이 문서에서는 Azure 랜딩 존 내에서 Azure Virtual WAN 네트워크 토폴로지를 디자인하고 구현하는 방법을 설명합니다. Azure Virtual WAN은 Azure 지역 및 온-프레미스 환경에서 글로벌, 동적 및 전이적 연결을 제공하는 Microsoft 관리 네트워킹 서비스입니다. 이 지침은 연결을 간소화하고, 운영 복잡성을 줄이며, 엔터프라이즈 규모 배포에 확장 가능한 아키텍처를 사용하도록 설정하기 때문에 중요합니다.
그림 1: Virtual WAN 네트워크 토폴로지. 이 아키텍처의 Visio 파일 또는 PDF 파일을 다운로드합니다.
허브 및 스포크 네트워크 아키텍처 만들기
Azure Virtual WAN은 허브 및 스포크 네트워크 아키텍처를 만들어 Azure 및 온-프레미스에서 Azure로의 엔드 투 엔드 네트워크 연결을 간소화합니다. 아키텍처는 다음 그림과 같이 여러 Azure 지역 및 온-프레미스 위치(모든 연결)를 지원하도록 쉽게 확장됩니다.
가상 WAN을 사용하는 글로벌 전송 네트워크를 보여 주는 다이어그램.
Azure Virtual WAN을 사용하는 글로벌 전송 네트워크의 다이어그램. 각각 Virtual WAN 허브에 연결된 여러 VNet을 포함하는 두 지역(지역 1 및 지역 2)을 보여 줍니다. 허브는 지역 간 통신을 위해 허브 간 연결을 통해 연결됩니다. 각 허브 아래에는 ExpressRoute 및 사용자 디바이스를 비롯한 지점 및 연결 엔드포인트를 나타내는 아이콘이 있습니다. 이 레이아웃은 지역 내의 VNet에 대한 중앙 집중식 허브 연결과 지역 간 전역 전송을 강조합니다.
그림 2: Virtual WAN의 전역 전송 네트워크
Azure Virtual WAN 모든 전이적 연결은 동일한 지역 및 지역 간에 다음 경로를 지원합니다.
- 가상 네트워크 간
- 가상 네트워크-분기
- 분기-가상 네트워크
- 분기 간
제약 조건: Virtual WAN 허브는 다음과 같은 Microsoft 관리 리소스만 지원합니다.
- 가상 네트워크 게이트웨이(지점 및 사이트 간의 VPN, 사이트 및 사이트 간의 VPN 및 Azure ExpressRoute)
- Firewall Manager를 통한 Azure Firewall
- 경로 테이블
- 공급업체별 SD-WAN 기능을 위한 일부 네트워크 가상 어플라이언스 (NVA)
Virtual WAN 배포 계획
Azure 지역당 하나 이상의 Virtual WAN Hub를 사용합니다. Azure 지역당 Virtual WAN 허브를 사용합니다. 목표는 일반적인 글로벌 Azure Virtual WAN을 통해 Azure 지역 간에 여러 애플리케이션 랜딩 존을 함께 연결하는 것입니다. Virtual WAN에는 Azure 구독 제한이 적용됩니다. 동일한 지역에 여러 Azure Virtual WAN 허브를 배포하여 단일 허브 제한을 초과하여 확장할 수 있습니다.
연결 구독을 이용하세요. 모든 Virtual WAN 리소스, Azure Firewall 및 Azure DDoS 표준 보호 계획을 Azure 랜딩 존의 연결 구독에 배치합니다.
