1 Azure Multi-Region 아키텍처
- Azure의 멀티리전, 고가용성, 계층화 네트워크 아키텍처를 비유와 실제 IT 구조를 병행 설명한다.
- 이해를 용이하게 하기위해 Region을 조직의 부서에 빗대어 설명한다.
1.1 핵심 개념: 부서(Region)과 데이터센터, 그리고 연결
- Azure Region
- 물리적으로 분리된 데이터센터 그룹으로, 지리적 독립성을 통해 재해 복구(Disaster Recovery)를 지원한다.
- 각 Region은 최소 3개의 가용성 영역(Availability Zone)으로 구성되어 단일 장애점을 제거한다.
- 즉, 실제 데이터센터 집합으로 서울 부서(Region A)과 부산 부서(Region B)처럼, 한 곳은 주 운영,그러 다른 곳은 백업/재해복구 역할.
- 물리적으로 분리된 데이터센터 그룹으로, 지리적 독립성을 통해 재해 복구(Disaster Recovery)를 지원한다.
- Global VNet Peering
- Azure 백본 네트워크를 통해 Region 간 가상 네트워크를 연결하며, 인터넷을 거치지 않아 낮은 지연시간(latency, 데이터 패킷이 도달하는 데 걸리는 시간)과 높은 대역폭(bandwidth, 전송 가능한 최대 데이터 용량)을 제공
- 트래픽은 Microsoft 전용 네트워크를 통해 암호화되어 전송된다.
- 즉, Global VNet Peering은 두 부서 간 고속 전용 회선으로 데이터센터 간 전용 네트워크 연결의 역할을 한다.
- Azure 백본 네트워크를 통해 Region 간 가상 네트워크를 연결하며, 인터넷을 거치지 않아 낮은 지연시간(latency, 데이터 패킷이 도달하는 데 걸리는 시간)과 높은 대역폭(bandwidth, 전송 가능한 최대 데이터 용량)을 제공
1.2 보안과 접근 제어: 부서 출입 관리 vs. IT 보안
- InfraHub VNet (Hub-Spoke 아키텍처)
- 중앙 집중식 보안 및 관리 계층으로, 모든 트래픽이 허브를 통과하도록 강제한다.
- VPN (Virtual Private Network) Gateway는 온프레미스 연결을 담당 (공용 인터넷을 통해 암호화된 전용 통로를 만드는 기술)
- Azure Firewall은 네트워크 트래픽 필터링,
- Jump Host (Bastion): 외부에서 내부 서버에 직접 접근을 막고 반드시 거쳐야 하는 중간 관리 서버로 안전한 원격 관리를 담당한다.
- VPN (Virtual Private Network) Gateway는 온프레미스 연결을 담당 (공용 인터넷을 통해 암호화된 전용 통로를 만드는 기술)
- 즉, InfraHub VNet은 두 부서가 공통으로 사용하는 보안/관리 장치 구역이다.
- VPN, DDoS Protection, Traffic Manager, Jump Host 등
- 부서 출입 통제, 경비 시스템, 안내 데스크, 보안 게이트에 해당한다
- DDoS Protection: OSI Layer (네트워크 통신을 7개 계층으로 나눈 표준 모델) 3-4 공격을 자동 탐지/차단하며, Standard 계층은 실시간 공격 메트릭과 자동 완화 기능을 제공한다.
- VPN, DDoS Protection, Traffic Manager, Jump Host 등
- 중앙 집중식 보안 및 관리 계층으로, 모든 트래픽이 허브를 통과하도록 강제한다.
- UDR & Internet GW (Gateway, 내부 네트워크와 인터넷을 연결하는 관문)
- 데이터가 정해진 경로로만 이동하도록 교통 경찰처럼 통제한다
- Traffic Manager: DNS 기반 글로벌 로드 밸런싱으로, 지리적 위치, 성능, 가중치 등의 라우팅 방식을 지원한다.
- UDR (User Defined Routes): 기본 시스템 라우팅을 재정의하여 트래픽을 방화벽이나 NVA(Network Virtual Appliance)를 거치도록 강제한다.
- 데이터가 정해진 경로로만 이동하도록 교통 경찰처럼 통제한다
1.3 서비스 구역: 층별 부서과 계층화 네트워크
- Pro-App VNet (Production Virtual Network)
- 실제 프로덕션 워크로드 전용 격리 네트워크로, NSG(Network Security Group)를 통해 인바운드 (외부→내부 트래픽) / 아웃바운드 (내부→외부 트래픽)을 제어한다.
- SLA (Service Level Agreement, 서비스 제공자가 보장하는 가용성 수준) 99.95% 이상을 목표로 설계된다 (연간 다운타임 4.4시간 이내).
- 실제 프로덕션 워크로드 전용 격리 네트워크로, NSG(Network Security Group)를 통해 인바운드 (외부→내부 트래픽) / 아웃바운드 (내부→외부 트래픽)을 제어한다.
- Non-Prod App VNet
- 개발/테스트 환경 격리를 통해 프로덕션 데이터 유출을 방지
- 낮은 비용의 VM SKU와 dev/test 가격 정책을 활용한다.
