Azure Virtual Network FAQ(질문과 대답)

기본 사항

가상 네트워크란?

가상 네트워크는 Azure Virtual Network 서비스에서 제공하는 클라우드의 고객 네트워크를 표현한 것입니다. 가상 네트워크는 구독 전용 Azure 클라우드를 논리적으로 격리한 것입니다.

가상 네트워크를 사용하여 Azure에서 VPN(가상 사설망)을 프로비저닝하고 관리할 수 있습니다. 원한다면 가상 네트워크를 Azure의 다른 가상 네트워크 또는 온-프레미스 IT 인프라와 연결하여 하이브리드 또는 프레미스 간 솔루션을 만들 수 있습니다.

고객이 만드는 각 가상 네트워크에는 고유한 CIDR 블록이 있습니다. CIDR 블록이 겹치지 않는 한 가상 네트워크를 다른 가상 네트워크 및 온-프레미스 네트워크에 연결할 수 있습니다. 가상 네트워크의 DNS 서버 설정을 제어하고 가상 네트워크를 서브넷으로 세분화할 수도 있습니다.

가상 네트워크를 사용하여 다음을 수행합니다.

• 클라우드에서만 사용할 수 있는 전용 프라이빗 가상 네트워크를 만듭니다. 경우에 따라 솔루션에 대한 크로스-프레미스 구성을 필요로 하지 않습니다. 가상 네트워크를 만들면 가상 네트워크 내의 서비스와 VM(가상 머신)이 클라우드에서 서로 직접 안전하게 통신할 수 있습니다. 솔루션의 일부로 인터넷 통신이 필요한 VM 및 서비스에 대한 엔드포인트 연결을 계속 구성할 수 있습니다.

• 안전하게 데이터 센터를 확장합니다. 가상 네트워크를 사용하면 기존의 S2S(사이트 간) VPN을 만들어 데이터 센터 용량을 안전하게 스케일링할 수 있습니다. S2S VPN은 IPsec를 사용하여 회사 VPN 게이트웨이와 Azure 간의 보안 연결을 제공합니다.

• 하이브리드 클라우드 시나리오를 활성화합니다. 메인프레임 및 Unix 시스템과 같은 온-프레미스 시스템에 클라우드 기반 애플리케이션을 안전하게 연결할 수 있습니다.

시작하려면 어떻게 해야 하나요?

시작하려면 Virtual Network 설명서를 참조하세요. 이 콘텐츠는 모든 가상 네트워크 기능에 대한 개요 및 배포 정보를 제공합니다.

프레미스 간 연결 없이 가상 네트워크를 사용할 수 있나요?

예. 가상 네트워크를 온-프레미스에 연결하지 않고도 사용할 수 있습니다. 예를 들어 Azure 가상 네트워크에서만 Microsoft Windows Server Active Directory 도메인 컨트롤러와 SharePoint 팜을 실행할 수 있습니다.

가상 네트워크 간에 또는 가상 네트워크와 온-프레미스 데이터 센터 간에 WAN 최적화를 수행할 수 있나요?

예. Azure Marketplace를 통해 여러 공급업체의 WAN 최적화 네트워크 가상 어플라이언스를 배포할 수 있습니다.

구성

가상 네트워크를 만드는 데 사용할 도구는 무엇인가요?

다음 도구를 사용하여 가상 네트워크를 만들거나 구성할 수 있습니다.

• Azure Portal
• PowerShell
• Azure CLI
• 네트워크 구성 파일(netcfg는 클래식 가상 네트워크에만 해당)

내 가상 네트워크에서 사용할 수 있는 주소 범위는 무엇인가요?

RFC 1918에 열거되어 있는 다음 주소 범위를 사용하는 것이 좋습니다. IETF는 라우팅 불가능한 비공개 주소 공간에 사용하기 위해 이러한 범위를 따로 떼어 두었습니다.

• 10.0.0.0~10.255.255.255(10/8 접두사)
• 172.16.0.0~172.31.255.255(172.16/12 접두사)
• 192.168.0.0~192.168.255.255(192.168/16 접두사)

Azure에서 개인 IP 주소 공간으로 처리되는 RFC 6598에 예약된 공유 주소 공간을 배포할 수도 있습니다.

• 100.64.0.0~100.127.255.255(100.64/10 접두사)

그 외의 모든 IETF 인식 프라이빗, 라우팅 불가능한 주소 공간을 포함한 다른 주소 공간이 작동할 수도 있지만 원치 않는 부작용이 발생할 수 있습니다.

또한 다음 주소 범위를 추가할 수 없습니다.

• 224.0.0.0/4(멀티캐스트)
• 255.255.255.255/32(브로드캐스트)
• 127.0.0.0/8(루프백)
• 169.254.0.0/16(링크 로컬)
• 168.63.129.16/32(내부 DNS)

가상 네트워크에서 공용 IP 주소를 사용할 수 있나요?

예. 공용 IP 주소 범위에 대한 자세한 내용은 가상 네트워크 만들기를 참조하세요. 공용 IP 주소는 인터넷에서 직접 액세스할 수 없습니다.

내 가상 네트워크의 서브넷 수에 제한이 있나요?

예. 자세한 내용은 네트워킹 제한을 참조하세요. 서브넷 주소 공간은 서로 겹치면 안 됩니다.

이러한 서브넷 내에서 IP 주소를 사용하는데 제한 사항이 있습니까?

예. Azure는 각 서브넷 내에서 처음 4개 주소와 마지막 주소를 합쳐서 총 5개의 IP 주소를 예약합니다.

예를 들어 192.168.1.0/24의 IP 주소 범위에는 다음과 같은 예약된 주소가 있습니다.

• 192.168.1.0: 네트워크 주소입니다.
• 192.168.1.1: Azure가 기본 게이트웨이용으로 예약했습니다.
• 192.168.1.2, 192.168.1.3: Azure가 Azure DNS IP 주소를 가상 네트워크 공간에 매핑하기 위해 예약했습니다.
• 192.168.1.255: 네트워크 브로드캐스트 주소입니다.

가상 네트워크와 서브넷은 얼마나 작고 얼마나 커질 수 있나요?

지원되는 가장 작은 IPv4 서브넷은 /29이며 가장 큰 서브넷은 /2(CIDR 서브넷 정의 사용)입니다. IPv6 서브넷의 크기는 정확히 /64여야 합니다.

가상 네트워크를 사용하여 VLAN을 Azure로 가져올 수 있나요?

아니요. 가상 네트워크는 계층 3 오버레이입니다. Azure는 계층 2 의미 체계를 지원하지 않습니다.

내 가상 네트워크 및 서브넷에서 사용자 지정 라우팅 정책을 지정할 수 있나요?

예. 경로 테이블을 만들어서 서브넷에 연결할 수 있습니다. Azure의 라우팅에 대한 자세한 내용은 사용자 지정 경로를 참조하세요.

서브넷에서 NSG와 UDR을 모두 적용하면 어떻게 되나요?

인바운드 트래픽인 경우 NSG(네트워크 보안 그룹) 인바운드 규칙이 처리됩니다. 아웃바운드 트래픽인 경우 NSG 아웃바운드 규칙이 처리된 후 UDR(사용자 정의 경로) 규칙이 처리됩니다.

