다음을 통해 공유

허브 및 스포크 네트워크의 Azure Private Link

이 문서에서는 허브 및 스포크 네트워크 토폴로지에서 Azure Private Link를 사용하는 방법을 설명합니다. 대상 사용자에는 네트워크 설계자와 클라우드 솔루션 설계자가 포함됩니다. 이 가이드에서는 Azure 프라이빗 엔드포인트를 사용하여 PaaS(Platform as a Service) 리소스에 비공개로 액세스하는 방법을 간략하게 설명합니다.

이 가이드에서는 IaaS(서비스 제공 인프라) 구성 요소를 Azure PaaS 리소스에 연결하기 위한 가상 네트워크 통합, 서비스 엔드포인트 및 기타 솔루션에 대해 다루지 않습니다. 이러한 솔루션에 대한 자세한 내용은 네트워크 격리를 위해 가상 네트워크와 Azure 서비스 통합을 참조하세요.

Azure 허브 및 스포크 토폴로지

Azure에서 허브 및 스포크 네트워크 토폴로지로를 사용하여 통신 서비스를 효율적으로 관리하고 대규모 보안 요구 사항을 충족할 수 있습니다. 자세한 내용은 허브 및 스포크 네트워크 토폴로지 참조하세요.

허브 및 스포크 아키텍처는 다음과 같은 이점을 제공합니다.

  • 중앙 IT 팀과 워크로드 팀 간에 개별 워크로드 배포
  • 중복 리소스를 최소화하여 비용 절감
  • 여러 워크로드가 공유하는 서비스를 중앙 집중화하여 네트워크를 효율적으로 관리합니다.
  • 단일 Azure 구독과 관련된 제한을 극복합니다.

다음 다이어그램은 Azure에서 배포할 수 있는 일반적인 허브 및 스포크 토폴로지입니다.

허브 가상 네트워크와 스포크 2개를 보여 주는 아키텍처 다이어그램. 한 스포크는 온-프레미스 네트워크입니다. 다른 하나는 랜딩 존 가상 네트워크입니다.

이 아키텍처의 Visio 파일을 다운로드합니다.

이 아키텍처는 Azure에서 지원하는 두 가지 네트워크 토폴로지 옵션 중 하나입니다. 이 클래식 참조 디자인에서는 Azure Virtual Network, 가상 네트워크 피어링 및 UDR(사용자 정의 경로)과 같은 기본 네트워크 구성 요소가 사용됩니다. 허브 및 스포크 토폴로지 사용 시 서비스를 구성하고 네트워크가 보안 및 라우팅 요구 사항을 충족하는지 확인해야 합니다.

Azure Virtual WAN은 규모에 맞는 배포 대안을 제공합니다. 이 서비스에는 단순화된 네트워크 디자인이 사용됩니다. Virtual WAN은 라우팅 및 보안과 관련된 구성 오버헤드를 줄입니다.

Private Link는 기존 허브 및 스포크 네트워크와 Virtual WAN 네트워크에 대해 다양한 옵션을 지원합니다.

Private Link는 프라이빗 엔드포인트 네트워크 인터페이스를 통해 서비스에 대한 액세스를 제공합니다. 프라이빗 엔드포인트는 가상 네트워크의 개인 IP 주소를 사용합니다. 해당 개인 IP 주소를 통해 다양한 서비스에 액세스할 수 있습니다.

  • Azure PaaS 서비스
  • Azure에서 호스트하는 고객 소유 서비스
  • Azure에서 호스트하는 파트너 서비스

가상 네트워크와 액세스하는 서비스 간의 트래픽은 Azure 네트워크 백본을 통해 이동합니다. 따라서 더 이상 공용 엔드포인트를 통해 서비스에 액세스하지 않습니다. For more information, see Private Link.

다음 다이어그램에서는 온-프레미스 사용자가 가상 네트워크에 연결하고 Private Link를 사용하여 PaaS 리소스에 액세스하는 방법을 보여 줍니다.

Azure Private Link가 가상 네트워크를 PaaS 리소스에 연결하는 방법을 보여 주는 아키텍처 다이어그램

이 아키텍처의 Visio 파일을 다운로드합니다.

