Azure IaaS Wordpress (1)알아보기, 네트워크

---

https://youtube.com/playlist?list=PLDZRZwFT9Wkt0q8pjhY1yPqirS63zoBXd

Wordpress와 함께 Azure IaaS 알아보기 - 김세준 MVP | 애저 듣고보는 잡학지식

 

https://youtu.be/0qv0chHoBw4

https://youtu.be/xRzYaSxthy0

 

---

- Azure IaaS를 이해하기 위해 애저가상네트워크 먼저

- VM에 Wordpress, Azure for MySQL

- MS Azure에서 권장하는 가상머신과 가상네트워크를 보호하는 보안, Azure에서 무료로 제공하는 보안서비스

- IaaS로 서비스를 하다보면 VM이나 OS의 문제로 서비스가 원활하지 않은걸 대비 => 고가용성이라는 옵션

- 사용자 증가 대비

 

---

네트워크 만드는건 기준만 있으면 어렵지 않다

 

---

1.Azure네트워크의 특징

60개의 Region

Region에 Availability Zone이 있다

(각 리전은 가용 영역이라고 알려진 격리된 위치를 여러 개 가지고 있습니다)

 

---

또 MS는

엣지팝, 20만km의 광섬유 케이블

 

---

MS의 BCDR정책

MS가 하나의 리전을 런치할 때마다 2개의 리전씩 런치한다.

DR센터를 한국내 중부와 남부에서 구성할 수 있어서, 국내에서만 데이터를 사용하는 특정 산업군이라면 굉장히 유용

DR센터에서 권장하는 거리 200km이상인데 300km이상에 데이터센터가 있다

 

---

네트워크를 구성하기 전에 여러가지 내용들을 살펴보자

사설네트워크를 구성할 땐 RFC 1918이라고 지정돼있는 세가지 네트워크 대역대를 구성하시는게 좋습니다

10.0대역의 8bit

172.16의 12bit

192.168dml 16비트내에서. 권장

 

네트워크 구성할 땐 Azure Region하나에서 구성할 수 있고 혹은 온프레미스와 네트워크가 연동되는 상황이 발생할 수도 있다. 그 둘이 사설네트워크로 연결될 수도 있고, 

다른 곳과 공용네트워크로 연결돼야 하는 상황이 발생할 수도 있다

당신은 이런 상황들을 고려해서 네트워크를 디자인할것이다.

 

---

온프레미스 대역과 동일한 네트워크 대역이기 때문에 서로 연결할 수 없다

왜? 둘이 동일한 네트워크 대역이어서 

 

애저를 먼저 도입 하든 나중에 도입 하든 네트워크를 디자인할 때 동일한 네트워크 대역을 구성하게 되면 나중에 사설네트워크 연결하거나 다른 네트워크를 연결할 때 문제가 발생할 수 있다

그래서 10.10.0.0/16으로 네트워크를 잡고

외부 써드파티와 연결되는 공용네트워크 망이 있을 때

사설네트워크와 공용네트워크 망을 구분해서 사용하는것을 권장드리고 있다.

왜? 왜냐면 둘다 사설망, 공용망 사이에 둘다 연결할 수 있는 가상 컴퓨터의 경우 실제 보안상으로 굉장히 많은 것들에 대한 문제점이 발생한다. 보안을 해야하는 컴퓨터를 최소화 시키는게 중요하다

 

외부와 통신해야하는 Public Subnet에 생성되는 가상컴퓨터와 Private Subnet에 생성되는 가상 컴퓨터는 각각 보안이 적용되는 수준이 다를 수 있다

 

가상네트워크 안에 서브네트워크를 쪼갤 때 어떻게 유연하게 쪼갤 수 있을지 고민이 필요하다

 

---

오늘 만들건 간단하게 Azure Data Center안에 

리소스 만들기 > virtual network검색 > 가상네트워크가 검색됨 > 만들기 > (구독얘기안함)리소스 그룹 > 이름 > 지역 > IP주소는

기본적으로 애저에서 추천해주는 IP대역이 있는데 그대로 갈게용 10.0.0.0/16.

IPv6도 사용할 수 있고.

서브넷은 이름을 신경써서 새로 만들게요 default는 좀 그러니까

 

---

보안

여기서 선택할 수도 있어. 다음 보안 시간에.

