1. Azure Network Watcher란?
- Azure Network Watcher는 메트릭을 모니터링, 진단, 확인하고 Azure IaaS(Infrastructure-as-a-Service) 리소스에 대한 로그를 사용 또는 사용하지 않도록 설정하는 도구 모음을 제공합니다.
- Network Watcher를 사용하면 VM(가상 머신), VNet(가상 네트워크), 애플리케이션 게이트웨이, 부하 분산 장치 등과 같은 IaaS 제품의 네트워크 상태를 모니터링하고 복구할 수 있습니다.
- 다만, Network Watcher는 PaaS 모니터링 또는 웹 분석용으로 설계되거나 의도되지 않았습니다.
2. 구성 및 종류
- Network Watcher는 모니터링, 네트워크 진단 도구, 트래픽 세 가지 주요 도구 및 기능 집합으로 구성되며, 아래와 같습니다.
| 카테고리 | 서비스명 | 상세 설명 |
| Monitoring | Connection Monitor | 연결 모니터 테스트는 TCP, ICMP, HTTP ping에 대한 패킷 손실 및 네트워크 지연 시간 지표를 집계하여 측정합니다. 통합 토폴로지는 종단 간 네트워크 경로를 시각화하고, 홉 성능 지표를 통해 네트워크 경로 홉을 강조 표시합니다. 연결 모니터는 문제의 근본 원인을 효율적으로 분석하고 해결할 수 있도록 실행 가능한 인사이트와 상세한 로그를 제공합니다 참조 링크 : https://learn.microsoft.com/en-us/azure/network-watcher/connection-monitor-overview |
| Topology | 토폴로지는 Azure에서 여러 구독, 지역 및 리소스 그룹에 걸쳐 리소스와 리소스 간의 관계를 확인할 수 있는 대화형 인터페이스를 제공합니다. Azure Network Watcher 연결 모니터 및 트래픽 분석 에서 얻은 인사이트를 제공하는 대화형 그래픽 인터페이스를 통해 클라우드 네트워크 인프라를 관리하고 모니터링할 수 있습니다. 토폴로지는 연결 문제 해결 , 패킷 캡처 , 다음 홉 과 같은 Network Watcher 진단 도구에 대한 상황별 액세스를 제공하여 네트워크 문제를 진단하고 해결하는 데 도움을 줍니다 . 참조 링크 : https://learn.microsoft.com/en-us/azure/network-watcher/network-insights-topology |
|
| Network Diagnostic Tools (https://learn.microsoft.com/en-us/azure/network-watcher/) |
NSG diagnostics | NSG 진단은 Azure Network Watcher 도구로, Azure 가상 네트워크에서 허용 또는 거부되는 네트워크 트래픽을 파악하고 디버깅에 필요한 자세한 정보를 제공합니다. NSG 진단을 통해 네트워크 보안 그룹 규칙이 올바르게 설정되었는지 확인할 수 있습니다. |
| IP flow verify | IP 흐름 확인은 Azure Network Watcher의 기능으로, 구성된 보안 및 관리 규칙에 따라 Azure 가상 머신에서 패킷이 허용 또는 거부되는지 확인하는 데 사용할 수 있습니다. 네트워크 보안 그룹(NSG) 규칙과 Azure Virtual Network Manager 관리 규칙을 확인하여 가상 머신 연결 문제를 해결하는 데 도움이 됩니다. 다른 Azure 리소스, 인터넷 및 온-프레미스 환경과의 연결 문제를 진단하는 빠르고 간단한 도구입니다 | |
| Effective security rules | 효과적인 보안 규칙 보기는 Azure Network Watcher의 기능으로, 네트워크 인터페이스에 적용된 인바운드 및 아웃바운드 규칙을 집계하여 볼 수 있습니다. 네트워크 인터페이스에 적용된 보안 및 관리 규칙을 한눈에 볼 수 있습니다. 이 기능을 사용하여 연결 문제를 해결하고 Azure 네트워크 리소스의 보안 및 규정 준수를 감사할 수 있습니다. | |