- 테스트/개발 구역으로, 실패해도 운영에 영향이 없다
- 개발/테스트 환경 격리를 통해 프로덕션 데이터 유출을 방지
- 3-Tier Architecture:
- Frontend: Application Gateway(L7 로드 밸런서) + WAF로 웹 계층 보호
- Business Logic: Azure Load Balancer(L4) + VM Scale Set으로 자동 확장
- Backend: SQL Database(PaaS) 또는 VM 기반 DB + Azure Storage(Blob/File)로 데이터 영속성 보장
- 3계층 구조 = Frontend(사용자 접점) + Business Logic(분석/계산) + Backend(DB/저장소)
- 각 층에 VM, LB, Storage, DB 등을 배치한다
- Frontend: Application Gateway(L7 로드 밸런서) + WAF로 웹 계층 보호
1.4 데이터 흐름과 보안: 실제 엔터프라이즈 아키텍처 해설
- ExpressRoute
- 최대 100Gbps 대역폭의 전용 회선
- 인터넷을 거치지 않아 일관된 지연시간과 높은 보안성을 제공한다.
- Layer 3 연결로 BGP(Border Gateway Protocol)를 통해 라우팅한다.
- On-Premises ↔︎ Express Route ↔︎ Azure: 기업 내부망과 클라우드 간 전용 회선을 연결한다
- 최대 100Gbps 대역폭의 전용 회선
- S2S VPN (Site-to-Site)
- IPsec/IKE 프로토콜 기반 암호화 터널로 온프레미스 네트워크와 Azure VNet을 연결
- 최대 1.25Gbps 처리량을 지원
- IPsec/IKE 프로토콜 기반 암호화 터널로 온프레미스 네트워크와 Azure VNet을 연결
- P2S VPN (Point-to-Site)
- OpenVPN, SSTP, IKEv2 프로토콜을 지원
- Azure AD 인증을 통해 개별 사용자 접근을 제어한다.
- OpenVPN, SSTP, IKEv2 프로토콜을 지원
- S2S VPN, P2S VPN: 사이트 간/개인 사용자 암호화 터널이다
- Azure Front Door
- 글로벌 L7 로드 밸런서,
- SSL 오프로딩,
- URL 기반 라우팅,
- 세션 어피니티를 지원하며 CDN 기능을 통합한다.
- 글로벌 L7 로드 밸런서,
- Traffic Manager & Front Door: 부하를 분산하고 지연을 최소화한다
1.5 실제 데이터 처리 공간: 계층별 역할
- Resource Group
- 파란 박스 = 논리적 자원 묶음
- Azure 리소스의 논리적 컨테이너로, 생명주기 관리, RBAC(Role-Based Access Control) 권한 부여, 태그 기반 비용 추적의 단위가 된다.
- 파란 박스 = 논리적 자원 묶음
- Shared Services:
- 여러 앱이 공통으로 사용하는 도구이다 (AD, Proxy, NAT)
- Azure AD (Active Directory, Microsoft의 중앙 집중식 사용자 인증/권한 관리 시스템): 중앙 집중식 인증/권한 관리
- Azure Bastion: RDP (Remote Desktop Protocol, Windows 원격 데스크톱 연결 프로토콜)/SSH를 위한 PaaS 기반 Jump Host (공용 IP 불필요)
- NAT (Network Address Translation, 사설 IP를 공인 IP로 변환) Gateway: 아웃바운드 인터넷 연결을 위한 고가용성 NAT 서비스
- Proxy (클라이언트와 서버 사이의 중개 서버): 요청을 대신 전달하고 캐싱/보안 필터링 수행
- Frontend/Web(사용자), Business Logic(분석/AI), Backend(DB)
- 여러 앱이 공통으로 사용하는 도구이다 (AD, Proxy, NAT)
- Load Balancer
- 여러 서버에 요청을 분산한다
- Layer 4 TCP/UDP 로드 밸런싱
- Health Probe (서버가 정상 작동하는지 주기적으로 확인하는 모니터링)를 통해 비정상 인스턴스를 자동 제외
- 5-tuple 해시 기반 세션 분산을 수행한다.
- 여러 서버에 요청을 분산한다
- Storage:
- 정형/비정형 데이터를 저장한다
- Blob Storage: 비정형 데이터(이미지, 로그) 저장, Hot/Cool/Archive 계층 지원
- Azure SQL Database: 자동 백업, 지역 복제, 99.99% SLA 보장
- 정형/비정형 데이터를 저장한다
1.6 비프로덕션 영역: 실험실과 검증 환경
- 운영과 동일한 구조로 테스트/스테이징 환경을 구성한다
- 실제 데이터에 영향 없이 실험 및 검증이 가능하다
- 환경 격리
- VNet Peering 없이 완전 분리하거나 제한된 Peering을 통해 선택적 연결을 구성한다.
- VNet Peering 없이 완전 분리하거나 제한된 Peering을 통해 선택적 연결을 구성한다.
