기본 정보

Azure 내의 네트워크는 다양한 Azure 서비스 및 리소스 간의 연결과 통신을 가능하게 하는 중요한 부분으로 작동합니다. Azure의 네트워크 아키텍처는 고도로 확장 가능하고 안전하며 사용자 정의 가능하도록 설계되어 있습니다.

Azure의 핵심은 사용자가 Azure 클라우드 내에서 격리된 네트워크를 생성할 수 있는 **가상 네트워크 (VNet)**를 제공합니다. 이러한 VNet 내에서 가상 머신, 응용 프로그램 및 데이터베이스와 같은 리소스를 안전하게 호스팅하고 관리할 수 있습니다. Azure의 네트워킹은 클라우드 내에서의 통신( Azure 서비스 간)과 외부 네트워크 및 인터넷과의 연결을 지원합니다.

보안은 Azure 네트워킹의 중요한 측면으로, 데이터 보호, 액세스 관리 및 규정 준수를 위한 다양한 도구와 서비스가 제공됩니다. 이러한 보안 조치에는 방화벽, 네트워크 보안 그룹, 암호화 기능이 포함되어 있어 트래픽 및 액세스에 대한 높은 수준의 제어가 가능합니다.

전반적으로 Azure의 네트워킹 기능은 사용자가 특정 응용 프로그램 및 워크로드 요구에 맞는 네트워크 환경을 생성하면서 보안과 신뢰성에 중점을 둔 유연성을 제공하도록 설계되어 있습니다.

가상 네트워크 (VNET) 및 서브넷

Azure의 VNet은 본질적으로 클라우드 내의 자체 네트워크를 나타냅니다. 이는 구독에 전용된 Azure 클라우드의 논리적 격리입니다. VNet을 사용하면 Azure에서 가상 사설 네트워크 (VPN)를 프로비저닝하고 관리할 수 있으며 가상 머신 (VM), 데이터베이스 및 응용 프로그램 서비스와 같은 여러 유형의 Azure 리소스를 호스팅하고 관리할 수 있습니다.

VNet은 IP 주소 범위, 서브넷 생성, 경로 테이블 및 네트워크 게이트웨이를 포함한 네트워크 설정에 대한 완전한 제어를 제공합니다.

서브넷은 VNet 내의 IP 주소 범위입니다. VNet을 여러 서브넷으로 분할하여 조직화 및 보안을 위해 각 서브넷을 사용할 수 있습니다. VNet의 각 서브넷은 네트워크 및 응용 프로그램 아키텍처에 따라 리소스를 격리하고 그룹화하는 데 사용할 수 있습니다.

또한 서브넷을 사용하면 VNet을 하나 이상의 서브 네트워크로 세분화하여 리소스가 사용할 수 있는 IP 주소 범위를 제공할 수 있습니다.

예시

• 10.0.0.0/16 IP 주소 범위를 갖는 MyVNet라는 VNet이 있다고 가정해 보겠습니다. 이 VNet 내에 웹 서버를 호스팅하기 위한 IP 주소 범위가 10.0.0.0/24인 Subnet-1을 생성할 수 있습니다. 또 다른 서브넷인 데이터베이스 서버용으로 사용할 10.0.1.0/24 범위의 Subnet-2를 사용할 수 있습니다. 이러한 세분화를 통해 네트워크 내에서 효율적인 관리 및 보안 제어가 가능합니다.

열거

Azure 계정의 모든 VNet 및 서브넷을 나열하려면 Azure Command-Line Interface (CLI)를 사용할 수 있습니다. 다음은 그 방법입니다:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

네트워크 보안 그룹 (NSG)

Azure에서 **네트워크 보안 그룹 (NSG)**은 Azure 가상 네트워크 (VNet) 내의 Azure 리소스로부터 들어오는 및 나가는 네트워크 트래픽을 필터링하는 주요 기능을 제공합니다. 이는 네트워크 트래픽의 흐름을 세심하게 규제하는 일련의 보안 규칙을 포함합니다.