| Packet capture | Azure Network Watcher 패킷 캡처를 사용하면 패킷 캡처 세션을 생성하여 가상 머신(VM) 또는 확장 집합 간의 트래픽을 추적할 수 있습니다. 패킷 캡처는 네트워크 이상을 사후 및 사전 예방적으로 진단하는 데 도움이 됩니다. 또한 네트워크 통계 수집, 네트워크 침입 정보 수집, 클라이언트-서버 통신 디버깅 등 다양한 용도로 활용할 수 있습니다. | |
| VPN troubleshoot | VM 네트워크 문제 해결사는 고객이 Azure 가상 머신에서 자주 사용되는 포트가 차단되었는지 빠르게 확인할 수 있도록 도와줍니다. VM 네트워크 문제 해결사는 NSG 진단 도구를 기반으로 구축되었습니다. 이 문제 해결사는 일반 포트에 대한 VM 트래픽을 시뮬레이션합니다. 흐름 허용 여부와 해당 흐름을 허용 또는 거부하는 보안 규칙에 대한 자세한 정보를 함께 제공합니다. 고객은 결과에서 NSG 규칙을 클릭하여 필요에 따라 수정할 수 있습니다. | |
| Next hop | 다음 홉은 Azure Network Watcher의 기능으로, 특정 대상 IP 주소의 다음 홉 유형 , IP 주소 , 경로 테이블 ID를 제공합니다 . 다음 홉 정보를 알면 트래픽이 의도한 대상으로 전송되는지 또는 전송이 중단되는지 확인하는 데 도움이 됩니다. 트래픽이 온프레미스 위치 또는 네트워크 가상 어플라이언스로 전송되는 부적절한 경로 구성은 연결 문제를 야기할 수 있습니다. | |
| Connection troubleshoot | 연결 문제 해결은 네트워크 보안 그룹, 사용자 정의 경로 및 차단된 포트와 관련된 문제를 감지하기 위해 모든 연결 주요 검사를 수행하는 포괄적인 방법을 제공하여 평균 해결 시간(MTTR)을 단축합니다. . 반환되는 결과는 연결 문제의 근본 원인과 플랫폼 문제인지 사용자 구성 문제인지에 대한 통찰력을 제공할 수 있습니다. | |
| Traffic | Vnet Flow Logs | 가상 네트워크 흐름 로그는 Azure Network Watcher의 기능입니다. 가상 네트워크를 통과하는 IP 트래픽에 대한 정보를 기록하는 데 사용할 수 있습니다. 가상 네트워크 흐름 로그의 흐름 데이터는 Azure Storage로 전송됩니다. Azure Storage에서 데이터에 액세스하여 시각화 도구, 보안 정보 및 이벤트 관리(SIEM) 솔루션 또는 침입 탐지 시스템(IDS)으로 내보낼 수 있습니다. 가상 네트워크 흐름 로그는 네트워크 보안 그룹 흐름 로그 의 일부 한계를 극복합니다 . |
| NSG Flow Logs | 네트워크 보안 그룹(NSG) 흐름 로깅은 Azure Network Watcher의 기능으로, 네트워크 보안 그룹을 통과하는 IP 트래픽에 대한 정보를 로깅할 수 있습니다 . 흐름 데이터는 Azure Storage로 전송되며, 여기에서 원하는 시각화 도구, 보안 정보 및 이벤트 관리(SIEM) 솔루션 또는 침입 탐지 시스템(IDS)으로 데이터를 내보내고 액세스할 수 있습니다. | |
| Traffic analytics | 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 활동에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. 특히, 트래픽 분석은 Azure Network Watcher 흐름 로그를 분석하여 Azure 클라우드의 트래픽 흐름에 대한 통찰력을 제공합니다. 또한 원시 흐름 로그를 분석하고 로그 데이터를 보안, 토폴로지 및 지리적 정보와 결합합니다. 이를 통해 사용자 환경의 트래픽 흐름에 대한 통찰력을 제공합니다. |
3. Vnet Flow Logs 의 장점(vs NSG Flow Logs) 및 특징
- 가상 네트워크 흐름 로그와 네트워크 보안 그룹 흐름 로그는 모두 IP 트래픽을 기록하지만 동작과 기능이 다릅니다.
- 가상 네트워크 흐름 로그는 가상 네트워크 에서 로깅을 활성화할 수 있으므로 트래픽 모니터링 범위를 간소화합니다 . 가상 네트워크 내에서 지원되는 모든 워크로드를 통과하는 트래픽이 기록됩니다.
