[Azure Virtual Network]
Azure에서 프라이빗 네트워크를 구축하는 기본 구성 요소를 제공하는 서비스입니다.
서비스 배포: vnet을 만든 후 vnet 내에 사용할 IP 주소 공간을 설정합니다. 주소 공간 중에서 하나 이상의 네트워크 서브넷을 만들어 여러 종류의 서비스(예: 데이터베이스, 웹 애플리케이션 등)를 배포할 수 있습니다.
보안 및 격리: vnet을 여러 개 만들 수 있으며, 이를 나누어 보안상 두 개의 네트워크를 고립시킬 수 있습니다. 서로 네트워크를 연결하지 않도록 설정할 수 있습니다.
하이브리드 클라우드 네트워크: 온-프레미스와 클라우드를 연결하여 하이브리드 환경을 구축할 수 있습니다. 이를 통해 중요한 비즈니스 워크로드를 계속 실행할 수 있습니다
[Azure Virtual Network 생성]
리소스 그룹 선택: 가상 네트워크를 만들 리소스 그룹을 선택합니다. 리소스 그룹은 Azure 리소스를 논리적으로 그룹화하는 컨테이너 역할을 합니다.
이름 및 리전 입력: 가상 네트워크의 이름과 리전을 지정합니다.
주소 공간 설정: vnet에 사용할 IP 주소 공간을 설정합니다. 이 주소 공간은 서브넷을 만들 때 사용됩니다.
서브넷 생성: vnet 내에 최소한 하나 이상의 서브넷을 만듭니다. 서브넷은 네트워크를 논리적으로 분할하여 보안, 액세스 제어 및 성능을 관리하는 데 사용됩니다.
특정 서비스를 위해 서브넷을 반드시 사용해야 할 때가 있습니다. 예를 들어 VPN Gateway를 만들어 온프레미스와 연결하여 확장하려는 경우, VPN Gateway를 위한 별도의 서브넷을 만들어야 합니다.
공인 IP (Public IP)와 사설 IP (Private IP):
공인 IP: 공인 IP 주소는 인터넷에서 직접 접근 가능한 IP 주소입니다. 홍보 웹 서버와 같이 외부에서 접근해야 하는 서비스에 사용됩니다. IPv4는 32비트 주소이며, IPv6는 128비트 주소를 사용합니다.
사설 IP: 사설 IP 주소는 내부 네트워크에서 사용되는 IP 주소로, 외부에서 직접 접근할 수 없습니다. 가상 머신에 할당되는 IP 주소 중 하나입니다.
IP SKU (Stock Keeping Unit):
IP SKU는 IP 주소의 유형을 나타냅니다. 다음과 같은 SKU를 선택할 수 있습니다:
Basic SKU: 동적 IP 주소를 제공하며 변경될 수 있습니다.
Standard SKU: 정적 IP 주소를 제공하며 변경되지 않습니다. SLA 측면에서 Basic SKU보다 높은 신뢰성을 제공합니다.
Zone Redundant IP 주소:
데이터 센터 레벨에서 장애가 발생해도 정적 IP 주소는 중단 없이 제공됩니다. 이는 비즈니스 연속성을 유지하는 데 도움이 됩니다.
방화벽과 정적 IP 주소:
방화벽을 사용할 때는 반드시 정적 IP 주소를 사용해야 합니다. IP 주소가 계속 변경되면 방화벽 정책도 매번 변경해야 하기 때문입니다.
Azure AD-DC 설정 시에도 정적 IP를 사용하는 것이 좋습니다. 다만, 비용을 고려해야 합니다. Standard SKU가 더 비쌉니다.
VM에 공인 IP 할당:
VM의 랜카드에 공인 IP를 직접 할당할 수 있습니다. 이렇게 하면 해당 VM에 외부에서 직접 접근할 수 있습니다.
로드 밸런서 (Load Balancer)에 할당:
로드 밸런서는 여러 VM 또는 서비스 간에 트래픽을 분산하는 역할을 합니다. 로드 밸런서에도 공인 IP를 할당할 수 있습니다.
VPN 게이트웨이에 할당:
VPN 게이트웨이는 가상 네트워크 간의 안전한 연결을 제공합니다. VPN 게이트웨이에도 공인 IP를 할당할 수 있습니다.
Application Gateway에 할당:
Application Gateway는 웹 트래픽을 관리하고 보안 기능을 제공하는 서비스입니다. SSL 종료, WAF, 세션 관리 등을 지원합니다. Application Gateway에도 공인 IP 주소를 할당할 수 있습니다
VM에 프라이빗 IP 할당:
가상 머신에는 프라이빗 IP를 할당할 수 있습니다. 이는 내부 네트워크에서만 접근 가능한 IP 주소입니다.
Internal Load Balancer (내부 로드 밸런서):
외부에서 접근하는 것이 아닌 내부에서만 접근해야 하는 경우, Internal Load Balancer를 사용합니다. 이 경우 프라이빗 IP를 사용할 수 있습니다.
Application Gateway와 관련 내용 정리:
Application Gateway는 웹 트래픽을 관리하고 보안 기능을 제공하는 서비스입니다. SSL 종료, WAF, 세션 관리 등을 지원합니다.
Application Gateway에도 공인 IP 주소를 할당할 수 있습니다.
[Network Security Group]
Azure 가상 네트워크(Virtual Network, VNet) 내에서 리소스로 들어오고 나가는 네트워크 트래픽을 제어하는 역할을 합니다. 이를 통해 IP 주소와 서비스 포트를 기반으로 트래픽을 제한할 수 있습니다.
NSG는 방화벽과 유사한 기능을 제공하며, 인바운드(Inbound) 및 아웃바운드(Outbound) 트래픽을 허용하거나 거부할 수 있습니다.
NSG를 사용할 때 주의해야 할 몇 가지 사항이 있습니다:
기본 규칙:
NSG를 만들면 기본 규칙이 자동으로 생성됩니다. 이 기본 규칙은 제거할 수 없으며, 숫자가 낮은 우선순위를 가지게 됩니다. 기본 규칙이 맞지 않는 경우 새로운 규칙을 생성하여 우선순위를 낮추면 됩니다.
적용 대상:
NSG는 네트워크 인터페이스 카드(NIC)나 서브넷(Subnet)에 적용할 수 있습니다.
NIC에 적용하는 경우 해당 NIC를 사용하는 모든 리소스에 영향을 미칩니다.
서브넷에 적용하는 경우 해당 서브넷 내의 모든 리소스에 영향을 미칩니다.
여러 NSG 적용:
NIC에 NSG를 적용하고, 동시에 서브넷에도 NSG를 적용하는 경우, Allow 정책을 적용하려면 두 개의 NSG 규칙 모두 Allow 설정이 필요합니다.
일괄적인 정책 적용:
일괄적인 정책을 적용하려면 서브넷에 NSG를 적용하는 것이 좋습니다. 이렇게 하면 관리의 효율성이 높아집니다.
[Application Security Groups (ASG)]
서버들을 논리적으로 그룹화하여 특정 서비스 또는 역할을 하는 서버들을 함께 묶는 기능입니다. 이를 통해 특정 서비스를 하는 서버 그룹에 대한 네트워크 보안을 효율적으로 관리할 수 있습니다.
예를 들어, VNet 내에 웹 서버들만 묶어서 특정 NSG(Network Security Group)를 적용하고 싶다면, 해당 웹 서버들을 Application Security Group에 추가하여 그룹화한 다음, 해당 ASG에 NSG 규칙을 적용할 수 있습니다. 이렇게 하면 웹 서버들에 대한 트래픽만 제어할 수 있습니다.
0 Comments