다음을 통해 공유

Azure Virtual Network Manager의 연결 구성

Azure Virtual Network Manager는 Azure 환경에서 가상 네트워크 연결 및 보안 관리를 간소화합니다. 메시 및 허브 및 스포크 토폴로지 등 연결 구성은 네트워크 성능 및 보안을 최적화하는 데 도움이 됩니다. 이 문서에서는 각 토폴로지의 사용 사례 및 구성 단계와 함께 대규모 연결된 그룹 및 글로벌 메시 연결과 같은 기능을 설명합니다.

연결 구성

연결 구성을 사용하면 네트워크 요구 사항에 따라 다른 네트워크 토폴로지 만들 수 있습니다. 메시 네트워크와 허브 및 스포크 네트워크라는 두 가지 토폴로지 중에서 선택할 수 있습니다. 가상 네트워크 간의 연결은 구성 설정 내에서 정의됩니다.

메시 네트워크 토폴로지

메시 네트워크는 네트워크 그룹의 모든 가상 네트워크가 서로 연결되는 토폴로지입니다. 모든 가상 네트워크는 연결되며 양방향으로 트래픽을 서로 전달할 수 있습니다.

메시 네트워크 토폴로지의 일반적인 사용 사례는 허브 및 스포크 토폴로지의 일부 스포크 가상 네트워크가 허브 가상 네트워크를 통과하는 트래픽 없이 서로 직접 통신할 수 있도록 하는 것입니다. 이 방식은 허브의 라우터를 통해 트래픽을 라우팅할 때 발생할 수 있는 대기 시간을 줄여줍니다. 또한 Azure Virtual Network Manager에서 네트워크 보안 그룹 규칙 또는 보안 관리 규칙을 구현하여 스포크 네트워크 간의 직접 연결에 대한 보안 및 감독을 유지할 수 있습니다. 가상 네트워크 흐름 로그를 사용하여 트래픽을 모니터링하고 기록할 수도 있습니다.

기본적으로 메시는 지역 메시이므로 지역이 동일한 가상 네트워크만 서로 통신할 수 있습니다. 전역 메시를 사용하도록 설정하여 모든 Azure 지역에서 가상 네트워크의 연결을 설정할 수 있습니다. 가상 네트워크는 최대 두 개의 연결된 그룹에 속할 수 있습니다. 가상 네트워크 피어링과 달리 가상 네트워크 주소 공간은 메시 구성에서 겹칠 수 있습니다. 그러나 라우팅은 비결정적이므로 특정 겹치는 서브넷에 대한 트래픽은 삭제됩니다.

양방향 메시에 연결된 가상 네트워크를 보여 주는 메시 네트워크 토폴로지 다이어그램의 스크린샷

연결된 그룹

허브 및 스포크 토폴로지에서 메시 토폴로지 또는 직접 연결을 만들면 연결된 그룹이라는 새로운 연결 구문이 만들어집니다. 연결된 그룹의 가상 네트워크는 수동으로 연결된 가상 네트워크와 마찬가지로 서로 통신할 수 있습니다. 네트워크 인터페이스의 유효 경로를 살펴보면 ConnectedGroup의 다음 홉 유형이 표시됩니다. 연결된 그룹에서 함께 연결된 가상 네트워크에는 가상 네트워크의 피어링 아래에 피어링 구성이 나열되지 않습니다.

참고 항목

둘 이상의 가상 네트워크에 충돌하는 서브넷이 있는 경우 해당 서브넷의 리소스는 동일한 메시 네트워크에 속하더라도 서로 통신할 수 없습니다 . 가상 네트워크는 최대 두 개의 메시 구성에 속할 수 있습니다.

Azure Virtual Network Manager에서 대규모 프라이빗 엔드포인트 연결 그룹 사용

중요합니다

Azure Virtual Network Manager의 대규모 프라이빗 엔드포인트 연결 그룹 기능은 미리 보기로 제공됩니다. 미리 보기 중에 다음 지역에서 사용할 수 있습니다.

  • 미국 동부 2 EUAP
  • 미국 중부 EUAP
  • 미국 중서부
  • 동아시아
  • 영국 남부
  • 미국 동부

이 미리 보기 버전은 서비스 수준 계약 없이 제공되며, 프로덕션 워크로드에는 권장되지 않습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.

Azure Virtual Network Manager의 대규모 연결 그룹 기능을 사용하면 네트워크 용량을 확장할 수 있습니다. 다음 단계를 사용하여 이 기능을 사용하여 연결된 그룹 전체에서 최대 20,000개의 프라이빗 엔드포인트를 지원할 수 있습니다.

