허브-스포크 네트워크에서 중앙 집중식 방화벽을 사용하는 SQL MI 장애 조치 그룹 생성 문제 해결

Azure SQL Managed Instance 장애 조치(failover) 그룹은 다른 지역의 인스턴스 간에 사용자 데이터베이스를 복제합니다. 고객 시나리오에서 이러한 장애 조치 그룹 생성은 네트워크 연결이 정상적으로 보였음에도 불구하고 실패했습니다. 근본 원인은 중앙 집중식 방화벽이 있는 허브-스포크 토폴로지의 네트워크 경로 동작으로 파악되었습니다. 특히, 관리형 인스턴스 간의 필수 포트, 라우팅 및 트래픽 처리와 관련된 문제가 발생했습니다. 장애 조치 그룹 복제는 인스턴스 서브넷 간에 5022 및 11000-11999 포트에서 양방향 TCP 연결이 필요합니다. 허브-스포크 아키텍처에서는 트래픽이 중앙 방화벽을 통과하며, 이는 이러한 연결을 방해할 수 있습니다. 문제점으로는 잘못된 포트 허용, 네트워크 보안 그룹을 재정의하는 방화벽 정책, 비대칭 라우팅, SNAT/NAT 적용 및 공격적인 세션 비활성 시간 초과 등이 있습니다. DNS 영역 불일치 및 주소 공간 중복도 중요한 사전 요구 사항입니다. 이 문제를 해결하기 위해 사전 요구 사항을 확인하고, 모든 네트워크 지점에서 포트 개방을 보장했으며, 방화벽을 통한 라우팅 경로를 안정화했습니다. 동기식 라우팅 및 동서 트래픽에 대한 최소한의 방화벽 개입이 중요했습니다. SQL MI 인식 연결 테스트를 사용하여 검증했습니다. 이러한 변경 후 장애 조치 그룹 생성, 시딩 및 복제가 성공적으로 이루어졌습니다. 중앙 집중식 방화벽이 있는 허브-스포크 아키텍처에 장애 조치 그룹을 배포할 때 네트워크 경로 동작은 주요 고려 사항입니다.