- 가상 네트워크 흐름 로그를 사용하면 네트워크 보안 그룹 흐름 로그 처럼 다중 레벨 흐름 로깅을 활성화할 필요가 없습니다 . 네트워크 보안 그룹 흐름 로그에서 네트워크 보안 그룹은 서브넷과 네트워크 인터페이스(NIC) 모두에 구성됩니다.
- 네트워크 보안 그룹 규칙 에서 허용 또는 거부하는 트래픽을 식별하는 기존 지원 외에도 , 가상 네트워크 흐름 로그는 Azure Virtual Network Manager 보안 관리 규칙 에서 허용 또는 거부하는 트래픽을 식별하는 기능을 지원합니다. 또한 가상 네트워크 흐름 로그는 가상 네트워크 암호화를 사용하는 경우 네트워크 트래픽의 암호화 상태를 평가하는 기능도 지원합니다 .
- 중복된 트래픽 기록과 추가 비용을 피하기 위해 동일한 기본 작업 부하에서 가상 네트워크 흐름 로그를 활성화하기 전에 네트워크 보안 그룹 흐름 로그를 비활성화하는 것이 좋습니다.
- 서브넷의 네트워크 보안 그룹에서 네트워크 보안 그룹 흐름 로그를 활성화한 다음, 동일한 서브넷이나 부모 가상 네트워크에서 가상 네트워크 흐름 로그를 활성화하면 중복 로깅이 생성되거나 가상 네트워크 흐름 로그만 생성될 수 있습니다.
- 트래픽은 프라이빗 엔드포인트 자체에서 기록할 수 없습니다. 소스 VM에서 프라이빗 엔드포인트로 향하는 트래픽을 캡처할 수 있습니다. 트래픽은 VM의 소스 IP 주소와 프라이빗 엔드포인트의 대상 IP 주소로 기록됩니다. PrivateEndpointResourceId필드를 사용하여 프라이빗 엔드포인트로 흐르는 트래픽을 식별할 수 있습니다.
- 스토리지 계정은 가상 네트워크와 동일한 지역에 있어야 합니다.
- 저장소 계정은 가상 네트워크의 동일한 구독에 있어야 하거나 가상 네트워크 구독의 동일한 Microsoft Entra 테넌트와 연결된 구독에 있어야 합니다.
- 스토리지 계정은 표준이어야 합니다. 프리미엄 스토리지 계정은 지원되지 않습니다.
- 스토리지 계정의 액세스 키를 변경하거나 순환하면 가상 네트워크 흐름 로그가 작동하지 않습니다. 이 문제를 해결하려면 가상 네트워크 흐름 로그를 비활성화했다가 다시 활성화해야 합니다.
- 흐름 로그는 OSI(Open Systems Interconnection) 모델의 4계층에서 작동하며 가상 네트워크를 통과하는 모든 IP 흐름을 기록합니다.
- 로그는 Azure 플랫폼을 통해 1분 간격으로 수집됩니다. Azure 리소스나 네트워크 트래픽에는 영향을 미치지 않습니다.
- 로그는 JSON(JavaScript Object Notation) 형식으로 작성됩니다.
- 각 로그 레코드에는 흐름이 적용되는 네트워크 인터페이스, 5-튜플 정보, 트래픽 방향, 흐름 상태, 암호화 상태 및 처리량 정보가 포함됩니다.
- 네트워크의 모든 트래픽 흐름은 해당 네트워크 보안 그룹 규칙 또는 Azure Virtual Network Manager 보안 관리 규칙을 통해 평가됩니다 .
4. 참고 문서
'Azure 상식' 카테고리의 다른 글
| Express Route 개념 및 SKU Tier 특징 이해 (0) | 2025.08.18 |
|---|---|
| Azure GPU VM 기본 정보 및 공유 방식 이해 (2) | 2025.08.18 |
| Azure 구독 및 관리 그룹에 대하여 (2) | 2025.08.11 |
| Azure Data Platform 이해 및 서비스 개요 (2) | 2025.08.11 |
| GitHub Actions 워크플로 이해 및 Secret 사용 모범 규약 (3) | 2025.08.07 |