NIC와 VM의 서브넷에서 NSG를 적용하면 어떻게 되나요?

네트워크 어댑터(NIC)와 VM의 서브넷 모두에서 NSG를 적용하면:

• 인바운드 트래픽인 경우 서브넷 수준 NSG가 처리된 후 NIC 수준 NSG가 처리됩니다.
• 아웃바운드 트래픽인 경우 NIC 수준 NSG가 처리된 후 서브넷 수준 NSG가 처리됩니다.

가상 네트워크에서 멀티캐스트 또는 브로드캐스트가 지원되나요?

아니요. 멀티캐스트 및 브로드캐스트는 지원되지 않습니다.

가상 네트워크에서 어떤 프로토콜을 사용할 수 있나요?

가상 네트워크에서 TCP, UDP, ESP, AH 및 ICMP TCP/IP 프로토콜을 사용할 수 있습니다.

유니캐스트는 가상 네트워크에서 지원됩니다. 멀티캐스트, 브로드캐스트, IP-in-IP 캡슐화 패킷 및 GRE(Generic Routing Encapsulation) 패킷은 가상 네트워크에서 차단됩니다. 유니캐스트(원본 포트 UDP/68, 대상 포트 UDP/67)를 통해 DHCP(Dynamic Host Configuration Protocol)를 사용할 수 없습니다. UDP 원본 포트 65330은 호스트용으로 예약되어 있습니다.

가상 네트워크에 DHCP 서버를 배포할 수 있나요?

Azure 가상 네트워크는 Azure Virtual Machines에 DHCP 서비스 및 DNS를 제공합니다. 그러나 DHCP 릴레이 에이전트를 통해 온-프레미스 클라이언트에 서비스를 제공하기 위해 Azure VM에 DHCP 서버를 배포할 수도 있습니다.

Azure의 DHCP 서버는 이전에 UDP/67 포트에 대한 트래픽이 Azure에서 제한되었기 때문에 지원되지 않는 것으로 표시되었습니다. 그러나 최근 플랫폼 업데이트는 속도 제한을 제거하여 이 기능을 사용하도록 설정했습니다.

가상 네트워크에서 기본 게이트웨이를 ping할 수 있나요?

아니요. Azure에서 제공하는 기본 게이트웨이는 ping에 응답하지 않습니다. 그러나 가상 네트워크에서 ping을 사용하여 VM 간의 연결을 확인하고 문제를 해결할 수 있습니다.

tracert를 사용하여 연결을 진단할 수 있나요?

예.

가상 네트워크를 만든 후 서브넷을 추가할 수 있나요?

예. 다음 두 조건이 모두 존재하는 한 언제든지 가상 네트워크에 서브넷을 추가할 수 있습니다.

• 서브넷 주소 범위가 다른 서브넷에 포함되지 않습니다.
• 가상 네트워크의 주소 범위에 사용 가능한 공간이 있습니다.

서브넷을 만든 후 내 서브넷의 크기를 수정할 수 있나요?

예. 서브넷에 배포된 VM 또는 서비스가 없는 경우 서브넷을 추가, 제거, 확장 또는 축소할 수 있습니다.

가상 네트워크를 만든 후 수정할 수 있나요?

예. 가상 네트워크에서 사용하는 CIDR 블록을 추가, 제거 및 수정할 수 있습니다.

가상 네트워크에서 서비스를 실행 중인 경우 인터넷에 연결할 수 있나요?

예. 가상 네트워크 내에 배포된 모든 서비스는 인터넷에 아웃바운드로 연결할 수 있습니다. Azure의 아웃바운드 인터넷 연결에 대한 자세한 내용은 아웃바운드 연결에 SNAT(Source Network Address Translation) 사용을 참조하세요.

Azure Resource Manager를 통해 배포된 리소스에 인바운드로 연결하려면 리소스에 공용 IP 주소가 할당되어 있어야 합니다. 자세한 내용은 Azure 공용 IP 주소 만들기, 변경 또는 삭제를 참조하세요.

Azure에 배포된 모든 클라우드 서비스에는 공개적으로 주소를 지정할 수 있는 VIP(가상 IP)가 할당됩니다. 이러한 서비스가 인터넷에서 연결하는 것을 허용하게 하려면 PaaS(Platform as a Service) 역할의 입력 엔드포인트와 가상 머신의 엔드포인트를 정의해야 합니다.

가상 네트워크는 IPv6을 지원합니까?

예. 가상 네트워크는 IPv4 전용 또는 이중 스택(IPv4+IPv6)입니다. 자세한 내용은 Azure 가상 네트워크용 IPv6란?을 참조하세요.

가상 네트워크가 지역을 확장할 수 있나요?

아니요. 가상 네트워크는 단일 지역으로 제한됩니다. 하지만 가상 네트워크는 가용성 영역을 확장합니다. 가용성 영역에 대한 자세한 내용은 Azure 지역 및 가용성 영역이란 무엇인가요?를 참조하세요.

가상 네트워크 피어링을 사용하여 다른 지역의 가상 네트워크를 연결할 수 있습니다. 자세한 내용은 가상 네트워크 피어링을 참조하세요.

Azure에서 한 가상 네트워크를 다른 가상 네트워크에 연결할 수 있나요?

예. 다음 중 하나를 사용하여 한 가상 네트워크를 다른 가상 네트워크에 연결할 수 있습니다.

• 가상 네트워크 피어링. 자세한 내용은 가상 네트워크 피어링을 참조하세요.
• Azure VPN 게이트웨이. 자세한 내용은 네트워크 간 VPN 게이트웨이 연결 구성을 참조하세요.

이름 확인(DNS)

가상 네트워크에 대한 DNS 옵션은 무엇인가요?

Azure 가상 네트워크의 리소스 이름 확인의 의사 결정 테이블을 사용하여 사용 가능한 DNS 옵션을 확인하세요.

가상 네트워크의 DNS 서버를 지정할 수 있나요?

예. 가상 네트워크 설정에서 DNS 서버의 IP 주소를 지정할 수 있습니다. 이 설정은 가상 네트워크에 있는 모든 VM의 기본 DNS 서버로 적용됩니다.

지정할 수 있는 DNS 서버 수는 몇 대입니까?

네트워킹 제한을 참조하세요.

네트워크를 만든 한 후 DNS 서버를 수정할 수 있나요?

예. 언제든지 가상 네트워크에 대한 DNS 서버 목록을 변경할 수 있습니다.

DNS 서버 목록을 변경하는 경우 가상 네트워크의 영향을 받는 모든 VM에서 DHCP 임대 갱신을 수행해야 합니다. 새 DNS 설정은 임대 갱신 후에 적용됩니다. Windows를 실행하는 VM의 경우 VM에서 직접 ipconfig /renew를 입력하여 임대를 갱신할 수 있습니다. 기타 OS는 DHCP 임대 갱신 설명서를 참조하세요.

Azure에서 제공하는 DNS는 무엇이며 가상 네트워크에서 작동하나요?

Azure에서 제공하는 DNS는 Microsoft의 다중 테넌트 DNS 서비스입니다. Azure는 이 서비스에 모든 VM 및 클라우드 서비스 역할 인스턴스를 등록합니다. 이 서비스는 다음을 기준으로 이름 확인을 제공합니다.

