Azure NAT 게이트웨이 는 프라이빗 가상 네트워크에 연결된 리소스에 아웃바운드 인터넷 연결을 제공하는 완전 관리형 NAT(네트워크 주소 변환) 서비스입니다. 이 서비스는 아웃바운드 연결에 대한 원본 SNAT(네트워크 주소 변환)와 아웃바운드 원본 연결에 대한 응답 패킷에 대한 DNAT(대상 네트워크 주소 변환)를 모두 제공합니다. 중요한 네트워크 경로에 있으므로 Azure NAT Gateway는 복원력이 뛰어난 서비스로 설계되었습니다.
Azure를 사용하는 경우 안정성은 공유 책임입니다. Microsoft는 복원력 및 복구를 지원하는 다양한 기능을 제공합니다. 이러한 기능이 사용하는 모든 서비스 내에서 작동하는 방식을 이해하고 비즈니스 목표 및 가동 시간 목표를 충족하는 데 필요한 기능을 선택할 책임이 있습니다.
이 문서에서는 일시적인 오류 및 가용성 영역 중단을 포함하여 다양한 잠재적인 중단 및 문제에 대해 Azure NAT Gateway를 복원할 수 있는 방법을 설명합니다. 또한 Azure NAT Gateway SLA(서비스 수준 계약)에 대한 몇 가지 주요 정보도 강조 표시합니다.
중요합니다
NAT 게이트웨이의 안정성을 고려할 때 VM(가상 머신), 디스크, 기타 네트워크 인프라 및 VM에서 실행되는 애플리케이션의 안정성도 고려해야 합니다. 다른 구성 요소가 동일하게 복원력이 없는 경우 NAT 게이트웨이의 복원력만 향상하면 영향을 제한할 수 있습니다. 복원력 요구 사항에 따라 여러 영역에서 구성을 변경해야 할 수 있습니다.
중요합니다
표준 V2 SKU Azure NAT 게이트웨이는 현재 미리 보기로 제공됩니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
프로덕션 배포 권장 사항
프로덕션 워크로드의 경우 다음을 수행하는 것이 좋습니다.
- 지원되는 지역에서 영역 중복을 자동으로 사용하도록 설정하는 StandardV2 SKU를 사용합니다.
비고
사용하기 전에 StandardV2 NAT 게이트웨이의 주요 제한 사항을 검토하여 구성이 지원되는지 확인합니다.
- 최대 연결 요구 사항을 처리할 수 있는 충분한 공용 IP 주소로 NAT 게이트웨이를 구성하여 SNAT 포트 고갈로 인한 가용성 문제의 가능성을 줄입니다.
- StandardV2 NAT 게이트웨이에서 StandardV2 SKU 공용 IP 주소를 사용합니다. 표준 SKU 공용 IP 주소는 StandardV2 NAT 게이트웨이에서 지원되지 않습니다.
안정성 아키텍처 개요
이 섹션에서는 안정성 관점에서 가장 관련성이 높은 서비스가 작동하는 방식의 몇 가지 중요한 측면을 설명합니다. 이 섹션에서는 배포하고 사용하는 일부 리소스 및 기능을 포함하는 논리 아키텍처를 소개합니다. 또한 서비스의 작동 방식에 대한 세부 정보를 제공하는 물리적 아키텍처에 대해서도 설명합니다.
논리 아키텍처
NAT 게이트웨이는 배포하는 리소스입니다. NAT 게이트웨이를 아웃바운드 인터넷 트래픽의 기본 경로로 사용하려면 가상 네트워크의 하나 이상의 서브넷에 연결합니다. 사용자 지정 경로 또는 기타 라우팅 구성을 구성할 필요가 없습니다.
물리적 아키텍처
내부적으로 NAT 게이트웨이는 서비스를 운영하는 데 필요한 기본 인프라를 나타내는 하나 이상의 인스턴스로 구성됩니다.
Azure NAT Gateway는 높은 안정성과 확장성을 제공하기 위해 소프트웨어 정의 네트워킹을 사용하여 분산 아키텍처를 구현합니다. 서비스는 여러 장애 도메인에서 작동하므로 서비스에 영향을 주지 않고 여러 인프라 구성 요소 오류에서 살아남을 수 있습니다. Azure는 장애 도메인 간 배포 및 인프라 중복성을 포함하여 기본 서비스 작업을 관리합니다.
