반응형
코어 네트워킹 개요
- 서브넷은 전체 가상 네트워크(VNet)을 세분화하며 VNet Gateway, Private Endpoint, Bastion, Firewall(Native) 등의 솔루션에 전용 서브넷을 제공함
- VNet의 Address space 추가를 통해 추가적인 IP 주소를 확보할 수 있음
- 서브넷의 IP는 예약된 주소 5개를 제외한 나머지를 사용할 수 있음
서브넷 생성 및 제거, 리소스 추가
- 서브넷 생성에는 서브넷 이름, 주소 범위(Address range), NAT Gateway, Network Security Group(NSG), Route Table 등을 설정할 수 있음
- Network Security Group(NSG)를 설정하지 않으면 트래픽이 보호되지 않음(#15에서 설명 예정)
- VM 생성시 VNet, Subnet, NSG를 지정할 수 있으며 Network Interface가 별도로 생성됨
- NSG는 Network Interface에 연결됨
같은 서브넷, 다른 서브넷간 리소스의 보안
- 동일한 서브넷에 위치한 두 개의 VM은 서브넷 내 트래픽을 허용하는 기본 NSG 규칙에 따라 통신할 수 있음
- 서브넷에 설정된 NSG의 통신 거부 규칙(사용자 정의) 추가로 상호 통신을 차단할 수 있음
- 다른 서브넷간 VM 통신시, 다른 서브넷이라 하더라도 NSG가 없으면 통신이 보호되지 않고 상호 통신할 수 있음
- 서브넷에 설정된 NSG의 통신 거부 규칙(사용자 정의) 추가로 상호 통신을 차단할 수 있음
서브넷 용도별 설계
- Azure Firewall을 배치하기 위한 서브넷이 필요하며 이를 AzureFirewallsubnet이라 부름
- Azure Firewall은 Internet(Inbound), Outbound(to Internet), On-premise 통신을 모두 통제할 수 있음
- 애플리케이션은 다른 서브넷에 위치해야 하며 모든 트래픽에 대해 방화벽으로 트래픽을 강제로 전달하도록 Route table 설정이 필요
- 방화벽 서브넷을 생성하기 위해 IP 확보가 필요함
- Application Gateway(WAF)는 Outbound(to Internet) 통신을 통제할 수 없으므로 방화벽이 필요함
- Internet inbound 트래픽은 Application Gateway가 처리하고 Outbound 통신은 방화벽이 처리하도록 설계 필요
- Site to site VPN 혹은 ExpressRoute 사용을 위한 서브넷이 필요하며 이를 GatewaySubnet이라 부름
- 종합해보면 Azure Firewall을 위한 서브넷, Application Gateway를 위한 서브넷, VPN(ExpressRoute)를 위한 서브넷, 애플리케이션을 위한 서브넷을 분리하여 사용해야 함
'Azure 자격증 쉽게 공부하기 > Azure Network Engineer Associate(AZ-700)' 카테고리의 다른 글
| AZ-700 기본 #6, Public DNS and Private DNS (0) | 2025.03.27 |
|---|---|
| AZ-700 기본 #4, ExpressRoute (0) | 2025.03.16 |
| AZ-700 기본 #3, Point to site VPN (0) | 2025.03.13 |
| AZ-700 기본 #2, Site to site VPN (0) | 2025.03.07 |
| AZ-700 기본 #1, 클라우드 네트워크 기본 & Virtual Network (0) | 2025.03.05 |
댓글