이 문서에서는 부하 분산 장치 배포에 대한 Azure 모범 사례 컬렉션을 설명합니다. 이러한 모범 사례는 Azure 네트워킹에 대한 Microsoft의 경험 그리고 여러분 같은 고객의 경험에서 얻은 것입니다.
각 모범 사례에 대해 문서에 설명된 사항:
- 각 모범 사례
- 해당 모범 사례를 사용해야 하는 이유
- 모범 사례를 사용하도록 설정하지 못한 경우 발생할 수 있는 일
- 이 모범 사례를 사용하도록 설정하는 방법을 알아봅니다.
이러한 모범 사례는 이 문서가 작성되었을 때 존재하는 합의된 의견과 Azure 플랫폼 기능 및 기능 집합을 기반으로 합니다.
아키텍처 모범 사례
다음 아키텍처 지침은 Azure Load Balancer 배포의 안정성을 보장하는 데 도움이 됩니다. 여기에는 영역 중복성을 사용하여 배포하고, 백 엔드 풀에서 중복성을 배포하고, 전역 부하 분산 장치를 배포하는 모범 사례가 포함됩니다. 이중 부하 분산 장치 설정 대신 NVA를 사용할 때 권장되는 게이트웨이 부하 분산 장치에 대한 안정성과 함께.
안전성 모범 사례
Azure Load Balancer 배포의 안정성을 보장하려면 다음 모범 사례를 사용하는 것이 좋습니다.
영역 중복을 사용하여 배포
영역 중복성은 영역 오류로부터 데이터 경로를 보호하여 최상의 복원력을 제공합니다. 부하 분산 장치의 가용성 영역 선택은 프런트 엔드 IP의 영역 선택과 동일합니다. 공용 부하 분산 장치의 경우 부하 분산 장치의 프런트 엔드에 있는 공용 IP가 영역 중복인 경우 부하 분산 장치도 영역 중복입니다.
- 프런트 엔드 IP 구성에 사용되는 새 공용 IP 주소를 만들 때 가용성 영역을 지원하는 지역에 부하 분산 장치를 배포하고 영역 중복을 사용하도록 설정합니다.
- 공용 IP 주소는 영역 중복으로 변경할 수 없지만 모든 비영역 표준 공용 IP를 기본적으로 영역 중복으로 업데이트하고 있습니다. 자세한 내용은 다음 Microsoft Azure 블로그 Azure 공용 IP가 기본적으로 영역 중복됨을 참조하세요. | Microsoft Azure 블로그. 기본적으로 영역 중복 표준 공용 IP를 지원하는 가장 업데이트된 지역 목록을 보려면 Azure의 공용 IP 주소를 참조 하세요.
- 영역 중복으로 배포할 수 없는 경우 다음 옵션은 영역 부하 분산 장치 배포를 사용하는 것입니다.
- 백 엔드가 특정 영역에 집중된 경우 영역 프런트 엔드를 사용하는 것이 좋습니다. 영역 중복을 활용하려면 여러 영역에 백 엔드 풀 멤버를 배포하는 것이 좋습니다.
- 기존 배포를 영역 또는 영역 중복 부하 분산 장치로 마이그레이션하여 가용성 영역 지원으로 마이그레이션하려면 다음 문서를 참조하세요.
백 엔드 풀의 중복성
백 엔드 풀에 두 개 이상의 인스턴스가 포함되어 있는지 확인합니다. 백 엔드 풀에 인스턴스가 하나만 있고 비정상이면 중복성 부족으로 인해 백 엔드 풀로 전송되는 모든 트래픽이 실패합니다. 또한 표준 Load Balancer SLA는 백 엔드 풀당 두 개 이상의 정상 백 엔드 풀 인스턴스가 있는 경우에만 지원됩니다. 자세한 내용은 SLA 설명서를 참조하세요.
전역 부하 분산 장치 배포
표준 Load Balancer 전역 부하 분산 장치를 기존 지역 부하 분산 장치에 연결하여 지역 간 부하 분산을 지원하여 지역 중복성을 지원합니다. 전역 부하 분산 장치를 사용하면 한 지역이 실패하면 트래픽이 다음으로 가장 가까운 정상 지역 부하 분산 장치로 라우팅됩니다. 자세한 내용은 전역 Load Balancer 설명서를 참조 하세요.
자세한 내용은 Azure Load Balancer 안정성 설명서를 참조 하세요.
