Virtual Network 설계: 서브넷 생성 시 옵션 톺아보기

가상 네트워크를 생성하고 주소 공간을 할당한 후에는 해당 주소를 효율적으로 활용하기 위해 서브넷을 구성해야 합니다. 서브넷 생성 시 고려할 수 있는 다양한 옵션들이 있는데, 이러한 옵션들을 적절히 선택하면 네트워크 구조를 최적화하고 보안을 강화할 수 있습니다. 이번 글에서는 서브넷 생성 시 활용할 수 있는 주요 옵션들을 자세히 살펴보겠습니다.

① 서브넷 용도 선택은 네트워크 구성에 중요한 요소입니다. 일반적인 용도로는 'Default'를 선택하면 되지만, 특정 Azure 리소스를 배포할 때는 해당 리소스에 맞는 전용 서브넷을 지정해야 합니다. 이러한 특수 용도의 서브넷이 필요한 리소스로는 Azure Firewall, Azure Bastion, Firewall Management(강제 터널링용), Virtual Network Gateway, Route Server 등이 있습니다. 이들 리소스를 배포할 때는 각각의 용도에 맞는 서브넷을 선택해야 정상적인 배포와 운영이 가능합니다.

② 이름은 해당 가상 네트워크 내에서 고유해야 하며, 중복을 피해야 합니다. 주의할 점은 특수 용도의 서브넷, 즉 'Default'가 아닌 용도로 지정된 서브넷(예: Azure Firewall, Azure Bastion 등을 위한 서브넷)의 경우 이름을 사용자가 임의로 지정할 수 없습니다. 이러한 특수 용도 서브넷은 Azure에서 미리 정의된 이름을 사용해야 합니다.

 

③ 가상 네트워크에 이미 설정된 IPv4 주소 범위 내에서 서브넷에 사용할 주소 공간을 지정합니다. 드롭다운 메뉴를 통해 가상 네트워크에 할당된 모든 IPv4 주소 범위를 확인할 수 있으며, 이 중에서 서브넷에 적합한 주소 범위를 선택합니다.

 

④ 서브넷의 시작 주소를 지정하고, 서브넷의 크기를 결정합니다. 서브넷 크기를 명시적으로 지정하면 시스템이 자동으로 해당 크기에 맞는 주소 범위를 계산하여 적용합니다. 또는, 사용자가 직접 원하는 주소 범위를 드롭박스를 통하여 선택할 수도 있습니다.

⑤ IPv6 서브넷을 구성하려면 먼저 해당 가상 네트워크의 주소 공간에 IPv6 주소 범위가 포함되어 있어야 합니다. 가상 네트워크에 IPv6 주소 범위가 설정되어 있으면, 서브넷 생성 또는 수정 시 IPv6 옵션이 활성화됩니다. 

⑥ 2024년 11월 16일에 Public Preview로 출시된 프라이빗 서브넷 기능은 Azure의 네트워크 보안을 한층 강화합니다. 기존에 Azure는 가상 머신에 대해 기본적으로 아웃바운드 인터넷 액세스를 제공했지만, 이 새로운 기능을 통해 사용자는 해당 기본 아웃바운드 액세스를 비활성화할 수 있습니다. 이는 보안 정책을 더욱 엄격하게 관리하고자 하는 조직에게 유용한 옵션으로, 명시적으로 구성된 아웃바운드 연결만을 허용함으로써 네트워크 보안을 강화할 수 있습니다.

⑦ 서브넷 생성 시, 이미 구성된 NAT 게이트웨이, 네트워크 보안 그룹(NSG), 사용자 정의 라우팅 테이블(UDR)을 연결할 수 있습니다. 특히 프라이빗 서브넷으로 구성한 경우, 외부 통신을 위한 아웃바운드 액세스 설정이 중요합니다. 이를 위해 NAT 게이트웨이를 연결하거나, 라우팅 테이블을 사용하여 트래픽을 적절히 라우팅함으로써 외부 네트워크와의 통신을 가능하게 할 수 있습니다. 

⑧ 서비스 엔드포인트는 특정 서브넷에서 Azure 서비스로의 통신을 최적화하는 기능입니다. 이 기능을 활용하면 Azure 백본 네트워크를 통해 직접 통신하므로, 가상 네트워크의 리소스가 공용 IP 주소 없이도 Azure 서비스에 안전하게 연결할 수 있습니다.

⑨ 서브넷 위임은 특정 Azure 서비스를 해당 서브넷에 배포하기 위해 설정하는 중요한 기능입니다. 이는 서브넷 용도 설정과는 약간 다르지만, 둘 다 특정 리소스 배포를 위해 서브넷에 특별한 구성이 필요하다는 점에서 유사성을 갖습니다. 서브넷 위임을 통해 선택된 Azure 서비스는 해당 서브넷에서 서비스별 리소스를 생성하고 관리할 수 있는 명시적 권한을 부여받게 됩니다.

⑩ 프라이빗 엔드포인트에 대한 네트워크 정책 설정은 중요한 보안 기능입니다. 이를 통해 네트워크 보안 그룹(NSG)과 사용자 정의 라우팅 테이블(UDR)을 프라이빗 엔드포인트에 적용할 수 있습니다. 주목할 점은 이러한 설정이 해당 서브넷 내의 프라이빗 엔드포인트에만 영향을 미친다는 것입니다. 따라서 프라이빗 엔드포인트를 효과적으로 활용하기 위해서는 조직의 보안 요구사항에 맞는 적절한 네트워크 정책을 수립하고 이를 신중하게 구현해야 합니다.

프라이빗 엔드포인트에 대한 네트워크 정책 관리

프라이빗 엔드포인트에 대한 네트워크 정책 관리 - Azure Private Link