Azure 네트워킹 개요
Azure의 네트워킹 서비스는 클라우드 인프라의 근간을 이루며, 가상 네트워크(VNet) 설계와 온프레미스 연결 방식 선택이 전체 아키텍처의 성능, 보안, 비용에 직접적인 영향을 미칩니다. Azure 네트워킹의 핵심 구성 요소는 Virtual Network(VNet), 서브넷, Network Security Group(NSG), Azure Firewall, Load Balancer, Application Gateway, VPN Gateway, ExpressRoute, Azure CDN 등입니다.
잘 설계된 Azure 네트워크 아키텍처는 Hub-and-Spoke 모델을 기반으로 구성됩니다. 중앙 허브 VNet에 공유 인프라(Azure Firewall, VPN/ExpressRoute 게이트웨이, DNS)를 배치하고, 각 워크로드의 스포크 VNet을 허브에 피어링하는 방식입니다. 이 모델은 네트워크 트래픽을 중앙에서 제어하고, 워크로드 간 보안 경계를 유지하면서 인터넷 출구 트래픽을 허브의 Azure Firewall로 일원화할 수 있습니다.
Azure Virtual Network(VNet) 설계
IP 주소 계획
VNet 설계에서 가장 중요한 첫 단계는 IP 주소 공간(Address Space) 계획입니다. 향후 확장성을 고려해 충분한 IP 범위를 확보하되, 온프레미스 네트워크 및 다른 VNet과 IP 범위가 겹치지 않도록 주의해야 합니다. 겹치는 IP 범위가 있으면 VNet 피어링이나 VPN 연결이 불가능합니다. RFC 1918의 사설 IP 범위(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) 중 하나를 사용하고, 조직 전체의 IP 주소 관리(IPAM) 정책을 수립하는 것이 좋습니다.
서브넷 구성
VNet은 여러 서브넷으로 분리해 네트워크 세그멘테이션을 구현합니다. 일반적으로 웹 계층(DMZ), 애플리케이션 계층, 데이터 계층, 관리 서브넷으로 분리합니다. Azure에는 특수 목적 서브넷이 있어 주의가 필요합니다. AzureBastionSubnet(Azure Bastion 전용), GatewaySubnet(VPN/ExpressRoute 게이트웨이 전용), AzureFirewallSubnet, AzureFirewallManagementSubnet 등입니다. 이 서브넷들은 이름을 정확히 지정해야 하며, NSG 연결 제약이 있을 수 있습니다.
Network Security Group(NSG)과 Azure Firewall
NSG 설계 원칙
NSG는 서브넷 또는 네트워크 인터페이스(NIC) 수준에서 인바운드/아웃바운드 트래픽 규칙을 정의합니다. 규칙은 우선순위(100~4096), 프로토콜(TCP/UDP/ICMP), 소스/대상 주소, 포트, 허용/차단 액션으로 구성됩니다. NSG 설계 시 Default Deny 원칙(기본 모든 트래픽 차단, 필요한 트래픽만 허용)을 적용하고, Application Security Group(ASG)을 활용해 IP 기반 규칙 대신 논리적 그룹 기반 규칙을 작성하면 관리 효율이 높아집니다.
Azure Firewall
Azure Firewall은 VNet 트래픽을 제어하는 완전 관리형 클라우드 방화벽 서비스입니다. NSG가 레이어 4(TCP/UDP 포트) 수준의 패킷 필터링을 제공한다면, Azure Firewall은 레이어 7(FQDN 기반 규칙), IDPS(침입 탐지 및 방어 시스템), TLS 검사, URL 필터링 등 고급 보안 기능을 제공합니다. Azure Firewall Premium SKU는 IDPS 서명 기반 탐지와 TLS 검사를 추가로 지원해 기업급 보안 요구사항을 충족합니다.
온프레미스 연결: VPN Gateway vs ExpressRoute
Azure VPN Gateway
VPN Gateway는 공용 인터넷을 통해 온프레미스 네트워크와 Azure VNet 간에 암호화된 IPsec/IKE VPN 터널을 생성합니다. Site-to-Site VPN은 온프레미스 VPN 장비와 Azure VPN Gateway 간에 상시 연결을 구성합니다. 최대 대역폭은 SKU에 따라 100Mbps(Basic)부터 10Gbps(VpnGw5AZ)까지 다양합니다. Azure VPN Gateway는 Active-Active 구성으로 고가용성을 구현할 수 있으며, BGP(Border Gateway Protocol) 라우팅을 지원합니다. 인터넷 기반 연결이므로 대역폭 보장이 어렵고 지연 시간이 가변적입니다.
