MS Learn 파트 2-2 :: Azure 네트워킹 서비스 살펴보기 (AZ-900)

• Azure에서 사용할 수 있는 핵심 네트워킹 리소스 설명
• Azure Virtual Network, Azure VPN Gateway 및 Azure ExpressRout의 이점과 사용법을 설명

이번 파트 2-2 는 읽으면서 이해되지 않는 부분들이 많았습니다
하지만 이는 문제들을 풀어가면서 어느 정도 이해할 수 있는 부분들이 있기 때문에
이런 내용이 있구나 하고 쭉 읽는대신, 굵은 글씨로 표시한 부분을 중요하게 한 번더 읽으면 좋을 것 같습니다

1. Azure Virtual Network 기본 사항

Azure 가상 네트워킹이란?

Azure 가상 네트워크를 사용하면 VM, 웹앱 및 데이터베이스와 같은 Azure 리소스가 서로 통신할 수 있고 인터넷의 사용자 및 온-프레미스 클라이언트 컴퓨터와 통신할 수 있음

주요 네트워크 기능

1. 격리 및 구분

격리된 여러 가상 네트워크 만들 수 있음

공용 또는 개인 IP 주소 범위를 사용하여 개인 IP 주소 공간 정의

내부 또는 외부 DNS 서버를 사용하도록 가상 네트워크를 구성할 수도 있음

2. 인터넷 통신

공용 IP 주소 또는 공용 부하 분산 장치(LB)를 정의하여 인터넷에서 들어오는 연결이 가능하도록 설정 가능

3. Azure 리소스 간 통신

• 가상 네트워크: VM, Power Apps용 App Service Environment, Azure Kubernetes Service 및 Azure 가상 머신 확장 집합과 같은 다른 Azure 리소스도 연결 가능
• 서비스 앤드포인트: Azure SQL Database 및 스토리지 계정과 같은 다른 Azure 리소스 형식에 연결 가능

4. 온-프레미스 리소스와 통신

로컬 환경과 클라우드 환경 모두에 걸쳐 있는 네트워크를 만들 수 있음

• 지점 및 사이트 간 가상 사설망: VPN(가상 사설망): 일반적인 접근법은 조직 외부의 컴퓨터에서 회사 네트워크로 다시 연결하는 것.
• 사이트간 VPN: 온-프레미스 VPN 디바이스 또는 게이트웨이를 가상 네트워크의 Azure VPN 게이트웨이에 연결 ⇒ Azure 디바이스가 로컬 네트워크에 있는 것으로 표시될 수 있음.
• Azure ExpressRouter: 큰 대역폭과 더 높은 수준의 보안이 필요한 환경의 경우 이를 사용하는 것이 좋음. Azure에 대한 전용 프라이빗 연결을 제공

5. 네트워크 트래픽 라우팅

라우팅을 제어하고 설정을 재정의 할 수 있음

• Route Table: 트래픽이 전달되어야 하는 방법에 대한 규칙을 정의
• Border Gateway Protocol(BGP): Azure VPN 게이트웨이나 ExpressRoute로 작업하여 온-프레미스 BGP 경로를 Azure 가상 네트워크로 전파

6. 네트워크 트래픽 필터링

서브넷 간 트래픽 필터링 가능

• 네트워크 보안 그룹: 여러 인바운드 및 아웃바운드 보안 규칙이 포함될 수 있는 Azure 리소스. src/dest IP 주소, port 및 프로토콜 등에 따라 트래픽을 허용하거나 차단하도록 규칙 설정 가능
• 네트워크 가상 어플라이언스: 강화된 네트워크 어플라이언스와 비교할 수 있는 특수 VM. 방화벽 실행 or WAN 최적화 수행과 같은 특정 네트워크 기능 수행

7. 가상 네트워크 연결

가상 네트워크 피어링을 사용하여 가상 네트워크를 함께 연결 가능

가상 네트워크는 별도 지역에 위치할 수 있음.

