Cloud/AZURE
Azure Network Manager - Part 7
지기(ZIGI)
2022. 4. 2. 02:08
Today Keys : network, manager, management, VNET, connectivity, configuration, deploy, security, group
이번 포스팅은 Azure에서 가상 네트워크를 전역적으로 그룹화, 구성, 배포 및 관리할 수 있는 관리 서비스인, Azure Virtual Network Manager의 일곱 번째 포스팅입니다.
일곱 번째 포스팅에서는 Network Manager에 대한 개요와 구성 요소와 특징 등 Network Manager에 대한 전반적인 내용에 대해서 다룹니다. 사실 순서 상으로는 이 포스팅이 제일 먼저여야 할 수 있겠지만, 기존 포스팅을 진행하면서 테스트를 통해서 좀 더 이해를 하면서 정리하면서 Network Manager의 뒷 부분 포스팅에서 다루게 되었습니다. 이후 포스팅은 GA 이후 혹은 그 전에 하게 될 수도 있으나, 얼마 간은 Network Manager에 대한 다음 포스팅은 없을 듯 합니다.
Azure Virtual Network Manager
•가상 네트워크(VNet)을 그룹화하여, 중앙에서 연결(Connectivity) 및 보안 정책을 적용할 수 있는 네트워크 중앙 관리 서비스
•Network Manager에서 관리하는 Network Group은 Global 리전을 포함 할 수 있음.
•Network Manager에서 중앙 관리할 범위(Scope)는 Management Group 단위이며,
Management 내에 속한 Subscription 내에 VNet을 선택하여 적용할 수 있음.
•Network Manager의 관리 범위인 Management Group은 초기 설정 이후에 변경 가능
Network Manager 구성 요소
•Network Groups
- Network Manager에 관리하는 Scope 내의 VNet들을 집합
- Connectivity(연결) 혹은 Security admin policy 적용이 가능한 범위
•Configurations
- VNet 간의 연결(Connectivity)와 보안(Security)에 대한 설정을 정의
- Connectivity는 Mesh방식과 Hub-and-Spoke 방식 지원
- Security는 Admin rules이라는 VNet의 NSG에 적용되는 정책 지원
• Rules
- 출발지/목적지/프로토콜에 대한 허용 혹은 차단 및 항상 허용(AlwaysAllow)에 대한 정의
- 개별 Rule이 적용될 Network Group별로 Rule을 그룹화 시킨 것을 Rule collections라고 함.
- Security Admin Rules에 적용되는 보안 Rule에 대한 집합
Network Manager Hierarchy
• Network Manager를 사용하기 위해서는 Network Manager로 관리 할 범위(Scope)를 정의
• Network Manager로 관리 할 범위는 1개 이상의 Management Group을 지정 가능
• Management Group이 계층적인 구조를 갖고 있기 때문에 Network Manager에서 관리할 범위로 지정된 Management Group에 포함된 VNet 및 하위 Management Group에 속한 VNet이 모두 관리 범위에 포함
•하나의 VNet은 둘 이상의 Network Manager에 속할 수 있기 때문에 서로 다른 Network Manager에서 정의한 정책에 대해서 적용 받을 수 있는 데, 이 경우에 Network Manager의 관리 범위인 Management Group의 계층 구조 중에 더 상위 계층 구조를 관리 범위로 지정한 Network Manager의 정책을 적용 받게 됨.
Network Group Membership
• Static Membership
- 사용자가 직접 Network Group에 속할 VNet 지정하는 방식
•Define dynamic membership
- 사용자가 정의한 조건에 따라서 VNet이 동적으로 연결되는 방식
Connectivity 유형
•Connectivity란?
- Network Group에 속한 VNet 간의 연결 방식
- 하나의 Connectivity Configuration에 다수의 Network Group이 존재 가능.
- Network Group에 속한 VNet 간의 연결하는 방식으로는 Mesh방식과 Hub and Spoke 방식이 있음
- Connectivity 설정 시에, Mesh 방식 구성 혹은 Hub and Spoke 혹은 혼합된 방식 적용 가능.
- Connectivity Configuration 적용 시, 리전 별로 적용이 가능하기 때문에 리전 별로 서로 다른 정책 적용 가능
•Mesh Topology
- Network Group에 속한 모든 VNet 간에 연결된 구성 (Full-mesh)
- 기본 Mesh 설정은 동일 리전 간에만 적용되지만, across region 속성 체크 시에 리전 간에 Mesh 구성
- Mesh로 연결된 VNet 간은 'Connected Group'에 속하며, 라우팅 테이블 Next Hop이 'Connected Group'으로 설정
- Mesh로 연결된 VNet 간에 중복된 네트워크 대역은 존재 할 수 있으나, 중복된 네트워크에 대해서는 통신이 되지 않음.
- 하나의 VNet은 최대 2개의 Mesh 구성에 속할 수 있음.
•Hub and Spoke Topology
- 하나의 Hub VNet을 구성하고, Hub VNet에 Network Group을 Spoke로 지정하는 방식
- Network Group에 속한 VNet은 각 개별 Spoke로 구성
- 기본 값으로는 Spoke에 속하는 Network Group내의 VNet은 독립적이며 상호 간에 통신이 되지 않음
- Spoke에 속하는 Network Group에서 Direct Connectivity 설정 시, 동일 Network Group의 Spoke 간 통신 가능
- Direct Connectivity 설정 시에도 Network Group 내에서 서로 다른 리전 간의 통신은 지원하지 않으나,
Global Mesh 설정을 한 경우에는 Network Group내에서 서로 다른 리전 간의 통신도 가능
- Hub and Spoke에서 서로 다른 Network Group의 Spoke 간의 통신은 지원하지 않음
- Spoke로 등록된 Network Group에서 Hub as Gateway 설정을 한 경우에는,
Hub VNet에 구성된 Express Route Gateway 혹은 VPN Gateway를 사용하여 On-Premises 등과 통신이 가능
- Hub와 Spoke 간의 연결은 VNet Peering으로 구성되며,
Hub VNet과 Spoke내의 VNet 간의 리전이 다른 경우에는 Global Peering으로 연결 가능.