게이트웨이 부하 분산 장치를 사용하는 안정성
게이트웨이 Load Balancer 배포의 안정성을 보장하려면 다음 모범 사례를 사용하는 것이 좋습니다.
게이트웨이 Load Balancer를 표준 공용 Load Balancer에 연결
게이트웨이 Load Balancer를 표준 공용 Load Balancer에 연결하는 것이 좋습니다. 이 구성은 NVA 및 애플리케이션 계층 모두에서 고가용성 및 중복성을 제공합니다. 자세한 내용은 자습서: 게이트웨이 부하 분산 장치 만들기를 참조 하세요.
이중 부하 분산 장치 설정 대신 NVA를 사용하는 경우 게이트웨이 부하 분산 장치를 사용합니다.
NVA(네트워크 가상 어플라이언스)와 함께 남북 트래픽 시나리오에서 게이트웨이 부하 분산 장치를 사용하는 것이 좋습니다. 게이트웨이 부하 분산 장치는 흐름 고정 및 흐름 대칭을 유지하므로 UDR(사용자 정의 경로)과 같은 추가 구성이 필요하지 않으므로 배포하기가 더 쉽습니다. NVA를 쉽게 추가하고 제거할 수 있으므로 관리하기가 더 쉽습니다. 자세한 내용은 게이트웨이 Load Balancer 설명서를 참조 하세요.
구성 지침
다음 구성 지침은 Azure Load Balancer 배포를 구성하는 모범 사례입니다.
NSG(네트워크 보안 그룹) 만들기
허용된 인바운드 트래픽을 명시적으로 허용하려면 NSG(네트워크 보안 그룹)를 만들어야 합니다. VM의 서브넷 또는 NIC(네트워크 인터페이스 카드)에 NSG를 만들어야 합니다. 그렇지 않으면 표준 외부 부하 분산 장치에 대한 인바운드 연결이 없습니다. 자세한 내용은 Azure 네트워크 보안 그룹 만들기, 변경 또는 삭제를 참조하세요.
168.63.129.16 IP 주소 차단 해제
168.63.129.16 IP 주소가 Azure 네트워크 보안 그룹 및 로컬 방화벽 정책에 의해 차단되지 않도록 합니다. 이 IP 주소를 사용하면 Azure Load Balancer의 상태 프로브가 VM의 상태를 확인할 수 있습니다. 허용되지 않으면 인스턴스에 연결할 수 없고 인스턴스를 다운으로 표시하므로 상태 프로브가 실패합니다. 자세한 내용은 Azure Load Balancer 상태 프로브 및 IP 주소 168.63.129.16이란?s.
수동 포트 할당과 함께 아웃바운드 규칙 사용
SNAT 고갈 또는 연결 오류를 방지하려면 기본 포트 할당 대신 수동 포트 할당과 함께 아웃바운드 규칙을 사용합니다. 기본 포트 할당은 SNAT 포트 고갈의 위험이 높아질 수 있는 보수적인 포트 수를 자동으로 할당합니다. 수동 포트 할당은 백 엔드 풀의 각 인스턴스에 사용할 수 있는 SNAT 포트 수를 최대화하여 포트 재할당으로 인해 연결이 영향을 받는 것을 방지할 수 있습니다. 수동 포트 할당에는 "인스턴스당 포트" 또는 "최대 백 엔드 인스턴스 수"라는 두 가지 옵션이 있습니다. 둘 다의 고려 사항을 이해하려면 아웃바운드 연결에 대한 SNAT(원본 네트워크 주소 변환)를 참조 하세요.
배포 모드 확인
Azure Load Balancer는 기본적으로 5 튜플 해시 기반 배포 모드를 사용하며 2 튜플 또는 3 튜플 해시를 사용하여 세션 지속성을 제공합니다. 동일한 클라이언트 IP 또는 동일한 클라이언트 IP 및 프로토콜의 연결이 백 엔드 풀 내의 동일한 백 엔드 인스턴스로 이동하는 세션 지속성(세션 선호도라고도 함)의 이점을 배포에 활용할 수 있는지 여부를 고려합니다. 또한 세션 선호도를 사용하도록 설정하면 대부분의 연결이 동일한 클라이언트 IP 또는 동일한 클라이언트 IP 및 프로토콜에서 동일한 백 엔드 VM으로 전송되므로 부하 분산이 고르지 않을 수 있습니다. Azure Load Balancer 배포 모드에 대한 자세한 내용은 Azure Load Balancer 배포 모드를 참조 하세요.
