Azure Route Table (Private Endpoint VS VNet Integration)

안녕하세요. HYEN입니다.

Azure Route Table 공부하기 시리즈가 끝이 났으나, 마지막에 한 가지 제대로 마무리하지 않은 게 있어 오늘은 간단하게 그 부분에 대해 다뤄보고자 합니다. 🐨

지난 글 : https://with-cloud.tistory.com/52

Azure Route Table 공부하기 (5)

---

Contents

 

지난 글에서 Spoke 대역 간 통신 시 Azure Firewall을 거쳐 가도록 구성해 보았습니다. 

그중 Spoke 가상 머신 → Azure Firewall → Private Endpoint → Azure Database for PostgreSQL Flexible Server로 흐르는 트래픽 플로우와 Spoke 가상 머신 → Azure Firewall → Azure Database for PostgreSQL Flexible Server(VNet Integration)로 흐르는 트래픽 플로우 사이에 차이가 있다는 것을 발견하였습니다.

 

Private Endpoint와 연결된 PostgreSQL 서버의 경우 

• Azure Route Table에 경로 추가 (Destionation을 Private Endpoint subnet으로 하며, 다음 홉이 Azure Firewall인 경로 추가) 
• Azure Firewall에 VM이 배포된 subnet과 Private Endpoint용 subnet 간 통신이 가능하도록 Network 규칙 추가

이 두 가지 과정을 수행해 주면 접근이 되었습니다. 

 

그러나 VNet Integration 된 PostgreSQL 서버의 경우 위의 두 과정을 거쳐도 접근이 되지 않았는데요. 

 

그 이유는 하기와 같습니다. 

 

Private Endpoint와 연결된 PostgreSQL 서버는 PaaS이기 때문에 가상 네트워크에 포함되지 않습니다. 

또한 이러한 PostgreSQL 서버는 Microsoft 내 구독에 안전하게 배포되어 서비스됩니다. 

Spoke 가상 머신에서 Azure Firewall을 거쳐 Private Endpoint를 통해서 PostgreSQL 서버에 접근하면 그 트래픽은 PostgreSQL 서버에서 Spoke 가상 머신으로 직접 전달되게 됩니다. 

그렇기 때문에 Azure Route Table에 Spoke 가상 머신이 배포된 subnet을 destination으로 하는 경로를 추가해 주지 않아도 되는 것이죠. 

 

반면 VNet Integration된 PostgreSQL 서버는 제 VNet 내에 배포되어 있기 때문에 사용자가 직접 모든 경로를 구성해 주어야 합니다. 

따라서 Spoke 가상 머신에서 Azure Firewall을 거쳐 PostgreSQL에 접근하는 경로를 생성해 주었다면 PostgreSQL에서 Azure Firewall을 거쳐 Spoke 가상 머신으로 향하는 경로도 생성해 주어야 합니다. 

 

지금부터 PostgreSQL 서버의 입장에서 Spoke 가상 머신으로 가기 위한 경로를 생성해 보도록 하겠습니다.

 

Spoke 경로 테이블에서 경로를 추가해야 합니다. 

 

• [경로 테이블] > [설정] 블레이드 > [경로] 탭 > [+ 추가]

 

그런 다음 다시 한번 접근을 시도해 봅니다. 

 

경로를 추가해 주고 난 뒤에는 정상적으로 PostgreSQL 서버에 접근이 가능한 것을 확인할 수 있습니다. 

---

이렇게 찜찜한 부분까지 싹 없애보았습니다!!

다음에는 더더욱 유익한 글로 돌아오도록 하겠습니다 ~~~🌸🌸🌸