44. Azure 네트워크 구성 이해

[개념]

Azure 아키텍쳐

Application Gateway

AKS

 1. 가상 네트워크 (Virtual Network, VNet)

• Azure 내의 논리적 격리 네트워크 공간으로, 리소스간 프라이빗 통신을 지원
• 사용자 지정 IP 주소 공간(CIDR) 설정 가능, RFC 1918 Private IP 대역 사용
• 서브넷으로 세분화해 네트워크 분리 및 관리
• VNet 피어링: 동일 또는 다른 지역 내 가상 네트워크 간 저지연, 고대역폭 연결 지원
• 인터넷 연결 및 온프레미스 연결 지원 (VPN Gateway, ExpressRoute)

---

 2. 서브넷 (Subnet)

• VNet 내 IP 공간 분할 단위
• 각 서브넷에 특정 역할(예: 웹서버, DB서버 등) 배치 가능
• 서브넷 단위로 별도의 네트워크 보안 정책(NSG) 적용 가능
• 네트워크 트래픽 분리 및 격리 기능 제공

---

 3. 네트워크 보안 (Security)

    3-1. 네트워크 보안 그룹 (NSG, Network Security Group)

• 서브넷 또는 가상 머신 등의 리소스에 적용
• 인바운드 및 아웃바운드 트래픽 필터링
• 포트, 프로토콜, IP 범위 기반 상세 허용/차단 규칙 설정
• 기본적으로 모든 트래픽 차단 후 규칙 추가로 통신 허용

    3-2. Azure Firewall

• 완전관리형 상태 기반 방화벽 서비스
• 다중 구독 및 VNet 간 중앙 집중식 정책 관리
• 애플리케이션 및 네트워크 레벨 트래픽 제어 지원

    3-3. DDoS Protection

• Azure 기본 DDoS 보호 내장
• Standard 플랜은 빠른 탐지와 맞춤형 완화 정책 제공
• 대규모 공격 시 네트워크 자원 보호 

---

4. 네트워크 연결 (Connectivity)

    4-1. VPN Gateway

• 공용 인터넷 기반, 온프레미스와 Azure 간 암호화된 터널 연결
• 정책 기반 및 라우트 기반 VPN 지원

    4-2. ExpressRoute

• 전용 회선을 통해 Azure와 온프레미스 네트워크 연결
• 공용 인터넷 우회, 높은 보안성과 안정성 제공
• 다양한 회선 공급자와 연동 가능

    4-3. Virtual WAN

• 분산된 여러 지사와 클라우드 네트워크를 중앙 집중식 관리
• VPN, ExpressRoute, 지사 연결 통합 관리 솔루션 

---

5. 네트워크 트래픽 관리 및 부하 분산

   5-1. Azure Load Balancer

• 4계층 (TCP/UDP) 부하 분산
• 내부(Internal)와 외부(Internet-facing) 부하 분산 지원
• 빠른 응답 시간과 고가용성 제공

   5-2. Application Gateway

• 7계층 (HTTP/HTTPS) 부하 분산
• 웹 애플리케이션 방화벽(WAF) 기능 포함
• SSL 종료, 쿠키 기반 세션 유지, 경로 기반 라우팅 지원

   5-3. Azure Front Door

• 글로벌 HTTP(S) 부하 분산 및 CDN 역할
• 전 세계 사용자에게 최적화된 콘텐츠 제공
• SSL 오프로드 및 빠른 장애 복구 지원

   5-4. Traffic Manager

• DNS 기반 글로벌 트래픽 라우팅
• 지역별 최적 엔드포인트 선택, 장애 조치(Failover) 지원 

---

6. 프라이빗 연결 기술

   6-1. Private Endpoint / Private Link

• Azure 서비스(스토리지, SQL 등)를 VNet 내 프라이빗 IP로 안전하게 연결
• 인터넷 경유 없이 안전한 리소스 접근 가능

   6-2. 서비스 엔드포인트 (Service Endpoint)

• 특정 Azure 서비스로의 직접 경로 제공
• 서브넷에서 서비스 접근 시 네트워크 경로 확장

---

7. 라우팅 (Routing)

   7-1. 기본 라우팅 테이블

• Azure가 관리하는 기본 경로를 통한 패킷 전달

   7-2. 사용자 정의 라우트 (UDR, User Defined Route)

• 관리자 지정 경로 설정 가능
• 트래픽 흐름 직접 제어 (예: 네트워크 가상 어플라이언스 경유) 

