Azure Firewall은 Azure Virtual Network 리소스를 보호하는 관리형 클라우드 기반 네트워크 보안 서비스입니다. 기본 제공 고가용성 및 무제한 클라우드 확장성을 포함하는 완전한 상태 저장 방화벽 서비스입니다.
이 문서에서는 가용성 영역 및 다중 지역 배포를 통한 지역 내 복원력을 다루는 Azure Firewall의 안정성 지원에 대해 설명합니다.
안정성은 사용자와 Microsoft 간의 공동 책임입니다. 이 가이드를 사용하여 특정 비즈니스 목표 및 가동 시간 목표를 충족하는 안정성 옵션을 결정할 수 있습니다.
프로덕션 배포 권장 사항
솔루션의 안정성 요구 사항을 지원하기 위해 Azure Firewall을 배포하는 방법과 안정성이 아키텍처의 다른 측면에 미치는 영향에 대해 알아보려면 Azure Well-Architected Framework에서 Azure Firewall에 대한 아키텍처 모범 사례를 참조하세요.
안정성 아키텍처 개요
인스턴스는 방화벽의 VM(가상 머신) 수준 단위를 참조합니다. 각 인스턴스는 트래픽을 처리하고 방화벽 검사를 수행하는 인프라를 나타냅니다.
방화벽의 고가용성을 달성하기 위해 Azure Firewall은 개입 또는 구성 없이 두 개 이상의 인스턴스를 자동으로 제공합니다. 평균 처리량, CPU 사용량 및 연결 사용량이 미리 정의된 임계값에 도달하면 방화벽이 자동으로 확장됩니다. 자세한 내용은 Azure Firewall 성능을 참조하세요. 플랫폼은 인스턴스 만들기, 상태 모니터링 및 비정상 인스턴스의 교체를 자동으로 관리합니다.
서버 및 서버 랙 오류에 대한 보호를 달성하기 위해 Azure Firewall은 지역 내의 여러 장애 도메인에 인스턴스를 자동으로 배포합니다.
다음 다이어그램은 두 개의 인스턴스가 있는 방화벽을 보여 줍니다.
데이터 센터 오류 시 중복성 및 가용성을 높이기 위해 영역 중복을 사용하도록 설정하여 여러 가용성 영역에 인스턴스를 배포할 수 있습니다.
일시적인 오류
일시적인 오류는 구성 요소에서 짧고 간헐적인 오류입니다. 클라우드와 같은 분산 환경에서 자주 발생하며 작업의 일반적인 부분입니다. 일시적인 오류는 짧은 시간 후에 스스로 수정됩니다. 애플리케이션은 일반적으로 영향을 받는 요청을 다시 시도하여 일시적인 오류를 처리할 수 있는 것이 중요합니다.
모든 클라우드 호스팅 애플리케이션은 클라우드 호스팅 API, 데이터베이스 및 기타 구성 요소와 통신할 때 Azure 임시 오류 처리 지침을 따라야 합니다. 자세한 내용은 임시 오류 처리를 위한 권장 사항을 참조하세요.
Azure Firewall을 통해 연결하는 애플리케이션의 경우 잠정 일시적인 연결 문제를 처리하기 위해 지수 백오프를 사용하여 재시도 논리를 구현합니다. Azure Firewall의 상태 저장 특성은 짧은 네트워크 중단 중에 합법적인 연결이 유지되도록 합니다.
완료하는 데 5~7분이 걸리는 크기 조정 작업 중에는 증가된 부하를 처리하기 위해 새 방화벽 인스턴스가 추가되는 동안 기존 연결이 유지됩니다.
가용성 영역 지원
가용성 영역은 각 Azure 지역 내에서 물리적으로 별도의 데이터 센터 그룹입니다. 한 영역이 실패하면 서비스가 나머지 영역 중 하나로 전환될 수 있습니다.
Azure Firewall은 Azure Portal을 통해 생성될 때 지원되는 지역의 가용성 영역에 자동으로 배포됩니다. 고급 영역 구성 옵션의 경우 Azure PowerShell, Azure CLI, Bicep 또는 ARM 템플릿(Azure Resource Manager 템플릿)을 사용해야 합니다.
Azure Firewall은 영역 중복 및 영역 배포 모델을 모두 지원합니다.
영역 중복: 영역 중복성을 사용하도록 설정하면 Azure는 지역의 여러 가용성 영역에 방화벽 인스턴스를 배포합니다. Azure는 영역 간의 부하 분산 및 장애 조치(failover)를 자동으로 관리합니다.
