Azure의 Red Hat Enterprise Linux에 대한 네트워크 토폴로지 및 연결 고려 사항
이 문서에서는 네트워크 토폴로지 및 연결에 대한 Azure 랜딩 존 디자인 영역의 지침을 기반으로 하는 RHEL(Red Hat Enterprise Linux) 네트워크 고려 사항 및 권장 사항을 설명합니다.
아키텍처
다음 RHEL 아키텍처는 특정 비즈니스 및 기술 요구 사항을 충족하도록 추가로 조정할 수 있는 시작점입니다. 필요에 따라 특정 크기 조정 및 중복성을 사용하여 VM(가상 머신)에 다양한 RHEL 플랫폼 구성 요소 및 역할을 배포할 수 있습니다. 이 예제의 간소화된 네트워크 레이아웃은 아키텍처 원칙을 보여 줍니다. 전체 엔터프라이즈 네트워크를 설명하지는 않습니다.
이 아키텍처의 Visio 파일을 다운로드합니다.
| 요소 | 설명 |
|---|---|
| A | Microsoft 고객 계약 및 청구의 구성 요소 |
| B | Microsoft Entra ID 및 액세스 관리의 구성 요소 |
| C | Azure 관리 그룹의 구성 요소 |
| D | Windows Server Active Directory ID 관리 구독의 구성 요소 |
| E | 네트워크 허브 구독의 구성 요소 |
| F | RHEL 관리 및 ID 구독의 구성 요소 |
| G | Azure 관리 그룹 구독의 구성 요소 |
| H | RHEL 프로덕션 워크로드 구독의 구성 요소 |
| I | 온-프레미스 구성 요소 |
| J | Red Hat Cloud Services |
RHEL 랜딩 존 네트워킹에 대한 디자인 고려 사항
랜딩 존 네트워킹 디자인에 대한 다음 권장 사항을 고려합니다.
단일 지역 또는 다중Region 배포에 허브 및 스포크 네트워크 토폴로지 사용 Azure Virtual WAN Hub 는 추가 기능을 제공하거나 기존 가상 네트워크 허브를 사용할 수 있습니다. 자세한 내용은 Azure 랜딩 존 네트워킹을 참조 하세요.
인프라를 코드로 사용하여 모든 랜딩 존 네트워크 관련 구성 요소에 대한 배포, 구성 관리 및 2일차 작업을 자동화합니다.
모든 지원되는 Azure 서비스에 프라이빗 엔드포인트를 사용하여 보안을 개선합니다. 프라이빗 엔드포인트는 모든 트래픽이 공용 IP 주소가 아닌 프라이빗 네트워킹을 통해 라우팅되도록 합니다.
방화벽 고려 사항
다음 다이어그램은 하이브리드 Azure 지역 RHEL 랜딩 존 아키텍처를 보여줍니다.
| 요소 | 설명 |
|---|---|
| A | Red Hat Management 구독을 통해 포함된 Red Hat Management 가상 네트워크의 구성 요소 |
| B | RHEL 프로덕션 워크로드 구독을 통해 포함된 RHEL 워크로드 가상 네트워크의 구성 요소 |
| C | Red Hat Identity Management 구독을 통해 포함된 ID 관리 가상 네트워크의 구성 요소 |
| D | RHEL 프로덕션 워크로드 구독을 통해 포함된 RHEL 워크로드 가상 네트워크의 구성 요소 |
Virtual WAN 토폴로지의 경우 Azure Firewall을 사용하여 랜딩 존 간에 트래픽을 라우팅하는 것이 좋습니다. Azure Firewall은 트래픽 필터링 및 로깅 기능을 제공합니다.
Azure VPN Gateway 또는 Azure ExpressRoute 게이트웨이는 허브에 대한 하이브리드 연결을 제어합니다. 트래픽을 모니터링하고 제어하려면 허브에서 Azure Firewall 또는 NVA(가상 네트워크 어플라이언스)를 사용합니다.
온-프레미스 방화벽을 사용하여 모든 수신 및 송신 인터넷 트래픽을 보호하고 라우팅할 수 있습니다. 방화벽은 클라우드 기반 리소스에 대한 대기 시간을 도입할 수 있습니다. 수신 및 송신 트래픽을 라우팅하는 방법을 결정하려면 성능 및 보안 요구 사항을 이해합니다.
서브넷 고려 사항
다음 다이어그램에서는 영역 복원력 구성의 관리 및 워크로드 서브넷을 보여 줍니다.