NSG의 주요 측면은 다음과 같습니다:

• 트래픽 제어: 각 NSG에는 다양한 Azure 리소스와 관련된 들어오는 및 나가는 네트워크 트래픽을 허용하거나 차단하는 데 중요한 역할을 하는 규칙이 포함되어 있습니다.

• 규칙 구성 요소: NSG 내의 규칙은 출발지/도착지 IP 주소, 포트 및 프로토콜과 같은 기준에 따라 트래픽을 필터링하는 매우 구체적입니다. 이러한 구체성은 네트워크 트래픽의 세밀한 관리를 가능하게 합니다.

• 보안 강화: 인가된 트래픽만이 Azure 리소스로 들어오거나 나갈 수 있도록 보장함으로써, NSG는 네트워크 인프라의 보안 포지션을 강화하는 데 중요한 역할을 합니다.

예시

• MyNSG라는 NSG가 VNet 내의 서브넷 또는 특정 가상 머신에 적용된 상황을 상상해보세요. 다음과 같은 규칙을 생성할 수 있습니다:

• 모든 출처에서 웹 서버로의 HTTP 트래픽 (포트 80)을 허용하는 들어오는 규칙.

• 특정 목적지 IP 주소 범위로의 SQL 트래픽 (포트 1433)만을 허용하는 나가는 규칙.

열거

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

Azure 방화벽

Azure 방화벽은 Azure 가상 네트워크 자원을 보호하는 관리되는 클라우드 기반 네트워크 보안 서비스입니다. 내장된 고가용성 및 확장성 기능을 갖춘 완전한 상태 방화벽 서비스입니다.

Azure 방화벽은 NSG보다 더 고급 기능을 제공하며 응용 프로그램 수준 필터링, 네트워크 수준 필터링, 위협 인텔리전스 기반 필터링 및 Azure Monitor와의 통합을 포함합니다. 외부, 내부, 스포크 간, VPN 및 ExpressRoute 트래픽을 필터링할 수 있습니다. 방화벽 규칙은 FQDN (Fully Qualified Domain Name), IP 주소 및 포트를 기반으로 생성할 수 있습니다.

Azure 방화벽과 NSG의 차이점

1. 범위:

• NSG: 서브넷 또는 네트워크 인터페이스 수준에서 작동합니다. 네트워크 인터페이스(NIC), VM 또는 서브넷에서의 내부 및 외부 트래픽의 기본 필터링을 제공하는 것이 목적입니다.

• Azure 방화벽: VNet 수준에서 작동하여 더 넓은 범위의 보호를 제공합니다. 가상 네트워크 자원을 안전하게 보호하고 VNet을 통해 들어오고 나가는 트래픽을 관리하는 데 사용됩니다.

2. 기능:

• NSG: IP 주소, 포트 및 프로토콜을 기반으로 한 기본 필터링 기능을 제공합니다. 응용 프로그램 수준 검사 또는 위협 인텔리전스와 같은 고급 기능을 지원하지 않습니다.

• Azure 방화벽: 응용 프로그램 수준 (레이어 7) 트래픽 필터링, 위협 인텔리전스 기반 필터링, 네트워크 트래픽 필터링 등과 같은 고급 기능을 제공합니다. 또한 여러 공용 IP 주소를 지원합니다.

3. 사용 사례:

• NSG: 기본 네트워크 수준 트래픽 필터링에 적합합니다.

• Azure 방화벽: 응용 프로그램 수준 제어, 로깅 및 위협 인텔리전스가 필요한 더 복잡한 필터링 시나리오에 적합합니다.

4. 관리 및 모니터링:

• NSG: 기본 로깅 및 Azure Monitor와의 통합을 제공합니다.

• Azure 방화벽: 트래픽의 성격과 패턴을 이해하는 데 필수적인 Azure Monitor를 통해 고급 로깅 및 분석 기능을 제공합니다.