영역 중복 방화벽은 가장 높은 작동 시간 SLA(서비스 수준 계약)를 달성합니다. 최대 가용성이 필요한 프로덕션 워크로드에 권장됩니다.
다음 다이어그램은 세 개의 가용성 영역에 분산된 세 개의 인스턴스가 있는 영역 중복 방화벽을 보여 줍니다.
비고
Azure Portal을 사용하여 방화벽을 만드는 경우 영역 중복이 자동으로 사용하도록 설정됩니다.
영역: 솔루션이 영역 간 대기 시간에 특히 민감한 경우 Azure Firewall을 특정 가용성 영역과 연결할 수 있습니다. 백엔드 서버에 더 가까운 곳에 배포하려면 영역 배포를 사용할 수 있습니다. 영역 방화벽의 모든 인스턴스는 해당 영역 내에 배포됩니다.
다음 다이어그램은 동일한 가용성 영역에 배포된 세 개의 인스턴스가 있는 영역 방화벽을 보여 줍니다.
중요합니다
영역 간 대기 시간이 허용 가능한 제한을 초과하고 대기 시간이 요구 사항을 충족하지 않는 것을 확인한 경우에만 단일 가용성 영역에 고정하는 것이 좋습니다. 영역 방화벽만으로는 가용성 영역 중단에 대한 복원력을 제공하지 않습니다. 영역 Azure Firewall 배포의 복원력을 개선하려면 별도의 방화벽을 여러 가용성 영역에 수동으로 배포하고 트래픽 라우팅 및 장애 조치(failover)를 구성해야 합니다.
방화벽을 영역 중복 또는 영역으로 구성하지 않으면 비영역 또는 지역으로 간주됩니다. 비영역 방화벽은 지역 내의 가용성 영역에 배치할 수 있습니다. 지역의 가용성 영역에 가동 중단이 발생하는 경우 비영역 방화벽이 영향을 받는 영역에 있을 수 있으며 가동 중지 시간이 발생할 수 있습니다.
지역 지원
Azure Firewall은 Azure Firewall 서비스를 사용할 수 있는 가용성 영역을 지원하는 모든 지역에서 가용성 영역을 지원합니다.
요구 사항
- Azure Firewall의 모든 계층은 가용성 영역을 지원합니다.
- 영역 중복 방화벽의 경우 표준 공용 IP 주소를 사용하고 영역 중복으로 구성해야 합니다.
- 영역 방화벽의 경우 표준 공용 IP 주소를 사용해야 하며 방화벽과 동일한 영역에서 영역 중복 또는 영역으로 구성할 수 있습니다.
비용
둘 이상의 가용성 영역에 배포된 방화벽에 대한 추가 비용은 없습니다.
가용성 영역 지원 구성
이 섹션에서는 방화벽에 대한 가용성 영역 지원을 구성하는 방법을 설명합니다.
가용성 영역 지원을 사용하여 새 방화벽을 만듭니다. 가용성 영역을 구성하는 데 사용하는 방법은 영역 중복 또는 영역 방화벽을 만들 것인지 여부와 사용하는 도구에 따라 달라집니다.
중요합니다
영역 중복은 Azure Portal을 통해 배포할 때 자동으로 사용하도록 설정됩니다. 특정 영역을 구성하려면 Azure CLI, Azure PowerShell, Bicep 또는 ARM 템플릿과 같은 다른 도구를 사용해야 합니다.
영역 중복: Azure Portal을 사용하여 새 방화벽을 배포하는 경우 방화벽은 기본적으로 영역 중복입니다. 자세한 내용은 Azure Portal을 사용하여 Azure Firewall 배포를 참조하세요.
Azure CLI, Azure PowerShell, Bicep, ARM 템플릿 또는 Terraform을 사용하는 경우 필요에 따라 배포를 위한 가용성 영역을 지정할 수 있습니다. 영역 중복 방화벽을 배포하려면 두 개 이상의 영역을 지정합니다. 영역을 제외할 특정 이유가 없는 한 방화벽에서 모든 가용성 영역을 사용할 수 있도록 모든 영역을 선택하는 것이 좋습니다.
Azure PowerShell에 대한 자세한 내용은 Azure PowerShell을 사용하여 가용성 영역이 있는 Azure Firewall 배포를 참조하세요.