허브 또는 스포크에 프라이빗 엔드포인트를 배포할 수 있습니다. 몇 가지 요인에 따라 각 상황에서 가장 적합한 위치가 결정됩니다. Azure PaaS 서비스 및 Azure에서 호스트하는 고객 소유 및 파트너 서비스에 가장 적합한 구성을 결정하려면 다음 요소를 고려하세요.

Virtual WAN을 네트워크 연결 솔루션으로 사용할지 여부를 결정합니다.

Virtual WAN 사용하는 경우 가상 허브에 연결하는 스포크 가상 네트워크에만 프라이빗 엔드포인트를 배포할 수 있습니다. 가상 허브 또는 보안 허브에는 리소스를 배포할 수 없습니다.

프라이빗 엔드포인트를 네트워크에 통합하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

Azure Firewall과 같은 네트워크 가상 어플라이언스 사용 여부 확인

프라이빗 엔드포인트로의 트래픽은 Azure 네트워크 백본을 사용하며 암호화됩니다. 해당 트래픽을 기록하거나 필터링해야 할 수 있습니다. 다음 영역에서 방화벽을 사용하는 경우 프라이빗 엔드포인트로 흐르는 트래픽을 분석할 수도 있습니다.

  • Across spokes
  • 허브와 스포크 사이
  • 온-프레미스 구성 요소와 Azure 네트워크 사이

이 경우 전용 서브넷의 허브에 프라이빗 엔드포인트를 배포합니다. 이 설정은 다음과 같은 이점을 제공합니다.

  • SNAT(Secure Network Address Translation) 규칙 구성을 단순화합니다. 프라이빗 엔드포인트가 포함된 전용 서브넷에 대한 트래픽에 대한 NVA(네트워크 가상 어플라이언스)에서 단일 SNAT 규칙을 만들 수 있습니다. SNAT를 적용하지 않고 트래픽을 다른 애플리케이션으로 라우팅할 수 있습니다.

  • 경로 테이블 구성을 단순화합니다. 프라이빗 엔드포인트로 흐르는 트래픽의 경우 NVA를 통해 해당 트래픽을 라우팅하는 규칙을 추가할 수 있습니다. 모든 스포크, VPN(가상 사설망) 게이트웨이 및 Azure ExpressRoute 게이트웨이에서 해당 규칙을 다시 사용할 수 있습니다.

  • 프라이빗 엔드포인트에 전용인 서브넷의 인바운드 트래픽에 대한 네트워크 보안 그룹 규칙을 적용할 수 있습니다. 이러한 규칙은 리소스에 대한 트래픽을 필터링합니다. 리소스에 대한 액세스를 제어할 수 있는 단일 위치를 제공합니다.

  • 프라이빗 엔드포인트 관리를 중앙 집중화합니다. 모든 프라이빗 엔드포인트를 한 곳에 배포하는 경우 모든 가상 네트워크 및 구독에서 보다 효율적으로 관리할 수 있습니다.

모든 워크로드가 Private Link에서 보호하는 각 PaaS 리소스에 액세스해야 하는 경우 이 구성을 사용합니다. 워크로드가 다른 PaaS 리소스에 액세스하는 경우 전용 서브넷에 프라이빗 엔드포인트를 배포하지 마세요. 대신 최소 권한 원칙에 따라 보안을 개선합니다.

  • 각 프라이빗 엔드포인트를 별도의 서브넷에 배치합니다.
  • 보호된 리소스를 사용하는 워크로드에만 해당 리소스에 대한 액세스를 부여합니다.

온-프레미스 시스템에서 프라이빗 엔드포인트를 사용하는지 확인

프라이빗 엔드포인트를 사용하여 온-프레미스 시스템의 리소스에 액세스하려는 경우 허브에 엔드포인트를 배포합니다. 이 설정은 다음과 같은 이점을 제공합니다.

  • 네트워크 보안 그룹을 사용하여 리소스에 대한 액세스를 제어할 수 있습니다.
  • 중앙 집중식 위치에서 프라이빗 엔드포인트를 관리할 수 있습니다.

Azure에 배포하는 애플리케이션에서 리소스에 액세스하려는 경우 다음 요소가 적용됩니다.