Azure NAT Gateway 아키텍처 및 중복성에 대한 자세한 내용은 Azure NAT Gateway 리소스를 참조하세요.
일시적인 오류에 대한 복원력
일시적인 오류는 구성 요소에서 짧고 간헐적인 오류입니다. 클라우드와 같은 분산 환경에서 자주 발생하며 작업의 일반적인 부분입니다. 일시적인 오류는 짧은 시간 후에 스스로 수정됩니다. 애플리케이션은 일반적으로 영향을 받는 요청을 다시 시도하여 일시적인 오류를 처리할 수 있는 것이 중요합니다.
모든 클라우드 호스팅 애플리케이션은 클라우드 호스팅 API, 데이터베이스 및 기타 구성 요소와 통신할 때 Azure 임시 오류 처리 지침을 따라야 합니다. 자세한 내용은 임시 오류 처리를 위한 권장 사항을 참조하세요.
SNAT 포트 고갈 은 애플리케이션이 동일한 IP 주소 및 포트에 여러 개의 독립적인 연결을 만들어 아웃바운드 IP 주소에 사용할 수 있는 SNAT 포트를 소모하는 상황입니다. SNAT 포트 고갈은 애플리케이션에서 일시적인 오류로 나타날 수 있습니다. 네트워크 주소 변환과 관련된 일시적인 오류의 가능성을 줄이려면 다음을 수행해야 합니다.
SNAT 포트 소모 가능성을 최소화합니다. 연결 풀링 및 적절한 연결 수명 주기 관리를 구현하여 SNAT를 정상적으로 처리하도록 애플리케이션을 구성합니다.
충분한 공용 IP 주소를 배포합니다. 단일 NAT 게이트웨이는 여러 공용 IP 주소를 지원하며 각 공용 IP 주소는 별도의 SNAT 포트 집합을 제공합니다.
NAT 게이트웨이의 데이터 경로 가용성 메트릭을 모니터링합니다. Azure Monitor를 사용하여 잠재적인 연결 문제를 조기에 검색합니다. 연결 오류 및 SNAT 포트 고갈에 대한 경고를 설정하여 애플리케이션의 아웃바운드 연결에 영향을 주기 전에 일시적인 오류 조건을 사전에 식별하고 해결합니다. 자세한 내용은 Azure NAT Gateway 메트릭 및 경고란?을 참조하세요.
높은 유휴 시간 제한 값을 설정하지 않습니다. NAT 게이트웨이 연결의 기본 4분보다 훨씬 높은 유휴 시간 제한 값은 높은 연결 볼륨 동안 SNAT 포트 소모에 영향을 미칠 수 있습니다.
연결 관리 및 Azure NAT 게이트웨이 관련 문제 해결에 대한 포괄적인 지침은 Azure NAT Gateway 연결 문제를 참조하세요.
가용성 영역 오류에 대한 복원력
가용성 영역은 Azure 지역 내에서 물리적으로 별도의 데이터 센터 그룹입니다. 한 영역이 실패하면 서비스가 나머지 영역 중 하나로 전환될 수 있습니다.
Azure NAT Gateway는 영역 중복 및 영역 구성 모두에서 가용성 영역을 지원합니다.
영역 중복: Azure NAT Gateway의 StandardV2 SKU를 사용하는 경우 영역 중복이 자동으로 사용하도록 설정됩니다. 영역 중복은 지역의 모든 가용성 영역에 NAT 게이트웨이의 인스턴스를 분산합니다. 영역 중복 구성을 사용하는 경우 프로덕션 워크로드의 복원력과 안정성을 향상시킬 수 있습니다.
영역: 표준(v1) SKU를 사용하는 경우 필요에 따라 영역 구성을 만들 수 있습니다. 영역 NAT 게이트웨이는 선택한 단일 가용성 영역에 배포됩니다. NAT 게이트웨이가 특정 영역에 배포되면 해당 영역에서 명시적으로 인터넷에 아웃바운드 연결을 제공합니다. 다른 가용성 영역의 영역 공용 IP 주소는 허용되지 않습니다. 연결된 서브넷의 모든 트래픽은 다른 가용성 영역에 있더라도 NAT 게이트웨이를 통해 라우팅됩니다.