TCP 재설정 사용
Load Balancer에서 TCP 재설정을 사용하도록 설정하면 유휴 시간 제한 시 클라이언트 및 서버 엔드포인트 모두에 양방향 TCP가 패킷을 다시 설정하여 애플리케이션 엔드포인트에 연결 시간이 초과되고 더 이상 사용할 수 없음을 알릴 수 있습니다. TCP 재설정을 사용하도록 설정하지 않으면 흐름의 유휴 시간 제한에 도달하면 Load Balancer가 자동으로 흐름을 삭제합니다. 또한 유휴 시간 제한 시간을 늘리거나 연결 시간이 초과되는 경우 TCP 연결 유지를 사용하는 것이 도움이 될 수 있습니다. TCP 재설정, 유휴 시간 제한 및 TCP 유지에 대한 자세한 내용은 Azure에서 Load Balancer TCP 재설정 및 유휴 시간 초과를 참조하세요.
부동 IP를 설정할 때 루프 백 인터페이스 구성
부동 IP를 사용하도록 설정하는 경우 부하 분산 장치의 프런트 엔드 IP 주소로 구성된 루프백 인터페이스가 게스트 OS 내에 있는지 확인합니다. 여러 규칙에서 백 엔드 포트를 다시 사용하려면 부동 IP를 사용하도록 설정해야 합니다. 포트 재사용의 몇 가지 사용 사례에는 고가용성 및 네트워크 가상 어플라이언스에 대한 클러스터링이 포함됩니다. 자세한 내용은 Azure Load Balancer 부동 IP 구성을 참조하세요.
게이트웨이 Load Balancer 구성 모범 사례 구현
서로 다른 두 터널 인터페이스에서 신뢰할 수 있는 트래픽과 신뢰할 수 없는 트래픽을 구분합니다. 신뢰할 수 없거나 아직 검사되지 않았거나 관리되는 트래픽에 외부 터널 인터페이스 형식을 사용하고 신뢰할 수 있거나 검사된 트래픽에 대해 내부 터널 인터페이스 형식을 사용합니다. 보안 모범 사례로 신뢰할 수 있는 트래픽과 신뢰할 수 없는 트래픽의 격리를 보장하고 보다 세분화된 트래픽 제어 및 문제 해결을 허용할 수 있습니다.
NVA MTU 제한이 최소 1550으로 증가하거나 점보 프레임이 사용되는 시나리오의 경우 권장 제한인 4000까지 증가해야 합니다. MTU 제한을 늘리지 않으면 VXLAN 헤더에 의해 생성된 다른 패킷의 패킷 크기가 커지기 때문에 패킷이 떨어질 수 있습니다.
사용 중지 공지 사항
Azure Load Balancer에 대한 새로운 개선 사항 및 업데이트와 함께 기능이 더 이상 사용되지 않습니다. 업데이트 상태를 유지하고 잠재적인 서비스 중단을 방지하기 위해 필요한 변경을 수행해야 합니다. 사용 중지 알림의 전체 목록은 Azure 업데이트 페이지를 참조하고 "업데이트 유형" 아래의 "제품" 및 "사용 중지"에서 "Load Balancer"에 대한 필터를 참조하세요.
표준 Load Balancer 사용 또는 업그레이드
기본 Load Balancer는 2025년 9월 30일 사용 중지 되었으며 고객은 그때까지 기본 Load Balancer에서 표준 Load Balancer로 업그레이드해야 합니다. 표준 Load Balancer 고성능, 초저 대기 시간, 기본적으로 보안 및 99.99%의 가용성 SLA를 포함하여 크게 향상되었습니다.
기본 아웃바운드 액세스 사용 안 함
앞으로 기본 아웃바운드 액세스를 사용하지 말고 모든 VM에 정의된 명시적 아웃바운드 메서드가 있는지 확인합니다. 이는 VM이 인터넷에 연결하는 방법을 더 잘 보안하고 제어하는 데 권장됩니다. 기본 아웃바운드 액세스는 2025 년 9월 30일 사용 중지되며, 이 날짜 이후에 만든 VM은 다음 아웃바운드 솔루션 중 하나를 사용하여 인터넷과 통신해야 합니다.
- NAT GW를 서브넷에 연결
- 아웃바운드 규칙을 통해 아웃바운드에 Load Balancer의 프런트 엔드 IP 하나 이상 사용
- VM에 인스턴스 수준 공용 IP 주소 할당