3장. 프라이빗 네트워크 피어링

Microsoft Azure의 Ansible Automation Platform은 자체 Azure 가상 네트워크(VNet)를 사용하여 독립 관리 리소스 그룹에 배포됩니다.

처음 배포되면 Microsoft Azure의 VNet의 Ansible Automation Platform은 공용 인터넷을 통해 외부 네트워크에만 요청을 보낼 수 있습니다.

Microsoft Azure에서 Ansible Automation Platform을 사용하여 인터넷 배포의 리소스에 액세스할 수 있도록 하려면 프라이빗 가상 네트워크와 Microsoft Azure의 관리 애플리케이션 VNet에서 Red Hat Ansible Automation Platform 간의 Azure 네트워크 피어링을 구성해야 합니다.

여러 Azure VNet과 Azure VNet과 외부 VPN 라우팅 네트워크 간의 개인 전송 라우팅을 활성화하도록 Azure VNet을 구성할 수 있습니다. 이러한 VPN 네트워크는 온-프레미스 또는 다른 클라우드에 있을 수 있습니다.

두 개의 Azure 네트워킹 구성이 동일하지 않습니다. Microsoft Azure의 Ansible Automation Platform에 대한 사용자 액세스를 활성화하려면 Azure 관리자와 협력하여 VNet 및 외부 VPN 라우팅 네트워크에 배포를 연결합니다.

참고

네트워크 피어링은 Azure 네트워킹에 익숙한 Azure 관리자가 구성해야 합니다. Azure 계정에 대한 네트워크 변경 사항을 구성하면 중단 또는 기타 중단이 발생할 수 있습니다.

이 문서에 설명된 네트워크 피어링 절차는 Microsoft Azure에서 프로세스 및 서비스를 제어하고 관리하므로 Red Hat에서 지원하지 않습니다. Azure 네트워크 피어링에 대한 지원을 받으려면 Microsoft에 문의하십시오.

이 콘텐츠에 대한 Microsoft의 문서에 맞게 모든 노력을 기울이지만 시간이 지남에 따라 정확도가 달라질 수 있습니다. Microsoft의 설명서는 Azure의 네트워킹 항목에 대한 정보에 대한 최종 소스입니다.

Azure는 프라이빗 네트워크를 피어링하는 다양한 방법을 제공합니다. 일반적으로 다음 두 가지 범주로 나뉩니다.

  • Hub-and-spoke peering:이 토폴로지에는 다른 가상 네트워크가 피어하는 중앙 집중식 허브 VNet이 있습니다. 이 허브 네트워크에는 전송 라우팅을 통해 트래픽을 라우팅하는 메커니즘이 있습니다. 온-프레미스 및 기타 클라우드 네트워크와의 VPN/Express Connect 연결을 비롯한 클라우드 네트워크는 허브 VNet을 통해 통신할 수 있습니다.Cloud networks, including VPN/Express Connect connections with on-premises and other cloud networks, can communicate through the hub VNet.
  • Azure Virtual phone (VWAN): Azure VirtualECDHE는 Azure, 온-프레미스 및 기타 VPN/Direct Connect 네트워크에서 간소화된 허브 및 맞춤형 네트워크 모델링을 제공하는 네트워킹 서비스입니다. VWAN에 대한 자세한 내용은 Microsoft의 Virtual iPXE 설명서를 참조하십시오.
  • 직접 피어링: 사설 네트워크는 개별적으로 서로 연결되어 있고 라우팅 홉은 없습니다. 더 간단한 피어링 모델입니다. 몇 개의 네트워크만 연결하려는 경우 유용합니다.

조직에 대한 올바른 피어링 접근 방식을 결정하기 위해 Microsoft 애플리케이션 아키텍처 기본 가이드 의 가상 네트워크 피어링 및 VPN 게이트웨이 간의 Select between virtual network peering and VPN gateways 를 참조하십시오.

3.1. Hub-and-spoke peering (Transit routes)

참고

라우팅 테이블을 잘못 업데이트하면 네트워크가 손상될 수 있습니다. 예기치 않은 네트워크 동작을 되돌릴 수 있다는 확신이 있는 경우에만 이 절차의 단계를 실행합니다.

3.1.1. Hub-and-spoke 피어링 프로세스 개요

사전 요구 사항

  • Microsoft Azure에 Ansible Automation Platform을 배포했습니다.
  • Azure 테넌트에서 Azure VNet Hub-and-spoke 구현을 구성하고 테스트했습니다. 이 사전 요구 사항에서는 가상 네트워크 게이트웨이를 포함하여 많은 Azure 리소스를 구성해야 합니다.
  • VPN을 포함하여 spoke 네트워크 간의 전송 라우팅을 구성했습니다. 자세한 내용은 Microsoft Azure 문서의 가상 네트워크 피어링에 대한 VPN 게이트웨이 전송 구성을 참조하십시오.