가용성 영역 내의 NAT 게이트웨이에서 중단이 발생하는 경우 연결된 서브넷의 모든 가상 머신이 정상 가용성 영역에 있더라도 인터넷에 연결하지 못합니다.
중요합니다
단일 가용성 영역에 고정하는 것은 영역 간 대기 시간이 요구 사항에 비해 너무 높고 대기 시간이 요구 사항을 충족하지 않는지 확인한 후에만 권장됩니다. 그 자체로 영역 리소스는 가용성 영역 중단에 대한 복원력을 제공하지 않습니다. 영역 리소스의 복원력을 향상하려면 별도의 리소스를 여러 가용성 영역에 명시적으로 배포하고 트래픽 라우팅 및 장애 조치(failover)를 구성해야 합니다. 자세한 내용은 영역 리소스 및 영역 복원력을 참조하세요.
여러 가용성 영역에 가상 머신을 배포하고 영역 NAT 게이트웨이를 사용해야 하는 경우 각 가용성 영역에 영역 스택을 만들 수 있습니다. 영역 스택을 만들려면 다음을 배포해야 합니다.
- 여러 서브넷: 영역에 걸쳐 있는 하나의 서브넷을 사용하는 대신 각 가용성 영역에 대해 별도의 서브넷을 만듭니다.
- 영역 NAT 게이트웨이: 각 서브넷은 서브넷 자체와 동일한 가용성 영역에 배포된 자체 NAT 게이트웨이를 가져옵니다.
- 수동 VM 할당: 각 가상 머신을 올바른 가용성 영역과 해당 서브넷에 명시적으로 배치합니다.
표준(v1) NAT 게이트웨이를 배포할 때 가용성 영역을 지정하지 않으면 NAT 게이트웨이는 특정 영역에 속하지 않으며, Azure에서 가용성 영역을 선택합니다. 지역의 가용성 영역에 중단이 있는 경우 NAT 게이트웨이가 영향을 받을 수 있습니다. 비존적 구성은 가용성 영역 중단에 대한 보호를 제공하지 않으므로 권장하지 않습니다.
요구 사항
지역 지원: 영역 중복 및 영역 NAT 게이트웨이는 가용성 영역을 지원하는 모든 지역에 배포할 수 있습니다.
Sku: 영역 중복 NAT 게이트웨이를 배포하려면 StandardV2 SKU를 사용해야 합니다. 영역 NAT 게이트웨이를 배포하려면 표준 SKU를 사용해야 합니다. StandardV2 SKU를 사용하는 것이 좋습니다.
공용 IP 주소: NAT 게이트웨이에 연결된 공용 IP 주소에 대한 요구 사항은 SKU 및 배포 구성에 따라 달라집니다.
NAT 게이트웨이 SKU 가용성 영역 지원 유형 공용 IP 요구 사항 StandardV2 영역 중복 StandardV2 공용 IP를 사용하여 배포해야 합니다. 스탠다드 영역 표준 공용 IP는 NAT 게이트웨이와 동일한 영역에서 영역 중복형이거나 영역 단위여야 합니다. 스탠다드 비 영역 표준 공용 IP는 모든 영역에서 영역 중복 또는 특정 영역에 속할 수 있습니다.
비용
Azure NAT Gateway에 가용성 영역 지원을 사용하는 데 추가 비용은 없습니다. 가격 책정에 대한 자세한 내용은 Azure NAT Gateway 가격 책정을 참조하세요.
가용성 영역 지원 구성
새 리소스: 배포 단계는 NAT 게이트웨이에 사용할 가용성 영역 구성에 따라 달라집니다.
영역 중복: StandardV2 SKU를 사용하여 새 영역 중복 NAT 게이트웨이를 배포하려면 표준 V2 Azure NAT 게이트웨이 만들기를 참조하세요.