Azure DDoS Protection을 사용합니다. 연결 구독에서 단일 Azure DDoS 네트워크 보호 계획을 만듭니다. 모든 애플리케이션 랜딩 존 가상 네트워크 및 플랫폼 가상 네트워크는 이 계획을 사용해야 합니다. 단일 Microsoft Entra 테넌트에 있는 모든 가상 네트워크에서 Azure DDoS 네트워크 보호 계획을 공유하여 공용 IP 주소로 리소스를 보호할 수 있습니다. Azure DDoS Protection을 참조하세요. Azure DDoS 네트워크 보호 계획에는 100개의 공용 IP 주소에 대한 보호가 포함됩니다. 이러한 공용 IP 주소는 DDoS 보호 계획과 연결된 모든 보호된 가상 네트워크에 걸쳐 있습니다. 초기 100을 초과하는 다른 모든 공용 IP 주소는 별도로 청구됩니다. Azure DDoS 네트워크 보호 계획 가격 책정에 대한 자세한 내용은 Azure DDoS Protection 가격 책정 페이지 또는 FAQ를 참조하세요. Azure DDoS Protection 계획의 지원되는 리소스를 검토하십시오. Azure DDoS Protection 계획은 계층 3 및 4(네트워크 및 전송 계층)의 공격을 방어합니다. HTTP 기반 위협과 같은 계층 7(애플리케이션 계층)에서 보호하려면 AZURE WAF(웹 애플리케이션 방화벽)를 배포하는 것이 좋습니다.
단일 리소스 그룹을 사용합니다. Virtual WAN 포털 환경을 사용하려면 모든 Virtual WAN 리소스가 동일한 리소스 그룹에 함께 배포되어야 합니다. 연결 구독 내에서 동일한 리소스 그룹에 모든 Virtual WAN 리소스를 배포합니다. 이 구조는 배포 및 수명 주기 관리를 간소화합니다.
필요한 공유 서비스를 배포합니다. 전용 스포크 가상 네트워크에 DNS 서버와 같은 필수 공유 서비스를 배포합니다. 고객이 배포한 공유 리소스는 Virtual WAN 허브 자체 내에 배포할 수 없습니다.
구독 제한 및 확장성을 계획합니다. Virtual WAN 가상 허브당 가상 네트워크 연결 수가 500개를 초과하면 안 됩니다. Virtual WAN 가상 허브당 500개 이상의 가상 네트워크 연결이 필요한 경우 다른 Virtual WAN 가상 허브를 배포할 수 있습니다. 동일한 Virtual WAN 및 리소스 그룹의 일부와 동일한 지역에 배포합니다. 배포를 신중하게 계획하고, 네트워크 아키텍처가 Azure Virtual WAN 제한을 넘지 않도록 하십시오.
온-프레미스 위치 및 지사 연결
ExpressRoute를 사용합니다. 로컬, 표준 또는 프리미엄 SKU를 사용하여 Virtual WAN 허브에 ExpressRoute 회로를 연결할 수 있습니다. 동일한 도시에 배포하는 경우 ExpressRoute 메트로를 고려하세요. ExpressRoute Global Reach에서 지원하는 위치에서 ExpressRoute 표준 또는 프리미엄 회로는 Virtual WAN ExpressRoute 게이트웨이에 연결할 수 있습니다. 모든 Virtual WAN 전송 기능(VPN-VPN, VPN 및 ExpressRoute 전송)이 있습니다. Global Reach에서 지원하지 않는 위치에 있는 ExpressRoute 표준 또는 프리미엄 회로는 Azure 리소스에 연결할 수 있지만 Virtual WAN 전송 기능을 사용할 수 없습니다.
샘플 네트워크 토폴로지의 다이어그램.
미국 및 EMEA의 두 지역을 연결하는 Azure Virtual WAN 토폴로지 다이어그램. 각 지역에는 ExpressRoute를 통해 Virtual WAN 허브에 연결된 본사가 있습니다. 허브는 ExpressRoute Global Reach를 통해 연결됩니다. 각 허브 아래에 여러 VNet 및 지점이 표시됩니다. 미국 쪽에는 두 개의 WAN 허브, VNet 및 지점이 포함되며 EMEA 측은 이 구조를 자체 허브, VNet 및 지점과 미러링합니다.
