공용 인터넷을 통한 액세스가 가능하도록 백엔드를 노출시키면 인터넷 인바운드 요청에 응답하는 네트워크 아웃바운드 트래픽이 늘어나 비용을 증가시키고, 보안 위협도 있다.
Azure 내에 구축한 소프트웨어들이 공용 인터넷을 거치지 않고 Azure 내에서만 통신하도록 가상 네트워크를 구현해야 한다. 소프트웨어들 간 통신은 암호화된 트래픽을 전송하도록 구성하고 관리를 위한 접근도 최소화해야 한다.
Azure는 여러 가지 가상 네트워크 연결 서비스를 제공하며, 그 중 가상 네트워크 피어링과 가상 네트워크 게이트웨이에 대해 알아보자.
VNet, 가상 네트워크
Azure 에서 구현하는 네트워크는 가상 네트워크(VNet, Virtual Network) 이며 물리적인 네트워크 구현의 논리적인 표현이다.
Azure 내에서 가상 네트워크를 구현할 때 필요한 핵심 정보 2가지는 주소 공간(IP)과 서브넷이다.
주소 공간
Azure 가상 네트워크 IP 주소 공간으로는 IPv4 와 IPv6 을 모두 사용할 수 있다.
IPv4 주소 공간을 중심으로 설명하자면..
가상 네트워크에 연결된 Azure 리소스에 IPv4 주소를 정적 또는 동적으로 할당할 수 있습니다. 기본 할당 방식은 '동적'입니다. 동적으로 할당한 경우 Azure 리소스의 상태 변경에 따라(예. 가상 머신 할당 해제 후 재시작) 바뀔 수 있다. 정적으로 할당한 경우 리소르를 삭제하기 전까지는 그대로 유지된다.
서브넷
Azure에서 가상 네트워크를 만들 때 반드시 하나 이상의 서브넷을 지정해야 한다. 서브넷을 사용하면 주소 할당의 효율을 높여준다. 서브넷을 설계할 때 다음 2가지 원칙을 고려해야 한다.
- 서브넷 주소 공간이 가상 네트워크의 전체 주소 공간을 사용하지 않도록 한다.
- 가상 네트워크 보호를 위해 네트워크 보안 그룹을 사용한 트래픽 제어를 고려한다.
서브넷의 주소 범위는 가상 네트워크 주소 공간의 일부여야 한다.
Azure 가 각 서브넷의 주소 공간에서 사전 정의된 용도로 5개의 IP 주소를 예약해두었기 때문에, 해당 IP 주소는 사용할 수 없다.
- x.x.x.0 : 네트워크 주소
- x.x.x.1 : Azure에서 기본 게이트웨이로 예약
- x.x.x.2 : Azure DNS IP를 VNet 공간에 매핑하기 위해 예약
- x.x.x.255 : 네트워크 브로드캐스트 주소
가상 네트워크 연결 솔루션
Azure 가 제공하는 가상 네트워크 연결 서비스는 3가지 시나리오로 나눌 수 있다.
-
S2S : Site-to-Site 연결, 사이트 간 연결
Azure 가상 네트워크와 온프레미스 네트워크 또는 타 클라우드의 가상 네트워크를 연결한다.
Azure 가상 네트워크 게이트웨이와 로컬 네트워크 게이트웨이가 필요하다. -
P2S : Point-to-Site 연결, 지점 및 사이트 간(사용자 VPN) 연결
Azure 가상 네트워크와 개별 디바이스를 연결한다.
Azure 가상 네트워크 게이트웨이와 클라이언트의 VPN 클라언트 구성이 필요하다. -
VNet-VNet : VNet-to-VNet 연결, 가상 네트워크 간 연결
서로 다른 지역이나 구독에 있는 Azure의 가상 네트워크들을 연결한다.
가상 네트워크 피어링이나 가상 네트워크 게이트웨이를 사용한다.
VPN, 가상 사설 네트워크
VPN(Virtual Private Network)은 인터넷상에서 안전한 사설 네트워크 연결을 제공하기 위한 기술이다.
VPN은 모바일 컴퓨팅이 폭발적으로 늘어나면서 원격으로 조직 내부의 데이터에 액세스하려는 사용자에게 마치 내부 네트워크에 있는 것처럼 자원에 액세스할 수 있게 해준다.
목적
VPN을 구성하는 목적은 네트워크 구간에서 데이터를 가로채거나 훔쳐보는 행위를 차단하는 '보안된 통신'이므로 연결 구간의 트래픽을 암호화한다.
역할
VPN 서버는 공용 IP 주소를 할당받아 인터넷에 액세스 하는 역할과
사설 IP를 할당받아 내부 네트워크에 액세스하는 역할을 위해
최소 2개 이상의 네트워크 인터페이스를 제공한다.
S2S VPN 과 P2S VPN
VPN은 원격 사용자(Point)와 조직 네트워크(Site)를 안전하게 연결하고 트래픽을 보호하는 역할뿐만 아니라 ~ P2S VPN
필요에 따라 다른 위치의 두 지점(Site)을 연결하는 사이트 간의 보호된 통신을 구성하는 데도 사용한다. 이를 게이트웨이 간 VPN 이라고 한다. ~ S2S VPN
S2S VPN
S2S VPN 은 Azure와 온프레미스를 하이브리드 연결하는 네트워크 구성 작업에 사용한다.
Azure에서 온프레미스와 S2S VPN을 구성할 때는
- Azure 가상 네트워크의 게이트웨이 서브넷에 가상 네트워크 게이트웨이를 배포하고
- 온프레미스 로컬 네트워크의 VPN 디바이스를 나타내는 Azure 로컬 네트워크 게이트웨이를 배포한다.
P2S VPN
P2S VPN 은 개별 클라이언트 장치를 Azure 가상 네트워크와 안전하게 연결한다. 클라이언트 장치는 집이나 사무실 등 원격 위치에서 가상 네트워크에 연결할 때 유용하다.
VNet-Vnet
VNet-Vnet 은 Azure 내의 가상 네트워크끼리 간단하게 연결한다.
VPN 게이트웨이를 배포해 연결하거나 VPN 게이트웨이를 배포하고 싶지 않다면 VNet 피어링을 사용해 연결할 수 있다.
가상 네트워크 게이트웨이
