Azure Data Explorer용 프라이빗 엔드포인트
클러스터에 대한 프라이빗 엔드포인트를 사용하여 가상 네트워크의 클라이언트가 프라이빗 링크를 통해 데이터에 안전하게 액세스할 수 있도록 할 수 있습니다. 프라이빗 엔드포인트는 가상 네트워크 주소 공간의 개인 IP 주소를 사용하여 클러스터에 비공개로 연결합니다. 가상 네트워크와 클러스터의 클라이언트 간 네트워크 트래픽은 가상 네트워크와 Microsoft 백본 네트워크의 프라이빗 링크를 통과하여 공용 인터넷의 노출을 제거합니다.
클러스터에 프라이빗 엔드포인트를 사용하면 다음을 수행할 수 있습니다.
- 클러스터의 대한 퍼블릭 엔드포인트의 모든 연결을 차단하도록 방화벽을 구성하여 클러스터를 보호합니다.
- 가상 네트워크에서의 데이터 반출을 차단하여 가상 네트워크 보안을 강화합니다.
- 프라이빗 피어링이 있는 VPN 게이트웨이 또는 ExpressRoutes 를 사용하여 가상 네트워크에 연결하는 온-프레미스 네트워크의 클러스터에 안전하게 연결합니다.
개요
프라이빗 엔드포인트는 가상 네트워크의 IP 주소 범위에서 IP 주소가 할당된 가상 네트워크의 Azure 서비스에 대한 특수 네트워크 인터페이스입니다. 클러스터에 대한 프라이빗 엔드포인트를 만들 때 가상 네트워크의 클라이언트와 클러스터 간에 보안 연결을 제공합니다. 프라이빗 엔드포인트와 클러스터 간의 연결은 보안 프라이빗 링크를 사용합니다.
가상 네트워크의 애플리케이션은 프라이빗 엔드포인트를 통해 클러스터에 원활하게 연결할 수 있습니다. 연결 문자열 및 권한 부여 메커니즘은 퍼블릭 엔드포인트에 연결하는 데 사용하는 것과 동일합니다.
가상 네트워크에서 클러스터에 대한 프라이빗 엔드포인트를 만들면 클러스터 소유자에게 승인을 위해 동의 요청이 전송됩니다. 프라이빗 엔드포인트 만들기를 요청한 사용자가 클러스터 소유자인 경우 요청이 자동으로 승인됩니다. 클러스터 소유자는 프라이빗 엔드포인트에서 Azure Portal의 클러스터에 대한 동의 요청 및 프라이빗 엔드포인트를 관리할 수 있습니다.
기본적으로 공용 엔드포인트를 통한 액세스를 거부하도록 클러스터 방화벽을 구성하여 가상 네트워크의 연결만 허용하도록 클러스터를 보호할 수 있습니다. 클러스터 방화벽은 퍼블릭 엔드포인트에 대한 액세스만 제어하기 때문에 프라이빗 엔드포인트가 있는 가상 네트워크의 트래픽을 허용하는 방화벽 규칙이 필요하지 않습니다. 이와 대조적으로 프라이빗 엔드포인트는 서브넷에 클러스터에 대한 액세스 권한을 부여하는 동의 플로우를 사용합니다.
가상 네트워크의 서브넷 크기 계획
서브넷이 배포되면 클러스터의 프라이빗 엔드포인트를 호스트하는 데 사용되는 서브넷의 크기를 변경할 수 없습니다. 프라이빗 엔드포인트는 가상 네트워크에서 여러 IP 주소를 사용합니다. 고급 수집과 같은 극단적인 시나리오에서는 프라이빗 엔드포인트에서 사용하는 IP 주소 수가 증가할 수 있습니다. 이러한 증가는 클러스터에 수집하기 위한 준비 계정으로 필요한 임시 스토리지 계정 수의 증가로 인해 발생합니다. 시나리오가 사용자 환경과 관련된 경우 서브넷의 크기를 결정할 때 이를 계획해야 합니다.
참고
임시 스토리지 계정의 스케일 아웃을 다루는 관련 수집 시나리오는 로컬 파일에서 수집 및 Blob에서 비동기 수집입니다.