---

8. 네트워크 모니터링 및 진단

• Azure Monitor: 네트워크 및 리소스 성능 모니터링
• Network Watcher: 네트워크 상태 확인, 패킷 캡처, 연결 진단
• Traffic Analytics: 네트워크 트래픽 분석 및 이상 탐지 

---

9. 원격 접속 및 관리 보안

    Azure Bastion

• 퍼블릭 IP 없이 Azure VM에 안전한 RDP/SSH 접속 제공
• 인터넷에 노출되지 않는 안전한 원격 액세스 환경 구현

 

---

 

 

Azure 아키텍처

Azure 아키텍처는 클라우드에서 애플리케이션 및 인프라를 설계하고 구축하는 방식입니다. 온프레미스 인프라를 클라우드로 옮기는 것부터, 클라우드 네이티브 애플리케이션을 개발하는 것까지 다양한 모델을 포함합니다. Azure 아키텍처는 일반적으로 IaaS, PaaS, SaaS로 구분되는 서비스 모델 위에 구축됩니다.

• IaaS (Infrastructure as a Service): 가상 머신(VM), 스토리지, 네트워킹 등 기본 인프라를 제공합니다. 사용자가 운영체제와 애플리케이션을 직접 관리합니다.
• PaaS (Platform as a Service): 운영체제, 미들웨어, 개발 도구 등 애플리케이션 개발에 필요한 플랫폼을 제공합니다. 개발자는 인프라 관리에 신경 쓸 필요 없이 코드 작성에 집중할 수 있습니다.
• SaaS (Software as a Service): 웹 기반 이메일, 오피스 소프트웨어 등 완성된 애플리케이션을 서비스 형태로 제공합니다.

---

Application Gateway 🌐

Azure Application Gateway는 웹 트래픽을 관리하고 보호하는 L7(애플리케이션 계층) 부하 분산 장치입니다. 사용자의 요청을 백엔드 서버(VM, AKS, App Service 등)로 분산시켜 애플리케이션의 가용성과 성능을 향상시킵니다.

• 주요 기능:
  • 부하 분산: 여러 백엔드 서버에 트래픽을 분산하여 서버 과부하를 방지합니다.
  • SSL/TLS 오프로딩: SSL 인증서 처리를 Application Gateway가 대신하여 백엔드 서버의 부하를 줄입니다.
  • 웹 애플리케이션 방화벽(WAF): SQL 주입, XSS(크로스 사이트 스크립팅) 등 웹 공격으로부터 애플리케이션을 보호합니다.
  • URL 기반 라우팅: 요청 URL에 따라 다른 백엔드 서버로 트래픽을 보낼 수 있습니다. 예를 들어, example.com/images는 이미지 서버로, example.com/api는 API 서버로 라우팅합니다.

---

AKS (Azure Kubernetes Service) 📦

AKS는 컨테이너화된 애플리케이션을 관리하기 위한 관리형 쿠버네티스 서비스입니다. 쿠버네티스 클러스터의 복잡한 설치 및 관리를 Azure가 대신해주어, 사용자는 애플리케이션 배포와 운영에만 집중할 수 있습니다.

• 쿠버네티스란?: 컨테이너화된 애플리케이션을 자동으로 배포, 확장, 관리해주는 오픈소스 오케스트레이션 플랫폼입니다.
• AKS의 장점:
  • 관리형 서비스: 마스터 노드(컨트롤 플레인) 관리를 Azure가 담당하므로, 사용자는 워커 노드에만 신경 쓰면 됩니다.
  • 쉬운 확장성: 애플리케이션 트래픽에 따라 노드를 자동으로 확장하거나 축소할 수 있습니다.
  • 높은 가용성: 컨테이너와 애플리케이션의 상태를 지속적으로 모니터링하여 문제가 발생한 컨테이너를 자동으로 재시작합니다.
  • 비용 효율성: 사용한 만큼만 비용을 지불하며, 유휴 노드를 자동으로 축소하여 비용을 절감할 수 있습니다.

 

 

---

문제 1

한 회사는 Azure 단일 리전 내에서 개발 및 운영 환경을 분리하여 구성하려 합니다.

각 환경은 별도의 VNet으로 구성되며, 보안 강화를 위해 두 VNet 간은 개별적으로 세밀한 트래픽 제어와 연결이 필요합니다.

이때 가장 적합한 네트워크 연결 및 보안 구성 방법은 무엇인가?

