Azure- 6회차

Configure Network Routing and Endpoints

Review System Routes

시스템 라우트는 가상 머신 간, 온프레미스 네트워크 및 인터넷 간의
네트워크 트래픽을 직접적으로 관리합니다:

• 동일 서브넷 내 가상 머신 간의 트래픽

• 동일 가상 네트워크 내 다른 서브넷에 속한 가상 머신 간의 트래픽

• 가상 머신에서 인터넷으로의 데이터 흐름

• VNet-to-VNet VPN을 통한 가상 머신 간 통신

• VPN 게이트웨이를 통한 사이트 간 및 ExpressRoute 통신

Identify User-Defined Routes

• 라우트 테이블에는 가상 네트워크 내에서 데이터 패킷을 어떻게 라우팅해야 하는지를 지정하는 라우트라고 불리는 규칙 집합이 포함되어 있습니다.

  • 사용자 정의 라우트는 트래픽의 다음 경로를 지정하는 라우트를 정의하여 네트워크 트래픽을 제어하는 사용자 정의 라우트로,
  • 다음 경로는 가상 네트워크 게이트웨이, 가상 네트워크, 인터넷 또는 가상 애플라이언스일 수 있습니다.

Create a Custom Route and associate route table to subnet

구성할 때 리전 주의

---

Determine Service Endpoint Uses

• 엔드포인트는 특정 서비스로의 네트워크 액세스를 제한합니다.

• 서비스 엔드포인트를 추가하는 데 최대 15분이 소요될 수 있습니다.

Identify Private Link Uses

• Azure의 서비스에 대한 사설 연결성을 제공합니다. 트래픽은 공용 인터넷에 노출되지 않고 Microsoft 네트워크 상에서 유지됩니다.
• 또한 온프레미스 및 피어링된 네트워크와 통합됩니다. 네트워크 내에서 보안 사건이 발생한 경우, 매핑된 리소스만 접근 가능합니다.

private Endpoint: 네트워크 인터페이스와 유사
SQL: Paas 서비스

---

Choose a Load Balancer Solution

Implement an Internal Load Balancer

• 이러한 설명은 Azure의 내부 로드 밸런서의 특징을 설명하는 것으로 보입니다. 이 로드 밸런서는 가상 네트워크 내의 리소스에만 트래픽을 직접적으로 보내거나, VPN을 통해 Azure 인프라에 접근하는 리소스에만 트래픽을 보내는 기능을 제공합니다.

• 또한 프런트엔드 IP 주소와 가상 네트워크는 직접적으로 인터넷 엔드포인트에 노출되지 않습니다. 이로써 가상 네트워크 내에서 로드 밸런싱을 활성화하고, 온프레미스 가상 네트워크 간, 멀티티어 애플리케이션 및 업무용 어플리케이션에 대한 로드 밸런싱을 지원합니다.

Gateway Load Balancer ( 로드 밸런서의 로드 밸런서 )

게이트웨이 로드 밸런서는 Azure 로드 밸런서 포트폴리오의 SKU 중 하나로, 고성능 및 고가용성 시나리오를 위해 제공되며, 제3자 네트워크 가상 애플라이언스(NVA)와 함께 사용됩니다.

---

Create Backend Pools

• Basic SKU의 VM은 단일 가용성 집합 또는 VM 스케일 세트에 배치될 수 있습니다.

• 반면에 Standard SKU의 VM은 단일 가상 네트워크에 속하는 모든 VM, 가용성 집합,
  VM 스케일 세트를 포함한 다양한 VM을 지원합니다.

Create Load Balancer Rules

• "Rules"는 프런트엔드 IP와 포트 조합을 백엔드 풀과 포트 조합에 매핑시키는 것을 의미합니다.

• 또한 이러한 규칙은 NAT 규칙과 함께 사용될 수 있습니다. NAT 규칙은 명시적으로 VM(또는 네트워크 인터페이스)에 연결되어 경로를 완료하는 데 사용됩니다.

Create Health Probes

• 로드 밸런서에서 애플리케이션의 상태를 모니터링할 수 있도록 하는 기능으로 보입니다.

  • 또한 VM의 응답에 기반하여 건강 상태 확인에 따라 동적으로 VM을 로드 밸런서 회전에서 추가하거나 제거할 수 있습니다.

  • HTTP 커스텀 프로브와 TCP 커스텀 프로브를 사용하여 건강 상태 확인을 수행할 수 있습니다. TCP 커스텀 프로브는 성공적인 TCP 세션을 설정하려고 시도합니다.

Configure Session Persistence (optional)

• 세션 지속성은 클라이언트 트래픽이 어떻게 처리되는지를 지정하는 것:

  • None (기본값) - 요청은 어떤 가상 머신에서든 처리될 수 있습니다.

  • Client IP - 요청은 동일한 가상 머신에서 처리됩니다.

  • Client IP and protocol - 동일한 주소 및 프로토콜에서의 연이은 요청은 동일한 가상 머신에서 처리됩니다.

---

Configure Azure Application Gateway

• 웹 앱 요청을 관리하고, 요청의 URL에 기반하여 웹 서버 풀로 트래픽을 라우팅하는 기능으로 보입니다.

• 이 웹 서버는 Azure 가상 머신, 가상 머신 스케일 세트, Azure 앱 서비스, 심지어 온프레미스 서버일 수 있습니다.