 

지금(2022-11-17) 만들땐 써져있는 설명이 있는데, 그 텍스트 긁어온게 아래 내용.

1.

Azure Bastion 서비스를 사용하면 Azure Portal에서 직접 Azure 가상 네트워크의 VM에 안전하고 원활하게 RDP와 SSH를 설정할 수 있습니다. 이때 추가 클라이언트/에이전트 또는 어떠한 소프트웨어도 필요하지 않으며 VM의 공용 IP도 노출하지 않습니다.

Azure Bastion은 SSL을 통해 Azure Portal에서 직접 가상 머신에 대한 보안 RDP/SSH 연결을 제공합니다. Azure Bastion을 통해 연결할 때 가상 머신에 공용 IP 주소가 필요하지 않습니다.(이건 vnet페이지 베스천 탭 설명)

2.

Azure Firewall는 Azure Virtual Network 리소스를 보호하는 관리되는 클라우드 기반 네트워크 보안 서비스입니다.

▽여기서 체크하는애들은 다 Premiun, 표준 이런식으로 유료인듯

3.

DDoS Protection 배포된 서비스 거부 공격에서 가상 네트워크의 공용 IP 리소스를 보호합니다.

Azure DDoS Protection Standard는 적응형 조정, 공격 알림 및 원격 분석을 통해 향상된 DDoS 완화 기능을 제공하여 이 가상 네트워크 내에서 보호되는 모든 리소스에 대한 DDoS 공격의 영향으로부터 보호하는 유료 서비스입니다.

▽표준은 유료인데 기본은 무료?

 

---

태그

될 수 있으면 많이 달아놓는게 좋다

org = organization

검색하거나 비용같은걸 볼 때 도움이 된다

 

---

검토 : 앞에 했던거 종합해서 어떻게 만들어지는지 Overview해주는 화면

 

---

리소스페이지

주소공간탭 : 다른네트워크들과 VPN연동, 피어링같은 연동이 돼 있지 않았을 때 수정가능. 연동이 돼 있다면 네트워크 추가 가능

추가하기

▽vnet의 주소공간을 추가할 수도 있구나

 

---

서브넷 탭 : 기본이 있는데 추가해볼까요

CIDR블록은 MS에서 추천해준다

NAT 게이트웨이는 지금은 설정 안해서 넘어감

확인 : 서브네트워크 추가됨

 

---

DDoS 보호

방화벽

보안

 

다음시간에

 

---

DNS 서버탭

사내 DNS가 있거나, AD를 사용하면 DNS서버를 설정하는게 좋다

보통 가상네트워크 안에 생성되는 모든 가상컴퓨터 혹은 네트워크들은 기본적으로 DHCP옵션을 사용해서 자동으로 IP를 할당받는데, 같이 할당받는게 DNS정보

그 DNS정보를 사용자 지정으로 특정 IP대역을 DNS서버로 잡아주면 DNS서버로 DHCP옵션으로 뿌려준다. 별도로 DNS서버를 운영하고 있다면 이렇게 할당해주는게 좋다. 그렇지 않다면 그냥 Azure기본값

▽그니까 가상네트워크 단위에서 DHCP를 해주는데 거기에 들어갈 DNS를 입력하라 이거지?

 

---

정리

-연결될 네트워크가 있는지 확인해보고 디자인해야 한다

 

-확장은 현재는 사내에서만 사용했는데, 백업 DR같은것들을 다른리전에서 런칭한다든지 혹은 해외리전에다 런칭해서 IP대역이 중복되는걸 피하고싶다든지.. 고려해야한다

 

-RFC 1918이라는 규칙에 따라서 사설네트워크를 선언하는게 좋다. 공인 IP를 소유하고 있을 때 저걸 벗어날 수 있다. 특정한 공인 IP대역을 내가 직접적으로 접근할 필요가 없다라고 하는 네트워크 대역이 있으면 그 네트워크 대역을 사설네트워크로 사용하는 방법도 방법중 하나다. 하지만 될 수 있으면 RFC 1918에 대한 규칙 안에 있는 대역을 권장

 

https://bit.ly/azurelearn-admin-network : 구독이 없으면 무료계정하거나, 런에서 해도 됨