RHEL 랜딩 존에 대한 IP 주소 범위 및 가상 네트워크 크기를 계획할 때 애플리케이션, 데이터베이스 및 스토리지 리소스에 대한 전용 서브넷을 고려합니다.
경계 네트워킹 및 트래픽 보안에 대한 제로 트러스트 기반 접근 방식을 채택합니다. 자세한 내용은 Azure의 네트워크 보안 전략을 참조하세요.
네트워크 보안 그룹 고려 사항
NSG(네트워크 보안 그룹)를 사용하여 플랫폼 전체의 서브넷 및 동부 및 서부 트래픽(랜딩 존 간 트래픽)을 보호합니다. Azure Policy는 모든 서브넷에 대해 이 구성을 기본값으로 설정할 수 있습니다.
NSG 및 애플리케이션 보안 그룹을 사용하여 랜딩 존 내에서 트래픽을 마이크로 분할하고 중앙 NVA를 사용하여 트래픽 흐름을 필터링하지 않습니다.
NSG 흐름 로그를 사용하도록 설정하고 트래픽 분석에 공급 합니다. 감사 기능 및 보안을 최적화하려면 구독의 모든 중요한 가상 네트워크 및 서브넷에서 흐름 로그를 사용하도록 설정합니다.
NSG를 사용하여 랜딩 존 간의 연결을 선택적으로 허용합니다.
애플리케이션 팀은 서브넷 수준 NSG에서 애플리케이션 보안 그룹을 사용하여 랜딩 존 내의 다중 계층 VM을 보호해야 합니다.
조직에서 온-프레미스 위치로 강제 터널링 또는 보급된 기본 경로를 구현하는 경우 가상 네트워크에서 인터넷으로 직접 송신 트래픽을 거부하도록 아웃바운드 NSG 규칙을 통합하는 것이 좋습니다. 이 구성은 BGP(Border Gateway Protocol) 세션이 삭제되면 복원력을 제공합니다. 자세한 내용은 랜딩 존 네트워크 분할 계획을 참조 하세요.
기타 고려 사항
인터넷 및 트래픽 필터링 및 검사를 사용하도록 설정합니다. 인터넷을 사용하도록 설정하고 트래픽을 필터링 및 검사하는 아웃바운드 옵션은 다음과 같습니다.
- 허브 네트워크를 통해 Red Hat Cloud에 대한 아웃바운드 액세스.
- 온-프레미스 인터넷 액세스를 사용하는 온-프레미스 기본 경로입니다.
- Azure Firewall 또는 NVA로 보호되는 Virtual WAN 또는 기존 가상 네트워크 허브입니다.
콘텐츠 및 애플리케이션을 제공합니다. 콘텐츠 및 애플리케이션을 제공하기 위한 인바운드 옵션은 다음과 같습니다.
- L7, TLS(전송 계층 보안) 종료 및 웹 애플리케이션 방화벽을 사용하여 게이트웨이를 Azure 애플리케이션.
- DNAT(동적 네트워크 변환) 및 온-프레미스의 부하 분산 장치.
- Azure Firewall 또는 NVA를 사용하는 Azure Virtual Network 및 다양한 시나리오의 Azure Route Server.
- Azure Firewall을 사용한 Virtual WAN 허브(L4 및 DNAT 사용)
- 다양한 시나리오에서 NVA를 사용하는 Virtual WAN 허브입니다.
온-프레미스 및 Azure 리소스에 대한 도메인 이름 확인을 구성합니다. RHEL 환경은 종종 리소스의 효과적인 이름 확인이 필요한 온-프레미스 및 Azure 리소스를 모두 사용합니다. 다음 권장 사항을 살펴 보십시오.
- Azure는 가상 네트워크 내에서 기본 내부 이름 확인을 제공합니다. 이 시나리오에는 구성이 필요하지 않습니다. 도메인 이름 확인 접미사를 수정하거나 수동 등록을 수행할 수 없습니다. 자세한 내용은 Azure에서 제공하는 이름 확인을 참조하세요.
- 가상 네트워크에서 이름 확인을 위해 RHEL 배포는 Redhat IdM(Identity Management Server) 또는 Azure DNS의 DNS(도메인 이름 시스템) 서비스를 사용하는 경우가 많습니다. 규칙 기반 전달을 제공하려면 Azure 프라이빗 DNS Resolver와 기존 DNS 인프라를 결합합니다.