1. VNet 피어링을 사용해 두 VNet을 연결하고, 두 VNet 모두에 네트워크 보안 그룹(NSG)을 적용한다.
2. 두 VNet 사이에 VPN Gateway를 구성하고, Azure Firewall으로 단일 네트워크 보안 관리한다.
3. ExpressRoute를 이용해 두 VNet을 연결하고, 서비스 엔드포인트로 트래픽 제어한다.
4. Virtual WAN을 활용해 두 VNet을 연결하고 사용자 정의 라우트(UDR)로 트래픽 분리한다.
5. Application Gateway를 VNet 간 트래픽 제어용으로 배포하고 Bastion으로 네트워크 접속 관리한다.

 정답 및 해설

정답: 1번

• 1번: 동일 리전 내 VNet 간 연결은 VNet 피어링이 가장 적합합니다. 저지연, 고대역폭 연결과 함께 서브넷 단위의 NSG 적용으로 세밀한 트래픽 제어가 가능합니다.
• 2번: VPN Gateway는 주로 지역 간 또는 온프레미스 연결용이며, 같은 리전 내 VNet 연결 시 과도한 솔루션입니다.
• 3번: ExpressRoute는 온프레미스-클라우드 전용 회선이며, VNet 간 연결 용도가 아닙니다.
• 4번: Virtual WAN은 복잡한 다지점 네트워크 통합용으로 단일 리전 VNet 연결에는 불필요하고 관리 복잡도를 증가시킵니다.
• 5번: Application Gateway는 7계층 웹 트래픽 부하 분산/방화벽용이고, 네트워크 레벨 연결 관리 용도는 아닙니다.

문제 2

Azure 내 웹 애플리케이션 서비스가 외부 인터넷과 내부 데이터베이스 서버를 접근합니다.

데이터베이스는 인터넷과 완전히 차단되어 있어야 하며, 웹 애플리케이션에서만 접근 가능해야 합니다.

가장 보안적으로 적절한 네트워크 구성 방법은 무엇인가?

1. 데이터베이스 서브넷에 네트워크 보안 그룹(NSG)을 적용하여 웹 애플리케이션 서브넷 IP만 인바운드 허용한다.
2. 데이터베이스에 공개 IP를 할당하지 않고 웹 서버와 같은 서브넷에 배치한다.
3. 데이터베이스 서버에 Private Endpoint를 설정해 인터넷 없이 접근하도록 한다.
4. VPN Gateway를 사용해 데이터베이스에 접근하고, 웹 서버는 인터넷 노출한다.
5. Azure Firewall 앞에 데이터베이스와 웹 서버를 배치하고 모든 통신을 필터링한다.

 정답 및 해설

정답: 1번

• 1번: 데이터베이스 서버가 인터넷에서 완전히 차단되도록 하며, 웹 서버 서브넷 IP만 허용하는 NSG 설정이 가장 기본적이고 효과적인 보안 방법입니다.
• 2번: 같은 서브넷에 웹 서버와 데이터베이스를 두면 네트워크 분리가 되지 않아 보안상 위험합니다.
• 3번: Private Endpoint는 Azure 서비스에 대한 프라이빗 접속용이지, IaaS VM 간 네트워크 격리용은 아닙니다.
• 4번: VPN Gateway는 온프레미스 연결용이며, 내부 VM 간 접근 제어에는 적합하지 않습니다.
• 5번: Azure Firewall 배치는 가능하지만, 이 시나리오에서 NSG만으로도 충분히 관리가 가능해 과도한 솔루션입니다.

문제 3

한 회사는 Azure 내 여러 서브넷에 배치된 가상 머신(VM)에 대해 인바운드 트래픽을 세밀하게 제어하고자 합니다.

각 서브넷마다 서로 다른 접속 허용 포트가 있으며, 기본적으로 모든 트래픽은 차단하고, 필요한 포트만 열어 관리하는 방식을 선호합니다. 이 회사가 적용해야 할 가장 적절한 네트워크 보안 수단은?

1. 네트워크 보안 그룹(NSG)
2. Azure Firewall
3. Application Gateway
4. Traffic Manager
5. VPN Gateway

 

 정답 및 해설

정답: 1번

• 1번: **네트워크 보안 그룹(NSG)**는 서브넷 또는 네트워크 인터페이스 단위로 인바운드/아웃바운드 포트 기반 세밀한 트래픽 제어가 가능한 기본 보안 수단입니다.
• 2번: Azure Firewall은 중앙 집중식 방화벽이지만 서브넷별로 포트별 세밀한 제어는 NSG가 더 직관적입니다.
• 3번: Application Gateway는 웹 트래픽 7계층 부하 분산/방화벽용입니다.
• 4번: Traffic Manager는 DNS 기반 트래픽 라우팅용으로 보안 제어 목적과 다릅니다.
• 5번: VPN Gateway는 암호화된 외부 연결용이며 내부 트래픽 제어용이 아닙니다.