  • 하나의 애플리케이션만 리소스에 액세스해야 하는 경우 해당 애플리케이션의 스포크에 프라이빗 엔드포인트를 배포합니다.
  • 둘 이상의 애플리케이션이 리소스에 액세스해야 하는 경우 허브에 프라이빗 엔드포인트를 배포합니다.

Flowchart

다음 순서도에는 옵션 및 권장 사항이 요약되어 있습니다. 모든 고객에게는 고유한 환경이 있으므로 프라이빗 엔드포인트를 배치할 위치를 결정할 때 시스템의 요구 사항을 고려합니다.

프라이빗 링크를 스포크 또는 허브 및 스포크 네트워크의 허브에 배치할지 여부를 결정하는 과정을 안내하는 순서도입니다.

이 아키텍처의 Visio 파일을 다운로드합니다.

Considerations

다음 요소는 프라이빗 엔드포인트 구현에 영향을 줄 수 있습니다. 이러한 요인은 Azure PaaS 서비스 및 Azure에서 호스트하는 고객 소유 및 파트너 서비스에 적용됩니다.

Networking

스포크 가상 네트워크에서 프라이빗 엔드포인트를 사용하는 경우 서브넷의 기본 경로 테이블에는 다음 홉 형식의 InterfaceEndpoint경로가 포함됩니다/32.

  • 기존 허브 및 스포크 토폴로지를 사용하는 경우 VM(가상 머신)의 네트워크 인터페이스 수준에서 이 유효 경로를 볼 수 있습니다. 자세한 내용은 VM 라우팅 문제 진단을 참조하세요.

  • Virtual WAN을 사용하는 경우 가상 허브 유효 경로에서 이 경로를 볼 수 있습니다. 자세한 내용은 가상 허브 유효 경로 보기를 참조하세요.

경로가 /32 다음 영역으로 전파됩니다.

  • 구성하는 모든 가상 네트워크 피어링
  • 온-프레미스 시스템에 대한 모든 VPN 또는 ExpressRoute 연결

허브 또는 온-프레미스 시스템에서 프라이빗 엔드포인트로 액세스를 제한하려면 프라이빗 엔드포인트를 배포하는 서브넷의 네트워크 보안 그룹을 사용합니다. 적합한 인바운드 규칙을 구성합니다.

Name resolution

가상 네트워크의 구성 요소는 개인 IP 주소를 각 프라이빗 엔드포인트에 연결합니다. 이러한 구성 요소는 특정 DNS(Domain Name System) 설정을 사용하는 경우에만 해당 개인 IP 주소를 확인할 수 있습니다. 사용자 지정 DNS 솔루션을 사용하는 경우 DNS 영역 그룹을 사용합니다. 허브 또는 스포크에 리소스를 배포하든 간에 프라이빗 엔드포인트를 중앙 집중식 Azure 프라이빗 DNS 영역과 통합합니다. 프라이빗 DNS 영역을 프라이빗 엔드포인트 DNS 이름을 확인해야 하는 모든 가상 네트워크와 연결합니다.

이 방법에서 온-프레미스 및 Azure DNS 클라이언트는 이름을 확인하고 개인 IP 주소에 액세스할 수 있습니다. 참조 구현에 대해서는 규모에 맞게 Private Link 및 DNS 통합을 참조하세요.

Costs

  • 지역 가상 네트워크 피어링에서 프라이빗 엔드포인트를 사용하는 경우 피어링 요금은 프라이빗 엔드포인트 간 트래픽에 적용되지 않습니다.

  • 피어링 비용은 가상 네트워크 피어링을 통해 흐르는 다른 인프라 리소스 트래픽에 적용됩니다.

  • 여러 지역에 프라이빗 엔드포인트를 배포하는 경우 Private Link 속도와 글로벌 피어링 인바운드 및 아웃바운드 속도가 적용됩니다.

For more information, see Bandwidth pricing.

Contributors

Microsoft는 이 문서를 유지 관리합니다. 다음 기여자는 이 문서를 작성했습니다.

Principal author:

  • Jose Angel Fernandez Rodrigues | 선임 전문가 GBB

Other contributor:

LinkedIn 비공개 프로필을 보려면, LinkedIn에 로그인하세요.

Next steps