1. Virual Network
Switch & Router
• Switch란?
• Network을 생성하여 동일한 Network에 연결된 컴퓨터 간의 통신제공
• Virtual Network
• 클라우드 내의 네트워크 논리적 격리를 위함이다.
• Load Balancer
• 외부에서 들어 오는 다양한 트래픽을 여러 VM(Web Server, DB Server 등)으로 분산시킨다.
• Application Gateway
• Web Server를 WAF를 통해 보안 위협을 방어하고, 로드 밸런싱을 통해 트래픽을 고르게 분산시키며,URL 기반 라우팅으로 특정
콘텐츠를 담당하는 서버로 트래픽을 유도한다.
• Network란?
• 컴퓨터와 컴퓨터를 연결하는 것
• 다른 컴퓨터에 있는 자원(프린터, 파일, 정보 등등)을 이용하려면 먼저 원격 컴퓨터와 연결(유선/무선)이 되어야 한다.
• 연결할 때 사용하는 것이 Network Adapter(NIC)와 Cable이다.
• Network의 중심은 Switch
• 컴퓨터와 컴퓨터를 직접 연결하려면 많은 수의 NIC와 Cable이 필요하다.
• 중앙에서 컴퓨터들을 유선(Cable)으로 연결하는 것이 Switch이다.
• 무선으로 컴퓨터들을 연결하는 것이 Access Point(AP)이다.
• Switch1과 Switch2를 연결하는 것은 2개의 네트워크를 하나로 확장함.
• Load Balancer 역할을 하는 Switch
• Layer 2 Switch
• MAC 주소를 기반으로 패킷을 전달
• Windows Server Load Balancer
• 데이터 링크 계층(OSI 모델의 2계층)에서 동작
• 포트별로 대역폭을 할당하여 속도를 보장
• Layer 4 Switch
• IP 주소와 포트 번호(TCP/UDP)를 기반으로 패킷을 처리
• 전송 계층(OSI 모델의 4계층)에서 동작
• 가장 전형적인 Load Balancer 장비
• 로드 밸런싱 기능을 제공하여 여러 서버에 트래픽을 분산
• Layer 2와 Layer 3의 모든 기능을 포함
• Layer 7 Switch
• 애플리케이션(HTTP) 계층의 데이터를 분석하여 패킷을 처리
• OSI 모델의 7계층(응용 계층)에서 동작
• 콘텐츠 기반 라우팅, 보안 기능 등 고급 기능을 제공
• DDoS 공격 방어, 바이러스 감염 패킷 필터링 등 보안 기능을 제공
• Router란?
• Network1(Swtich1)와 Network2(Switch2)를 연결하는 것은 Router
• Route(경로, 길) + er(사람, 기계) = Router(목적지까지 길 안내하는 것)
• Router가 없으면 Internet 연결은 불가능하다
• 종로에 있는 유명한 만두집에서 식사를 하고자 하면 먼저 그 만두집까지 찾아갈 수 있어야 한다(자동차의 내비게이션 역할)
• Router의 주요 기능
• 경로 찾기(Routing and Switching)
• RIP, OSPF, BGP 등등으로 인접 Router와 Routing table을 교환한다.
• NAT(Network Address Translation)
• 공유기(부족한 공인 IP 주소 문제 해결), Port Forwarding
• Packet Filtering
• 전문 Firewall 장비, 전문 Proxy Server
• VPN
• 전문 VPN 장비
• DHCP
• 전문 DHCP Server
• 기타(ssh server, telnet server, web server)
• 유무선 공유기란?
• NAT Router 기능을 갖는 장비
• 인터넷에 접속하려면 공인 IP가 필요한데, NAT Router(공유기)에서는 사설 IP를 공인 IP로 변경시켜서
인터넷에 접속하도록 도와준다.
• http://myip.is (##자신의 사용하고 있는 공유기의 공인 IP 확인하기)
• 공유기를 사용하면 외부(인터넷)에서 내부(집)으로 접속이 불가능하다.