  • 다음을 확인했습니다.

    • Microsoft Azure UI의 Ansible Automation Platform에 액세스해야 하는 기존 VNet의 CIDR 블록( VPN 및 직접 연결 포함)입니다.
    • 기존 VNet의 CIDR 블록( VPN 및 직접 연결 포함)은 Ansible 자동화를 위한 호스트 또는 엔드포인트를 포함합니다.
    • 애플리케이션의 관리형 리소스 그룹에서 Microsoft Azure VNet의 Ansible Automation Platform의 CIDR 블록입니다. 자세한 내용은 관리 리소스 그룹의 CIDR 블록 찾기를 참조하십시오.

네트워크를 피어링하기 전에 프라이빗 VNet과 Microsoft Azure 네트워크의 Ansible Automation Platform 간에 겹치는 네트워크 주소 공간이 없는지 확인합니다.

절차

  1. Microsoft Azure 관리 애플리케이션 Kubernetes 클러스터에서 Ansible Automation Platform의 CIDR 블록을 찾습니다. 관리되는 애플리케이션 Kubernetes 클러스터의 CIDR 블록 찾기를 참조하십시오.
  2. Ansible Automation Platform 서브넷을 사용하여 네트워크 피어링을 구성합니다. Ansible Automation Platform 서브넷을 사용하여 네트워크 피어링 구성을 참조하십시오.

  3. 경로 테이블을 업데이트합니다.

    1. 기존 네트워크의 라우팅 테이블을 구성하여 트래픽을 관리되는 애플리케이션 CIDR로 보냅니다. Ansible Automation Platform 사용자 인터페이스를 요청하는 모든 네트워크의 라우팅 테이블에 경로를 추가하고 해당 리소스에 대해 자동화가 수행될 모든 네트워크의 라우팅 테이블에 경로를 추가해야 합니다. Microsoft Azure의 Ansible Automation Platform으로 라우팅 을 참조하십시오.
    2. Ansible Automation Platform이 자동화 또는 사용자 인터페이스에 액세스하기 위해 Ansible Automation Platform과 통신할 각 스팟에 대해 VNet으로 라우팅을 구성합니다. VNet으로 라우팅을 참조하십시오.

3.1.1.1. 관리 리소스 그룹의 CIDR 블록 검색

  1. Azure 포털에서 리소스 그룹 페이지로 이동합니다.
  2. Microsoft Azure에서 Red Hat Ansible Automation Platform의 관리형 리소스 그룹을 클릭합니다. 리소스 그룹 이름에 "-mrg"가 접두사로 지정됩니다.

  3. 리소스 그룹 내에서 VNet을 선택하여 개요 페이지에서 해당 설정을 확인합니다.

    클러스터의 CIDR 블록이 Address Space 에 표시됩니다.

자세한 내용은 Microsoft Azure 가상 네트워크 가이드의 가상 네트워크 및 설정 보기 를 참조하십시오.

3.1.1.2. Ansible Automation Platform 서브넷을 사용하여 네트워크 피어링 구성

Azure 콘솔 내에서 Azure 가상 네트워크(VNet)는 이 가상 네트워크 라고 하며, 피어하려는 VNet을 원격 가상 네트워크 라고 합니다.

Azure 포털의 가상 네트워크 페이지에서 다음 설정을 사용하여 Microsoft Azure 앱의 Ansible Automation Platform과 피어링할 Azure VNet과 VNet 간의 피어링을 구성합니다.

  • 이 가상 네트워크에서 Microsoft Azure 가상 네트워크의 Ansible Automation Platform에 대한 설정을 선택합니다.

    • 피어링 링크 이름: < hub_to_aap_peering_link_name>
    • 원격 가상 네트워크로의 트래픽: 허용
    • 가상 네트워크 제거에서 전달된 트래픽: 허용
    • 가상 네트워크 게이트웨이 또는 경로 서버: 이 네트워크의 게이트웨이 또는 경로 서버 사용

  • 원격 가상 네트워크에서 Azure와 피어할 가상 네트워크의 설정을 선택합니다.

    • 피어링 링크 이름: < aap_to_hub_peering_link_name>
    • 원격 가상 네트워크로의 트래픽: 허용
    • 원격 가상 네트워크에서 전달된 트래픽: 허용
    • 가상 네트워크 게이트웨이 또는 경로 서버: 원격 가상 네트워크의 게이트웨이 또는 경로 서버 사용

피어링 구성에 대한 자세한 내용은 Microsoft Azure 가상 네트워크 가이드에서 피어 만들기 를 참조하십시오.

3.1.1.3. 경로 테이블 업데이트

경로 테이블을 업데이트하기 전에 hub-and-spoke 피어 프로세스에 대한 사전 요구 사항을 충족하는지 확인하십시오.