연결된 그룹의 각 가상 네트워크 준비

  1. 프라이빗 엔드포인트 가상 네트워크 제한 증가의 검토를 통해 프라이빗 엔드포인트 가상 네트워크 제한을 증가시키기 위한 자세한 지침을 확인하세요. 이 기능을 사용하거나 사용하지 않도록 설정하면 일회성 연결 재설정이 시작됩니다. 유지 관리 기간 동안 이러한 변경을 수행하는 것이 좋습니다.

  2. 연결된 그룹의 Azure Virtual Network Manager 인스턴스 또는 가상 네트워크를 포함하는 각 구독의 기능 플래그 Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath 를 등록합니다.

    중요합니다

    이 등록은 확장된 프라이빗 엔드포인트 용량의 잠금을 해제하는 데 필수적입니다. 자세한 내용은 Azure 미리 보기 기능 설명서를 사용하도록 설정하는 방법을 참조하세요.

  3. 연결된 그룹 내의 각 가상 네트워크에서 프라이빗 엔드포인트 네트워크 정책을Enabled 구성합니다 RouteTableEnabled. 이 설정을 사용하면 가상 네트워크가 대규모 프라이빗 엔드포인트 기능을 지원할 준비가 됩니다. 자세한 지침은 프라이빗 엔드포인트 가상 네트워크 제한 증가를 참조하세요.

대규모 프라이빗 엔드포인트에 대한 메시 연결 구성

이 단계에서는 대규모 프라이빗 엔드포인트를 사용하도록 연결된 그룹에 대한 메시 연결 설정을 구성합니다. 이 단계에는 Azure Portal에서 적절한 옵션을 선택하고 구성을 확인하는 작업이 포함됩니다.

  1. 메시 연결 구성에서 프라이빗 엔드포인트를 대규모로 사용하도록 설정하기 위한 확인란을 찾아 선택합니다. 이 옵션은 연결된 그룹에 대한 확장성이 높은 기능을 활성화합니다.

  2. 연결된 그룹의 모든 가상 네트워크가 대규모 프라이빗 엔드포인트로 구성되어 있는지 확인합니다. Azure Portal은 전체 그룹에서 설정의 유효성을 검사합니다. 대규모 구성이 없는 가상 네트워크가 나중에 추가되면 다른 가상 네트워크의 프라이빗 엔드포인트와 통신할 수 없습니다.

  3. 모든 가상 네트워크가 제대로 구성되었는지 확인한 후 설정을 배포합니다. 이렇게 하면 대규모 연결된 그룹의 설정이 완료됩니다.

허브 및 스포크 토폴로지

허브 및 스포크는 가상 네트워크가 허브 가상 네트워크로 선택된 네트워크 토폴로지입니다. 이 가상 네트워크는 구성의 모든 스포크 가상 네트워크와 양방향 피어링됩니다. 이 토폴로지는 가상 네트워크를 격리하려고 하지만 여전히 허브 가상 네트워크의 일반 리소스에 연결하려는 경우에 유용합니다.

여러 스포크 네트워크에 연결된 허브 가상 네트워크를 보여 주는 허브 및 스포크 토폴로지 다이어그램의 스크린샷

이 구성에는 스포크 가상 네트워크 간의 직접 연결 과 같이 사용하도록 설정할 수 있는 설정이 있습니다. 기본적으로 이 연결은 동일한 지역의 가상 네트워크에만 사용됩니다. 여러 Azure 지역에서 연결을 허용하려면 전역 메시를 사용하도록 설정해야 합니다. 또한 게이트웨이 전송을 사용하도록 설정하여 스포크 가상 네트워크가 허브에 배포된 VPN 또는 ExpressRoute 게이트웨이를 사용하도록 허용할 수 있습니다.

이 구성을 배포한 후 이러한 피어링이 수동으로 만들어졌더라도, 이 구성을 체크하면 해당 내용과 일치하지 않는 모든 피어링이 제거될 수 있습니다. 구성에 사용되는 네트워크 그룹에서 가상 네트워크를 제거하면 가상 관리자가 만든 피어링만 제거됩니다.

직접 연결 활성화

직접 연결을 사용하도록 설정하면 허브 및 스포크 토폴로지 위에 연결된 그룹의 오버레이가 생성되며, 여기에는 지정된 그룹의 스포크 가상 네트워크가 포함됩니다. 직접 연결을 사용하면 스포크 가상 네트워크가 스포크 그룹의 다른 VNet과 직접 통신할 수 있지만 다른 스포크에서는 VNet과 통신할 수 없습니다.