- 비용 최적화
- Dev/Test 구독을 통해 최대 40% 할인, B-Series VM(버스트 가능 인스턴스) 활용, 야간/주말 자동 종료 스케줄링으로 비용을 절감
- Dev/Test 구독을 통해 최대 40% 할인, B-Series VM(버스트 가능 인스턴스) 활용, 야간/주말 자동 종료 스케줄링으로 비용을 절감
- 데이터 마스킹
- Azure SQL Database의 Dynamic Data Masking을 활용하여 프로덕션 데이터 복사 시 민감 정보를 자동 마스킹한다.
1.7 글로벌 VNet Peering & Internet Gateway
- 두 Region 간 직접 연결(피어링)을 하고, 외부 접근은 Internet Gateway로 통제한다
- 한 지역 장애 시 자동으로 대체된다(고가용성)
- Global VNet Peering
- Azure 백본 네트워크를 통한 전용 연결
- 대역폭 제한 없이 최대 25Gbps를 지원
- 트래픽은 프라이빗 IP를 사용하며 인터넷 노출 없이 전송
- Azure 백본 네트워크를 통한 전용 연결
- Internet Gateway (NAT Gateway)
- 아웃바운드 전용 인터넷 연결을 제공
- 고정 공용 IP를 통해 외부 서비스 접근을 허용
- 최대 64,000개 동시 연결을 지원한다.
- 아웃바운드 전용 인터넷 연결을 제공
- 고가용성
- Traffic Manager의 Health Check (서버 정상 작동 여부를 주기적으로 확인)를 통해 장애 Region을 자동 감지
- DNS TTL (Time To Live, DNS 조회 결과를 캐시에 저장하는 시간) 기반으로 트래픽을 정상 Region으로 리다이렉션한다 (RTO: 수 분 이내).
- Traffic Manager의 Health Check (서버 정상 작동 여부를 주기적으로 확인)를 통해 장애 Region을 자동 감지
1.8 운영/관제 도구와 데이터과학자 관점의 실제 의미
- Monitoring, App Insights, Log Analytics, Key Vault: 실시간 관제, 로그 분석, 비밀정보를 저장한다
- IAM, Event Hubs, Power BI 등: 데이터 분석, 시각화, 권한을 관리한다
- Azure Monitor
- 플랫폼 및 애플리케이션 메트릭 수집
- Kusto 쿼리 언어(KQL)로 로그 분석
- 알림 규칙 기반 자동 대응을 수행
- 플랫폼 및 애플리케이션 메트릭 수집
- Application Insights
- APM(Application Performance Monitoring) 도구
- 분산 추적, 종속성 맵, 라이브 메트릭 스트림을 제공하여 성능 병목을 실시간 파악한다.
- APM(Application Performance Monitoring) 도구
- Log Analytics Workspace
- 중앙 집중식 로그 저장소로
- 보안 이벤트, 성능 데이터, 애플리케이션 로그를 통합 관리하며 최대 730일 보관을 지원한다.
- 중앙 집중식 로그 저장소로
- Key Vault (암호화 키, 인증서, API 키 등 민감한 정보를 안전하게 저장하고 관리하는 서비스)
- HSM(Hardware Security Module) 지원 비밀 저장소
- 암호화 키, 인증서, API 키를 안전하게 관리하고 RBAC 및 액세스 정책으로 접근을 제어
- HSM(Hardware Security Module) 지원 비밀 저장소
- Event Hubs
- 초당 수백만 이벤트를 수집하는 스트리밍 플랫폼으로
- 실시간 분석 파이프라인의 진입점 역할을 한다 (Kafka API 호환).
- 초당 수백만 이벤트를 수집하는 스트리밍 플랫폼으로
1.9 결론
- Azure는 데이터 및 서비스를 한 곳에만 의존하지 않고 여러 곳에 분산/복제한다
- 장애/실패에 강하고, 보안·성능·확장성·관측성을 모두 확보한다
- 데이터과학/AI 플랫폼도 이런 구조 위에서 안전하게 운영할 수 있다
- Multi-Region Active-Active/Active-Passive
- 지리적 이중화를 통해 RPO(Recovery Point Objective) < 1시간, RTO(Recovery Time Objective) < 15분을 달성한다.
- 지리적 이중화를 통해 RPO(Recovery Point Objective) < 1시간, RTO(Recovery Time Objective) < 15분을 달성한다.
- Auto-Scaling
- VM Scale Set의 메트릭 기반 자동 확장으로 트래픽 급증 시 수 분 내 인스턴스를 추가하며, 비용 최적화를 위해 자동 축소를 수행한다.
- VM Scale Set의 메트릭 기반 자동 확장으로 트래픽 급증 시 수 분 내 인스턴스를 추가하며, 비용 최적화를 위해 자동 축소를 수행한다.
- Zero Trust Security
- 모든 접근을 검증하는 원칙으로, Azure AD Conditional Access, Private Endpoint, NSG 기반 마이크로 세그멘테이션을 적용한다.
- 모든 접근을 검증하는 원칙으로, Azure AD Conditional Access, Private Endpoint, NSG 기반 마이크로 세그멘테이션을 적용한다.
- Observability
- 메트릭(성능), 로그(이벤트), 트레이스(분산 추적)의 3-pillar 관측성을 통해 장애 예측 및 근본 원인 분석을 수행한다.