• 동일한 클라우드 서비스에 있는 VM 및 역할 인스턴스의 호스트 이름.
• 동일한 가상 네트워크에 있는 VM 및 역할 인스턴스의 FQDN(정규화된 도메인 이름).

DNS에 대한 자세한 내용은 Azure 가상 네트워크의 리소스 이름 확인을 참조하세요.

Azure에서 제공하는 DNS를 통한 테넌트 간 이름 확인은 가상 네트워크의 처음 100개 클라우드 서비스로 제한됩니다. 자체 DNS 서버를 사용하는 경우 이 제한이 적용되지 않습니다.

각 VM 또는 클라우드 서비스의 DNS 설정을 재정의할 수 있나요?

예. 각 VM 또는 클라우드 서비스의 DNS 서버를 설정하여 기본 네트워크 설정을 재정의할 수 있습니다. 그러나 가능한 한 네트워크 차원 DNS를 사용하는 것이 좋습니다.

내 DNS 접미사를 가져올 수 있나요?

아니요. 가상 네트워크의 사용자 지정 DNS 접미사를 지정할 수는 없습니다.

가상 머신 커넥트

가상 네트워크에 VM을 배포할 수 있나요?

예. Resource Manager 배포 모델을 통해 배포된 VM에 연결된 모든 NIC(네트워크 인터페이스)는 가상 네트워크에 연결되어야 합니다. 선택 사항으로, 클래식 배포 모델을 통해 배포된 VM을 가상 네트워크에 연결할 수 있습니다.

VM에 할당할 수 있는 IP 주소 유형은 무엇인가요?

• 개인: 정적 또는 동적 메서드를 통해 각 VM 내의 각 NIC에 할당됩니다. 가상 네트워크의 서브넷 설정에서 지정한 범위 내에서 개인 IP 주소가 할당됩니다.

  클래식 배포 모델을 통해 배포된 리소스는 가상 네트워크에 연결되지 않은 경우에도 개인 IP 주소가 할당됩니다. 할당 메서드의 동작은 Resource Manager를 통해 리소스를 배포했는지 아니면 클래식 배포 모델을 통해 배포했는지에 따라 다릅니다.

  • Resource Manager: 동적 또는 정적 메서드를 통해 할당된 개인 IP 주소는 리소스가 삭제될 때까지 가상 머신(Resource Manager)에 할당된 상태로 유지됩니다. 정적 메서드를 사용하면 할당할 주소를 사용자가 선택하고, 동적 메서드를 사용하면 할당할 주소를 Azure가 선택한다는 차이점이 있습니다.
  • 클래식: 가상 머신(클래식)이 중지(할당 취소)된 이후에 다시 시작될 때 동적 메서드를 통해 할당된 개인 IP 주소가 변경될 수 있습니다. 클래식 배포 모델을 통해 배포된 리소스의 개인 IP 주소가 절대 변하지 않도록 하려면 정적 메서드를 통해 개인 IP 주소를 할당하세요.

• 공용: Azure Resource Manager 배포 모델을 통해 배포된 VM에 연결된 NIC에 선택 사항으로 할당할 수 있습니다. 정적 또는 동적 할당 메서드를 사용하여 주소를 할당할 수 있습니다.

  클래식 배포 모델을 통해 배포된 모든 VM과 Azure Cloud Services 역할 인스턴스는 클라우드 서비스 내에 존재합니다. 클라우드 서비스에는 동적 공용 VIP 주소가 할당됩니다. 원한다면 예약된 IP 주소라고 하는 공용 고정 IP 주소를 VIP로 할당할 수 있습니다.

  클래식 배포 모델을 통해 배포된 개별 VM 또는 Cloud Services 역할 인스턴스에 공용 IP 주소를 할당할 수 있습니다. 이러한 주소를 인스턴스 수준 공용 IP 주소라고 하며 동적으로 할당할 수 있습니다.

나중에 만들 VM의 개인 IP 주소를 예약할 수 있나요?

아니요. 개인 IP 주소는 예약할 수 없습니다. 사용 가능한 개인 IP 주소가 있으면 DHCP 서버는 해당 주소를 VM 또는 역할 인스턴스에 할당됩니다. 이 VM이 개인 IP 주소를 할당하려는 VM일 수도 있고 그렇지 않을 수도 있습니다. 하지만 기존 VM의 개인 IP 주소를 사용 가능한 개인 IP 주소로 변경할 수 있습니다.

가상 네트워크에 있는 VM의 개인 IP 주소가 변하나요?

경우에 따라 다릅니다. Resource Manager를 사용하여 VM을 배포한 경우 주소 할당에 정적 할당 메서드를 사용했든 동적 할당 메서드를 사용했든 상관없이 IP 주소가 변하지 않습니다. 클래식 배포 모델을 사용하여 VM을 배포한 경우 중지(할당 취소) 상태인 VM을 시작할 때 동적 IP 주소가 변할 수 있습니다.

VM을 삭제하면 두 배포 모델 중 하나를 통해 배포된 VM의 주소가 해제됩니다

VM 운영 체제 내의 NIC에 IP 주소를 수동으로 할당할 수 있나요?

예. 하지만 가상 머신에 여러 IP 주소를 할당하는 경우처럼 꼭 필요한 경우 외에는 권장하지 않습니다. 자세한 내용은 가상 머신에 여러 IP 주소 할당을 참조하세요.

VM에 연결된 Azure NIC에 할당된 IP 주소가 바뀌고 VM 운영 체제 내의 IP 주소가 다르면 VM에 대한 연결이 끊어집니다.

클라우드 서비스 배포 슬롯을 중지하거나 운영 체제 내에서 VM을 종료하면 IP 주소는 어떻게 되나요?

아무 일도 일어나지 않습니다. IP 주소(공용 VIP, 공용 및 개인)는 클라우드 서비스 배포 슬롯 또는 VM에 할당된 상태로 유지됩니다.

VM을 다시 배포하지 않고 가상 네트워크의 한 서브넷에서 다른 서브넷으로 이동할 수 있나요?

예. 다른 서브넷으로 VM 또는 역할 인스턴스 이동 문서에서 자세한 정보를 확인할 수 있습니다.

내 VM에 대한 정적 MAC 주소를 구성할 수 있나요?

아니요. MAC 주소를 정적으로 구성할 수 없습니다.

MAC 주소가 만들어진 후 VM에서 동일하게 유지되나요?

예. MAC 주소는 삭제될 때까지 Resource Manager 또는 클래식 배포 모델을 통해 배포된 VM에서 동일하게 유지됩니다.

이전에는 VM을 중지(할당 취소)하면 MAC 주소가 해제되었습니다. 하지만 이제는 VM이 할당 취소된 상태일 때 MAC 주소를 유지합니다. MAC 주소는 다음 작업 중 하나를 수행할 때까지 네트워크 어댑터에 할당된 상태로 유지됩니다.

• 네트워크 어댑터를 삭제합니다.
• 기본 네트워크 어댑터의 기본 IP 구성에 할당된 개인 IP 주소를 변경합니다.

가상 네트워크의 VM에서 인터넷에 연결할 수 있나요?

