Azure에서 IaaS 활용하기- Network의이해

김세준 MVP

IaaS 언제사용할까?

클라우드모델

Networking

Storage

Servers

Virtualization

O/S

Middleware

Runtime

Application

Data

Networking

Storage

Servers

Virtualization

O/S

Middleware

Runtime

Application

Data

Networking

Storage

Servers

Virtualization

O/S

Middleware

Runtime

Application

Data

Networking

Storage

Servers

Virtualization

O/S

Middleware

Runtime

Application

Data

직접

관리해야

할

부분

직접

관리해야

할

부분

직접

관리해야

할

부분

공급자

책임

공급자

책임

공급자

책임

On-premise IaaS PaaS SaaS직접

관리해야

할

부분

Networking

Storage

Servers

Virtualization

O/S

Middleware

Runtime

Application

Data

개인적으로개발자여러분이라면...

Networking

Storage

Servers

Virtualization

O/S

Middleware

Runtime

Application

Data

허허자네그럼누가 IaaS를쓰나?

• PaaS는만능이아니다•내가쓰고싶은특정버전을지원하지않는다면?

• OS를조작해야하는코드가들어간다면?

•조금더최적화된서비스를위해 OS설정을변경하고싶다.

• AWS 쓰래요...

IaaS를지배하려면네트워크를이해하자

최근세상에서가장쓸모없는것들

•데이터가없는스마트폰 (심지어 wifi도안됨)

•해외에서가지고다니는스마트폰(로밍x, USIMx)

• Wifi 망가진노트북 (랜포트도없음)

•네트워크연결안된가상머신

•우리가사용하는건언제나 Web Service

네트워크얼마나알고있나요?

• LAN: Local Area Network•근거리통신망이라고도함

• WAN: Wide Area Network•원거리통신망이라고도함

LAN과 WAN

사설 IP로사용할수있는 IP

•인터넷엔지니어링태스크포스 (IETF)가감독한인터넷할당번호기관에서발표한, 개인네트워크에대한범위는다음의 IPv4 주소를예약 (IANA) RFC 1918 출처:wiki

RFC 1918

이름IP 주소범위 주소개수 largest CIDR block (subnet mask) 클래스설명

24-bit block10.0.0.0 –

10.255.255.25516,777,216 10.0.0.0/8 (255.0.0.0) A Class

20-bit block172.16.0.0 –

172.31.255.2551,048,576 172.16.0.0/12 (255.240.0.0) B Class

16-bit block192.168.0.0 –

192.168.255.25565,536 192.168.0.0/16 (255.255.0.0) C Class

CIDR (Classless Inter-Domain Routing)

• IP를표현할때사용하는표기법으로 Subnet Mask와비슷한기능을한다.

CIDR Class Hosts Mask

/32 1/256 C 1 255.255.255.255

/31 1/128 C 2 255.255.255.254

/30 1/64 C 4 255.255.255.252

/29 1/32 C 8 255.255.255.248

/28 1/16 C 16 255.255.255.240

/24 1 C 256 255.255.255.000

/16 256 C, 1 B 65536 255.255.000.000

/8 65536 C, 256B, 1 A 16777216 255.000.000.000

vLAN (Virtual LAN)이란?

•물리적으로연결된 LAN을논리적으로나누는작업

•기본적으로 CIDR값으로구분하여나눈다.

• vLAN을선언하는이유는여러가지이나보통목적에맞게네트워크를쪼갬으로써관리를수월하게하기위함

건물로설명하는 vLAN

10.0.1.0/24

10.0.2.0/24

10.0.3.0/24

10.0.4.0/24

10.0.5.0/24

10.0.6.0/24

10.0.7.0/24

10.0.8.0/24

10.0.0.0/20

vLANLAN

가상네트워크와서브넷

LAN 가상네트워크

vLAN 서브넷

vLAN을 Azure로

10.0.1.0/24

10.0.2.0/24

10.0.3.0/24

10.0.4.0/24

10.0.5.0/24

10.0.6.0/24

10.0.7.0/24

10.0.8.0/24

10.0.0.0/20

서브넷가상네트워크

시연::vNet 구성및네트워크환경

• vNet의구성

서비스부하분산

왜부하분산을해야하나요?

•서버자원의한계

• Application의처리한계

• IP 하나가처리가능한 Port는 0~65535•그중 Port 0~1024는예약된 Port여서사용을권장하지않음

서비스를부하분산하는방법

• DNS를이용한 Load Balancing• DNS Query를이용하여동일한 Domain Name에여러서버연결

• Round Robin 방식으로동작

• Azure Load Balancer• L4 기반의부하분산가능

• IP, Port, Protocol 기반으로부하분산가능

• Application Gateway• L7 기반의부하분산가능

• TLS 인증서로 HTTPS 암호화/쿠키기반세션연결가능

• Web Application Firewall(WAF) 사용/URL기반콘텐츠라우팅

L4? L7? ISO 7 Layer

Layer 1

Layer 2

Layer 3

Layer 4

Layer 5

Layer 6

Layer 7

Azure Load Balancer

Azure Load Balancer

Azure Load Balancer

컴퓨터학과는어딘가요?

503호로가세요.

Application Gateway

Application Gateway

김세준교수님이지금어디서강의하나요?

302호로가세요.

시연::부하분산시연

• DNS Road Balancing

• Azure Load Balancer 구성

• Application Gateway 구성

네트워크간연결은?

vNet간연결은어떻게할까?

• Azure vNet간연결은 vNet Peering으로가능

• vNet간 Peering은명시적으로연결한 vNet끼리만통신가능

• vNet간통신에대해임계값은존재하지않음

vNet Peering

동일지역

vNet A vNet B

계정간 vNet Peering

A계정 B계정

동일지역

지역간 vNet Peering

한국중부 미국서부

On-premise와 vNet의연결

• VPN을이용하여논리적으로 WAN구간보안터널을뚫음• On-premise에 VPN 장비또는 VPN 기능의서버필요

• WAN구간을통하기때문에가용성보장이어려움

• Express Route를이용하여전용선이용•국내 Network 파트너를이용하여작업필요

•전용선대여비용은별도 (\\\\\)

•가용성보장가능

VPN 연결

VPN(보안터널)

Point to Site VPN

•개발자가연결할수있는 VPN

• Azure의 VPN Gateway를통해컴퓨터가직접 vNet과연결

• VPN Agnet로연결

VPN(보안터널)

고도화된 vNet 디자인

•각서비스를 vNet으로격리하고관리자가접근가능한 Hub vNet을이용하여각서비스에연결

•보안적인측면에서우수한아키텍처

CDN(Contents Delivery Network) 이란?

•정적컨텐츠를미리 POP(에지서버)에전달해두어사용자가요청할시원본서버가아닌가까운 POP에서컨텐츠를가져갈수있도록해주는서비스

Azure Network 디자인시고려사항

• Azure Service의 Endpoint는 Public이다.

• vNet은기본적으로 Private IP를가지기에 Private IP로는연결이되지않는다고생각해야한다.

10.0.1.10

52.213.128.x

Azure 가상네트워크 Endpoint