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

네트워크 가상 장치 (NVA)

Azure의 네트워크 가상 장치 (NVA)는 가상 네트워크 내에서 네트워크 기능을 수행하는 가상 장치입니다. NVA는 일반적으로 Azure에서 원본으로 제공되지 않는 네트워크 기능이 필요하거나 더 많은 사용자 정의가 필요한 경우에 사용됩니다. 이들은 기본적으로 방화벽, WAN 최적화기 또는 로드 밸런서와 같은 네트워크 응용프로그램이나 서비스를 실행하는 VM입니다.

NVA는 복잡한 라우팅, 보안, 그리고 네트워크 트래픽 관리 작업에 사용됩니다. Azure Marketplace에서 배포할 수 있으며, 여기서 많은 제3자 공급업체가 Azure 환경에 통합할 준비가 된 자사의 장치를 제공합니다.

예시

• 조직은 Azure에 NVA를 배포하여 사용자 정의 방화벽 솔루션을 만들 수 있습니다. 이 NVA는 제3자 방화벽 소프트웨어를 실행할 수 있으며 침입 탐지, 패킷 검사 또는 VPN 연결과 같은 고급 기능을 제공할 수 있습니다. NVA는 트래픽을 검사하고 필터링하여 조직 정책에 따라 강화된 보안 조치가 적용되도록 구성할 수 있습니다.

# Usually NVAs are named or tagged in a way to distinguish them from other VMs
az vm list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# For a specific VM identified as an NVA, list its network interfaces
az vm nic list --vm-name <VMName> --resource-group <ResourceGroupName> --query "[].{id:id}" -o table

Azure Route Tables & 사용자 정의 경로 (UDR)

Azure Route Tables는 Azure Virtual Networks (VNets) 내에서 네트워크 트래픽 라우팅을 제어할 수 있게 해주는 Microsoft Azure의 기능입니다. 이것들은 기본적으로 VNets 내의 서브넷 간, VNets 간 또는 외부 네트워크로 패킷이 전달되는 방식을 정의합니다. 각 라우트 테이블에는 목적지 IP 주소를 기반으로 패킷이 어떻게 라우팅되어야 하는지를 지정하는 라우트라고 알려진 규칙 집합이 포함되어 있습니다.

Azure의 **사용자 정의 경로 (UDR)**는 Azure Route Tables 내에서 생성하는 사용자 정의 경로로, Azure Virtual Networks (VNets) 내부 및 간, 그리고 외부 연결 사이의 네트워크 트래픽 흐름을 제어하는 데 사용됩니다. UDR을 사용하면 Azure의 기본 라우팅 결정을 무시하고 특정 요구 사항에 따라 네트워크 트래픽을 직접 지시할 수 있습니다.

이러한 경로는 가상 애플라이언스를 통해 트래픽을 라우팅해야 하는 경우, 보안이나 정책 준수를 강제해야 하는 특정 시나리오, 또는 온프레미스 네트워크와 통합해야 하는 경우에 특히 유용합니다.

예시

• 한 VNet 내의 서브넷 간 트래픽을 검사하기 위해 네트워크 가상 애플라이언스 (NVA)를 배포했다고 가정해보겠습니다. 한 서브넷에서 다른 서브넷으로의 모든 트래픽을 NVA를 통해 전달하는 UDR을 생성할 수 있습니다. 이 UDR은 트래픽이 목적지에 도달하기 전에 NVA가 보안 목적으로 트래픽을 검사하도록 보장합니다.

열거

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link는 Azure 서비스에 대한 개인 액세스를 가능하게 하는 Azure의 서비스로, Azure 가상 네트워크(VNet)와 서비스 간의 트래픽이 완전히 Microsoft의 Azure 백본 네트워크 내에서 이동하도록 보장합니다. 이는 사실상 해당 서비스를 VNet으로 가져오는 것입니다. 이 설정은 데이터를 공개 인터넷에 노출시키지 않고 보안을 강화합니다.

