
설명순서는
1. Azure Virtual Network 의 정의
2. Azure Virtual Network 기능
3. Virtual Network 연결 -Azure Virtual Network Peering
4. Azure Virtual Network Configuration
Azure Virtual Network 의 정의
Azure Virtual Network를 사용하면 가상 머신, 웹앱 및 데이터베이스와 같은 Azure 리소스가 인터넷의 사용자 및 온-프레미스 클라이언트 컴퓨터와 서로 통신할 수 있습니다. Azure 네트워크를 다른 Azure 리소스와 연결되는 리소스 집합으로 생각할 수 있습니다.
Azure Virtual Network 기능
격리 및 구분
Virtual Network를 사용하면 여러 격리된 가상 네트워크를 만들 수 있습니다. 가상 네트워크를 설정할 때 퍼블릭 또는 프라이빗 IP 주소 범위를 사용하여 프라이빗 IP(인터넷 프로토콜) 주소 공간을 정의합니다. 그런 다음, 서브넷에 해당 IP 주소 공간을 분할하고, 각 명명된 서브넷에 정의된 주소 공간의 일부를 할당할 수 있습니다.
이름 확인을 위해 Azure에 기본 제공되는 이름 확인 서비스를 사용하거나 내부 또는 외부 DNS(Domain Name System) 서버를 사용하도록 가상 네트워크를 구성할 수 있습니다.
인터넷 통신
Azure의 VM은 기본적으로 인터넷에 연결할 수 있습니다. 공용 IP 주소 또는 공용 부하 분산 장치를 정의하여 인터넷에서 들어오는 연결을 사용하도록 설정할 수 있습니다. VM 관리의 경우 Azure CLI, RDP(Remote Desktop Protocol) 또는 SSH(Secure Shell)를 통해 연결할 수 있습니다.
Azure 리소스 간 통신
Azure 리소스를 사용하여 서로 안전하게 통신할 수 있도록 설정하려 합니다. 다음 두 가지 방법 중 하나를 수행할 수 있습니다.
가상 네트워크
Virtual Network는 VM뿐만 아니라 App Service Environments, Azure Kubernetes Service 및 Azure 가상 머신 확장 집합과 같은 다른 Azure 리소스도 연결할 수 있습니다.
Service Endpoint
서비스 엔드포인트를 사용하여 Azure SQL Databases 및 스토리지 계정과 같은 다른 Azure 리소스 형식에 연결할 수 있습니다. 이 방법을 사용하면 가상 네트워크에 여러 Azure 리소스를 연결하여 보안을 개선하고 리소스 간에 최적의 라우팅을 제공할 수 있습니다.
온-프레미스 리소스와 통신
Azure Virtual Network를 사용하면 온-프레미스 환경 및 Azure 구독 내에서 리소스를 함께 연결하여 실제로 로컬 및 클라우드 환경에 걸쳐 있는 네트워크를 만들 수 있습니다. 이 연결을 수행하는 세 가지 메커니즘이 있습니다.
Point-to-site VPN(가상 프라이빗 네트워크)
이 방법은 반대 방향으로 작동한다는 점을 제외하고 조직 외부의 컴퓨터가 회사 네트워크에 다시 연결하는 VPN(가상 프라이빗 네트워크) 연결과 비슷합니다. 이 경우에 클라이언트 컴퓨터는 Azure에 암호화된 VPN 연결을 시작하여 해당 컴퓨터를 Azure 가상 네트워크에 연결합니다.
Site-to-Site VPN(가상 프라이빗 네트워크) 사이트 간 VPN은 온-프레미스 VPN 디바이스 또는 게이트웨이를 가상 네트워크의 Azure VPN 게이트웨이에 연결합니다. 실제로 Azure의 디바이스는 로컬 네트워크에 있는 것으로 표시될 수 있습니다. 연결은 암호화되고 인터넷에서 작동합니다.
Azure ExpressRoute
큰 대역폭과 더 높은 수준의 보안이 필요한 환경의 경우 Azure ExpressRoute를 사용하는 것이 가장 좋습니다. Azure ExpressRoute는 인터넷을 통해 이동하지 않는 Azure에 프라이빗 전용 연결을 제공합니다.
네트워크 트래픽 라우팅
기본적으로 Azure에서는 연결된 가상 네트워크의 서브넷, 온-프레미스 네트워크 및 인터넷 간에 트래픽을 라우팅합니다. 그러나 다음과 같이 라우팅을 제어하고 해당 설정을 재정의할 수 있습니다.
Route Table
Route Table을 사용하면 트래픽이 전달되어야 하는 방법에 대한 규칙을 정의할 수 있습니다. 서브넷 간에 패킷이 라우팅되는 방법을 제어하는 사용자 지정 Route Table을 만들 수 있습니다.
Border Gateway Protocol
BGP(Border Gateway Protocol)는 Azure VPN 게이트웨이 또는 ExpressRoute와 함께 작동하여 온-프레미스 BGP 경로를 Azure 가상 네트워크로 전파합니다.
네트워크 트래픽 필터링
Azure Virtual Network를 사용하면 다음 방법을 사용하여 서브넷 간 트래픽을 필터링할 수 있습니다.
네트워크 보안 그룹
네트워크 보안 그룹은 Azure 리소스로서 여러 인바운드 및 아웃바운드 보안 규칙을 포함할 수 있습니다. 원본 및 대상 IP 주소, 포트 및 프로토콜과 같은 요인에 따라 트래픽을 허용하거나 차단하도록 이러한 규칙을 정의할 수 있습니다.