Azure ExpressRoute
ExpressRoute는 통신사(ISP)나 Exchange 제공자를 통해 온프레미스와 Azure 간 전용 회선 연결을 제공합니다. 공용 인터넷을 사용하지 않으므로 일관된 지연 시간, 높은 대역폭(50Mbps~100Gbps), 강화된 보안을 제공합니다. ExpressRoute Circuit은 Provider와의 계약으로 구성되며, Azure Portal에서 회로를 생성한 후 Provider에게 서비스 키를 제공해 물리적 연결을 완성합니다. ExpressRoute Global Reach를 사용하면 서로 다른 리전의 ExpressRoute 회로를 연결해 온프레미스 간 트래픽도 Azure 백본을 통해 전달할 수 있습니다.
VPN vs ExpressRoute 선택 기준
VPN Gateway를 선택하는 경우: 예산이 제한적인 경우, 초기 개발/테스트 환경, 재해 복구 보조 연결, 대역폭 요구사항이 크지 않을 때입니다. ExpressRoute를 선택하는 경우: 대량 데이터 전송(빅데이터, 백업/DR), 미션 크리티컬 애플리케이션의 예측 가능한 성능 필요, 금융, 의료 등 규정 준수 요구사항, 지연 시간에 민감한 워크로드입니다. 많은 기업이 ExpressRoute를 주 연결로, VPN Gateway를 장애 대비 백업으로 함께 구성합니다.
Azure Load Balancer와 Application Gateway
Azure Load Balancer(레이어 4)
Azure Load Balancer는 TCP/UDP 레이어 4 로드 밸런싱을 제공합니다. 인터넷 연결 로드 밸런서(공용)와 내부 로드 밸런서(사설) 두 가지 유형이 있습니다. 상태 프로브(Health Probe)로 백엔드 인스턴스의 가용성을 확인하고, 비정상 인스턴스로의 트래픽을 자동으로 차단합니다. VM Scale Set과 결합하면 자동 확장과 로드 밸런싱을 통합 구성할 수 있습니다.
Azure Application Gateway(레이어 7)
Application Gateway는 HTTP/HTTPS 레이어 7 로드 밸런서로, URL 경로 기반 라우팅, 호스트 헤더 기반 라우팅, SSL/TLS 오프로딩, 쿠키 기반 세션 지속성, WebSocket 지원 등 고급 기능을 제공합니다. WAF(Web Application Firewall) SKU를 선택하면 OWASP 규칙 집합을 기반으로 SQL 인젝션, XSS 등 웹 공격을 차단합니다. 마이크로서비스 아키텍처에서 여러 서비스를 단일 진입점으로 라우팅하는 API 게이트웨이 역할로도 활용됩니다.
Azure DNS와 Private DNS
Azure DNS는 Microsoft의 글로벌 인프라를 활용해 DNS 레코드를 호스팅하는 관리형 서비스입니다. 도메인 등록은 지원하지 않고 DNS 호스팅만 제공하므로, 도메인은 별도 등록 기관에서 구매 후 네임서버를 Azure DNS로 변경합니다. Private DNS Zone은 VNet 내부에서만 해석되는 사설 DNS 레코드를 관리합니다. Azure Private Endpoint와 결합해 프라이빗 엔드포인트의 DNS 이름을 사설 IP로 해석하도록 구성하면, Azure 서비스 접근 트래픽이 Microsoft 백본 내에서만 처리되어 인터넷 노출을 차단할 수 있습니다.
마치며
Azure 네트워킹은 클라우드 아키텍처에서 가장 복잡한 영역 중 하나이지만, Hub-and-Spoke 설계 패턴, NSG Default Deny 정책, VPN/ExpressRoute 하이브리드 연결, Application Gateway WAF를 체계적으로 적용하면 안전하고 성능 높은 네트워크 인프라를 구축할 수 있습니다. 네트워크 설계는 초기에 충분히 시간을 투자해야 나중에 재설계로 인한 비용을 줄일 수 있습니다.