Private Link는 Azure Storage, Azure SQL Database 및 Private Link를 통해 공유된 사용자 정의 서비스와 같은 다양한 Azure 서비스와 함께 사용할 수 있습니다. 이를 통해 자체 VNet 또는 다른 Azure 구독에서 서비스를 안전하게 사용할 수 있습니다.

예시

• Azure SQL Database에 안전하게 액세스하려는 경우를 상상해보십시오. 일반적으로 이는 공개 인터넷을 통해 이동하는 것을 의미할 수 있습니다. Private Link를 사용하면 VNet 내에서 직접 Azure SQL Database 서비스에 연결하는 개인 엔드포인트를 생성할 수 있습니다. 이 엔드포인트를 통해 데이터베이스는 자체 VNet의 일부인 것처럼 보이며, 개인 IP 주소를 통해 안전하고 개인적인 액세스가 보장됩니다.

열거

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Azure 서비스 엔드포인트

Azure 서비스 엔드포인트는 가상 네트워크의 사설 주소 공간과 식별을 Azure 서비스에 직접 연결하여 확장합니다. 서비스 엔드포인트를 활성화함으로써 VNet의 리소스는 Azure 스토리지 및 Azure SQL Database와 같은 Azure 서비스에 안전하게 연결할 수 있으며 Azure의 백본 네트워크를 통해 이루어집니다. 이를 통해 VNet에서 Azure 서비스로의 트래픽이 Azure 네트워크 내에서 유지되어 더 안전하고 신뢰할 수 있는 경로를 제공합니다.

예시

• 예를 들어, Azure Storage 계정은 기본적으로 공개 인터넷을 통해 접근할 수 있습니다. VNet 내에서 Azure Storage를 위한 서비스 엔드포인트를 활성화함으로써, VNet에서만 스토리지 계정에 액세스할 수 있도록 할 수 있습니다. 그런 다음 스토리지 계정 방화벽을 구성하여 VNet에서만 트래픽을 수락하도록 설정할 수 있습니다.

열거

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

서비스 엔드포인트와 프라이빗 링크의 차이점

마이크로소프트는 문서에서 프라이빗 링크 사용을 권장합니다:\

서비스 엔드포인트:

• VNet에서 Azure 서비스로의 트래픽은 Microsoft Azure 백본 네트워크를 통해 공개 인터넷을 우회합니다.

• 엔드포인트는 Azure 서비스로의 직접 연결이며 VNet 내에서 서비스에 대한 개인 IP를 제공하지 않습니다.

• 서비스 자체는 VNet 외부에서도 공개 엔드포인트를 통해 접근 가능하며, 서비스 방화벽을 구성하여 해당 트래픽을 차단하지 않는 한 VNet 내부에서도 접근 가능합니다.

• 서브넷과 Azure 서비스 간에 일대일 관계가 있습니다.

• 프라이빗 링크보다 비용이 적게 듭니다.

프라이빗 링크:

• 프라이빗 링크는 프라이빗 엔드포인트를 통해 Azure 서비스를 VNet으로 매핑하며, 이는 VNet 내에서 개인 IP 주소를 가진 네트워크 인터페이스입니다.

• 이 개인 IP 주소를 사용하여 Azure 서비스에 액세스하며, 이를 통해 해당 서비스가 네트워크의 일부인 것처럼 보입니다.

• 프라이빗 링크를 통해 연결된 서비스는 VNet 또는 연결된 네트워크에서만 액세스할 수 있으며, 서비스에 대한 공개 인터넷 액세스는 없습니다.

• Azure 서비스 또는 Azure에 호스팅된 자체 서비스, 그리고 다른 사람이 공유하는 서비스에 대한 안전한 연결을 제공합니다.

• 서비스 엔드포인트에서의 서브넷 수준에서의 넓은 액세스 제어와 달리, VNet 내의 프라이빗 엔드포인트를 통해 더 세분화된 액세스 제어를 제공합니다.