예를 들어 두 개의 네트워크 그룹을 만듭니다. 프로덕션 네트워크 그룹에 대해 직접 연결을 사용하도록 설정하지만 테스트 네트워크 그룹에는 연결하지 않습니다. 이 설정을 사용하면 프로덕션 네트워크 그룹의 가상 네트워크만 서로 통신할 수 있지만 테스트 네트워크 그룹의 가상 네트워크와는 통신할 수 없습니다.

두 네트워크 그룹이 있는 허브 및 스포크 토폴로지의 스크린샷.

가상 머신에서 유효 경로를 살펴보면 허브와 스포크 가상 네트워크 간의 경로에는 다음 홉 유형의 VNetPeering 또는 GlobalVNetPeering이 있습니다. 스포크 가상 네트워크 간의 경로는 ConnectedGroup의 다음 홉 유형으로 표시됩니다. 프로덕션/테스트 예제에서는 직접 연결을 사용하도록 설정했기 때문에 프로덕션 네트워크 그룹만 ConnectedGroup을 갖게 됩니다.

토폴로지 뷰를 사용하여 네트워크 그룹 토폴로지 검색

네트워크 그룹의 토폴로지를 이해하는 데 도움이 되도록 Azure Virtual Network Manager는 네트워크 그룹과 해당 멤버 가상 네트워크 간의 연결을 보여주는 토폴로지 뷰를 제공합니다. 다음 단계에 따라 연결 구성을 만드는 동안 네트워크 그룹의 토폴로지를 볼 수 있습니다.

  1. 구성 페이지로 이동하여 연결 구성을 만듭니다.

  2. 토폴로지 탭에서 원하는 토폴로지 유형을 선택하고, 토폴로지에 하나 이상의 네트워크 그룹을 추가하고, 원하는 다른 연결 설정을 구성합니다.

  3. 토폴로지 미리 보기 탭을 선택하여 토폴로지 보기를 테스트하고 구성의 현재 연결을 검토합니다.

  4. 연결 구성 만들기를 완료합니다.

네트워크 그룹의 세부 정보 페이지에서 설정에서 시각화선택하여 네트워크 그룹의 현재 토폴로지 검토가 가능합니다. 보기는 네트워크 그룹의 멤버 가상 네트워크 간의 연결을 보여줍니다.

네트워크 그룹의 토폴로지 스크린샷

사용 사례

NVA(네트워크 가상 어플라이언스) 또는 허브 가상 네트워크에 공통 서비스를 사용하려는 경우 스포크 가상 네트워크 간에 직접 연결을 사용하도록 설정하면 유용할 수 있지만 허브에 항상 액세스할 필요는 없습니다. 그러나 서로 통신하려면 네트워크 그룹의 스포크 가상 네트워크가 필요합니다. 기존 허브 및 스포크 네트워크에 비해 이 토폴로지에서는 허브 가상 네트워크를 통해 추가 홉을 제거하여 성능을 향상시킵니다.

글로벌 메시

메시와 마찬가지로 이러한 스포크 연결 그룹은 지역 또는 전역으로 구성할 수 있습니다. 스포크 가상 네트워크가 지역 간에 서로 통신하도록 하려면 전역 메시가 필요합니다. 이 연결은 동일한 네트워크 그룹의 가상 네트워크로 제한됩니다. 지역 간 가상 네트워크에 대한 연결을 사용하도록 설정하려면 네트워크 그룹에 대해 지역 간 메시 연결을 사용하도록 설정해야 합니다. 스포크 가상 네트워크 간에 생성된 연결은 연결된 그룹에 있습니다.

허브를 게이트웨이로 사용

허브 및 스포크 구성에서 사용하도록 설정할 수 있는 또 다른 옵션은 허브를 게이트웨이로 사용하는 것입니다. 이 설정을 사용하면 네트워크 그룹의 모든 가상 네트워크가 허브 가상 네트워크의 VPN 또는 ExpressRoute 게이트웨이를 사용하여 트래픽을 전달할 수 있습니다. 게이트웨이 및 온-프레미스 연결을 참조하세요.

Azure Portal에서 허브 및 스포크 토폴로지를 배포하는 경우 네트워크 그룹의 스포크 가상 네트워크에 대해 기본적으로 허브를 게이트웨이로 사용이 설정됩니다. Azure Virtual Network Manager는 리소스 그룹의 허브와 스포크 가상 네트워크 간에 가상 네트워크 피어링 연결을 만들려고 시도합니다. 게이트웨이가 허브 가상 네트워크에 없는 경우 스포크 가상 네트워크에서 허브로의 피어링 생성은 실패합니다. 허브에서 스포크로의 피어링 연결은 설정된 연결 없이 계속 만들어집니다.

다음 단계