• 하지만 공유기에서 Port Forwarding 기능을 설정하면 접속이 가능하다.
• 공유기에는 DHCP Server 기능이 내장되어 있다.
Azure Networking Components
• Azure 네트워킹 구성 요소
• Virtual Network
• 클라우드 내의 네트워크 논리적 격리를 위함이다.
• Load Balancer
• 외부에서 들어 오는 다양한 트래픽을 여러 VM(Web Server, DB Server 등)으로 분산시킨다.
• Application Gateway
• Web Server를 WAF를 통해 보안 위협을 방어하고, 로드 밸런싱을 통해 트래픽을 고르게 분산시키며,URL 기반 라우팅으로
특정 콘텐츠를 담당하는 서버로 트래픽을 유도한다.
• Azure 네트워킹 구성 요소
• Traffic Manager
• 글로벌 사용자에게 웹 애플리케이션을 제공할 때 고가용성과 성능을 보장
• Virtual Network Gateway
• Azure에서 제공하는 VPN 서버로서 Azure Virtual Network(VNet)를 온프레미스 네트워크 또는 다른 Azure VNet과
연결하는 데 사용
• Virtual WAN
• 글로벌 네트워크를 중앙에서 효율적으로 관리하고, 고성능, 보안, 확장성을 제공
Virtual Network란?
• Virtual Network(VNet): Switch 역할
• VNet은 Azure의 다양한 리소스(예: VM, Web App, DB) 간에 안전하고 신뢰할 수 있는 통신을 제공한다.
• 동일한 VNet에 있는 리소스는 서로 간에 직접 통신할 수 있어 네트워크 성능이 향상된다.
• VNet은 리소스 간의 통신을 보호하고 제어할 수 있는 다양한 보안 기능을 제공한다.
• 네트워크 보안 그룹(NSG)을 사용하여 특정 IP 주소, 포트 및 프로토콜을 기반으로 트래픽을 허용하거나 차단할 수 있다.
• Virtual Network(VNet)
• 다른 VNet에 연결된 VM간에 내부 통신은 불가하다(중요)
• VNet은 인터넷과의 연결을 제어할 수 있으며, 필요한 경우 온프레미스 네트워크와도 안전하게 연결할 수 있어서
이를 통해 하이브리드 클라우드 환경을 구성할 수 있다.
• 예를 들어, VPN Gateway 또는 Azure ExpressRoute를 사용하여 온프레미스 네트워크와 Azure VNet 간의 전용
연결을 설정할 수 있다.
• VNet 내에서 여러 서브넷을 생성하여 네트워크를 논리적으로 분할하고, 각 서브넷에 대해 다른 보안 정책 및 라우팅
규칙을 적용할 수 있다. 이를 통해 네트워크 관리와 보안이 용이해진다.
• Azure VNet은 Azure의 다양한 관리형 서비스(Azure Kubernetes Service, Azure App Service 등)와 원활하게
통합되어, Cloud Native 애플리케이션을 쉽게 배포하고 관리할 수 있게 한다.
• Azure 네트워크 감시(Network Watcher)와 같은 도구를 사용하여 VNet의 트래픽을 모니터링하고 관리할 수 있다.
이를 통해 네트워크 성능을 최적화하고 문제를 신속히 해결할 수 있다.
Subnet이란?
• Subnet
• 가상 네트워크는 하나 이상의 서브넷으로 분할될 수 있다.
• 서브넷은 네트워크의 논리적 구분을 지원한다
• 서브넷을 사용하면 보안/성능을 개선하고 네트워크를 더 쉽게 관리할 수 있다.
• 각 서브넷에는 고유한 주소 범위가 있어야 한다. 즉, 구독의 가상 네트워크에 포함된 다른 서브넷과 주소 범위가
겹쳐서는 안 된다.
Virtual Network 생성하기
• Virtual Network 생성하기
• VM을 만들 때 반드시 가상 네트워크를 추가한다(지역 주의)
• 한 번 설정된 VNet의 Region은 수정할 수 없다.
• 주소 공간(Address space)과 서브넷을 하나 이상을 정의해야 한다.