그림 3: 샘플 네트워크 토폴로지
지점 및 원격지를 연결합니다. 사이트 간 VPN을 통해 가장 가까운 Virtual WAN 허브에 분기 및 원격 위치를 연결하거나, SD-WAN 파트너 솔루션을 통해 분기에서 Virtual WAN에 연결할 수 있도록 설정합니다. Virtual WAN은 다양한 SD-WAN 공급자와 통합됩니다. 많은 관리형 서비스 공급자가 Virtual WAN에 대한 관리형 서비스를 제공합니다.
개별 사용자를 연결합니다. 지점 및 사이트 간 VPN을 통해 사용자를 Virtual WAN 허브에 연결합니다. 지점 및 사이트간 VPN은 다양한 위치에서 연결해야 하는 사용자에게 안전한 원격 액세스를 제공합니다.
라우팅 및 트래픽 구분 구성
VNet과 분기 간의 트래픽을 분할하도록 가상 허브 라우팅 을 구성합니다. Virtual WAN 허브 라우팅 기능을 사용하여 VNet과 분기 간의 트래픽 흐름을 제어합니다. 보안 및 규정 준수 요구 사항을 적용하는 사용자 지정 경로 테이블을 만듭니다. 최적의 성능을 위해 모든 Azure 트래픽이 Microsoft 백본 네트워크에 남아 있는지 확인합니다. 인터넷 바인딩된 트래픽의 경우 Azure Firewall을 통해 아웃바운드 필터링을 구성합니다.
보안 컨트롤 구현
NVA(네트워크 가상 어플라이언스)를 고려합니다. SD-WAN 연결 및 차세대 방화벽 기능을 모두 수행하는 Virtual WAN 허브에 NVA 방화벽을 배포할 수 있습니다. 온-프레미스 디바이스를 허브의 NVA에 연결하고 동일한 어플라이언스를 사용하여 모든 남북, 동서 및 인터넷 바인딩 트래픽을 검사할 수도 있습니다. 파트너 네트워킹 기술 및 NVA를 배포할 때 파트너 공급업체의 지침에 따라 Azure 네트워킹과 충돌하는 구성이 없는지 확인해야 합니다.
보안 가상 허브를 고려합니다. 보안 가상 허브는 Azure Firewall Manager에서 구성한 연결된 보안 및 라우팅 정책을 사용하는 Azure Virtual WAN 허브입니다. 배포 전에 최신 제약 조건을 검토합니다 . 라우팅 의도 및 정책을 사용할 경우, 원본 허브와 대상 허브(보안 가상 허브) 모두에서 Azure Firewall을 통과하는 Virtual WAN 허브간 트래픽이 지원됩니다. 가상 WAN 허브 라우팅 의도 및 라우팅 정책을 사용하여 보안 허브 간의 트래픽을 지원합니다. Virtual WAN 보안 가상 허브는 Azure DDoS 표준 보호 계획을 지원하지 않습니다. 자세한 내용은 Azure DDoS Protection, Azure Firewall Manager 알려진 문제 및 허브 가상 네트워크 및 보안 가상 허브 비교를 참조하세요.
배포 관리 및 모니터링
Virtual WAN의 엔드 투 엔드 토폴로지 모니터링을 위해 Azure Monitor 인사이트를 구성합니다. Virtual WAN용 Azure Monitor의 인사이트는 사전 관리를 위한 네트워크 상태, 연결 상태 및 주요 메트릭에 대한 가시성을 제공합니다. 사용자에게 영향을 미치기 전에 문제를 감지하고 대응하도록 중요한 임계값에 대한 경고를 구성합니다.
기존 허브 및 스포크 토폴로지 마이그레이션
Virtual WAN을 기반으로 하지 않는 허브 및 스포크 네트워크 토폴로지에서 마이그레이션하는 브라운필드 시나리오는 Azure Virtual WAN으로 마이그레이션을 참조하세요.