예. 가상 네트워크 내에 배포된 모든 VM과 Cloud Services 역할 인스턴스는 인터넷에 연결할 수 있습니다.

가상 네트워크에 연결하는 Azure 서비스

가상 네트워크에서 Web Apps를 사용할 수 있나요?

예. App Service Environment를 사용하여 가상 네트워크 내에서 Azure App Service의 Web Apps 기능을 배포할 수 있습니다. 그러면 다음을 수행할 수 있습니다.

• 가상 네트워크 통합을 사용하여 앱의 백 엔드를 가상 네트워크에 연결합니다.
• 서비스 엔드포인트를 사용하여 앱의 인바운드 트래픽을 잠급니다.

자세한 내용은 다음 문서를 참조하세요.

• App Service 네트워킹 기능
• App Service Environment 사용
• Azure 가상 네트워크에 앱 통합
• Azure App Service 액세스 제한 설정

가상 네트워크에서 웹 및 작업자 역할(PaaS)로 Cloud Services를 배포할 수 있나요?

예. 원한다면 가상 네트워크 내에서 Cloud Services 역할 인스턴스를 배포할 수 있습니다. 배포하려면 서비스 구성의 네트워크 구성 섹션에서 가상 네트워크 이름과 역할/서브넷 매핑을 지정해야 합니다. 이진 파일을 업데이트할 필요가 없습니다.

가상 머신 확장 집합을 가상 네트워크에 연결할 수 있나요?

예. 가상 머신 확장 집합을 가상 네트워크에 연결해야 합니다.

가상 네트워크에 리소스를 배포할 수 있는 Azure 서비스 전체 목록이 있나요?

예. 자세한 내용은 가상 네트워크에 전용 Azure 서비스 배포를 참조하세요.

가상 네트워크에서 Azure PaaS 리소스에 대한 액세스를 제한하려면 어떻게 해야 하나요?

Azure PaaS 서비스(예: Azure Storage 및 Azure SQL Database)를 통해 배포된 리소스는 가상 네트워크 서비스 엔드포인트 또는 Azure Private Link를 사용하여 가상 네트워크에 대한 네트워크 액세스를 제한할 수 있습니다. 자세한 내용은 가상 네트워크 서비스 엔드포인트 및 Azure Private Link란?을 참조하세요.

내 서비스를 가상 네트워크 내/외부로 이동할 수 있나요?

아니요. 서비스를 가상 네트워크 내부 및 외부로 이동할 수 없습니다. 리소스를 다른 가상 네트워크로 옮기려면 리소스를 삭제하고 다시 배포해야 합니다.

보안

가상 네트워크에 대한 보안 모델은 무엇인가요?

가상 네트워크는 서로 격리되며, Azure 인프라에 호스트되는 다른 서비스와도 격리됩니다. 가상 네트워크는 신뢰 경계입니다.

인바운드 또는 아웃바운드 트래픽 흐름을 가상 네트워크에 연결된 리소스로 제한할 수 있나요?

예. 가상 네트워크 내의 개별 서브넷, 가상 네트워크에 연결된NIC 또는 둘 모두에 네트워크 보안 그룹을 적용할 수 있습니다.

가상 네트워크에 연결된 리소스 간에 방화벽을 구현할 수 있나요?

예. Azure Marketplace를 통해 여러 공급업체의 방화벽 네트워크 가상 어플라이언스를 배포할 수 있습니다.

가상 네트워크 보안에 대한 정보가 있나요?

예. Azure 네트워크 보안 개요를 참조하세요.

가상 네트워크는 고객 데이터를 저장하나요?

아니요. 가상 네트워크는 고객 데이터를 저장하지 않습니다.

전체 구독에 대한 FlowTimeoutInMinutes 속성을 설정할 수 있나요?

아니요. 가상 네트워크에서 FlowTimeoutInMinutes 속성을 설정해야 합니다. 다음은 더 큰 구독에서 이 속성을 자동으로 설정하는 데 도움이 될 만한 코드입니다.

$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be 4 to 30 minutes (inclusive) to enable tracking, or null to disable tracking. 
ForEach ($vnet in $Allvnet)
{
    $vnet.FlowTimeoutInMinutes = $time
    $vnet | Set-AzVirtualNetwork
}

API, 스키마 및 도구

코드로 가상 네트워크를 관리할 수 있나요?

예. Azure Resource Manager 및 클래식 배포 모델에서 가상 네트워크에 REST API를 사용할 수 있습니다.

가상 네트워크에 대한 도구 지원이 있나요?

예. 사용에 대해 자세히 알아보세요.

• Azure Resource Manager 및 클래식 배포 모델을 통해 가상 네트워크를 배포하는 Azure Portal
• Resource Manager 배포 모델을 통해 배포된 가상 네트워크를 관리하는 PowerShell
• Resource Manager 및 클래식 배포 모델을 통해 배포된 가상 네트워크를 배포하고 관리하는 Azure CLI 또는 Azure 클래식 CLI

가상 네트워크 피어링

가상 네트워크 피어링이란?

가상 네트워크 피어링을 통해 가상 네트워크에 연결할 수 있습니다. 가상 네트워크 간의 피어링 연결을 사용하면 IPv4 주소를 통해 비공개로 가상 네트워크 간의 트래픽을 라우팅할 수 있습니다.

피어링된 가상 네트워크의 가상 머신은 동일한 네트워크에 있는 것처럼 서로 통신할 수 있습니다. 이러한 가상 네트워크는 동일한 지역에 있어도 되고 서로 다른 지역(글로벌 가상 네트워크 피어링이라고도 함)에 있어도 됩니다.

Azure 구독 간에 가상 네트워크 피어링 연결을 만들 수도 있습니다.

다른 지역의 가상 네트워크에 피어링 연결을 만들 수 있나요?

예. 글로벌 가상 네트워크 피어링을 사용하면 다른 지역의 가상 네트워크에 피어링할 수 있습니다. 글로벌 가상 네트워크 피어링은 모든 Azure 공용 지역, 중국 클라우드 지역 및 정부 클라우드 지역에서 사용할 수 있습니다. Azure 공용 지역에서 국가별 클라우드 지역으로 전역적으로 피어링할 수 없습니다.

글로벌 가상 네트워크 피어링 및 부하 분산 장치와 관련된 제약 조건은 무엇인가요?

두 지역의 두 가상 네트워크가 글로벌 가상 네트워크 피어링을 통해 피어링되는 경우 부하 분산 장치의 프런트 엔드 IP를 통해 기본 부하 분산 장치 뒤에 있는 리소스에 연결할 수 없습니다. 표준 부하 분산 장치에는 이 제한이 없습니다.

다음 리소스는 기본 부하 분산 장치를 사용할 수 있습니다. 즉, 글로벌 가상 네트워크 피어링을 사용하여 부하 분산 장치의 프런트 엔드 IP를 통해 연결할 수 없습니다. 하지만 허용되는 경우 글로벌 가상 네트워크 피어링을 사용하여 개인 가상 네트워크 IP를 통해 직접 리소스에 연결할 수 있습니다.