다음 정보를 사용하여 프라이빗 엔드포인트에 필요한 총 IP 주소 수를 확인할 수 있습니다.
| 기능 | IP 주소 수 |
|---|---|
| 엔진 서비스 | 1 |
| 데이터 관리 서비스 | 1 |
| 임시 스토리지 계정 | 6 |
| Azure 예약된 주소 | 5 |
| 합계 | 13 |
참고
서브넷의 절대 최소 크기는 /28(사용 가능한 IP 주소 14개)이어야 합니다. 극단적인 수집 워크로드를 위한 Azure Data Explorer 클러스터를 만들려는 경우 /24 넷마스크를 사용하여 것이 안전합니다.
너무 작은 서브넷을 만든 경우 서브넷을 삭제하고 주소 범위가 더 큰 새 서브넷을 만들 수 있습니다. 서브넷을 다시 만든 후에는 클러스터에 대한 새 프라이빗 엔드포인트를 만들 수 있습니다.
프라이빗 엔드포인트에 연결
프라이빗 엔드포인트를 사용하는 가상 네트워크의 클라이언트는 퍼블릭 엔드포인트에 연결하는 클라이언트와 클러스터에 대해 동일한 연결 문자열 사용해야 합니다. DNS 확인은 프라이빗 링크를 통해 가상 네트워크에서 클러스터로 연결을 자동으로 라우팅합니다.
중요
퍼블릭 엔드포인트에 연결하는 데 사용하는 것과 동일한 연결 문자열을 통해 프라이빗 엔드포인트를 사용하여 클러스터에 연결합니다. 프라이빗 링크 하위 도메인 URL을 사용하여 클러스터에 연결하지 마세요.
기본적으로 Azure Data Explorer 프라이빗 엔드포인트에 필요한 업데이트를 사용하여 가상 네트워크에 연결된 프라이빗 DNS 영역을 만듭니다. 그러나 자체 DNS 서버를 사용하는 경우 DNS 구성을 더 변경해야 할 수 있습니다.
중요
최적의 구성을 위해 규모 클라우드 채택 프레임워크 문서에서 프라이빗 엔드포인트 및 DNS 구성의 권장 사항에 맞게 배포를 조정하는 것이 좋습니다. 문서의 정보를 사용하여 Azure Policy를 사용하여 프라이빗 DNS 항목 만들기를 자동화하여 확장할 때 배포를 보다 쉽게 관리할 수 있습니다.
Azure Data Explorer는 프라이빗 엔드포인트 배포의 일부로 여러 고객에게 표시되는 FQDN을 만듭니다. 쿼리 및 수집 FQDN 외에도 Blob/테이블/큐 엔드포인트에 대한 여러 FQDN이 함께 제공됩니다(수집 시나리오에 필요).
공용 액세스를 사용하지 않음
보안을 강화하기 위해 Azure Portal에서 클러스터에 대한 공용 액세스를 사용하지 않도록 설정할 수도 있습니다.
관리형 프라이빗 엔드포인트
관리 프라이빗 엔드포인트를 사용하여 클러스터가 프라이빗 엔드포인트를 통해 수집 또는 쿼리 관련 서비스에 안전하게 액세스할 수 있도록 할 수 있습니다. 이렇게 하면 Azure Data Explorer 클러스터가 개인 IP 주소를 통해 리소스에 액세스할 수 있습니다.
지원되는 서비스
Azure Data Explorer는 다음 서비스에 대한 관리형 프라이빗 엔드포인트 만들기를 지원합니다.
제한 사항
프라이빗 엔드포인트는 가상 네트워크에 삽입된 Azure Data Explorer 클러스터에 대해 지원되지 않습니다.
비용에 미치는 영향
프라이빗 엔드포인트 또는 관리형 프라이빗 엔드포인트는 추가 비용이 발생하는 리소스입니다. 비용은 선택한 솔루션 아키텍처에 따라 달라집니다. 자세한 내용은 Azure Private Link 가격 책정을 참조하세요.
관련 콘텐츠
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기