Azure를 통해 상호 연결된 글로벌 네트워크 생성 가능

• UDR: 사용자 정의 라우팅. UDR을 사용하는 네트워크 관리자는 VNet 간의 VNet 내의 서브넷 간의 라우팅 테이블을 제어 가능.

 

---

2. Azure Virtual Network 설정

다음에서 Azure Virtual Network 인스턴스 만들고 구성 가능

• Azure Portal
• Azure PowerShell
• Azure Cloud Shell

Virtual Network 기본 설정

• 네트워크 이름: 이름은 구독에서 고유해야 함(전역적X), 다른 가상 네트워크와 식별 가능
• 주소 공간: CIDR(Classless Interdomain Routing) 형식으로 내부 주소 공간 정의. 구독과 해당 사용자가 연결된 모든 다른 네트워크 안에서 고유.

10.0.0.1에서 10.0.255.254 범위의 주소로 10.0.0.0/16을 사용하고 10.1.0.1에서 10.1.255.254 범위의 주소로 10.1.0.0/16을 사용 가능(겹치지 않음)

Azure Virtual Network 구성시 필요한 정보

• 구독: 여러 구독 선택 가능시 적용
• 리소스 그룹: 가상 네트워크는 리소스 그룹에 존재해야 함.
• 위치(region): 가상 네트워크를 만들려는 위치
• 서브넷: 가상 네트워크의 주소 공간을 분할하는 하나이상의 서브넷 구성 가능.
• DDos Prorection
• 서비스 엔드포인트: 이 옵션을 사용하도록 설정. Azure 서비스 엔드포인트를 목록에서 선택. Azure Cosmos DB, Azure Service Bus, Azure key Vault 등이 포함

추가 설정

• 네트워크 보안 그룹(NSG): 네트워크 보안 그룹을 별도로 만들고 가상 네트워크와 연결. 서브넷 및 네트워크 인터페이스 내외로 이동할 수 있는 네트워크 트래픽 형식을 필터링할 수 있는 보안 규칙 존재
• Routing Table: Azure는 각 서브넷에 대한 Routing 테이블을 자동으로 만들고 시스템 기본 경로를 테이블에 추가.

가상 네트워크 구성

Azure portal의 가상 네트워크 창에서 추가설정 가능

power shell or Cloud shell의 명령을 통해서도 변경 가능

• 주소 공간: 초기 정의 외에 주소 공간 추가 가능
• 연결된 디바이스: 가상 네트워크를 사용하여 머신 연결
• 서브넷: 추가가능
• 피어링: 피어링 배열에서 가상 네트워크 연결

---

3. Azure VPN Gateway 기본 사항

VPN

• VPN은 다른 네트워크 내에서 암호화된 터널을 사용
• on-premise network에 대한 VPN 연결을 생성할 때 사용
• 일반적으로 둘 이상의 신뢰할 수 있는 사설망을 신뢰할 수 없는 네트워크(일반적으로 공용 인터넷)를 통해 서로 연결하기 위해 배포
• 신뢰할 수 없는 네트워크를 통해 이동하는 동안 도청이나 기타 공격을 방지하기 위해 트래픽이 암호화
• VPN을 사용하여 지사에서 중요한 정보를 위치 간에 공유할 수 있음

VPN Gateway

• 가상 네트워크 게이트웨이의 유형
• Azure Virtual Network 인스턴스에 배포 됨

⇒ 사이트 간(site-to-site) 연결을 통해 on-premise 데이터 센터를 가상 네트워크에 연결

⇒ 지점 및 사이트(point-to-site) 간 연결을 통해 개별 디바이스를 가상 네트워크에 연결

⇒ 네트워크 간 연결을 통해 가상 네트워크를 다른 가상 네트워크에 연결

• 전송 되는 모든 데이터는 인터넷을 통과할 때 프라이빗 터널에서 암호화
• 각 가상 네트워크에 VPN Gateway는 하나만 배포 가능
• But, 하나의 게이트웨이를 사용하여 다른 가상 네트워크 또는 on-premise 데이터 센터를 포함한 여러 위치에 연결할 수 있음