• 기본 부하 분산 장치 뒤에 있는 VM
• 기본 부하 분산 장치를 사용하는 가상 머신 확장 집합
• Azure Cache for Redis
• Azure Application Gateway v1
• Azure Service Fabric
• Azure API Management stv1
• Microsoft Entra Domain Services
• Azure Logic Apps
• Azure HDInsight
• Azure Batch
• App Service Environment v1 및 v2

Azure ExpressRoute 또는 네트워크 간 연결을 사용하여 가상 네트워크 게이트웨이를 통해 이러한 리소스에 연결할 수 있습니다.

가상 네트워크가 다른 Microsoft Entra 테넌트의 구독에 속하는 경우 가상 네트워크 피어링을 사용할 수 있나요?

예. 구독이 다른 Microsoft Entra 테넌트에 속하는 경우 가상 네트워크 피어링(로컬 또는 전역)을 설정할 수 있습니다. Azure Portal, PowerShell 또는 Azure CLI를 통해 설정하면 됩니다.

가상 네트워크 피어링 연결이 [시작됨] 상태입니다. 연결할 수 없는 이유는 무엇인가요?

피어링 연결이 시작됨 상태이면 링크를 하나만 만든 것입니다. 성공적으로 연결을 설정하려면 양방향 링크를 만들어야 합니다.

예를 들어 VNetA를 VNetB에 피어링하려면 VNetA에서 VNetB로의 링크와 VNetB에서 VNetA로의 링크를 만들어야 합니다. 두 연결을 만들면 상태가 연결됨으로 바뀝니다.

가상 네트워크 피어링 연결이 [연결 끊김] 상태입니다. 피어링 연결을 만들 수 없는 이유는 무엇인가요?

가상 네트워크 피어링 연결이 연결 끊김 상태이면 만든 링크 중 하나가 삭제된 것입니다. 피어링 연결을 다시 설정하려면 나머지 링크를 삭제하고 둘 다 다시 만들어야 합니다.

가상 네트워크를 다른 구독에 있는 가상 네트워크와 피어링할 수 있나요?

예. 구독 및 지역 간에 가상 네트워크를 피어링할 수 있습니다.

주소 범위가 일치하거나 겹치는 두 가상 네트워크를 피어링할 수 있나요?

아니요. 주소 공간이 겹치는 경우 가상 네트워크 피어링을 사용할 수 없습니다.

두 피어링에서 [원격 게이트웨이 사용] 옵션을 사용하도록 설정된 두 가상 네트워크에 가상 네트워크를 피어링할 수 있나요?

아니요. 두 가상 네트워크 중 하나에 대한 피어링에만 원격 게이트웨이 사용 옵션을 사용하도록 설정할 수 있습니다.

가상 네트워크 피어링 링크 비용은 얼마인가요?

가상 네트워크 피어링 연결을 만들 때에는 비용이 발생하지 않습니다. 피어링 연결을 통한 데이터 전송 요금이 청구됩니다. 자세한 내용은 Azure Virtual Network 가격 책정 페이지를 참조하세요.

가상 네트워크 피어링 트래픽이 암호화되나요?

Azure 트래픽이 (Microsoft가 직접 또는 Microsoft 대리인이 대신 제어하지 않는 물리적 경계 외부의) 데이터 센터 간에 이동할 때, 기본 네트워크 하드웨어에서 MACsec 데이터 링크 계층 암호화를 사용합니다. 이 암호화는 가상 네트워크 피어링 트래픽에 적용됩니다.

내 피어링 연결이 연결이 끊어진 상태인 이유는 무엇인가요?

가상 네트워크 피어링 링크 중 하나가 삭제되면 가상 네트워크 피어링 연결이 연결 끊김 상태로 전환됩니다. 피어링 연결을 다시 설정하려면 두 링크를 모두 삭제해야 합니다.

VNetA를 VNetB에 피어하고 VNetB를 VNetC에 피어하는 경우 VNetA 및 VNetC가 피어되는 것을 의미하나요?

아니요. 전이적 피어링이 지원되지 않습니다. VNetA를 VNetC에 수동으로 피어링해야 합니다.

피어링 연결에 대한 대역폭 제한이 있나요?

아니요. 가상 네트워크 피어링은 로컬이든 글로벌이든 대역폭 제한이 없습니다. 대역폭은 VM 또는 컴퓨팅 리소스에 의해서만 제한됩니다.

가상 네트워크 피어링 문제를 해결하려면 어떻게 해야 하나요?

문제 해결 가이드를 참조하세요.

가상 네트워크 TAP

가상 네트워크 TAP에 사용할 수 있는 Azure 지역은 무엇입니까?

가상 네트워크 TAP(터미널 액세스 지점)의 미리 보기는 모든 Azure 지역에서 사용할 수 있습니다. 모니터링되는 네트워크 어댑터, 가상 네트워크 TAP 리소스, 수집기 또는 분석 솔루션을 동일한 지역에 배포해야 합니다.

가상 네트워크 TAP는 미러링된 패킷에서 필터링 기능을 지원하나요?

가상 네트워크 TAP 미리 보기에서는 필터링 기능이 지원되지 않습니다. 네트워크 어댑터에 TAP 구성을 추가하면 네트워크 어댑터의 모든 송수신 트래픽 전체 복사본이 TAP 대상으로 스트리밍됩니다.

모니터링되는 네트워크 어댑터에 여러 TAP 구성을 추가할 수 있나요?

모니터링되는 네트워크 어댑터에서는 한 가지 TAP 구성만 허용됩니다. TAP 트래픽의 여러 복사본을 선택한 분석 도구로 스트리밍하는 기능은 개별 파트너 솔루션 에 문의하세요.

동일한 가상 네트워크 TAP 리소스는 여러 가상 네트워크의 모니터링되는 네트워크 어댑터에서 트래픽을 집계할 수 있나요?

예. 가상 네트워크 TAP 리소스를 사용하여 동일한 구독 또는 다른 구독의 피어링된 가상 네트워크의 모니터링되는 네트워크 어댑터에서 미러링된 트래픽을 집계할 수 있습니다.

가상 네트워크 TAP 리소스 및 대상 부하 분산 장치 또는 대상 네트워크 어댑터는 동일한 구독에 있어야 합니다. 모든 구독은 동일한 Microsoft Entra 테넌트에 속해야 합니다.

네트워크 어댑터에서 가상 네트워크 TAP 구성을 사용하도록 설정하는 경우 프로덕션 트래픽에 대한 성능 고려 사항이 있나요?

가상 네트워크 TAP은 미리 보기 상태에 있습니다. 미리 보기 중에는 서비스 수준 계약이 없습니다. 프로덕션 워크로드를 위한 기능을 사용하면 안 됩니다.

TAP 구성을 통해 가상 머신 네트워크 어댑터를 사용하도록 설정하는 경우 프로덕션 트래픽을 보내기 위해 가상 머신에 할당된 Azure 호스트의 동일한 리소스는 미러링 함수를 수행하고 미러링된 패킷을 보내는 데 사용됩니다. 올바른 Linux 또는 Windows 가상 머신 크기를 선택하여 프로덕션 트래픽 및 미러 트래픽을 보내기 위해 가상 머신에 충분한 리소스를 사용할 수 있는지 확인합니다.

Linux 또는 Windows용 가속 네트워킹이 가상 네트워크 TAP에서 지원되는가요?