요약하면, 서비스 엔드포인트와 프라이빗 링크 모두 Azure 서비스에 대한 안전한 연결을 제공하지만, 프라이빗 링크는 서비스를 공개 인터넷에 노출하지 않고 개인적으로 액세스하도록 보장하여 고립 및 보안 수준을 높입니다. 반면에 서비스 엔드포인트는 VNet 내에서 개인 IP가 필요하지 않은 간단하고 안전한 Azure 서비스 액세스를 위해 설정하기 쉽습니다.

Azure Front Door (AFD) & AFD WAF

Azure Front Door는 글로벌 웹 애플리케이션을 빠르게 전달하기 위한 확장 가능하고 안전한 입구점입니다. 글로벌 로드 밸런싱, 사이트 가속화, SSL 오프로딩 및 웹 애플리케이션 방화벽 (WAF) 기능을 하나의 서비스로 통합합니다. Azure Front Door는 사용자에게 가장 가까운 엣지 위치를 기반으로 지능적인 라우팅을 제공하여 최적의 성능과 신뢰성을 보장합니다. 또한 URL 기반 라우팅, 다중 사이트 호스팅, 세션 어필리티, 응용 프로그램 계층 보안을 제공합니다.

Azure Front Door WAF는 백엔드 코드 수정 없이 웹 애플리케이션을 웹 기반 공격으로부터 보호하도록 설계되었습니다. SQL 인젝션, 크로스 사이트 스크립팅 및 기타 일반적인 공격에 대한 보호를 위해 사용자 정의 규칙 및 관리되는 규칙 세트가 포함되어 있습니다.

예시

• 전 세계적으로 분산된 사용자가 있는 애플리케이션을 상상해보세요. Azure Front Door를 사용하여 사용자 요청을 애플리케이션을 호스팅하는 가장 가까운 지역 데이터 센터로 라우팅하여 지연 시간을 줄이고 사용자 경험을 향상시키며 WAF 기능으로 웹 공격으로부터 방어할 수 있습니다. 특정 지역에서 다운타임이 발생하면 Azure Front Door가 트래픽을 자동으로 다음 최적의 위치로 재라우팅하여 고가용성을 보장합니다.

열거

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway 및 Azure Application Gateway WAF

Azure Application Gateway는 웹 트래픽 로드 밸런서로, 웹 애플리케이션의 트래픽을 관리할 수 있게 해줍니다. 이는 Application Delivery Controller (ADC)에서 레이어 7 로드 밸런싱, SSL 종료 및 웹 애플리케이션 방화벽 (WAF) 기능을 제공합니다. 주요 기능으로는 URL 기반 라우팅, 쿠키 기반 세션 어피니티, SSL 오프로딩이 포함되어 있으며, 글로벌 라우팅 및 경로 기반 라우팅과 같은 복잡한 로드 밸런싱 기능이 필요한 애플리케이션에 중요합니다.

예시

• 여러 하위 도메인을 포함한 전자 상거래 웹사이트가 있다고 가정해보세요. 이 하위 도메인은 사용자 계정 및 결제 처리와 같은 다양한 기능을 가지고 있습니다. Azure Application Gateway는 URL 경로를 기반으로 적절한 웹 서버로 트래픽을 라우팅할 수 있습니다. 예를 들어, example.com/accounts로의 트래픽은 사용자 계정 서비스로, example.com/pay로의 트래픽은 결제 처리 서비스로 보낼 수 있습니다. 그리고 WAF 기능을 사용하여 웹사이트를 공격으로부터 보호할 수 있습니다.