VPN Gateway의 특징(중요)

• Public Internet을 통해 Azure Virtual Network와 on-premise 간에 암호화된 트래픽을 전송하는데 사용되는 특정 유형의 가상 네트워크 게이트웨이
• Azure Virtual Network 간에 암호화된 트래픽 전송 가능
• 각 Virtual Network는 only 한 개의 VPN gateway를 가짐
• 반대로 VPN gateway에는 여러 연결 생성 가능 ⇒ 모든 VPN 터널이 사용 가능한 게이트웨이 대역폭 공유
• Virtual network Gateway는 gateway subnet이라고 하는 특정 subnet에 배포된 두 개 이상의 VM으로 구성
• virtual network gateway의 VM은 라우팅 테이블 포함. 이는 virtual network gateway를 생성할때 생성 됨. virtual network gateway의 일부인 VM은 직접 구성 불가
• VPN Gateway는 Azure Availability zone에 배포 가능 ⇒ 복원력, 확장성, HA 제공

virtual network gateway의 유형

1. Vpn: 생성된 가상 네트워크 게이트웨이의 유형을 VPN gateway로 지정
2. ExpressRoute gateway

암호화할 트래픽 지정

0. 공통

• 미리 공유한 키를 인증 방법으로 사용
• 버전 1 또는 버전 2의 IKE(Internet Key Exchange)와 IPSec(Internet Protocol Security)을 사용
• IKE는 두 엔드포인트 간에 보안 연결을 설정하는데 사용.
• 그 다음, 이러한 연결이 IPSec 도구 모음으로 전달되면 VPN 터널에 캡슐화된 데이터 패킷이 암호화 및 암호 해독 됨

1. 정책 기반(Policy-based) VPN

각 터널을 통해 암호하되어야 하는 패킷의 IP 주소를 정적으로 지정

• IKEv1만 지원
• 두 네트워크의 주소 접두사 조합에 따라 VPN 터널을 통해 트래픽을 암호화 및 암호를 해독하는 방법이 결정되는 정적 라우팅 을 사용합니다. 터널링된 네트워크의 원본 및 대상이 정책에 선언되며, 라우팅 테이블에서 선언할 필요가 없습니다.
• 정책 기반 VPN은 이러한 VPN이 필요한 특정 시나리오에 사용해야 합니다(예: 레거시 온-프레미스 VPN 디바이스와의 호환되어야 하는 경우).
• 일반적으로 패킷 필터링을 수행하는 방화벽 장치에 구축

2. 경로 기반(Route-based) VPN

이를 사용하면 IPSec 터널이 네트워크 인터페이스 또는 가상 터널 인터페이스로 모델링

임의의(wild-card) 트래픽 선택기를 사용하며 라우팅/전달 테이블이 트래픽을 다른 IPsec 터널로 향하도록 한다.

• 온 프레미스 디바이스에서 애용되는 방법.
• 토폴로지 변경에 대한 복원력이 더 좋음

다음의 경우 경로기반 VPN 사용

• 가상 네트워크 간 연결
• 지점 및 사이트 간 연결
• 다중 사이트 연결
• Azure ExpressRoute 게이트웨이와 동시 사용

주요 기능

• IKEv2를 지원합니다.
• 임의(와일드카드) 트래픽 선택기를 사용합니다.
• 라우팅/전달 테이블이 다른 IPSec 터널로 트래픽을 전달하는 ‘동적 라우팅 프로토콜’을 사용할 수 있습니다. 이 경우 원본 네트워크와 대상 네트워크는 정책 기반 VPN에 포함되거나 정적 라우팅이 포함된 라우팅 기반 VPN에 포함되므로 통계적으로 정의되지 않습니다. 대신, BGP(Border Gateway Protocol)와 같은 라우팅 프로토콜을 사용하여 동적으로 생성되는 네트워크 라우팅 테이블을 기반으로 데이터 패킷이 암호화됩니다.