Linux 또는 Windows에 가속화된 네트워킹을 사용하도록 설정된 가상 머신에 연결된 네트워크 어댑터에서 TAP 구성을 추가할 수 있습니다. 하지만 현재는 Azure 가속화된 네트워킹이 트래픽 미러링에 대한 오프로드를 지원하지 않으므로 TAP 구성을 추가하면 가상 머신의 성능과 대기 시간에 영향을 미칩니다.

가상 네트워크 서비스 엔드포인트

Azure 서비스에 서비스 엔드포인트를 설정하는 올바른 작업 시퀀스는 무엇인가요?

서비스 엔드포인트를 통해 Azure 서비스 리소스를 보호하는 두 가지 단계가 있습니다.

1. Azure 서비스에 대한 서비스 엔드포인트를 켭니다.
2. Azure 서비스에서 가상 네트워크 ACL(액세스 제어 목록)을 설정합니다.

첫 번째 단계는 네트워크 쪽 작업이고, 두 번째 단계는 서비스 리소스 쪽 작업입니다. 관리자 역할에 부여된 Azure RBAC(역할 기반 액세스 제어) 권한에 따라 동일한 관리자가 단계를 수행할 수도 있고 다른 관리자가 단계를 수행할 수도 있습니다.

Azure 서비스 쪽에서 가상 네트워크 ACL을 설정하기 전에 가상 네트워크에 대한 서비스 엔드포인트를 켜는 것이 좋습니다. 가상 네트워크 서비스 엔드포인트를 설정하려면 이전 시퀀스의 단계를 수행해야 합니다.

특정 서비스(예: Azure SQL 및 Azure Cosmos DB)는 IgnoreMissingVnetServiceEndpoint 플래그를 통해 이전 시퀀스에 대한 예외를 허용합니다. 플래그를 True로 설정한 후에는 Azure 서비스 쪽에서 가상 네트워크 ACL을 설정한 다음, 네트워크 쪽에서 서비스 엔드포인트를 켤 수 있습니다. Azure 서비스는 Azure 서비스에서 특정 IP 방화벽이 구성되었을 때 고객을 돕기 위해 이 플래그를 제공합니다.

네트워크 측에서 서비스 엔드포인트를 켜면 원본 IP가 공용 IPv4 주소에서 개인 주소로 변경되므로 연결이 끊어질 수 있습니다. 네트워크 쪽에서 서비스 엔드포인트를 켜기 전에 Azure 서비스 쪽에서 가상 네트워크 ACL을 설정하면 연결 끊김을 방지할 수 있습니다.

모든 Azure 서비스는 고객이 제공하는 Azure 가상 네트워크에 상주하나요? 가상 네트워크 서비스 엔드포인트는 Azure 서비스에서 어떻게 작동하나요?

모든 Azure 서비스가 고객의 가상 네트워크에 상주하는 것은 아닙니다. 대부분의 Azure 데이터 서비스(예: Azure Storage, Azure SQL, Azure Cosmos DB)는 공용 IP 주소를 통해 액세스할 수 있는 다중 테넌트 서비스입니다. 자세한 내용은 가상 네트워크에 전용 Azure 서비스 배포를 참조하세요.

네트워크 쪽에서 가상 네트워크 서비스 엔드포인트를 켜고 Azure 서비스 쪽에서 적절한 가상 네트워크 ACL을 설정하면 허용되는 가상 네트워크 및 서브넷에서 Azure 서비스에 대한 액세스가 제한됩니다.

가상 네트워크 서비스 엔드포인트는 어떻게 보안을 제공하나요?

가상 네트워크 서비스 엔드포인트는 Azure 서비스의 액세스를 허용되는 가상 네트워크 및 서브넷으로 제한합니다. 이러한 방식으로 Azure 서비스 트래픽의 네트워크 수준 보안과 격리를 제공합니다.

가상 네트워크 서비스 엔드포인트를 사용하는 모든 트래픽이 Microsoft 백본을 통해 흐르기 때문에 공용 인터넷으로부터 또 다른 격리 계층을 제공합니다. 또한 고객은 Azure 서비스 리소스에 대한 공용 인터넷 액세스를 완전히 제거하고 IP 방화벽과 가상 네트워크 ACL 조합을 통과하는 트래픽만 허용하도록 선택할 수 있습니다. 인터넷 액세스를 제거하면 Azure 서비스 리소스를 무단 액세스로부터 보호하는 데 도움이 됩니다.

가상 네트워크 서비스 엔드포인트는 가상 네트워크 리소스를 보호하나요 아니면 Azure 서비스 리소스를 보호하나요?

가상 네트워크 서비스 엔드포인트는 Azure 서비스 리소스 보호에 도움이 됩니다. 가상 네트워크 리소스는 네트워크 보안 그룹을 통해 보호됩니다.

가상 네트워크 서비스 엔드포인트를 사용하려면 비용이 드나요?

아니요. 가상 네트워크 서비스 엔드포인트를 사용하는 데 드는 추가 비용은 없습니다.

가상 네트워크와 Azure 서비스 리소스가 서로 다른 구독에 속하는 경우 가상 네트워크 서비스 엔드포인트를 켜고 가상 네트워크 ACL을 설정할 수 있나요?

예, 가능합니다. 가상 네트워크와 Azure 서비스 리소스가 동일한 구독에 있어도 되고 서로 다른 구독에 있어도 됩니다. 유일한 요구 사항은 가상 네트워크와 Azure 서비스 리소스가 동일한 Microsoft Entra 테넌트에 있어야 한다는 것입니다.

가상 네트워크와 Azure 서비스 리소스가 서로 다른 Microsoft Entra 테넌트에 속하는 경우 가상 네트워크 서비스 엔드포인트를 켜고 가상 네트워크 ACL을 설정할 수 있나요?

예, Azureob Storage 및 Azure Key Vault에 서비스 엔드포인트를 사용한다면 설정할 수 있습니다. 다른 서비스의 경우 가상 네트워크 서비스 엔드포인트와 가상 네트워크 ACL이 Microsoft Entra 테넌트에서 지원되지 않습니다.

Azure VPN(가상 네트워크 게이트웨이) 또는 ExpressRoute 게이트웨이를 통해 연결된 온-프레미스 디바이스의 IP 주소가 가상 네트워크 서비스 엔드포인트를 통해 Azure PaaS 서비스에 액세스할 수 있나요?

기본적으로 가상 네트워크로 보호되는 Azure 서비스 리소스는 온-프레미스 네트워크에서 연결할 수 없습니다. 온-프레미스의 트래픽을 허용하려면 온-프레미스 또는 ExpressRoute의 공용(일반적으로 NAT) IP 주소도 허용해야 합니다. Azure 서비스 리소스의 IP 방화벽 구성을 통해 이러한 IP 주소를 추가할 수 있습니다.

가상 네트워크 서비스 엔드포인트를 사용하여 한 가상 네트워크 또는 여러 가상 네트워크의 여러 서브넷에 대한 Azure 서비스를 보호할 수 있나요?

한 가상 네트워크 또는 여러 가상 네트워크의 여러 서브넷에 대한 Azure 서비스를 보호하려면 각 서브넷의 네트워크 쪽에서 독립적으로 서비스 엔드포인트를 사용하도록 설정해야 합니다. 그 후 Azure 서비스 쪽에서 적절한 가상 네트워크 ACL을 설정하여 모든 서브넷에 대한 Azure 서비스 리소스를 보호합니다.