영역: Azure CLI, Azure PowerShell, Bicep, ARM 템플릿 또는 Terraform을 사용하여 영역 방화벽을 배포할 수 있습니다. 단일 특정 가용성 영역을 선택합니다.
비고
사용할 가용성 영역을 선택하면 실제로 논리적 가용성 영역을 선택합니다. 다른 Azure 구독에 다른 워크로드 구성 요소를 배포하는 경우 다른 논리 가용성 영역 번호를 사용하여 동일한 물리적 가용성 영역에 액세스할 수 있습니다. 자세한 내용은 물리적 및 논리적 가용성 영역을 참조하세요.
기존 방화벽에서 가용성 영역 지원을 사용하도록 설정합니다. 특정 조건을 충족하는 경우 기존 방화벽에서 가용성 영역을 사용하도록 설정할 수 있습니다. 이 프로세스를 수행하려면 방화벽을 중지(할당 취소)하고 다시 구성해야 합니다. 약간의 가동 중지 시간이 예상됩니다. 자세한 내용은 배포 후 가용성 영역 구성을 참조하세요.
기존 방화벽의 가용성 영역 구성을 변경 합니다. 가용성 영역 구성을 변경하려면 먼저 약간의 가동 중지 시간이 수반되는 프로세스인 방화벽을 중지(할당 취소)해야 합니다. 자세한 내용은 배포 후 가용성 영역 구성을 참조하세요.
가용성 영역 지원을 사용하지 않도록 설정합니다. 방화벽에서 사용하는 가용성 영역을 변경할 수 있지만 영역 중복 또는 영역 방화벽을 비영역 구성으로 변환할 수는 없습니다.
일반 작업
이 섹션에서는 Azure Firewall이 가용성 영역 지원으로 구성되고 모든 가용성 영역이 작동할 때 예상되는 사항에 대해 설명합니다.
영역 간의 트래픽 라우팅: 트래픽 라우팅 동작은 방화벽에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: Azure Firewall은 방화벽에서 사용하는 모든 영역의 인스턴스에 들어오는 요청을 자동으로 배포합니다. 이러한 활성-활성 구성은 정상적인 작동 조건에서 최적의 성능과 부하 분산을 보장합니다.
영역: 여러 영역에 여러 영역 인스턴스를 배포하는 경우 Azure Load Balancer 또는 Azure Traffic Manager와 같은 외부 부하 분산 솔루션을 사용하여 트래픽 라우팅을 구성해야 합니다.
인스턴스 관리: 플랫폼은 방화벽에서 사용하는 영역에서 인스턴스 배치를 자동으로 관리하여 실패한 인스턴스를 대체하고 구성된 인스턴스 수를 유지합니다. 상태 모니터링을 통해 정상 인스턴스만 트래픽을 수신하도록 보장합니다.
영역 간 데이터 복제: Azure Firewall은 가용성 영역 간에 연결 상태를 동기화할 필요가 없습니다. 요청을 처리하는 인스턴스는 각 연결의 상태를 유지합니다.
영역 축소 경험
이 섹션에서는 Azure Firewall이 가용성 영역 지원으로 구성되고 하나 이상의 가용성 영역을 사용할 수 없는 경우 예상되는 사항에 대해 설명합니다.
검색 및 응답: 검색 및 응답에 대한 책임은 방화벽에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: 영역 중복을 사용하도록 구성된 인스턴스의 경우 Azure Firewall 플랫폼은 가용성 영역의 오류를 감지하고 응답합니다. 영역 장애 조치(failover)를 시작할 필요가 없습니다.
영역: 영역으로 구성된 방화벽의 경우 가용성 영역의 손실을 감지하고 다른 가용성 영역에서 만든 보조 방화벽으로 장애 조치(failover)를 시작해야 합니다.
알림: 영역이 다운된 경우 Azure Firewall은 사용자에게 알리지 않습니다. 그러나 Azure Service Health를 사용하여 영역 오류를 포함하여 Azure Firewall 서비스의 전반적인 상태를 이해할 수 있습니다.
영역 수준 문제에 대한 알림을 받도록 경고를 설정합니다. 자세한 내용은 Azure Portal에서 Service Health 경고 만들기를 참조하세요.
활성 연결: 가용성 영역을 사용할 수 없는 경우 오류 가용성 영역의 방화벽 인스턴스에 연결된 진행 중인 요청이 종료되어 다시 시도해야 할 수 있습니다.