VPN 게이트웨이 배포

필요한 Azure 리소스

• 가상 네트워크: VPN 게이트웨이에 필요한 추가 서브넷을 수용할 주소 공간이 충분히 있는 가상 네트워크를 배포합니다. 이 가상 네트워크의 주소 공간은 연결할 온-프레미스 네트워크와 겹치지 않아야 합니다. 한 가상 네트워크 내에는 VPN 게이트웨이를 하나만 배포할 수 있습니다.
• GatewaySubnet: VPN 게이트웨이용 서브넷 배포. 적어도 /27 subnet 마스크 사용
• 공용 IP 주소: IP 주소는 동적이지만, VPN 게이트웨이를 삭제하고 다시 만들기 전에는 변경되지 않습니다.
• 로컬 네트워크 게이트웨이
• 가상 네트워크 게이트웨이
• 연결

데이터 센터를 VPN Gateway 연결 시 필요한 On-premise 소스

• 정책 기반 또는 경로기반 VPN 게이트웨이를 지원하는 VPN 디바이스
• 공용 IPv4 주소

고가용성 시나리오

1. 활성/대기

• VPN Gateway 리소스가 하나로 표시 되지만 실제로는 활성-대기 구성 상태에 있는 두 인스턴스로 배포 됨
• 계획된 유지 관리 또는 계획되지 않은 중단이 활성 인스턴스에 영향을 줄 경우 대기 인스턴스는 사용자 개입 없이 자동으로 연결 역할을 수행

2. 활성/활성

• BGP 라우팅 프로토콜에 대한 지원 도입으로 활성/활성 구성에서 VPN 게이트웨이 배포 가능
• 각 인스턴스에 고유한 공용 IP 주소를 할당

ExpressRoute 장애 조치

VPN 게이트웨이를 ExpressRoute 연결의 보안 장애 조치(failover) 경로로 구성

영역 중복 게이트웨이

• 가용성 영역을 지원하는 지역에서는 VPN 게이트웨이 및 ExpressRoute 게이트웨이를 영역 중복 구성으로 배포 가능

네트워크의 토폴로지를 변경하고 윈도우즈 VPN 클라이언트가 있는 경우 변경 내용을 클라이언트에 적용하려면 윈도우즈 클라이언트용 VPN 클라이언트 패키지를 재설치 해야 함

---

4. Azure ExpressRoute 기본 사항

• 연결 공급자의 도움을 받아 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장 가능
• ExpressRoute를 사용하면 Microsoft Azure 및 Microsoft 365와 같은 Microsoft 클라우드 서비스에 대한 연결 가능
• ExpressRoute 연결은 퍼블릭 인터넷을 통해 이동하지 않음
• 일반 연결보다 안정적이고 속도가 빠르며 대기시간이 일관되고 보안성이 높음

ExpressRoute의 기능 및 이점

Azure - 온프레미스 네트워크 간의 연결 서비스로 ExpressRoute 사용 시 이점

• 연결 공급자를 통한 온-프레미스 네트워크와 Microsoft Cloud 간의 3계층 연결입니다. 임의의(IPVPN) 네트워크, 지점간 이더넷 연결, 이더넷 Exchange로 가상 간 연결을 통해 연결할 수 있습니다.
• 모든 지정학적 지역에 걸쳐 Microsoft 클라우드 서비스에 연결합니다.
• ExpressRoute 프리미엄 추가 기능으로 모든 지역에 걸쳐 Microsoft 서비스에 글로벌 연결합니다.
• BGP를 통해 네트워크와 Microsoft 간 동적 라우팅
• 높은 안정성을 위한 모든 피어링 위치의 기본 중복성입니다.
• 연결 가동 시간 SLA입니다.
• 비즈니스용 Skype에 대한 QoS 지원.

ExpressRoute 연결 모델

• CloudExchange 공동 배치
  인프라와 mircrosoft 클라우드 간에 계층 2,3 연결 모두 제공
• 지점 간 이더넷 연결
  온-프레미스 사이트와 Azure 간에 계층 2,3 연결 모두 제공
• 임의 연결
  Azure와 WAN 통합 가능, 계층 3연결 제공