가상 네트워크에서 Azure 서비스로 전송되는 아웃바운드 트래픽을 필터링하고 서비스 엔드포인트를 계속 사용하려면 어떻게 해야 하나요?

가상 네트워크에서 Azure 서비스로 향하는 트래픽을 검사하거나 필터링하려는 경우 가상 네트워크 내에 네트워크 가상 어플라이언스 배포할 수 있습니다. 그런 다음, 네트워크 가상 어플라이언스를 배포한 서브넷에 서비스 엔드포인트를 적용하고 가상 네트워크 ACL을 통해 이 서브넷에 대한 Azure 서비스 리소스만 보호할 수 있습니다.

네트워크 가상 어플라이언스 필터링을 사용하여 가상 네트워크에서 특정 Azure 리소스에만 액세스할 수 있도록 Azure 서비스 액세스를 제한하려는 경우에도 이 시나리오가 유용할 수 있습니다. 자세한 내용은 고가용성 NVA 배포를 참조하세요.

가상 네트워크 ACL이 가상 네트워크 외부에서 사용하도록 설정된 Azure 서비스 계정에 누군가가 액세스하면 어떻게 되나요?

서비스가 HTTP 403 또는 HTTP 404 오류를 반환합니다.

다른 지역에서 만든 가상 네트워크의 서브넷이 다른 지역의 Azure 서비스 계정에 액세스할 수 있나요?

예. 대부분의 Azure 서비스는 다른 지역에 만든 가상 네트워크가 가상 네트워크 서비스 엔드포인트를 통해 다른 지역의 Azure 서비스에 액세스할 수 있습니다. 예를 들어 Azure Cosmos DB 계정이 미국 서부 또는 미국 동부 지역에 있고 가상 네트워크가 여러 지역에 있는 경우 가상 네트워크가 Azure Cosmos DB에 액세스할 수 있습니다.

Azure Storage와 Azure SQL은 예외이며 본질적으로 지역적입니다. 가상 네트워크와 Azure 서비스가 동일한 지역에 있어야 합니다.

Azure 서비스에서 가상 네트워크 ACL과 IP 방화벽을 모두 사용할 수 있나요?

예. 가상 네트워크 ACL과 IP 방화벽은 공존할 수 있습니다. 두 기능이 서로 보완하여 격리와 보안을 제공합니다.

Azure 서비스에 서비스 엔드포인트를 사용하도록 설정된 가상 네트워크 또는 서브넷을 삭제하면 어떻게 되나요?

가상 네트워크 삭제와 서브넷 삭제는 독립적인 작업입니다. Azure 서비스에 서비스 엔드포인트를 사용하도록 설정한 경우에도 두 작업이 지원됩니다.

Azure 서비스에 대한 가상 네트워크 ACL을 설정하는 경우 가상 네트워크 서비스 엔드포인트가 켜진 가상 네트워크 또는 서브넷을 삭제하면 해당 Azure 서비스와 연결된 ACL 정보를 사용할 수 없게 됩니다.

가상 네트워크 서비스 엔드포인트가 켜진 Azure 서비스 계정을 삭제하면 어떻게 되나요?

Azure 서비스 계정 삭제는 독립적인 작업입니다. 네트워크 쪽에서 서비스 엔드포인트를 켜고 Azure 서비스 쪽에서 가상 네트워크 ACL을 설정해도 지원되는 작업입니다.

가상 네트워크 서비스 엔드포인트가 켜진 리소스(예: 서브넷의 VM)의 원본 IP 주소는 어떻게 되나요?

가상 네트워크 서비스 엔드포인트를 켜면 가상 네트워크 서브넷에 있는 리소스의 원본 IP 주소는 Azure 서비스로 향하는 트래픽에 공용 IPv4 주소 대신 Azure 가상 네트워크의 개인 IP 주소를 사용하도록 전환됩니다. 이로 인해 Azure 서비스에서 이전에 공용 IPv4 주소로 설정된 특정 IP 방화벽에서 오류가 발생할 수 있습니다.

서비스 엔드포인트 경로가 항상 우선적으로 적용되나요?

서비스 엔드포인트는 BGP(Border Gateway Protocol) 경로보다 우선 적용되는 시스템 경로를 추가하고 서비스 엔드포인트 트래픽에 최적의 라우팅을 제공합니다. 서비스 엔드포인트는 가상 네트워크의 서비스 트래픽을 직접 Microsoft Azure 백본 네트워크의 서비스로 항상 이동합니다.

Azure가 경로를 선택하는 방법에 대한 자세한 내용은 가상 네트워크 트래픽 라우팅을 참조하세요.

서비스 엔드포인트가 ICMP에서 작동합니까?

아니요. 서비스 엔드포인트를 사용하도록 설정한 서브넷에서 발생한 ICMP 트래픽은 원하는 엔드포인트에 대한 서비스 터널 경로를 사용하지 않습니다. 서비스 엔드포인트는 TCP 트래픽만 처리합니다. 서비스 엔드포인트를 통해 엔드포인트에 대한 대기 시간 또는 연결을 테스트하려는 경우 ping 및 tracert와 같은 도구는 서브넷 내의 리소스가 사용하는 실제 경로를 표시하지 않습니다.

서브넷의 NSG는 서비스 엔드포인트에서 어떻게 작동하나요?

Azure 서비스에 연결하려면 NSG에서 아웃바운드 연결을 허용해야 합니다. NSG가 모든 인터넷 아웃바운드 트래픽에 대해 열려 있는 경우 서비스 엔드포인트 트래픽이 작동합니다. 서비스 태그만 사용하여 아웃바운드 트래픽을 서비스 IP 주소로 제한할 수도 있습니다.

서비스 엔드포인트를 설정하는 데 필요한 사용 권한은 무엇인가요?

가상 네트워크에 대한 쓰기 권한이 있는 경우 해당 가상 네트워크에서 독립적으로 서비스 엔드포인트를 구성할 수 있습니다.

가상 네트워크에 대한 Azure 서비스 리소스를 보호하려면 추가하는 서브넷에 대한 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action 권한이 있어야 합니다. 이 권한은 기본 제공 서비스 관리자 역할에 기본적으로 포함되며, 사용자 지정 역할을 만들어서 수정할 수 있습니다.

기본 제공 역할에 대한 내용과 사용자 지정 역할에 특정 권한을 할당하는 방법에 대한 자세한 내용은 Azure 사용자 지정 역할을 참조하세요.

가상 네트워크 트래픽을 서비스 엔드포인트를 통한 Azure 서비스로 필터링할 수 있나요?

가상 네트워크 서비스 엔드포인트 정책을 사용하여 가상 네트워크 트래픽을 Azure 서비스로 필터링하면 서비스 엔드포인트를 통해 특정 Azure 서비스 리소스만 허용할 수 있습니다. 엔드포인트 정책은 가상 네트워크 트래픽에서 Azure 서비스로의 세분화된 액세스 제어를 제공합니다.

자세한 내용은 Azure Storage에 대한 가상 네트워크 서비스 엔드포인트 정책을 참조하세요.

