프라이빗 네트워크 커넥터 그룹을 사용하여 애플리케이션에 커넥터를 할당합니다. 커넥터 그룹은 더 많은 제어를 제공하고 배포를 최적화하는 데 도움이 됩니다.
각 프라이빗 네트워크 커넥터는 커넥터 그룹에 있습니다. 동일한 그룹의 커넥터는 고가용성 및 부하 분산을 위한 단위 역할을 합니다. 그룹을 만들지 않으면 모든 커넥터가 기본 그룹에 있습니다. Microsoft Entra 관리 센터에서 새 그룹을 만들고 커넥터를 할당합니다.
애플리케이션이 다른 위치에서 실행되는 경우 커넥터 그룹을 사용합니다. 각 애플리케이션이 가까운 커넥터를 사용할 수 있도록 위치별로 그룹을 만듭니다.
팁
대규모 애플리케이션 프록시 배포가 있는 경우 기본 커넥터 그룹에 애플리케이션을 할당하지 마세요. 새 커넥터는 활성 그룹으로 이동할 때까지 라이브 트래픽을 수신하지 않습니다. 사용자에게 영향을 주지 않고 유지 관리를 수행할 수 있도록 커넥터를 기본 그룹으로 다시 이동하여 유휴 상태일 수도 있습니다.
필수 조건
커넥터 그룹을 사용하려면 여러 커넥터가 필요합니다. 서비스는 자동으로 기본 커넥터 그룹에 새 커넥터를 추가합니다. 커넥터를 설치하려면 커넥터 구성을 참조하세요.
커넥터 그룹에 애플리케이션 할당
애플리케이션을 게시할 때 커넥터 그룹에 할당합니다. 언제든지 커넥터의 그룹을 변경합니다.
커넥터 그룹의 사용 사례
다음 시나리오에서 커넥터 그룹을 사용합니다.
여러 데이터 센터가 연결되어 있는 사이트
대규모 조직에서는 여러 데이터 센터를 사용합니다. 데이터 센터 간 링크는 비용이 많이 들고 속도가 느리므로 데이터 센터에서 최대한 많은 트래픽을 유지합니다. 각 데이터 센터에 커넥터를 배포하여 해당 데이터 센터의 앱만 제공합니다. 이 방법은 데이터 센터 간 트래픽을 줄이고 사용자에게 투명합니다.
격리된 네트워크에 설치된 애플리케이션
앱은 주 회사 네트워크에 속하지 않는 네트워크에서 실행됩니다. 커넥터 그룹을 사용하여 격리된 네트워크에 전용 커넥터를 설치하고 해당 앱이 포함된 상태로 유지합니다. 이 시나리오는 특정 앱을 유지 관리하는 공급업체에 일반적입니다.
IaaS(Infrastructure as a Service)에 설치된 애플리케이션
IaaS(Infrastructure as a Service)의 앱의 경우 커넥터 그룹을 사용하여 회사 네트워크 종속성을 추가하거나 환경을 조각화하지 않고 모든 앱에 대한 액세스를 보호합니다. 각 클라우드 데이터 센터에 커넥터를 설치하고 해당 네트워크의 앱으로 범위를 지정합니다. 고가용성을 위해 여러 커넥터를 설치합니다.
예를 들어 조직에는 자체 IaaS 호스팅 가상 네트워크에 연결된 여러 가상 머신이 있습니다. 직원이 이러한 애플리케이션을 사용할 수 있도록 이러한 프라이빗 네트워크는 사이트 간 VPN(가상 사설망)을 사용하여 회사 네트워크에 연결됩니다. 사이트 및 사이트 간의 VPN은 온-프레미스 직원에게 좋은 환경을 제공합니다. 그러나 다이어그램과 같이 액세스를 라우팅하는 데 더 많은 온-프레미스 인프라가 필요하기 때문에 원격 직원에게는 적합하지 않습니다.
Microsoft Entra 프라이빗 네트워크 커넥터 그룹을 사용하면 공용 서비스가 회사 네트워크 종속성을 추가하지 않고 모든 앱에 대한 액세스를 보호할 수 있습니다.
다중 포리스트: 각 포리스트에 대해 서로 다른 커넥터 그룹
Single Sign-On은 종종 KCD(Kerberos 제한 위임)를 사용합니다. 커넥터 컴퓨터는 사용자를 애플리케이션에 위임할 수 있는 도메인에 가입합니다. KCD는 포리스트 간 시나리오를 지원하지만 신뢰가 없는 고유한 다중 포리스트 환경에서는 단일 커넥터가 모든 포리스트를 제공할 수 없습니다. 포리스트당 전용 커넥터를 배포하고 해당 포리스트의 사용자에 대한 특정 앱에 범위를 지정합니다. 각 커넥터 그룹은 포레스트를 나타냅니다. 테넌트와 대부분의 환경은 통합되며, Microsoft Entra 그룹을 사용하여 사용자를 포리스트 앱에 할당합니다.
재해 복구 사이트
DR(재해 복구) 사이트에는 다음 두 가지 방법을 고려해야 합니다.
- DR 사이트는 활성-활성 모드에서 실행되며 주 사이트 네트워킹 및 AD(Active Directory) 설정과 일치합니다. 주 사이트와 동일한 커넥터 그룹의 DR 사이트에 커넥터를 만듭니다. Microsoft Entra ID가 장애 조치(failover)를 감지합니다.
- DR 사이트는 기본 사이트와 별개입니다. 다른 커넥터 그룹을 만듭니다. 백업 앱을 사용하거나 필요에 따라 기존 앱을 DR 커넥터 그룹으로 수동으로 전환합니다.
단일 테넌트에서 여러 회사를 운영하다
단일 서비스 공급자가 여러 회사에 대해 Microsoft Entra 관련 서비스를 배포하고 유지 관리하는 모델을 구현할 수 있습니다. 커넥터 그룹을 사용하면 커넥터와 앱을 그룹으로 구분할 수 있습니다. 소규모 기업을 위한 한 가지 옵션은 단일 Microsoft Entra 테넌트이며 각 회사는 자체 도메인 이름과 네트워크를 유지합니다. 동일한 접근 방식은 단일 부서가 규제 또는 비즈니스상의 이유로 여러 회사에 서비스를 제공하는 합병 시나리오 및 상황에 적합합니다.
샘플 설정
이러한 샘플 커넥터 그룹 구성을 고려합니다.
기본 구성 - 커넥터 그룹 사용 안 함
커넥터 그룹을 사용하지 않는 경우 구성은 다음과 같습니다.
구성은 소규모 배포 및 테스트에 충분합니다. 조직에 플랫 네트워크 토폴로지가 있는 경우에도 작동합니다.
격리된 네트워크를 사용하는 기본 구성
이 구성은 기본값을 개선합니다. 특정 앱은 IaaS 가상 네트워크와 같은 격리된 네트워크에서 실행됩니다.
권장 구성 – 특정 그룹 및 기본 유휴 그룹
복잡한 대규모 조직의 경우 유휴 또는 새로 설치된 커넥터를 유지하도록 기본 커넥터 그룹을 설정합니다. 애플리케이션을 할당하지 마십시오. 사용자 지정 커넥터 그룹을 통해 모든 애플리케이션을 제공합니다.
이 예제에서는 회사에 두 개의 데이터 센터(A 및 B)가 있습니다. 두 개의 커넥터가 각 사이트를 제공합니다. 각 사이트는 서로 다른 애플리케이션을 실행합니다.
