다음을 통해 공유

Express 가상 네트워크 주입 메서드

  • 아티클

적용 대상: Azure Data Factory Azure Synapse Analytics

기업용 올인원 분석 솔루션인 Microsoft Fabric의 Data Factory를 사용해 보세요. Microsoft Fabric은 데이터 이동부터 데이터 과학, 실시간 분석, 비즈니스 인텔리전스 및 보고에 이르기까지 모든 것을 다룹니다. 무료로 새 평가판을 시작하는 방법을 알아봅니다!

참고 항목

아래 지역의 SSIS Integration Runtime에는 빠른 가상 네트워크 삽입 기능이 아직 지원되지 않습니다.

  • Jio 인도 서부 또는 스위스 서부
  • US Gov 텍사스 또는 US Gov 애리조나
  • 중국 북부 2 또는 중국 동부 2

ADF(Azure Data Factory) 또는 Synapse Pipelines에서 SSIS(SQL Server Integration Services)를 사용하는 경우 Azure-SSIS IR(통합 런타임)을 가상 네트워크에 조인하는 두 가지 빠른 및 표준 방법이 있습니다. 빠른 방법을 사용하는 경우 다음 요구 사항을 충족하도록 가상 네트워크를 구성해야 합니다.

  • Microsoft.Batch가 Azure-SSIS IR이 조인할 가상 네트워크가 있는 Azure 구독의 등록된 리소스 공급자인지 확인합니다. 자세한 지침은 Azure Batch를 리소스 공급자로 등록 섹션을 참조하세요.

  • 가상 네트워크에 리소스 잠금이 없는지 확인합니다.

  • Azure-SSIS IR이 조인할 가상 네트워크에서 적절한 서브넷을 선택합니다. 자세한 내용은 아래 서브넷 선택 섹션을 참조하세요.

  • Azure-SSIS IR을 만드는 사용자에게 가상 네트워크/서브넷을 조인하는 데 필요한 RBAC(역할 기반 액세스 제어) 권한이 부여되는지 확인합니다. 자세한 내용은 아래 가상 네트워크 권한 선택 섹션을 참조하세요.

특정 시나리오에 따라 필요한 경우 다음을 구성할 수 있습니다.

  • Azure-SSIS IR의 아웃바운드 트래픽에 고정 공용 IP 주소를 사용하려면 아래 고정 공용 IP 주소 구성 섹션을 참조하세요.

  • 가상 네트워크에서 고유한 DNS(Domain Name System) 서버를 사용하려면 아래 사용자 지정 DNS 서버 구성 섹션을 참조하세요.

  • NSG(네트워크 보안 그룹)를 사용하여 서브넷의 아웃바운드 트래픽을 제한하려면 아래 NSG 구성 섹션을 참조하세요.

  • UDR(사용자 정의 경로)을 사용하여 아웃바운드 트래픽을 감사/검사하려면 아래 UDR 구성 섹션을 참조하세요.

다음은 Azure-SSIS IR에 필요한 연결을 보여 주는 다이어그램입니다.

빠른 가상 네트워크 삽입에서 Azure-SSIS IR에 필요한 연결을 보여 주는 다이어그램

서브넷 선택

빠른 가상 네트워크 삽입을 사용하려면 Azure-SSIS IR이 조인할 적절한 서브넷을 선택해야 합니다.

  • GatewaySubnet은 가상 네트워크 게이트웨이 전용이므로 선택하지 마세요.

  • 선택한 서브넷에 있는 사용 가능한 IP 주소가 Azure-SSIS IR 노드 수의 2배 이상인지 확인합니다. Azure-SSIS IR에 대한 패치/업그레이드를 배포할 때 중단을 방지하려면 이러한 작업이 필요합니다. 또한 Azure는 각 서브넷에서 사용할 수 없는 일부 IP 주소를 예약합니다. 첫 번째와 마지막 IP 주소는 프로토콜 규정 준수용으로 예약되지만 3개의 추가 주소가 Azure 서비스용으로 예약됩니다. 자세한 내용은 서브넷 IP 주소 제한 사항 섹션을 참조하세요.

  • 다른 Azure 서비스(예: Azure SQL Managed Instance, App Service 등)에서 독점 사용되는 서브넷은 사용하지 마세요.

  • 선택한 서브넷은 Microsoft.Batch/batchAccounts 서비스에 위임되어야 합니다. 자세한 내용은 서브넷 위임 개요 문서를 참조하세요. 자세한 지침은 Azure Batch에 서브넷 위임 섹션을 참조하세요.

가상 네트워크 권한 선택

빠른 가상 네트워크 삽입을 사용하려면 Azure-SSIS IR을 만드는 사용자에게 가상 네트워크/서브넷을 조인하는 데 필요한 RBAC 권한이 부여되어야 합니다. 이때 다음 두 가지 방법을 사용할 수 있습니다.

