AZ-700 핵심 #2, Virtual Network(VNet)

Azure 자격증(AZ-700) 대비 네트워크 핵심 개념 요약집의 무료 공개본입니다.

Virtual Network란

• Azure에서 제공하는 사설(Private IP) 네트워크 서비스, 줄여서 VNet이라 부르며 애플리케이션과 서비스를 안전하게 배포하고 실행하기 위한 기초적인 네트워크 인프라
• 사용자는 Virtual Network를 통해 격리된 논리적 네트워크를 생성할 수 있으며, Virtual Netowrk 내부에 리소스를 생성할 수 있음
• Virtual Network에 속한 Azure 리소스가 동일한 Virtual Network, 인터넷, On-premise와 통신하는 것이 가능
  
  • 예를 들어, Virtual Machine는 사설 IP를 보유한 NIC(Network Interface Card)와 연결되어 NIC를 통해 통신
• Virtual Network 내에서 사용되는 IP(Address Space, 주소 공간)는 On-premise와 동일하게 RFC 1918에서 언급하는 IP를 사용할 것을 "권장"하며 대상은 다음과 같음
  
  • 10.0.0.0~10.255.255.255(10/8 접두사)
  • 172.16.0.0~172.31.255.255(172.16/12 접두사)
  • 192.168.0.0~192.168.255.255(192.168/16 접두사)
  • 100.64.0.0~100.127.255.255(100.64/10 접두사)
• 공인 IP를 Virtual Network에 지정하여 사용하는 것 또한 가능하나, Virtual Network가 인터넷에서 액세스할 수 없음
• Virtual Network는 아래 IP(Address Space)을 사용할 수 없음
  
  • 224.0.0.0/4(멀티캐스트)
  • 255.255.255.255/32(브로드캐스트)
  • 127.0.0.0/8(루프백)
  • 169.254.0.0/16(링크 로컬)
  • 168.63.129.16/32(내부 DNS)
• 사용자가 생성하는 Virtual Network는 고유한 Address Space을 가져야 하며, Address Space이 겹치지 않는 한 Virtual Network를 다른 Virtual Network나 On-premise에 연결할 수 있음
• Virtual Network에 속한 모든 리소스는 공인 IP, NAT Gateway와 같은 리소스를 통해 인터넷에 대한 Outbound 통신이 가능
  
  • 여기서 Outbound는 "출발지가 Virtual Network, 목적지가 인터넷인" 방향을 의미
  • Virtual Network에 배포된 리소스에 공인 IP를 설정하거나 NAT Gateway, Load Balancer를 통해 통신 가능
• 공인 IP, NAT Gateway와 같은 명시적 Outbound 액세스가 존재하지 않을 경우, 기본 Outbound 액세스가 제공되며 Outbound 공인 IP가 자동으로 할당되어 Outbound 통신을 수행
  
  • 이 IP는 Microsoft가 소유하며 예고없이 변경될 수 있으므로 Production Workload에 적합하지 않음
  • 2026년 3월 31일 이후 새 Virtual Network는 Private Subnet이 기본 옵션으로 변경되며 인터넷 Outbound 통신 허용이 차단됨
• DNS(Domain Name System)
  
  • Virtual Network는 DNS 기능을 제공하여 Virtual Network 내 Virtual Machine이나 Private Endpoint 등에 도메인 기반 접근을 가능케 함
  • DNS를 제공하는 서버는 2가지 종류가 존재함
  • 기본 제공 DNS : Virtual Network 생성시 Azure가 기본적으로 제공하는 DNS 서버, "168.63.129.16" IP를 사용하여 DNS 서비스를 자동으로 제공
  • 사용자 정의 DNS : 자체 DNS 서버(VM, DNS Private Resolver 등)를 통해 DNS 서비스를 제공하고자 할 경우, Virtual Network에서 사용자 정의 DNS 서버 IP를 설정  
• DHCP(Dynamic Host Configuration Protocol) 
  
  • Virtual Network는 DHCP 기능을 제공하여 Virtual Network 내 리소스에 사설 IP를 자동으로 할당
• IPv6를 사용한 Address Space 할당 가능
  
  • Dual Stack(IPv4 + IPv6 동시 활성화) 기능을 제공
• Virtual Network는 Multicast와 Broadcast를 지원하지 않음
• Virtual Network가 생성된 이후에도 Address Space을 추가, 제거, 수정할 수 있음

 

Virtual Network의 구성요소

• Address Space : Virtual Network에 할당된 IP 주소 범위, 여러 개의 주소 범위를 가질 수 있음
• Subnet : Virtual Network 내에서 IP 주소 범위를 분할하여 리소스를 논리적으로 나눈 그룹
  
  • 각 서브넷은 Virtual Network의 Address Space 내에서 고유한 주소 범위를 가짐
• Network Interface(NIC): Azure 리소스(ex. Virtual Machine)가 Virtual Network 내에서 다른 리소스와 통신할 수 있도록 사설 IP를 보유하는 리소스
• Route Table : Virtual Net 내 리소스의 트래픽이 전달될 수 있는 경로를 정의하며 Azure가 자동으로 적용하는 System Routing 외에도 사용자 정의 Routing을 설정 가능
• Network Security Group(NSG): Subnet 또는 Network Interface(NIC)에서 Inbound / Outbound Traffic을 통제하는 보안 규칙을 설정

 

Virtual Network와의 연결 가능한 서비스

• Virtual Net Peering : 두 개 이상의 Virtual Net을 연결하여 리소스 간의 통신을 허용하는 기능
• Azure Private Link / Private Endpoint : Azure의 PaaS 서비스에 사설 IP를 부여해 Virtual Network(Peering 포함) 혹은 On-premise에서 FQDN(사설 IP를 반환하는)에 접근할 수 있도록 기능을 제공하는 서비스
• Azure Service Endpoint : Virtual Network 내 리소스가 공인 IP로 제공하는 Azure PaaS 서비스에 인터넷을 거치지 않고 접근할 수 있도록 기능하는 서비스
• Azure Bastion : RDP 또는 SSH를 통해 인터넷에서 Virtual Machine에 안전하게 연결할 수 있는 관리형 서비스로 Virtual Network 내에서 생성됨
• Azure DNS : Virtual Network가 리소스에게 DNS 서비스를 제공하기 위해 사용하는 서비스
  
  • 기본 제공 DNS, 사용자 정의 DNS로 나뉨
• Azure Firewall : Virtual Network 내에 흐르는 Inbound / Outbound Traffic을 통제하고 제어하기 위한 서비스
• VPN Gateway : On-premise 네트워크와 Azure Virtual Network 간의 VPN 연결을 제공하는 서비스
  
  • Site-to-Site VPN, Point-to-Site VPN 존재 
• ExpressRoute : 전용 회선을 통해 Azure와 On-premise 네트워크를 연결하는 서비스