안녕하세요. HYEN입니다.
오늘은 Azure Private Subnet과 Azure NAT Gateway에 대해 알아보도록 하겠습니다.
Azure Private Subnet이 Public Preview 형태로 제공되고 있어 기존의 subnet과 어떤 차이가 있는지 알고 싶어 시작하게 되었는데 이론과 테스트로 글이 나뉘게 되어 뭔가 일이 커졌다는 느낌이 들지만.... 😅
그래도 Azure NAT Gateway도 한번쯤은 사용해 보고자 이번 글을 작성하였음을 알리며
개념 정리부터 시작해 보겠습니다.
Contents
1. Azure Private Subnet이란?
Azure는 그동안 명시적인 아웃바운드 연결이 없어도 가상 네트워크 상에 가상 머신을 만들 때 기본적으로 아웃바운드 공용 IP 주소를 할당해 주었습니다. 이를 통해 아웃바운드를 명시하지 않아도 암시적으로 외부와 연결이 되었는데요.
이러한 암시적 IP는 변경될 수 있고, 사용자의 구독 내에 존재하는 것도 아니며, Azure의 기본적인 보안 모델을 따르지 않는다는 문제점이 있었습니다.
그래서 Microsoft Azure는 Azure Private Subnet이라는 기능을 현재 Public Preview 형태로 제공하고 있습니다.
Azure Private Subnet은 "기본 아웃바운드 액세스"를 false로 설정하여 암시적인 연결을 방지하는 리소스입니다.
배포 시 Azure Private Subnet 기능을 활성화한 후, 해당 subnet 내에 있는 가상 머신에 대해 명시적인 아웃바운드를 정의해 주면 됩니다.
참고로, 2025년 9월 30일 이후로 새로 생성하는 리소스에 대해서 기본 아웃바운드 액세스가 사용 중지되기 때문에 해당 날짜 이후에는 인터넷 액세스가 필요한 가상 머신의 경우 Azure NAT Gateway, Azure Load Balancer 아웃바운드 규칙, Public IP Address Attach 등 명시적인 아웃바운드 연결을 사용해야 합니다.
(관련 링크 : https://azure.microsoft.com/ko-kr/updates/default-outbound-access-for-vms-in-azure-will-be-retired-transition-to-a-new-method-of-internet-access/)
Default outbound access for VMs in Azure will be retired— transition to a new method of internet access | Azure 업데이트 |
Default outbound access connectivity for virtual machines will be retired in September 2025
azure.microsoft.com
2. Azure NAT Gateway란?
이번 글에서는 명시적인 아웃바운드 연결 방법 중, Azure NAT Gateway에 대해 다뤄보겠습니다.
먼저, NAT(Network Address Translation)란 무엇일까요?
네트워크 주소 변환이라는 의미의 NAT는 사설 IP를 공인 IP로 변경할 때 사용하는 서비스로
대부분 라우터 등의 장비를 사용하여 여러 사설 IP를 하나의 공인 IP로 변환할 때 사용됩니다.
또한, 한정적인 IP 주소를 절약하기 위해서도 사용되는 기술입니다.
이를 통해 인터넷이라는 퍼블릭한 망과 연결되는 사용자들의 고유한 사설 IP를 보호할 수 있습니다.
Azure에서는 이러한 NAT에 대한 서비스를 Azure NAT Gateway라고 부릅니다.
Azure NAT Gateway는 Azure 가상 네트워크의 subnet 내에 있는 프라이빗한 인스턴스에 대한 SNAT를 제공합니다.
subet에 NAT Gateway가 구성된 경우 subnet 내의 사설 IP는 NAT Gateway의 고정 공인 IP로 SNAT 되어 인터넷에 아운바운드로 연결됩니다.
인터넷에서의 인바운드 연결은 NAT Gateway를 통해 허용되지 않으며 아웃바운드 연결에 대한 응답만 DNAT 되어 NAT Gateway를 통과할 수 있습니다.
2.1 Azure NAT Gateway 특징
Azure NAT Gateway의 특징에 대해 좀 더 알아보겠습니다.
- Azure NAT Gateway는 가상 네트워크에서 인터넷으로 나가는 트래픽, 즉 아웃바운드 트래픽에 대한 연결을 제공하는 리소스로 인터넷에서 들어오는 인바운드 트래픽은 NAT Gateway를 통과할 수 없습니다.
- NAT Gateway가 가상 네트워크 내의 subnet에 연결된 경우 인터넷으로 전송되는 모든 아웃바운드 트래픽에 대해 subnet의 next hop이 됩니다. (이에 대한 추가 라우팅 구성은 필요하지 않습니다.)
- 하나의 Azure NAT Gateway 서비스를 사용하여 동일한 가상 네트워크 내 두 개 이상의 subnet을 다룰 수는 있으나, 하나가 아닌 여러 개의 가상 네트워크에 단일 Azure NAT Gateway를 연결할 수는 없습니다.
3. 가상 머신에 대한 명시적 아웃바운드 연결 예시
추가적으로, 가상 머신에 대한 명시적 아웃바운드 연결 예시는 하기와 같습니다.
- NAT Gateway에 연결된 subnet 내의 가상 머신
- 아웃바운드 규칙이 정의된 표준 Load Balancer의 백엔드 풀로 연결된 가상 머신
- 기본 공용 부하 분산 장치의 백 엔드 풀로 연결된 가상 머신
- 공용 IP 주소가 attach 된 가상 머신
(참고 링크 : https://learn.microsoft.com/en-us/azure/virtual-network/ip-services/default-outbound-access)
Default outbound access in Azure - Azure Virtual Network
Learn about default outbound access in Azure.
learn.microsoft.com
이어서 다음 글의 주제는 "Azure Private Subnet에 명시적으로 아웃바운드 연결하기"입니다. 🤩
'TOPIC > Cloud' 카테고리의 다른 글
| Azure Container Login 시 발생할 수 있는 에러 해결하기 (1) | 2024.04.26 |
|---|---|
| Azure Private Subnet에 명시적으로 아웃바운드 연결하기 (0) | 2024.04.23 |
| Azure Cloud Shell에 Private하게 접근하기 (2) (1) | 2024.04.03 |
| Azure Cloud Shell에 Private하게 접근하기 (1) (0) | 2024.04.01 |
| PaaS형 DNS 서버 Azure Private Resolver 알아보자! (0) | 2023.12.15 |