Azure Virtual Network Manager의 연결 구성
이 문서에서는 Azure Virtual Network Manager를 사용하여 만들고 배포할 수 있는 다양한 유형의 구성에 대해 알아봅니다. 현재 사용할 수 있는 구성에는 연결 및 보안 관리자의 두 가지 유형이 있습니다.
연결 구성
연결 구성을 사용하면 네트워크 요구 사항에 따라 다른 네트워크 토폴로지를 만들 수 있습니다. 메시 네트워크와 허브 및 스포크 중에서 선택할 수 있는 두 개의 토폴로지가 있습니다. 가상 네트워크 간의 연결은 구성 설정 내에서 정의됩니다.
메시 네트워크 토폴로지
메시 네트워크는 네트워크 그룹의 모든 가상 네트워크가 서로 연결되는 토폴로지입니다. 모든 가상 네트워크는 연결되며 양방향으로 트래픽을 서로 전달할 수 있습니다.
메시 네트워크 토폴로지의 일반적인 사용 사례는 허브 및 스포크 토폴로지의 일부 스포크 가상 네트워크가 허브 가상 네트워크를 통과하는 트래픽 없이 서로 직접 통신할 수 있도록 하는 것입니다. 이 방식은 허브의 라우터를 통해 트래픽을 라우팅할 때 발생할 수 있는 대기 시간을 줄여줍니다. 또한 Azure Virtual Network Manager에서 네트워크 보안 그룹 규칙 또는 보안 관리 규칙을 구현하여 스포크 네트워크 간의 직접 연결에 대한 보안 및 감독을 유지할 수 있습니다. 가상 네트워크 흐름 로그를 사용하여 트래픽을 모니터링하고 기록할 수도 있습니다.
기본적으로 메시는 지역 메시이므로 지역이 동일한 가상 네트워크만 서로 통신할 수 있습니다. 전역 메시를 사용하도록 설정하여 모든 Azure 지역에서 가상 네트워크의 연결을 설정할 수 있습니다. 가상 네트워크는 최대 두 개의 연결된 그룹에 속할 수 있습니다. 가상 네트워크 피어링과 달리 가상 네트워크 주소 공간은 메시 구성에서 겹칠 수 있습니다. 그러나 라우팅은 비결정적이므로 겹치는 특정 서브넷에 대한 트래픽은 삭제됩니다.
연결된 그룹
허브 및 스포크 토폴로지에서 메시 토폴로지 또는 직접 연결을 만들면 연결된 그룹이라는 새로운 연결 구문이 만들어집니다. 연결된 그룹의 가상 네트워크는 가상 네트워크를 수동으로 연결하는 것처럼 서로 통신할 수 있습니다. 네트워크 인터페이스의 유효 경로를 살펴보면 ConnectedGroup의 다음 홉 유형이 표시됩니다. 연결된 그룹에서 함께 연결된 가상 네트워크에는 가상 네트워크의 피어링 아래에 피어링 구성이 나열되지 않습니다.
참고 항목
- 두 개 이상의 가상 네트워크에 충돌하는 서브넷이 있는 경우 해당 서브넷의 리소스는 동일한 메시 네트워크에 속하더라도 서로 통신할 수 없습니다.
- 가상 네트워크는 최대 두 개의 메시 구성에 속할 수 있습니다.
허브 및 스포크 토폴로지
허브 및 스포크는 가상 네트워크가 허브 가상 네트워크로 선택된 네트워크 토폴로지입니다. 이 가상 네트워크는 구성의 모든 스포크 가상 네트워크와 양방향 피어링됩니다. 이 토폴로지는 가상 네트워크를 격리하려고 하지만 여전히 허브 가상 네트워크의 일반 리소스에 연결하려는 경우에 유용합니다.
이 구성에는 스포크 가상 네트워크 간의 직접 연결 과 같이 사용하도록 설정할 수 있는 설정이 있습니다. 기본적으로 이 연결은 동일한 지역의 가상 네트워크에만 사용됩니다. 여러 Azure 지역에서 연결을 허용하려면 전역 메시를 사용하도록 설정해야 합니다. 또한 게이트웨이 전송을 사용하도록 설정하여 스포크 가상 네트워크가 허브에 배포된 VPN 또는 ExpressRoute 게이트웨이를 사용하도록 허용할 수 있습니다.
이 구성을 배포한 후 이러한 피어링을 수동으로 만든 경우에도 이 구성의 내용과 일치하지 않는 피어링을 선택하면 제거될 수 있습니다. 구성에 사용되는 네트워크 그룹에서 VNet을 제거하면 가상 관리자가 만든 피어링만 제거합니다.
직접 연결
직접 연결을 사용하도록 설정하면 허브 및 스포크 토폴로지 위에 연결된 그룹의 오버레이가 생성되며, 여기에는 지정된 그룹의 스포크 가상 네트워크가 포함됩니다. 직접 연결을 사용하면 스포크 VNet이 스포크 그룹의 다른 VNet과 직접 통신할 수 있지만 다른 스포크의 VNet과는 통신할 수 없습니다.