Microsoft Azure에서 Ansible Automation Platform으로 라우팅

  1. Azure 포털에서 경로 테이블로 이동합니다.
  2. hub-and-spoke 구성의 일부로 네트워크 간 경로를 정의하는 하나 이상의 경로 테이블을 생성했습니다. 이러한 경로 테이블 중 하나를 클릭합니다.
  3. 경로 테이블 메뉴 모음에서 RoutesAdd 로 이동합니다.
  4. 경로 테이블 메뉴 모음에서 경로추가 를 선택합니다.

  5. 기존 네트워크에서 Ansible Automation Platform으로 트래픽을 전송하도록 경로를 구성합니다. Ansible Automation Platform 사용자 인터페이스를 요청하는 모든 네트워크와 해당 리소스에 대해 자동화가 수행될 네트워크의 경로를 구성해야 합니다. 추가할 각 경로에 대해 다음 정보를 입력합니다.

    • Route name: Ansible Automation Platform 관리 애플리케이션 네트워크의 경로 이름을 입력합니다.
    • Address Prefix: 관리 애플리케이션 kubernetes 클러스터의 CIDR 블록
    • 다음 Hop 유형: 가상 네트워크 게이트웨이
  6. 확인을 클릭하여 경로 목록에 새 경로를 저장합니다.

트래픽을 Ansible Automation Platform으로 라우팅하려는 다른 모든 경로 테이블에 대해 이 절차를 반복합니다.

VNet으로 라우팅

Ansible Automation Platform이 자동화 또는 사용자 인터페이스에 액세스하는 데 사용할 각 대화 상자 네트워크에 대한 경로를 추가합니다.

  1. Azure 포털에서 경로 테이블로 이동합니다.

  2. 경로 테이블 목록에서 Microsoft Azure 관리 애플리케이션의 Ansible Automation Platform의 경로 테이블을 선택합니다.

    Ansible Automation Platform 경로 테이블의 이름은 다음 규칙을 사용합니다. 

    aks-agentpool-<numbers>-routetable
  3. 경로 테이블 메뉴 모음에서 RoutesAdd 로 이동합니다.
  4. Ansible Automation Platform이 자동화 또는 사용자 인터페이스 모두에 대해 통신하도록 각 스팟으로의 VNet 라우팅을 구성합니다.

  5. 추가할 각 경로에 대해 다음 정보를 입력합니다.

    • Route name: Ansible Automation Platform에서 라우팅할 대화 상자 네트워크의 경로 이름을 입력합니다.
    • Address Prefix: spoke network의 CIDR 블록
    • 다음 Hop 유형: 가상 네트워크 게이트웨이
  6. 확인을 클릭하여 경로 목록에 새 경로를 저장합니다.

라우팅 규칙을 구성한 후 트래픽이 허브 네트워크를 통해 Azure의 Ansible Automation Platform으로 라우팅됩니다.

가상 어플라이언스를 통한 아웃 바운드 라우팅

조직에서 Virtual 10.0.0.1 연결을 통해 Azure 방화벽 서비스 또는 타사 방화벽 어플라이언스를 사용하는 경우, Red Hat이 애플리케이션을 유지 관리하고 외부 리소스에 대한 자동화를 활성화하도록 관리형 애플리케이션에서 아웃바운드 연결을 구성해야 합니다.

이를 구현하는 가장 쉬운 방법은 포트 443에서 모든 아웃바운드 트래픽을 허용하는 방화벽 규칙을 생성하는 것입니다.

포트 443의 모든 아웃바운드 트래픽을 허용하지 않도록 선택하는 경우 경로를 구성해야 합니다.

  • Red Hat이 Microsoft Azure에서 Ansible Automation Platform을 관리 및 업그레이드하고 보안 패치를 실행하려면 Azure Kubernetes 서비스(AKS) 클러스터의 모든 시스템에서 Ansible Automation Platform에서 사용하는 컨테이너 업데이트 가져오기 요청을 제출할 수 있어야 합니다. Microsoft Azure 관리 애플리케이션에 있는 Ansible Automation Platform의 Ansible Automation Platform의 전체 CIDR 범위에서 아웃바운드 트래픽에 대한 Ansible Automation Platform 경로 테이블에 경로를 다음 도메인에 추가합니다.

    • registry.redhat.io
    • quay.io
  • 또한 Ansible Automation Platform에서 자동화 작업을 실행하도록 방화벽에서 다른 외부 도메인 또는 IP 주소로의 트래픽을 허용해야 합니다. 그렇지 않으면 방화벽에서 자동화를 위해 Ansible Automation Platform과 대상 간의 연결을 차단합니다.
3.1.1.3.1. 추가 리소스

Azure의 경로 테이블에 경로를 추가하는 방법에 대한 자세한 내용은 Microsoft Azure 가상 네트워크 가이드에서 경로 만들기를 참조하십시오.