예상 데이터 손실: Azure Firewall은 영구적인 고객 데이터를 저장하지 않으므로 영역 장애 조치(failover) 중에는 데이터 손실이 예상되지 않습니다.
예상 가동 중지 시간: 가동 중지 시간은 방화벽에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: 가용성 영역 중단 시 최소 가동 중지 시간(일반적으로 몇 초)을 예상합니다. 클라이언트 애플리케이션은 지수 백오프를 사용하여 재시도 정책을 구현하는 것을 포함하여 일시적인 오류 처리 사례를 따라야 합니다.
영역: 영역을 사용할 수 없는 경우 가용성 영역이 복구될 때까지 방화벽을 사용할 수 없습니다.
트래픽 다시 라우팅: 트래픽 다시 라우팅 동작은 방화벽에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: 트래픽은 자동으로 정상 가용성 영역으로 다시 라우팅됩니다. 필요한 경우 플랫폼은 정상 영역에 새 방화벽 인스턴스를 만듭니다.
영역: 영역을 사용할 수 없는 경우 영역 방화벽도 사용할 수 없습니다. 다른 가용성 영역에 보조 방화벽이 있는 경우 트래픽을 해당 방화벽으로 다시 라우팅해야 합니다.
Failback
장애 복구(failback) 동작은 방화벽에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: 가용성 영역이 복구되면 Azure Firewall은 방화벽이 사용하는 모든 영역에 인스턴스를 자동으로 재배포하고 영역 간에 일반 부하 분산을 복원합니다.
영역: 가용성 영역이 복구되면 원래 가용성 영역의 방화벽으로 트래픽을 다시 라우팅해야 합니다.
Testing
영역 오류 테스트 옵션은 방화벽의 가용성 영역 구성에 따라 달라집니다.
영역 중복: Azure Firewall 플랫폼은 영역 중복 방화벽 리소스에 대한 트래픽 라우팅, 장애 조치(failover) 및 장애 복구(failback)를 관리합니다. 이 기능은 완전히 관리되므로 가용성 영역 오류 프로세스를 시작하거나 유효성을 검사할 필요가 없습니다.
영역: 방화벽을 중지하여 가용성 영역 실패의 측면을 시뮬레이션할 수 있습니다. 이 방법을 사용하여 다른 시스템 및 부하 분산 장치가 방화벽에서 중단을 처리하는 방법을 테스트합니다. 자세한 내용은 Azure Firewall 중지 및 시작을 참조하세요.
다중 지역 지원
Azure Firewall은 단일 지역 서비스입니다. 지역을 사용할 수 없는 경우 Azure Firewall 리소스도 사용할 수 없습니다.
대체 다중 지역 접근 방식
다중 지역 아키텍처를 구현하려면 별도의 방화벽을 사용합니다. 이 방법을 사용하려면 각 지역에 독립적인 Azure Firewall을 배포하고, 트래픽을 적절한 지역 방화벽으로 라우팅하고, 사용자 지정 장애 조치(failover) 논리를 구현해야 합니다. 다음 사항을 고려합니다.
여러 방화벽에서 중앙 집중식 정책 관리를 위해 Azure Firewall Manager를 사용합니다. 여러 방화벽 인스턴스에서 중앙 집중식 규칙 관리에 방화벽 정책 메서드를 사용합니다.
Traffic Manager 또는 Azure Front Door를 사용하여 트래픽 라우팅을 구현합니다.
다중 지역 네트워크 보안 아키텍처를 보여주는 예제 아키텍처는 Traffic Manager, Azure Firewall 및 Application Gateway를 사용하여 다중 지역 부하 분산을 참조하세요.
서비스 유지 관리 중 안정성
Azure Firewall은 정기적인 서비스 업그레이드 및 기타 형태의 유지 관리를 수행합니다.
운영 요구 사항에 맞게 업그레이드 일정을 조정하도록 일일 유지 관리 기간을 구성할 수 있습니다. 자세한 내용은 Azure Firewall에 대한 고객 제어 유지 관리 구성을 참조하세요.
서비스 수준 약정
Azure 서비스의 SLA(서비스 수준 계약)는 각 서비스의 예상 가용성과 해당 가용성 예상 결과치를 달성하기 위해 솔루션이 충족해야 하는 조건을 설명합니다. 자세한 내용은 온라인 서비스 SLA를 참조하세요.
Azure Firewall은 둘 이상의 가용성 영역에 배포된 방화벽에 대해 고가용성 SLA를 제공합니다.