IT이야기/Azure

Azure 기본 VM 아웃바운드 액세스 중단: 전환 방법

주현ㅇHㅂI 2024. 12. 31. 09:56
728x90

기본 인터넷 접속 서비스 종료에 대한 공지를 읽어보셨을 수도 있지만, 아직 읽어보지 않으셨다면 여기에서 읽어보시기 바랍니다.

https://azure.microsoft.com/en-us/updates/default-outbound-access-for-vms-in-azure-will-be-retired-transition-to-a-new-method-of-internet- 입장/

따라서 2025년 9월 30일 이후에는 새로 만든 Azure VM에서 기본 인터넷 액세스가 작동하지 않습니다. 영향을 알고 있는 고객은 이미 워크로드를 위해 인터넷에 접속하기 위해 명시적 아웃바운드 방식으로 전환하기 시작했습니다. 이 변경 사항의 내용, 영향 및 사용할 수 있는 솔루션에 대해 여전히 확신이 서지 않는다면 이 블로그가 도움이 될 것입니다.

  • 시나리오 : VNET에서 실행되는 VM이 ​​여러 개 있습니다. 서브넷에 할당된 사용자 정의 경로가 없고 인터넷으로 0.0.0.0/0 트래픽을 보내는 경로도 없습니다. 이 시나리오에서 VM이 인터넷에 연결하려고 하면 여전히 가능합니다. (NSG에 인터넷 바운드 차단 규칙이 없는 경우) VM의 인터넷은 Azure에서 제공하는 동적 IP를 사용합니다. 이는 새로 만든 VM에 대해 2025년 9월 30일에 작동이 중단되며 기존 VM에는 영향을 미치지 않습니다.
  • 저는 IP를 제어하지 않고 기본적으로 인터넷 아웃바운드를 하는 것은 어차피 위험한 시나리오라고 생각합니다. 따라서 아웃바운드 인터넷 연결에 대한 일관된 동작을 위해 아래 접근 방식을 사용하는 것이 좋습니다.
  • 해결 방법 : Azure에서 제공하는 동적 공용 IP에 의존하는 대신 아래 옵션을 사용하여 명시적 아웃바운드 인터넷 통신으로 전환할 수 있습니다.
    • NAT 게이트웨이
    • Azure 방화벽 / NGFW
    • 인스턴스 레벨 공용 IP
    • 로드 밸런서 - 아웃바운드 규칙

Azure NAT 게이트웨이

이것은 Microsoft에서 가장 간단하고 권장하는 옵션입니다. 이 프로세스는 NAT 게이트웨이를 배포하는 것입니다. NAT GW에는 VNET이 필요하지 않습니다. 이를 최소한 하나의 서브넷에 연결하여 해당 서브넷의 아웃바운드 트래픽이 NAT 게이트웨이 서비스를 통해 이동하도록 해야 합니다. NAT 게이트웨이는 사용자가 제어하는 ​​정적 공용 IP 또는 정적 공용 IP 접두사를 갖습니다.

Azure 방화벽 / NGFW

또 다른 선호되는 옵션은 허브 앤 스포크 아키텍처 패턴을 사용하는 것입니다. 여기서 허브 네트워크에 Azure Firewall을 배포합니다. 그리고 모든 스포크는 스포크로 작동하는 워크로드 VNET이 됩니다. 워크로드 VNET에 사용자 정의 경로가 있어 인터넷 트래픽(0.0.0.0/0)을 Azure Firewall로 가리킵니다. 최적화된 비용을 위해 비용 효율성을 제공하는 Azure Firewall의 기본 SKU 또는 표준 SKU를 배포할 수 있습니다.

다음은 Microsoft 문서에서 발췌한 허브 앤 스포크 아키텍처의 예입니다.

마찬가지로 Palo Alto, Fotigate, checkpoint 등과 같은 타사 NGFW 장치를 Hub 가상 네트워크에 둘 수 있습니다. 이러한 장치는 방화벽을 수용하고 모든 인터넷 아웃바운드 트래픽을 방화벽으로 향하게 합니다.

인스턴스 수준 공용 IP 주소

VM에 직접 공용 IP 주소를 할당할 수 있습니다. 이 접근 방식은 인스턴스 수준 공용 IP 주소로 알려져 있으며, 명시적 인터넷 아웃바운드 연결을 제공합니다. 이는 주로 Azure에서 NVA 및 NGFW 배포에 사용됩니다. 또는 DMZ 워크로드에 사용할 수 있습니다. NIC로 이동한 다음 ipconfig, -> 공용 IP 주소 할당으로 이동합니다. 이 옵션은 가장 선호되지 않는 접근 방식이며 환경에 공용 IP가 너무 많으면 노출 위험이 증가하므로 일반 워크로드에는 권장되지 않습니다.

로드 밸런서 - 아웃바운드 규칙

이 상황을 처리하는 또 다른 방법은 표준 로드 밸런서를 만든 다음 아웃바운드 규칙을 만드는 것입니다. 아웃바운드 규칙 없이 인바운드 공용 IP로만 표준 로드 밸런서를 만들면 인터넷이 작동하지 않습니다. 아웃바운드 규칙을 명시적으로 만들고 인터넷 액세스가 작동하도록 프로토콜과 SNAT 포트 수를 지정해야 합니다.

모든 작업 부하에 로드 밸런서를 사용할 수는 없지만 표준 LB와 이미 연결된 DMZ에 웹 서버가 있는 경우 아웃바운드 규칙 방식을 사용할 수 있습니다.

위의 접근 방식이 Azure에서 네트워크 아키텍처에 대한 정보에 입각한 결정을 내리고 2025년 9월 마감일 전에 필요한 조정을 수행하여 중단을 방지하는 데 도움이 되기를 바랍니다.

즐겁게 학습하세요!

728x90
저작자표시