  • 기본 제공 ‘네트워크 참가자’ 역할을 사용합니다. 이 역할에는 필요한 것보다 훨씬 더 큰 범위의 Microsoft.Network/* 권한이 제공됩니다.

  • 필요한 Microsoft.Network/virtualNetworks/subnets/join/action 권한만 포함된 사용자 지정 역할을 만듭니다.

자세한 지침은 가상 네트워크 권한 부여 섹션을 참조하세요.

고정 공용 IP 주소 구성

방화벽에서 허용할 수 있도록 Azure-SSIS IR의 아웃바운드 트래픽에 고정 공용 IP 주소를 사용하려면 가상 네트워크 NAT(Network Address Translation)를 구성하여 해당 IP 주소를 설정해야 합니다.

사용자 지정 DNS 서버 구성

가상 네트워크에서 자체 DNS 서버를 사용하여 프라이빗 호스트 이름을 확인하려는 경우 전역 Azure 호스트 이름(예: <your storage account>.blob.core.windows라는 Azure Blob Storage)도 확인할 수 있는지 확인합니다.

확인되지 않은 DNS 요청을 Azure 재귀 확인자의 IP 주소(168.63.129.16)로 전달하도록 자체 DNS 서버를 구성하는 것이 좋습니다.

자세한 내용은 DNS 서버 이름 확인 섹션을 참조하세요.

현재 Azure-SSIS IR이 자체 DNS 서버를 사용하려면 다음 단계에 따라 표준 사용자 지정 설정으로 구성해야 합니다.

  1. 사용자 지정 설정 스크립트 main.cmd + 연결된 파일 setupdnsserver.ps1을 다운로드합니다.

  2. main.cmd의 “your-dns-server-ip”를 자체 DNS 서버의 IP 주소로 바꿉니다.

  3. 표준 사용자 지정 설정을 위해 main.cmd + setupdnsserver.ps1을 자체 Azure Storage Blob 컨테이너에 업로드하고 Azure-SSIS IR을 프로비저닝할 때 SAS URI를 입력합니다. Azure-SSIS IR 사용자 지정 문서를 참조하세요.

참고 항목

프라이빗 호스트 이름에 FQDN(정규화된 도메인 이름)을 사용하세요(예: <your_private_server> 대신 <your_private_server>.contoso.com 사용). 또는 Azure-SSIS IR에서 표준 사용자 지정 설정을 사용하여 자체 DNS 접미사(예: contoso.com)를 정규화되지 않은 단일 레이블 도메인 이름에 자동으로 추가하고 DNS 쿼리에 사용하기 전에 FQDN으로 전환할 수 있습니다. 표준 사용자 지정 설정 샘플 섹션을 참조하세요.

NSG 구성

Azure-SSIS IR이 조인하는 서브넷에서 NSG를 사용하려면 다음 아웃바운드 트래픽을 허용합니다.

전송 프로토콜 원본 원본 포트 대상 대상 포트 설명
TCP VirtualNetwork * DataFactoryManagement 443 Azure-SSIS IR이 ADF 서비스에 액세스하는 데 필요합니다.

해당 아웃바운드 트래픽은 현재 ADF 퍼블릭 엔드포인트만 사용합니다.
TCP VirtualNetwork * Sql/VirtualNetwork 1433, 11000-11999 (선택 사항) Azure SQL Database 서버/Managed Instance를 사용하여 SSIS 카탈로그(SSISDB)를 호스트하는 경우에만 필요합니다.

Azure SQL Database 서버/Managed Instance가 퍼블릭 엔드포인트/가상 네트워크 서비스 엔드포인트로 구성된 경우 Sql 서비스 태그를 대상으로 사용합니다.

Azure SQL Database 서버/Managed Instance가 프라이빗 엔드포인트로 구성된 경우 VirtualNetwork 서비스 태그를 대상으로 사용합니다.

서버 연결 정책이 리디렉션 대신 프록시로 설정된 경우 포트 1433만 필요합니다.
TCP VirtualNetwork * Storage/VirtualNetwork 443 (선택 사항) Azure Storage Blob 컨테이너를 사용하여 표준 사용자 지정 설정 스크립트/파일을 저장하는 경우에만 필요합니다.

Azure Storage가 퍼블릭 엔드포인트/가상 네트워크 서비스 엔드포인트로 구성된 경우 Storage 서비스 태그를 대상으로 사용합니다.

Azure Storage가 프라이빗 엔드포인트로 구성된 경우 VirtualNetwork 서비스 태그를 대상으로 사용합니다.
TCP VirtualNetwork * Storage/VirtualNetwork 445 (선택 사항) Azure Files에 액세스해야 하는 경우에만 필요합니다.

Azure Storage가 퍼블릭 엔드포인트/가상 네트워크 서비스 엔드포인트로 구성된 경우 Storage 서비스 태그를 대상으로 사용합니다.