Determine Application Gateway Routing

Setup Application Gateway Components (optional)

---

트래픽 매니저 시뮬레이션: https://lrl.kr/nydi

프론트 도어: https://lrl.kr/gr1c

Explore Azure Traffic Manager

Use cases for Azure Traffic Manager

• 애플리케이션 가용성 향상, 성능 향상, 다운타임 없는 서비스 유지보수, 하이브리드 애플리케이션 통합, 복잡한 배포에 대한 트래픽 분산 등을 위해 로드 밸런서를 활용할 수 있습니다.

• 로드 밸런서는 서버 간 트래픽을 균형 있게 분산하여 애플리케이션의 가용성을 높이고 성능을 향상시키며, 서비스 유지보수 시에도 중단 없이 트래픽을 관리할 수 있습니다.

• 또한 로드 밸런서를 사용하면 하이브리드 애플리케이션을 효율적으로 통합하고 복잡한 배포에서 트래픽을 분산할 수 있습니다.

Azure Traffic Manager

• DNS 기반으로 요청을 가장 적합한 엔드포인트로 보내는 방식으로 동작합니다.

• 구성된 트래픽 라우팅 방법에 따라 엔드포인트를 선택합니다.

• 엔드포인트 건강 상태를 확인하고 자동 장애 조치를 제공합니다.

Traffic Manager Routing Methods

• Priority routing,
  Performance routing,
  Geographic routing,
  Weighted routing

---

What is Azure Front Door

• 이것은 Azure의 Azure Front Door 서비스에 대한 설명으로 보입니다. Azure Front Door는 Microsoft의 글로벌 엣지 네트워크를 사용하여 빠르고 안전하며 널리 확장 가능한 웹 애플리케이션을 만들기 위한 글로벌하고 확장 가능한 입구점입니다.

• 또한, Azure Front Door는 분할 TCP 기반의 에니캐스트 프로토콜을 사용하여 응용 프로그램 성능을 향상시킵니다. 또한 백엔드 리소스에 대한 지능적인 건강 프로브 모니터링을 제공하며, 요청에 대한 URL 경로 기반 라우팅을 지원하여 효율적인 애플리케이션 인프라에서 여러 웹사이트를 호스팅할 수 있도록 합니다.

Azure Front Door Standard and Premium

• Azure Front Door의 Standard SKU는 다음을 제공합니다:

  • 콘텐츠 전달을 최적화
    정적 및 동적 콘텐츠 가속화 제공
    글로벌 로드 밸런싱
    SSL 오프로드
    도메인 및 인증서 관리
    향상된 트래픽 분석
    기본 보안 기능

• Azure Front Door의 Premium SKU는 Standard SKU의 기능을 확장하고 다음을 추가합니다:

  • WAF를 통한 포괄적인 보안 기능
    BOT 보호
    Private Link 지원
    Microsoft Threat Intelligence 및 보안 분석과의 통합

Create a Front Door in the Azure portal

• Quick Create or Custom Create

• Select between Standard and Premium tier

• Globally unique endpoint name

• Select Origin type, for example: App service or App Gateway

---

Configure Network Watcher

View the topology of an Azure virtual network

• 전체 네트워크 구성을 시각화하고 상호작용하는 뷰를 제공합니다.

• Azure에서 리소스와 그들 간의 관계를 시각적으로 표현하여 개별 리소스로 드릴다운하여 구성 요소 수준의 시각화를 제공합니다.

Connection Monitor

• 두 개의 가상 머신 간의 네트워크 연결성을 확인하고, 교차 지역 네트워크 대기 시간을 비교합니다.

• 또한 온프레미스 사이트와 Azure 애플리케이션의 대기 시간을 비교하고, 온프레미스 환경과 클라우드 애플리케이션을 호스팅하는 Azure VM 간의 연결성을 확인합니다.

Review IP Flow Verify Diagnostics

• 가상 머신으로부터 또는 가상 머신으로의 패킷이 허용되거나 거부되는지 확인합니다.

Review Next Hop Diagnostics

• 의도한 대상으로 트래픽이 전달되고 있는지를 판별하는 데 도움을 주며, 다음 홉을 보여줌으로써 도와줍니다.

NSG diagnostics

• NSG 진단 도구는 제공된 출발지와 목적지에 기반하여 특정 흐름을 시뮬레이션할 수 있습니다.

• 이 도구는 해당 흐름이 허용되는지 거부되는지를 반환하며, 허용되거나 거부되는 흐름에 대한 보안 규칙에 대한 상세한 정보를 제공합니다.

Effective Security Rules

• 가상 머신의 네트워크 인터페이스 카드의 유효한 보안 규칙(입방향 및 출방향)에 대한 세부 정보를 제공합니다.

VPN Troubleshoot

• 게이트웨이 및 연결을 문제 해결하는 데 도움을 줄 뿐만 아니라 요약 정보와 상세 정보를 제공합니다. 동시에 여러 게이트웨이 또는 연결을 문제 해결할 수 있습니다.

Packet Capture

• 가상 머신에서 들어오는 및 나가는 트래픽을 캡처하고, 이 데이터를 저장소 계정, 로컬 파일 또는 둘 다에 저장할 수 있습니다.

NSG Flow Logs

• NSG를 통한 유입 및 유출 IP 트래픽에 대한 정보를 확인할 수 있습니다.
  흐름 로그는 JSON 형식으로 작성되며 규칙별로 외부 및 내부 흐름을 보여줍니다.

• 이 JSON 형식은 Power BI나 Kibana와 같은 제3자 도구에서 시각적으로 표시될 수 있습니다.

Traffic Analytics

• 네트워크 보안 그룹 (NSG), 네트워크 보안 그룹 (NSG) 흐름 로그, 로그 분석, 로그 분석 워크스페이스, 네트워크 감시기에 대한 내용으로 보이십니다.