Microsoft Entra ID는 가상 네트워크 서비스 엔드포인트를 지원하나요?

Microsoft Entra ID는 태생적으로 서비스 엔드포인트를 지원하지 않습니다. 가상 네트워크 서비스 엔드포인트를 지원하는 Azure 서비스 전체 목록은 가상 네트워크 서비스 엔드포인트를 참조하세요.

이 목록에서 서비스 엔드포인트를 지원하는 서비스에 나열된 Microsoft.AzureActiveDirectory 태그는 Azure Data Lake Storage Gen1에 서비스 엔드포인트를 지원하는 데 사용됩니다. Data Lake Storage Gen1에 대한 가상 네트워크 통합에서는 가상 네트워크와 Microsoft Entra ID 간에 가상 네트워크 서비스 엔드포인트 보안을 사용하여 액세스 토큰에서 추가 보안 클레임을 생성합니다. 그런 다음, 이러한 클레임을 사용하여 Data Lake Storage Gen1 계정에 대해 가상 네트워크를 인증하고 액세스를 허용합니다.

가상 네트워크에서 설정할 수 있는 서비스 엔드포인트 수에 대한 제한이 있나요?

가상 네트워크의 총 서비스 엔드포인트 수에는 제한이 없습니다. Azure 서비스 리소스(예: Azure Storage 계정)의 경우 리소스 보안에 사용할 수 있는 서브넷 수가 제한될 수 있습니다. 다음 표에서는 몇 가지 제한 예를 보여 줍니다.

Azure 서비스	가상 네트워크 규칙에 대한 제한
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Azure Cosmos DB	64
Azure Event Hubs	128
Azure Service Bus	128
Azure Data Lake Storage Gen1	100

Resource Manager로 클래식 네트워크 리소스 마이그레이션

Azure Service Manager란 무엇이며 "클래식"이라는 용어는 무엇을 의미하나요?

Azure Service Manager는 리소스 만들기, 관리 및 삭제를 담당하는 Azure의 이전 배포 모델입니다. 네트워킹 서비스에서 클래식이라는 단어는 Azure Service Manager 모델에서 관리하는 리소스를 나타냅니다. 자세한 내용은 배포 모델 비교를 참조하세요.

Azure Resource Manager란?

Azure Resource Manager는 Azure 구독에서 리소스 만들기, 관리 및 삭제를 담당하는 Azure의 최신 배포 및 관리 모델입니다. 자세한 내용은 Azure Resource Manager란?을 참조하세요.

리소스가 Resource Manager에 커밋된 후 마이그레이션을 되돌릴 수 있나요?

리소스가 아직 준비된 상태에 있는 한 마이그레이션을 취소할 수 있습니다. 커밋 작업을 통해 리소스를 성공적으로 마이그레이션한 후에는 이전 배포 모델로 롤백할 수 없습니다.

커밋 작업이 실패한 경우 마이그레이션을 되돌릴 수 있나요?

커밋 작업이 실패한 경우 마이그레이션을 되돌릴 수 없습니다. 커밋 작업을 포함한 모든 마이그레이션 작업은 일단 시작되면 변경할 수 없습니다. 잠시 후 작업을 다시 시도하는 것이 좋습니다. 작업이 계속 실패하면 지원 요청을 제출합니다.

내 구독 또는 리소스에서 마이그레이션이 가능한지 확인할 수 있나요?

예. 마이그레이션을 준비하는 첫 번째 단계는 리소스를 마이그레이션할 수 있는지 유효성을 검사하는 것입니다. 유효성 검사 작업이 실패하면 마이그레이션을 완료할 수 없는 모든 이유에 대한 메시지를 받게 됩니다.

가상 네트워크를 클래식에서 Resource Manager로 마이그레이션할 때 Application Gateway 리소스도 함께 마이그레이션되나요?

Application Gateway 리소스는 가상 네트워크 마이그레이션 프로세스의 일부로 자동 마이그레이션되지 않습니다. 가상 네트워크에 있는 경우 마이그레이션이 성공하지 못합니다. Application Gateway 리소스를 Resource Manager로 마이그레이션하려면 마이그레이션이 완료된 후 Application Gateway 인스턴스를 제거하고 다시 만들어야 합니다.

가상 네트워크를 클래식에서 Resource Manager로 마이그레이션할 때 VPN Gateway 리소스도 함께 마이그레이션되나요?

Azure VPN Gateway 리소스는 가상 네트워크 마이그레이션 프로세스의 일부로 마이그레이션됩니다. 마이그레이션은 다른 요구 사항 없이 한 번에 하나의 가상 네트워크에서 완료됩니다. 마이그레이션 단계는 VPN 게이트웨이 없이 가상 네트워크를 마이그레이션할 때와 동일합니다.

클래식 VPN 게이트웨이를 Resource Manager로 마이그레이션할 때 서비스가 중단되나요?

Resource Manager로 마이그레이션할 때 VPN 연결에서 서비스 중단이 발생하지 않습니다. 기존 워크로드는 마이그레이션 중에 온-프레미스 연결 손실 없이 계속 작동합니다.

VPN 게이트웨이가 Resource Manager로 마이그레이션된 후에 온-프레미스 디바이스를 다시 구성해야 하나요?

VPN 게이트웨이와 연결된 공용 IP 주소는 마이그레이션 후에도 동일하게 유지됩니다. 온-프레미스 라우터를 재구성할 필요가 없습니다.

클래식에서 Resource Manager로 VPN 게이트웨이 마이그레이션을 지원되는 시나리오는 무엇인가요?

대부분의 일반적인 VPN 연결 시나리오는 클래식에서 Resource Manager로 마이그레이션을 지원합니다. 지원하는 시나리오는 다음과 같습니다.

• 지점 및 사이트 간 연결

• 온-프레미스 위치에 연결된 VPN 게이트웨이를 통한 사이트 간 연결

• VPN 게이트웨이를 사용하는 두 가상 네트워크 간의 네트워크 간 연결

• 동일한 온-프레미스 위치에 연결된 여러 가상 네트워크

• 다중 사이트 연결

• 강제 터널링을 사용하는 가상 네트워크

클래식에서 Resource Manager로 VPN 게이트웨이 마이그레이션을 지원하지 않는 시나리오는 무엇인가요?

지원되지 않는 시나리오는 다음과 같습니다.

• ExpressRoute 게이트웨이와 VPN 게이트웨이가 모두 있는 가상 네트워크

• 다른 구독의 회로에 연결된 ExpressRoute 게이트웨이가 있는 가상 네트워크

• VM 확장이 온-프레미스 서버에 연결된 시나리오를 전송합니다.

클래식에서 Resource Manager로 마이그레이션에 대한 더 많은 정보는 어디에서 찾을 수 있나요?

클래식에서 Azure Resource Manager로 마이그레이션에 대한 질문과 대답을 참조하세요.

문제를 보고하려면 어떻게 해야 하나요?

마이그레이션 문제에 대한 질문을 Microsoft Q&A 페이지에 게시할 수 있습니다. 이 포럼에 모든 문의 사항을 게시하는 것이 좋습니다. 지원 계약이 있는 경우 지원 요청을 제출할 수도 있습니다.