예를 들어 두 개의 네트워크 그룹을 만듭니다. 프로덕션 네트워크 그룹에 대해 직접 연결을 사용하도록 설정하지만 테스트 네트워크 그룹에는 연결하지 않습니다. 이 설정을 사용하면 프로덕션 네트워크 그룹의 가상 네트워크만 서로 통신할 수 있지만 테스트 네트워크 그룹의 가상 네트워크와는 통신할 수 없습니다.
VM에서 유효 경로를 살펴보면 허브와 스포크 가상 네트워크 간의 경로에는 VNetPeering 또는 GlobalVNetPeering의 다음 홉 유형이 있습니다. 스포크 가상 네트워크 간의 경로는 ConnectedGroup의 다음 홉 유형으로 표시됩니다. 위의 예제에서는 직접 연결이 활성화되어 있으므로 프로덕션 네트워크 그룹만 ConnectedGroup을 갖게 됩니다.
토폴로지 뷰를 사용하여 네트워크 그룹 토폴로지 검색
네트워크 그룹의 토폴로지를 이해하는 데 도움이 되도록 Azure Virtual Network Manager는 네트워크 그룹과 해당 멤버 가상 네트워크 간의 연결을 보여주는 토폴로지 뷰를 제공합니다. 다음 단계에 따라 연결 구성을 만드는 동안 네트워크 그룹의 토폴로지를 볼 수 있습니다.
- 구성 페이지로 이동하여 연결 구성을 만듭니다.
- 토폴로지 탭에서 원하는 토폴로지 유형을 선택하고, 토폴로지에 하나 이상의 네트워크 그룹을 추가하고, 원하는 다른 연결 설정을 구성합니다.
- 토폴로지 미리 보기 탭을 선택하여 토폴로지 보기를 테스트하고 구성의 현재 연결을 검토합니다.
- 연결 구성 만들기를 완료합니다.
네트워크 그룹의 세부 정보 페이지에서 설정에서 시각화를 선택하여 네트워크 그룹의 현재 토폴로지 검토가 가능합니다. 보기는 네트워크 그룹의 멤버 가상 네트워크 간의 연결을 보여줍니다.
사용 사례
허브 가상 네트워크에 NVA 또는 공통 서비스를 사용하려고 하지만 허브에 항상 액세스할 필요가 없는 경우 스포크 가상 네트워크 간에 직접 연결을 사용하도록 설정하면 유용할 수 있습니다. 그러나 서로 통신하려면 네트워크 그룹의 스포크 가상 네트워크가 필요합니다. 기존 허브 및 스포크 네트워크에 비해 이 토폴로지에서는 허브 가상 네트워크를 통해 추가 홉을 제거하여 성능을 향상시킵니다.
글로벌 메시
메시와 마찬가지로 이러한 스포크 연결 그룹은 지역 또는 전역으로 구성할 수 있습니다. 스포크 가상 네트워크가 지역 간에 서로 통신하도록 하려면 전역 메시가 필요합니다. 이 연결은 동일한 네트워크 그룹의 가상 네트워크로 제한됩니다. 지역 간 가상 네트워크에 대한 연결을 사용하도록 설정하려면 네트워크 그룹에 대해 지역 간 메시 연결을 사용하도록 설정해야 합니다. 스포크 가상 네트워크 간에 생성된 연결은 연결된 그룹에 있습니다.
허브를 게이트웨이로 사용
허브 및 스포크 구성에서 사용하도록 설정할 수 있는 또 다른 옵션은 허브를 게이트웨이로 사용하는 것입니다. 이 설정을 사용하면 네트워크 그룹의 모든 가상 네트워크가 허브 가상 네트워크의 VPN 또는 ExpressRoute 게이트웨이를 사용하여 트래픽을 전달할 수 있습니다. 게이트웨이 및 온-프레미스 연결을 참조하세요.
Azure Portal에서 허브 및 스포크 토폴로지를 배포하는 경우 네트워크 그룹의 스포크 가상 네트워크에 대해 기본적으로 허브를 게이트웨이로 사용이 설정됩니다. Azure Virtual Network Manager는 리소스 그룹의 허브와 스포크 가상 네트워크 간에 가상 네트워크 피어링 연결을 만들려고 시도합니다. 게이트웨이가 허브 가상 네트워크에 없는 경우 스포크 가상 네트워크에서 허브로의 피어링 생성은 실패합니다. 허브에서 스포크로의 피어링 연결은 설정된 연결 없이 계속 만들어집니다.
다음 단계
- Terraform을 사용하여 Azure Virtual Network Manager 인스턴스를 배포합니다.
- Azure Virtual Network Manager의 구성 배포에 대해 알아봅니다.
- 보안 관리자 구성을 사용하여 네트워크 트래픽을 차단하는 방법에 대해 알아봅니다.