[Azure] Networking
Azure Virtual Network
- 격리 및 구분
- 인터넷 통신
- Azure 리소스 간 통신
- 온-프레미스 리소스와 통신
- 네트워크 트래픽 라우팅
- 네트워크 트래픽 필터링
- 가상 네트워크 연결
Azure Virtual Network 설정
Azure Portal, Local 컴퓨터의 Azure PowerShell 또는 Azure Cloud Shell에서 Azure Virtual Network 인스턴스를 만들고 구성할 수 있다.
Azure Virtual Network 만들기
- 네트워크 이름 : 네트워크 이름은 구독에서 고유해야 하지만, 전역적으로 고유할 필요는 없다.
- 주소 공간 : 가상 네트워크를 설정할 때 CIDR 형식으로 내부 주소 공간을 정의 한다. 이 주소 공간은 구독과, 해당 사용자가 연결된 모든 다른 네트워크 안에서 고유해야 한다.
- 구독 : 여러 구독을 선택 할 수 있는 경우 적용
- 리소스 그룹 : 다른 리소스와 마찬가지로 가상 네트워크는 리소스 그룹에 존재해야 한다.
- 위치 : 가상 네트워크가 존재할 위치를 선택한다.
- 서브넷 : 각 가상 네트워크 주소 범위 내에서 가상 네트워크의 주소 공간을 분할하는 하나 이상의 서브넷을 만들 수 있다.
- DDoS 보호 : 기본 또는 DDoS 방지 중 선택
- 서비스 엔드포인트 : 서비스 엔드포인트를 사용하도록 설정. Azure Cosmos DB, Service Bus, Key Valut 등이 포함
추가 설정 정의
- 네트워크 보안 그룹 : 네트워크 보안 그룹에는 가상 네트워크 서브넷 및 네트워크 인터페이스 내외부로 이동할 수 있는 네트워크 트래픽 유형을 필터링 할 수 있는 보안 규칙이 있다. 네트워크 보안 그룹은 별도로 만들고, 가상 네트워크와 연결한다.
- 경로 테이블 : Azure 가상 네트워크 내의 각 서브넷에 대한 경로 테이블을 자동으로 만들고 시스템 기본 경로를 테이블에 추가. 사용자 지정 경로 테이블을 추가하여 가상 네트워크 간의 트래픽을 수정한다.
가상 네트워크 설정
- 주소 공간 : 초기 정의에 주소 공간을 더 추가할 수 있다.
- 연결된 디바이스 : 가상 네트워크를 사용하여 머신을 연결
- 서브넷 : 서브넷을 더 추가할 수 있다.
- 피어링 : 피어링 배열에서 가상 네트워크를 연결
Azure VPN Gateway 기본 사항
VPN은 상호 연결된 프라이빗 네트워크의 일종이다. VPN은 다른 네트워크 내에서 암호화된 터널을 사용한다. 일반적으로 둘 이상의 신뢰할 수 있는 사설망을 신뢰할 수 없는 네트워크를 통해 서로 연결하기 위해 배포된다.
VPN 게이트웨이
VPN Gateway는 가상 네트워크 게이트웨이의 유형이다. Azure VPN Gateway 인스턴스는 Azure Virtual Network 인스턴스에 배포된다.
- 사이트 간 연결을 통해 온-프레미스 데이터 센터를 가상 네트워크에 연결한다.
- 지점 및 사이트 간 연결을 통해 개별 디바이스를 가상 네트워크에 연결한다.
- 네트워크 간 연결을 통해 가상 네트워크를 다른 가상 네트워크에 연결한다.
전송되는 모든 데이터는 프라이빗 터널에서 암호화 된다. 각 가상 네트워크에 VPN 게이트웨이를 하나만 배포할 수 있지만, 하나의 게이트웨이를 사용해 다른 가상 네트워크 또는 온-프레미스 데이터 센터를 포함한 여러 위치에 연결할 수 있다.
정책 기반 VPN
정책 기반 VPN Gateway는 각 터널을 통해 암호화되어야 하는 패킷의 IP 주소를 정적으로 지정한다. 이런 유형의 디바이스는 해당 IP 주소 세트에 대해 모든 패킷을 평가해 패킷이 전송될 터널을 선택한다.
경로 기반 VPN
각 터널 뒤에 있는 IP 주소를 정의하는 것이 번거로운 경우, 경로 기반 게이트웨이를 사용할 수 있다. 경로 기반 게이트웨이를 사용하면 IPSec 터널이 네트워크 인터페이스 또는 가상 터널 인터페이스로 모델링 된다. IP 라우팅에 따라 각 패킷을 전송할 때 사용할 터널 인터페이스 중 하나가 결정된다. 경로 기반 VPN은 On-prem 디바이스에서 애용되는 방법이다.
- 가상 네트워크 간 연결
- 지점 및 사이트 간 연결
- 다중 사이트 연결
- Azure ExpressRoute 게이트와 동시 사용
VPN 게이트웨이 배포
VPN 게이트웨이를 배포하려면 다음과 같은 Azure 리소스가 필요하다.
- 가상 네트워크 : VPN 게이트웨이에 필요한 추가 서브넷을 수용할 주소 공간이 충분히 있는 가상 네트워크를 배포한다. 이 가상 네트워크 주소 공간은 연결할 On-prem 네트워크와 겹치지 않아야 한다. 한 가상 네트워크 내에는 VPN 게이트웨이를 하나만 배포할 수 있다.
- GatewaySubnet : VPN 게이트웨이용 서브넷을 배포한다. 확장에 대비하여 서브넷에 충분한 IP 공간을 마련할 수 있도록 /27 주소 마스크를 사용한다. 다른 서비스에는 이 서브넷을 사용할 수 없다.
- 공용 IP 주소 : 비영역 인식 게이트웨이를 사용하는 경우 기본 SKU 동적 공용 IP 주소를 만든다. 이 주소는 On-prem VPN 디바이스의 대상으로 라우팅 할 수 있는 공용 IP 주소를 제공한다. 동적 IP주소이지만, VPN 게이트웨이를 삭제하고 다시 만들기 전까지는 변경되지 않는다.
- 로컬 네트워크 게이트웨이 : VPN 게이트웨이가 연결될 위치 및 대상과 같은 On-prem 네트워크의 구성을 정의하는 로컬 네트워크 게이트웨이를 만든다. 이 구성에는 On-prem VPN 디바이스의 공용 IPv4 주소와 라우팅 가능한 On-prem 네트워크가 포함된다.
- 가상 네트워크 게이트웨이 : 가상 네트워크와 On-prem 데이터 센터 또는 따른 가상 네트워크 간에 트래픽을 라우팅하는 가상 네트워크 게이트웨이를 만든다.
Azure ExpressRoute
ExpressRoute를 사용하면 프라이빗 연결을 통해 On-prem 네트워크를 클라우드로 확장할 수 있다. 연결은 공동 배치 시설의 연결 공급자를 통해 Any-to-Any 네트워크, 지점 간 이더넷 네트워크 또는 가상 교차 연결에서 수행할 수 있다. ExpressRoute 연결은 퍼블릭 인터넷을 통해 이동하지 않는다. 이 기능을 사용하면 인터넷을 통한 연결보다 안정적이고 속도가 빠르고 보안성이 높다.
