Contoso Corporation에 대한 네트워킹
클라우드 포괄 인프라를 채택하기 위해 Contoso는 클라우드 서비스에 대한 네트워크 트래픽이 이동하는 방식에 근본적인 변화를 고안했습니다. 다음 수준의 Office 계층 구조에 대한 네트워크 연결 및 트래픽을 중점적으로 사용하는 내부 허브 및 스포크 모델 대신 사용자 위치를 로컬 인터넷 송신 및 로컬 연결에 인터넷에서 가장 가까운 Microsoft 365 네트워크 위치에 매핑했습니다.
네트워킹 인프라
다음은 전 세계 Contoso 사무실을 연결하는 네트워크 요소입니다.
멀티 프로토콜 레이블 전환 (MPLS) WAN 네트워크
MPLS WAN 네트워크는 파리 본사를 지역 사무소 및 지역 사무소와 스포크 및 허브 구성으로 위성 사무실에 연결합니다. 네트워크를 통해 사용자는 파리 본사에서 LOB(기간 업무) 애플리케이션을 구성하는 온-프레미스 서버에 액세스할 수 있습니다. 또한 일반 인터넷 트래픽을 네트워크 보안 디바이스가 요청을 스크러빙하는 파리 사무실로 라우팅합니다. 각 사무실 내에서 라우터는 개인 IP 주소 공간을 사용하는 서브넷의 유선 호스트 또는 무선 액세스 지점에 트래픽을 전달합니다.
Microsoft 365 트래픽에 대한 로컬 직접 인터넷 액세스
각 사무실에는 프록시 서버를 통해 자체 인터넷 연결이 있는 하나 이상의 로컬 인터넷 ISP 네트워크 회로가 있는 SD-WAN(소프트웨어 정의 WAN) 디바이스가 있습니다. 일반적으로 공용 IP 주소와 로컬 DNS 서버를 제공하는 로컬 ISP에 대한 WAN 링크로 구현됩니다.
인터넷 서비스
Contoso는 contoso.com 공용 도메인 이름을 소유합니다. 제품을 주문하기 위한 Contoso 공용 웹 사이트는 파리 캠퍼스의 인터넷에 연결된 데이터 센터의 서버 집합입니다. Contoso는 인터넷에서 /24 공용 IP 주소 범위를 사용합니다.
그림 1은 Contoso 네트워킹 인프라 및 인터넷에 대한 연결을 보여 줍니다.
그림 1: Contoso 네트워크
Microsoft에 대한 최적 네트워크 연결을 위해 SD-WAN 사용
Contoso는 다음과 같은 Microsoft 365 네트워크 연결 원칙을 준수했습니다.
- Microsoft 365 네트워크 트래픽 식별 및 차별화
- 네트워크 연결을 로컬로 송신
- 네트워크 헤어핀 방지
- 중복된 네트워크 보안 장치 우회
Microsoft 365의 네트워크 트래픽에는 최적화, 허용 및 기본값의 세 가지 범주가 있습니다. 트래픽 최적화 및 허용은 엔드포인트에서 암호화되고 보호되며 Microsoft 365 네트워크로 향하는 신뢰할 수 있는 네트워크 트래픽입니다.
Contoso는 다음의 사항을 결정했습니다:
최적화 및 허용 범주 트래픽에 직접 인터넷 송신을 사용하고 모든 기본 범주 트래픽을 파리 기반 중앙 인터넷 연결로 전달합니다.
이러한 원칙을 따르고 Microsoft 365 클라우드 기반 서비스에 대한 최적의 네트워크 성능을 달성하는 간단한 방법으로 각 사무실에 SD-WAN 디바이스를 배포합니다.
SD-WAN 장치에는 로컬 사무실 네트워크와 여러 대의 WAN 포트용 LAN 포트가 있습니다. 하나의 WAN 포트가 MPLS 네트워크에 연결됩니다. 다른 하나는 로컬 ISP 회로에 연결합니다. SD-WAN 장치는 ISP 링크를 통해 최적화 및 허용범주 네트워크 트래픽을 라우팅합니다.