Azure Storage가 프라이빗 엔드포인트로 구성된 경우 VirtualNetwork 서비스 태그를 대상으로 사용합니다.

UDR 구성

Azure-SSIS IR에서 아웃바운드 트래픽을 감사/검사하려는 경우 UDR(사용자 정의 경로)을 사용하여 BGP(Border Gateway Protocol) 경로 0.0.0.0/0을 가상 네트워크에 보급하는 Azure ExpressRoute 강제 터널링을 통해 온-프레미스 방화벽 어플라이언스로 리디렉션하거나, 방화벽으로 구성된 NVA(네트워크 가상 어플라이언스)로 리디렉션하거나, Azure Firewall 서비스로 리디렉션할 수 있습니다.

NSG 구성 섹션의 지침에 따라 Azure-SSIS IR에서 아웃바운드 트래픽을 허용하도록 방화벽 어플라이언스/서비스에 대한 유사한 규칙을 구현해야 합니다.

  • Azure Firewall을 사용하는 경우:

    • DataFactoryManagement 서비스 태그를 대상으로 사용하는 아웃바운드 TCP 트래픽에 대해 포트 443을 열어야 합니다.

    • Azure SQL Database 서버/Managed Instance를 사용하여 SSISDB를 호스트하는 경우 Sql/VirtualNetwork 서비스 태그를 대상으로 사용하는 아웃바운드 TCP 트래픽에 대해 포트 1433, 11000-11999를 열어야 합니다.

    • Azure Storage Blob 컨테이너를 사용하여 표준 사용자 지정 설정 스크립트/파일을 저장하는 경우 Storage/VirtualNetwork 서비스 태그를 대상으로 사용하는 아웃바운드 TCP 트래픽에 대해 포트 443을 열어야 합니다.

    • Azure Files에 액세스해야 하는 경우 Storage/VirtualNetwork 서비스 태그를 대상으로 사용하는 아웃바운드 TCP 트래픽에 대해 포트 445를 열어야 합니다.

  • 다른 방화벽 어플라이언스/서비스를 사용하는 경우:

    • 0.0.0.0/0 또는 다음 Azure 환경별 FQDN을 대상으로 사용하는 아웃바운드 TCP 트래픽에 대해 포트 443을 열어야 합니다.

      Azure 환경 FQDN
      Azure 공용 *.frontend.clouddatahub.net
      Azure Government *.frontend.datamovement.azure.us
      21Vianet에서 운영하는 Microsoft Azure *.frontend.datamovement.azure.cn

    • Azure SQL Database 서버/Managed Instance를 사용하여 SSISDB를 호스트하는 경우 0.0.0.0/0 또는 Azure SQL Database 서버/Managed Instance FQDN을 대상으로 사용하는 아웃바운드 TCP 트래픽에 대해 포트 1433, 11000-11999를 열어야 합니다.

    • Azure Storage Blob 컨테이너를 사용하여 표준 사용자 지정 설정 스크립트/파일을 저장하는 경우 0.0.0.0/0 또는 Azure Blob Storage FQDN을 대상으로 사용하는 아웃바운드 TCP 트래픽에 대해 포트 443을 열어야 합니다.

    • Azure Files에 액세스해야 하는 경우 0.0.0.0/0 또는 Azure Files FQDN을 대상으로 사용하는 아웃바운드 TCP 트래픽에 대해 포트 445를 열어야 합니다.

관련 콘텐츠

Azure-SSIS IR에 대한 자세한 내용은 다음 문서를 참조하세요.

  • Azure SSIS IR. 이 문서에서는 Azure-SSIS IR 등 IR에 대한 일반적인 개념적 정보를 제공합니다.
  • 자습서: Azure에 SSIS 패키지 배포. 이 자습서에서는 Azure-SSIS IR을 만드는 단계별 지침을 제공합니다. Azure SQL Database 서버를 사용하여 SSISDB를 호스트합니다.
  • Azure-SSIS IR 만들기. 이 문서는 자습서를 더 자세히 설명합니다. 가상 네트워크 서비스 엔드포인트/IP 방화벽 규칙/프라이빗 엔드포인트 또는 가상 네트워크를 조인하여 SSISDB를 호스트하는 Azure SQL Managed Instance로 구성된 Azure SQL Database 서버를 사용하는 방법에 대한 지침을 제공합니다. Azure-SSIS IR을 가상 네트워크에 조인하는 방법을 보여 줍니다.
  • Azure-SSIS IR 모니터링. 이 문서에서는 Azure-SSIS IR에 대한 정보를 검색하고 이해하는 방법을 보여줍니다.
  • Azure-SSIS IR 관리. 이 문서에서는 Azure-SSIS IR을 중지하거나, 시작하거나, 삭제하는 방법을 설명합니다. 또한 노드를 추가하여 Azure-SSIS IR 규모를 확장하는 방법도 설명합니다.