영역: 표준 SKU를 사용하여 새 영역 NAT 게이트웨이를 배포하려면 NAT 게이트웨이 만들기를 참조하세요. NAT 게이트웨이를 만들 때 영역 없음을 선택하는 대신 가용성 영역을 선택합니다.
가용성 영역 지원 사용: 배포 후에는 Azure NAT 게이트웨이 가용성 영역 구성을 변경할 수 없습니다. 가용성 영역 구성을 수정하려면 원하는 영역 설정을 사용하여 새 NAT 게이트웨이를 배포해야 합니다.
Standard에서 StandardV2 NAT 게이트웨이로 업그레이드하려면 StandardV2 SKU를 사용하는 새 공용 IP 주소도 만들어야 합니다.
모든 영역이 정상인 경우의 동작
이 섹션에서는 NAT 게이트웨이가 가용성 영역 지원을 위해 구성되고 모든 가용성 영역이 작동할 때 예상되는 사항에 대해 설명합니다.
영역 간 트래픽 라우팅: NAT 게이트웨이를 통해 VM의 트래픽이 라우팅되는 방법은 NAT 게이트웨이에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: 트래픽은 가용성 영역 내의 NAT 게이트웨이 인스턴스를 통해 라우팅될 수 있습니다.
영역: 각 NAT 게이트웨이 인스턴스는 할당된 가용성 영역 내에서 독립적으로 작동합니다. 서브넷 리소스의 아웃바운드 트래픽은 VM이 다른 영역에 있더라도 NAT 게이트웨이의 영역을 통해 라우팅됩니다.
영역 간 데이터 복제: Azure NAT Gateway는 아웃바운드 연결을 위한 상태 비정상 서비스이기 때문에 영역 간에 데이터 복제를 수행하지 않습니다. 각 NAT 게이트웨이 인스턴스는 다른 영역의 인스턴스와 동기화할 필요 없이 가용성 영역 내에서 독립적으로 작동합니다.
영역 오류 중 동작
이 섹션에서는 가용성 영역 지원을 위해 NAT 게이트웨이가 구성되고 가용성 영역 중단이 발생할 때 예상되는 사항에 대해 설명합니다.
검색 및 응답: 검색 및 응답에 대한 책임은 NAT 게이트웨이에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: Azure NAT 게이트웨이는 가용성 영역에서 오류를 감지하고 응답합니다. 가용성 영역 장애 조치(failover)를 시작하기 위해 아무 것도 할 필요가 없습니다.
영역: 다른 영역의 대체 연결 방법 또는 NAT 게이트웨이에 대한 애플리케이션 수준 장애 조치(failover)를 구현할 책임이 있습니다.
통지: 영역이 다운된 경우 Microsoft는 자동으로 알리지 않습니다. 그러나 Azure Resource Health 를 사용하여 개별 리소스의 상태를 모니터링하고 Resource Health 경고를 설정하여 문제를 알릴 수 있습니다. 또한 Azure Service Health를 사용하여 영역 오류를 포함하여 서비스의 전반적인 상태를 파악할 수 있으며, 문제를 알리도록 Service Health 경고를 설정할 수 있습니다.
NAT 게이트웨이의 데이터 경로 가용성 메트릭을 사용하여 NAT 게이트웨이의 상태를 모니터링할 수도 있습니다. 데이터 경로 가용성 메트릭에 대한 경고를 구성하여 연결 문제를 검색할 수 있습니다.
활성 요청: 활성 요청에 발생하는 작업은 NAT 게이트웨이에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: 잘못된 영역의 인스턴스를 통한 활성 아웃바운드 연결은 삭제되고 클라이언트는 다시 시도해야 합니다. 후속 연결 시도는 다른 가용성 영역의 NAT 게이트웨이 인스턴스를 통해 흐릅니다.
영역: 고장 난 영역 NAT 게이트웨이를 통해 활성화된 아웃바운드 연결이 손실됩니다. 대체 연결 경로를 통해 연결을 다시 설정할지 여부와 방법을 결정해야 합니다. 애플리케이션은 연결 오류를 처리하기 위해 재시도 논리를 구현해야 합니다.