열거

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure 허브, 스포크 및 VNet 피어링

VNet 피어링은 Azure의 네트워킹 기능으로, 서로 다른 가상 네트워크(VNets)를 직접적이고 원활하게 연결할 수 있게 합니다. VNet 피어링을 통해 한 VNet의 리소스는 다른 VNet의 리소스와 사설 IP 주소를 사용하여 통신할 수 있습니다, 마치 같은 네트워크에 있는 것처럼. VNet 피어링은 온프레미스 네트워크와도 사용할 수 있습니다. 이를 위해 사이트 간 VPN이나 Azure ExpressRoute를 설정합니다.

Azure 허브 및 스포크는 Azure에서 사용되는 네트워크 토폴로지로, 네트워크 트래픽을 관리하고 조직화하는 데 사용됩니다. "허브"는 서로 다른 "스포크" 간의 트래픽을 제어하고 라우팅하는 중심 지점입니다. 허브에는 일반적으로 네트워크 가상 애플라이언스(NVAs), Azure VPN 게이트웨이, Azure 방화벽 또는 Azure Bastion과 같은 공유 서비스가 포함됩니다. "스포크"는 작업 부하를 호스팅하고 VNet 피어링을 사용하여 허브에 연결되는 VNets입니다. 이를 통해 다양한 VNets의 여러 작업 부하가 사용할 수 있는 공유 서비스를 활용할 수 있으며, 이 모델은 여러 VNets 간에 사용할 수 있는 공통 서비스를 중앙 집중화함으로써 네트워크 레이아웃을 깔끔하게 유지하고 복잡성을 줄입니다.

예시

• 영업, 인사 및 개발과 같은 별도의 부서가 있는 회사를 상상해보세요. 각각이 자체 VNet(스포크)를 보유합니다. 이러한 VNets는 중앙 데이터베이스, 방화벽 및 인터넷 게이트웨이와 같은 공유 리소스에 액세스해야 합니다. 이러한 리소스는 다른 VNet(허브)에 위치해 있습니다. 허브 및 스포크 모델을 사용하면 각 부서가 허브 VNet을 통해 공유 리소스에 안전하게 연결할 수 있으며, 이를 통해 이러한 리소스를 공개 인터넷에 노출시키지 않고 복잡한 네트워크 구조를 생성할 필요 없이 다양한 연결을 유지할 수 있습니다.

열거

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

사이트 간 VPN

Azure의 사이트 간 VPN을 사용하면 온프레미스 네트워크를 Azure 가상 네트워크(VNet)에 연결하여 Azure 내의 VM과 같은 리소스가 로컬 네트워크에 있는 것처럼 보이도록 할 수 있습니다. 이 연결은 두 네트워크 간의 트래픽을 암호화하는 VPN 게이트웨이를 통해 설정됩니다.

예시

• 뉴욕에 본사를 둔 비즈니스는 가상화된 작업 부하를 호스팅하는 Azure의 VNet에 안전하게 연결해야 하는 온프레미스 데이터 센터를 보유하고 있습니다. 사이트 간 VPN을 설정함으로써 회사는 온프레미스 서버와 Azure VM 간의 암호화된 연결을 보장하여 리소스에 안전하게 액세스할 수 있게 되며, 마치 두 환경이 동일한 로컬 네트워크에 있는 것처럼 작동합니다.

열거

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute는 온프레미스 인프라와 Azure 데이터 센터 간의 개인 전용 고속 연결을 제공하는 서비스입니다. 이 연결은 공용 인터넷을 우회하여 연결성 제공 업체를 통해 이루어지며 일반적인 인터넷 연결보다 신뢰성, 빠른 속도, 낮은 지연 시간 및 더 높은 보안을 제공합니다.

예시

• 다국적 기업은 데이터 양이 많고 고 처리량이 필요하기 때문에 Azure 서비스에 대한 일관된 신뢰할 수 있는 연결이 필요합니다. 회사는 온프레미스 데이터 센터를 Azure에 직접 연결하여 대규모 데이터 전송(일일 백업 및 실시간 데이터 분석과 같은)을 개선된 개인 정보 보호와 속도로 용이하게 할 수 있도록 Azure ExpressRoute를 선택합니다.

열거

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table