Contoso 기간 업무 앱 인프라
Contoso는 다음을 위해 기간 업무 애플리케이션 및 서버 인트라넷 인프라를 설계했습니다.
- 위성 사무소는 로컬 캐싱 서버를 사용하여 자주 액세스하는 문서 및 내부 웹 사이트를 저장합니다.
- 지역 허브는 지역 및 위성 사무소에 지역 애플리케이션 서버를 사용합니다. 이러한 서버는 파리 본사의 서버와 동기화됩니다.
- 파리 캠퍼스 데이터 센터에는 전체 organization 제공하는 중앙 집중식 애플리케이션 서버가 포함되어 있습니다.
그림 2는 Contoso 인트라넷에서 서버에 액세스할 때 사용되는 네트워크 트래픽 용량의 비율을 보여줍니다.
그림 2: 내부 애플리케이션용 Contoso 인프라
위성 또는 지역 허브 사무소의 경우 직원이 필요로 하는 리소스의 60%를 위성 및 지역 허브 사무실 서버에서 사용할 수 있습니다. 추가 리소스 요청의 40%는 WAN 링크를 통해 파리 캠퍼스로 이동해야 합니다.
엔터프라이즈용 Microsoft 365에 대한 네트워크 분석 및 준비
Contoso 사용자가 엔터프라이즈 서비스용 Microsoft 365를 성공적으로 채택하는 것은 인터넷 또는 Microsoft 클라우드 서비스에 대한 고가용성 및 성능에 따라 달라집니다. Contoso는 엔터프라이즈 클라우드 서비스용 Microsoft 365에 대한 최적화된 연결을 계획하고 구현하기 위해 다음 단계를 수행했습니다.
계획에 도움이 되는 회사 WAN 네트워크 다이어그램 만들기
네트워크 계획을 시작하기 위해 Contoso는 사무실 위치, 기존 네트워크 연결, 기존 네트워크 경계 디바이스 및 네트워크에서 관리되는 서비스 클래스를 보여 주는 다이어그램을 만들었습니다. 네트워킹 연결 계획 및 구현의 각 후속 단계에 이 다이어그램을 사용했습니다.
엔터프라이즈 네트워크 연결을 위한 Microsoft 365 계획 만들기
Contoso는 Microsoft 365 네트워크 연결 원칙 및 샘플 참조 네트워크 아키텍처를 사용하여 SD-WAN을 Microsoft 365 연결에 대한 기본 토폴로지로 식별했습니다.
각 사무실에서 인터넷 연결 사용률 및 MPLS-WAN 대역폭을 분석하고 필요에 따라 대역폭을 늘입니다.
각 사무실의 현재 사용량을 분석하고 회로가 증가하여 Microsoft 365 클라우드 기반 트래픽이 평균 20%의 사용되지 않는 용량으로 작동할 것으로 예상했습니다.
Microsoft 네트워크 서비스에 성능 최적화
Contoso는 최적의 성능을 위해 인터넷 경로에서 Office 365, Intune 및 Azure 엔드포인트 집합을 결정하고 방화벽, 보안 디바이스 및 기타 시스템을 구성했습니다. Office 365 최적화 및 허용 범주 트래픽에 대한 엔드포인트는 ISP 회로를 통해 라우팅하기 위해 SD-WAN 디바이스에 구성되었습니다.
내부 DNS 구성
DNS가 작동해야 하고 Microsoft 365 트래픽 여부를 로컬에서 조회해야 합니다.
네트워크 엔드포인트 및 포트 연결 유효성 검사
Contoso는 Microsoft 네트워크 연결 테스트 도구를 실행하여 엔터프라이즈 클라우드 서비스용 Microsoft 365에 대한 연결의 유효성을 검사했습니다.
네트워크 연결을 위해 직원 컴퓨터 최적화
개별 컴퓨터에서 최신 운영 체제 업데이트가 설치되었고 모든 클라이언트에서 엔드포인트 보안 모니터링이 활성화되었는지 확인했습니다.
다음 단계
Contoso가 직원을 위해 클라우드에서 온-프레미스 Active Directory Domain Services 활용하고 고객 및 비즈니스 파트너를 위한 페더레이션 인증을 활용하는 방법을 알아봅니다.