네트워크 가상 어플라이언스
네트워크 가상 어플라이언스는 강화된 네트워크 어플라이언스와 비교될 수 있는 특수한 VM입니다. 네트워크 가상 어플라이언스는 방화벽 실행 또는 WAN 최적화 수행과 같은 특정 네트워크 기능을 수행합니다.
Virtual Network 연결 -Azure Virtual Network Peering
You can link virtual networks together by using virtual network peering. Peering enables resources in each virtual network to communicate with each other. These virtual networks can be in separate regions, which allows you to create a global interconnected network through Azure.
UDR is user-defined Routing. UDR is a significant update to Azure’s Virtual Networks as this allows network admins to control the routing tables between subnets within a VNet, as well as between VNets, thereby allowing for greater control over network traffic flow.
Azure Virtual Network Settings
Virtual Network 만들기
1) Name
네트워크 이름은 구독에서 고유해야 하지만 전역적으로 고유할 필요는 없습니다. 다른 가상 네트워크와 식별하고 기억하기 쉽도록 설명이 포함된 이름을 만듭니다.
2) Address space
가상 네트워크를 설정할 때 CIDR(Classless Interdomain Routing) 형식으로 내부 주소 공간을 정의합니다. 이 주소 공간은 구독과, 해당 사용자가 연결된 모든 다른 네트워크 안에서 고유해야 합니다.
최초 가상 네트워크에 대해 주소 공간 10.0.0.0/24를 선택한다고 가정하겠습니다. 이 주소 공간에 정의된 주소 범위는 10.0.0.1 - 10.0.0.254입니다. 이제 두 번째 가상 네트워크를 만들고 주소 공간 10.0.0.0/8을 선택합니다. 이 주소 공간의 주소 범위는 10.0.0.1 - 10.255.255.254입니다. 일부 주소는 겹치며 두 가상 네트워크에 대해 사용할 수 없습니다.
그러나 주소 범위 10.0.0.1 - 10.0.255.254에서 10.0.0.0/16 , 주소 범위 10.1.0.1 - 10.1.255.254에서 10.1.0.0/16을 사용할 수 있습니다. 주소가 중복되지 않으므로 이 주소 공간을 가상 네트워크에 할당할 수 있습니다.
**NOTE: 가상 네트워크를 만든 후에 주소 공간을 추가할 수 있습니다.
3) Subscription
선택할 여러 구독이 있는 경우에만 적용됩니다.
4) Resource group
다른 Azure 리소스와 마찬가지로 가상 네트워크는 리소스 그룹에 존재해야 합니다. 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다.
5) Location
가상 네트워크가 존재할 위치를 선택합니다.
6) Subnet
각 가상 네트워크 주소 범위 내에서 가상 네트워크의 주소 공간을 분할하는 하나 이상의 서브넷을 만들 수 있습니다. 서브넷 간의 라우팅은 기본 트래픽 경로에 따라 다르거나 사용자 지정 경로를 정의할 수 있습니다. 또는 모든 가상 네트워크의 주소 범위를 포함하는 하나의 서브넷을 정의할 수 있습니다. 서브넷 이름은 영문, 숫자, 밑줄, 마침표 또는 하이픈만 포함할 수 있습니다. 단 영문이나 숫자로 시작하고 영문, 숫자 또는 하이픈으로 끝나야 합니다.
7) DDoS Protection
기본 또는 표준 DDoS 방지 중 하나를 선택할 수 있습니다. Standard DDoS Protection은 프리미엄 서비스입니다. Azure DDoS Protection Standard는 표준 DDoS 방지에 대한 자세한 정보를 제공합니다.
8) Service Endpoint
여기서는 서비스 엔드포인트를 설정한 다음, 목록에서 사용하려는 Azure 서비스 엔드포인트를 선택합니다. 옵션에는 Azure Cosmos DB, Azure Service Bus, Azure Key Vault 등이 포함됩니다.
Additional Setting
Network Security Group
Network Security Group 에는 가상 네트워크 서브넷 및 네트워크 인터페이스 내외부로 이동할 수 있는 네트워크 트래픽 유형을 필터링할 수 있는 보안 규칙이 있습니다. Network Security Group 을 별도로 만든 다음, 가상 네트워크와 연결합니다.
Route Table
Azure는 Azure 가상 네트워크 내의 각 서브넷에 대한 Route Table을 자동으로 만들고 시스템 기본 경로를 테이블에 추가합니다. 그러나 custom route tables을 추가하여 가상 네트워크 간에 트래픽을 수정할 수 있습니다.
Configure virtual networks
가상 네트워크를 만들면 Azure Portal의 Virtual Networks 창에서 추가 설정을 변경할 수 있습니다. 또는 PowerShell 명령이나 Cloud Shell의 명령을 사용하여 변경할 수 있습니다.
그런 다음, 추가 하위 창에서 설정을 검토하고 변경할 수 있습니다. 설정에는 다음이 포함됩니다.
-
Address Space: 초기 정의에 추가 주소 공간 추가 가능
-
Connected Device: 가상 네트워크를 사용하여 머신 연결
-
Subnet: 추가 서브넷 추가
-
Peerings: 피어링 배열에서 가상 네트워크 연결
가상 네트워크를 모니터링하고 문제를 해결하거나 자동화 스크립트를 만들어서 현재 가상 네트워크를 생성할 수도 있습니다.
Reference