아웃바운드 공용 IP 주소가 변경되므로 트래픽이 다시 라우팅되는 경우 모든 TCP 세션을 재협상해야 할 수 있습니다.
예상 데이터 손실: Azure NAT Gateway는 아웃바운드 연결을 위한 상태 비정상 서비스이므로 데이터 손실이 발생하지 않습니다. 연결이 다시 설정되면 연결 상태가 재생성됩니다.
예상 가동 중지 시간: 예상되는 가동 중지 시간은 NAT 게이트웨이에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: 실패한 영역의 기존 연결이 다운될 수 있습니다. 클라이언트는 즉시 연결을 다시 시도할 수 있으며 요청은 다른 영역의 인스턴스로 라우팅됩니다. 정상 영역의 나머지 연결은 모두 유지됩니다.
영역: 영역이 복구되거나 다른 영역의 대체 연결 방법 또는 NAT 게이트웨이를 통해 트래픽을 다시 라우팅할 때까지 아웃바운드 연결이 손실됩니다.
트래픽 경로 변경: 트래픽 경로 변경 동작은 NAT 게이트웨이에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: 새 연결 요청은 정상 가용성 영역의 NAT 게이트웨이 인스턴스를 통해 라우팅됩니다.
영향을 받는 가용성 영역의 가상 머신이 계속 작동할 가능성은 낮습니다. 그러나 가상 머신이 계속 작동하는 동안 Azure NAT Gateway를 사용할 수 없게 하는 부분 영역 오류가 발생하는 경우 영향을 받는 영역에 있는 가상 머신의 아웃바운드 연결은 다른 영역의 NAT 게이트웨이 인스턴스를 통해 라우팅됩니다.
영역: 애플리케이션 수준의 페일오버, 예를 들어 대체 연결 방법이나 다른 영역의 NAT 게이트웨이 등을 구현할 책임이 있습니다.
영역 복구
Azure NAT Gateway는 상태 비정상 서비스이므로 장애 복구(failback) 작업에 수동 개입이 필요하지 않습니다.
가용성 영역이 복구되면 해당 영역의 NAT 게이트웨이 인스턴스를 새 아웃바운드 연결에 자동으로 사용할 수 있게 됩니다. 중단 중에 다른 영역의 NAT 게이트웨이 인스턴스를 통해 설정된 연결은 연결이 자연스럽게 종료될 때까지 현재 연결 경로를 계속 사용합니다.
영역 오류 테스트
영역 오류 테스트 옵션은 인스턴스에서 사용하는 가용성 영역 구성에 따라 달라집니다.
영역 중복: Azure NAT 게이트웨이 플랫폼은 영역 중복 NAT 게이트웨이에 대한 트래픽 라우팅, 장애 조치(failover) 및 장애 복구(failback)를 관리합니다. 이 기능은 완전히 관리되므로 아무것도 시작하거나 가용성 영역 오류 프로세스의 유효성을 검사할 필요가 없습니다.
영역: 당신은 영역 오류가 발생할 경우를 대비하여 장애 조치 계획을 준비하고 테스트할 책임이 있습니다.
지역 전체 오류에 대한 복원력
Azure NAT Gateway는 특정 Azure 지역의 경계 내에서 작동하는 단일 지역 서비스입니다. 서비스는 다중 지역 기능이나 지역 간 자동 장애 조치를 제공하지 않습니다. 지역을 사용할 수 없게 되면 해당 지역의 NAT 게이트웨이도 사용할 수 없습니다.
여러 지역을 사용하여 네트워킹 접근 방식을 설계하는 경우 각 지역에 독립적인 NAT 게이트웨이를 배포해야 합니다.
서비스 수준 약정
Azure 서비스의 SLA(서비스 수준 계약)는 각 서비스의 예상 가용성과 해당 가용성 예상 결과치를 달성하기 위해 솔루션이 충족해야 하는 조건을 설명합니다. 자세한 내용은 온라인 서비스 SLA를 참조하세요.
Azure NAT Gateway는 Azure VNet NAT SLA에서 다룹니다. 가용성 SLA는 둘 이상의 정상 VM이 있는 경우에만 적용되며 가동 중지 시간 계산에서 SNAT 포트 고갈을 제외합니다.