• 주소 공간이 겹치지 않도록 주의한다(구독 내에서 겹침 불허)
• 10.0.0.0/16
• 10.1.0.0/16
• 10.2.0.0/16
IP Addressing
• Azure resource에 IP 주소 지정하기
• Azure Resource에서는 공인 IP와 사설 IP를 지정할 수 있다.
• 공인 IP는 인터넷 서비스를 하는 자원에만 한다.
• Public IP Addresses
• Public IP 주소는 VM의 NIC, 인터넷 연결 Load Balancer, VPN Gateway 및 Application Gateway와 연결할 수 있다.
• 고정 IP 주소는 특정 SKU에서만 사용할 수 있다.
• Private IP Addresses
• Dynamic (default)
• Azure가 서브넷의 주소 범위에서 사용 가능한 unassigned or unreserved IP address를 할당한다
• Static
• 서브넷의 주소 범위에서 모든 unassigned or unreserved IP address를 선택하여 할당한다.
VNet Peering
• VNet Peering
• 기본적으로 서로 다른 VNet에 연결된 VM간의 내부 통신은 불가하다
• 하지만 VNet Peering 기능을 VNet간에 사용하면 서로 다른 VNet에 연결된 VM들이어도 내부 통신이 가능하다.
• VNet peering connects two Azure virtual networks
• VNet Peering is nontransitive.
• Peered networks use the Azure backbone for privacy and isolation
• You can peer across subscriptions and tenants
• Easy to setup, seamless data transfer, and great performance
• Two types of peering: Regional and Global
2. Network Security Group
NSG(Network Security Group)란?
• NSG란?
• NSG는 Azure 네트워크의 보안을 강화하고 관리하기 위한 중요한 도구
• NSG는 VNet과 관련된 트래픽을 제어하여 리소스를 보호하는 데 필수적
• NSG는 Inbound 및 Outbound 트래픽을 제어하는 규칙을 설정할 수 있다. 이러한 규칙은 IP 주소, 포트, 프로토콜 등을 기반으로
하여 네트워크 트래픽을 허용하거나 차단한다.
• NSG를 사용하여 VM, Subnet 또는 특정 NIC에 대한 접근을 제한할 수 있다. 이를 통해 민감한 데이터와 애플리케이션을 보호한다.
• VM에 Web Service를 운영하는 경우에, 반드시 수동으로 Inbound 80 포트를 허용해야 한다.
• NSG는 Subnet 및 NIC에 적용하여 Traffic를 제어한다.
• 하나의 NSG를 여러 Subnet에 사용할 수 있다.
NSG Rule
• NSG Rule
• NSG의 보안 규칙을 사용하면 VNet Subnet과 VM의 NIC로 유입/유출될 수 있는 네트워크 트래픽을 필터링할 수 있다.
• 기본 보안 규칙이 있다
• 기본 규칙을 삭제할 수는 없지만 우선 순위가 높은 다른 규칙을 추가할 수 있다.
NSG Effective Rule
• NSG Effective Rule
• NSG는 Subnet(NSG2)과 NIC(NSG1)에 대해 독립적으로 평가
• 트래픽이 허용되려면 두 수준 모두에 "Allow" 규칙이 있어야 한다.
NSG Rule 생성하기
• NSG Rule 생성하기
• Service – 이 규칙의 대상 프로토콜 및 포트 범위
• Port range – 단일 포트 또는 여러 포트
• Priority – 숫자가 낮을수록 높은 우선
'Study > Azure Cloud' 카테고리의 다른 글
| [Azure 정리]7. Load Balancer & Application Gateway (0) | 2025.01.02 |
|---|---|
| [Azure 정리]6. Azure Firewall & Azure DNS (0) | 2025.01.02 |
| [Azure 정리]4. Storage Account 사용하기 (6) | 2025.01.02 |
| [Azure 정리]3. Virtual Machine 사용하기 (6) | 2025.01.02 |
| [Azure 정리]2. Entra ID 및 Azure Policy (0) | 2024.12.31 |