프라이빗 액세스 설정

이 가이드에서는 Azure Managed Grafana 작업 영역에 대한 공용 액세스를 사용하지 않도록 설정하고 프라이빗 엔드포인트를 설정하는 방법을 알아봅니다. Azure Managed Grafana에서 프라이빗 엔드포인트를 설정하면 특정 네트워크로만 들어오는 트래픽을 제한하여 보안을 강화할 수 있습니다.

필수 조건

• 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
• 표준 계층의 기존 Azure Managed Grafana 인스턴스. 구독이 아직 없다면 하나를 만듭니다.

작업 영역에 대한 공용 액세스 사용 안 함

Azure Grafana 작업 영역을 만들 때 공용 액세스는 기본적으로 사용하도록 설정됩니다. 공용 액세스를 사용하지 않도록 설정하면, 프라이빗 엔드포인트를 통과하지 않는 한 모든 트래픽이 리소스에 액세스하지 못하게 됩니다.

참고 항목

프라이빗 액세스를 사용하도록 설정하면 Azure Portal에서 개인 IP 주소의 Azure Managed Grafana 작업 영역에 액세스할 수 없으므로 Grafana에 고정 기능을 사용하는 ping 차트가 더 이상 작동하지 않습니다.

포털

1. Azure Portal에서 Azure Managed Grafana 작업 영역으로 이동합니다.

2. 왼쪽 메뉴의 설정 아래에서 네트워킹을 선택합니다.

3. 공용 액세스에서 사용 안 함을 선택하여 Azure Managed Grafana 작업 영역에 대한 공용 액세스를 사용하지 않도록 설정하고 프라이빗 엔드포인트를 통한 액세스만 허용합니다. 이미 공용 액세스가 사용하지 않도록 설정되어 있어 대신 Azure Managed Grafana 작업 영역에 대한 공용 액세스를 사용하도록 설정하려면 사용을 선택합니다.

4. 저장을 선택합니다.

   

Azure CLI

CLI에서 az grafana update 명령을 실행하고 자리 표시자 <grafana-workspace>와 <resource-group>을 사용자 고유의 정보로 바꿉니다.

az grafana update --name <grafana-workspace> ---resource-group <resource-group> --public-network-access disabled

프라이빗 엔드포인트 만들기

공용 액세스를 사용하지 않도록 설정한 후에는 Azure Private Link를 사용하여 프라이빗 엔드포인트를 설정합니다. 프라이빗 엔드포인트를 사용하면 가상 네트워크의 개인 IP 주소를 사용하여 Azure Managed Grafana 작업 영역에 액세스할 수 있습니다.

포털

1. 네트워킹에서 프라이빗 액세스 탭을 선택한 다음 추가를 선택하여 새 프라이빗 엔드포인트 설정을 시작합니다.

   

2. 기본 탭에 다음 정보를 입력합니다.

   매개 변수	설명	예시
   구독	Azure 구독을 선택합니다. 프라이빗 엔드포인트는 가상 네트워크와 동일한 구독에 있어야 합니다. 이 방법 가이드의 뒷부분에서 가상 네트워크를 선택할 것입니다.	MyAzureSubscription
   Resource group	리소스 그룹을 선택하거나 새로 만듭니다.	MyResourceGroup
   이름	Azure Managed Grafana 작업 영역에 대한 새로운 프라이빗 엔드포인트의 이름을 입력합니다.	MyPrivateEndpoint
   네트워크 인터페이스 이름	이 필드는 자동으로 입력됩니다. 필요에 따라 네트워크 인터페이스의 이름을 편집합니다.	MyPrivateEndpoint-nic
   지역	지역을 선택합니다. 프라이빗 엔드포인트는 가상 네트워크와 동일한 지역에 있어야 합니다.	(미국) 미국 중서부

   

3. 다음: 리소스>를 선택합니다. Private Link는 다양한 유형의 Azure 리소스에 대해 프라이빗 엔드포인트를 만드는 옵션을 제공합니다. 현재 Azure Managed Grafana 작업 영역은 리소스 필드에 자동으로 채워집니다.

   1. 리소스 종류 Microsoft.Dashboard/grafana 및 대상 하위 리소스 grafana는 Azure Managed Grafana 작업 영역에 대한 엔드포인트를 만들고 있음을 나타냅니다.

   2. 작업 영역의 이름은 리소스 아래에 나열됩니다.

      

4. 다음: Virtual Network>를 선택합니다.

   1. 프라이빗 엔드포인트를 배포할 기존 가상 네트워크를 선택합니다. 가상 네트워크가 없는 경우 가상 네트워크를 만듭니다.

   2. 목록에서 서브넷을 선택합니다.

   3. 프라이빗 엔드포인트에 대한 네트워크 정책은 기본적으로 사용하지 않도록 설정되어 있습니다. 필요에 따라 편집을 선택하여 네트워크 보안 그룹 또는 경로 테이블 정책을 추가합니다. 이 변경 내용은 선택한 서브넷에 연결된 모든 프라이빗 엔드포인트에 영향을 줍니다.

   4. 개인 IP 구성에서 IP 주소를 동적으로 할당하는 옵션을 선택합니다. 자세한 내용은 개인 IP 주소를 참조하세요.

   5. 필요에 따라 애플리케이션 보안 그룹을 선택하거나 만들 수 있습니다. 애플리케이션 보안 그룹을 사용하면 가상 머신을 그룹화하고 해당 그룹에 따라 네트워크 보안 정책을 정의할 수 있습니다.

      

5. 다음: DNS>를 선택하여 DNS 레코드를 구성합니다. 기본 설정을 변경하지 않으려면 다음 탭으로 이동하면 됩니다.

   1. 프라이빗 DNS 영역과 통합에 예를 선택하여 프라이빗 엔드포인트를 프라이빗 DNS 영역과 통합합니다. 자체 DNS 서버를 활용하거나 가상 머신의 호스트 파일을 사용하여 DNS 레코드를 만들 수도 있습니다.

   2. 프라이빗 DNS 영역에 대한 구독 및 리소스 그룹이 미리 선택되어 있습니다. 필요에 따라 선택 항목을 변경할 수 있습니다.

   DNS 구성에 대해 자세히 알아보려면 Azure 가상 네트워크의 리소스에 대한 이름 확인 및 프라이빗 엔드포인트에 대한 DNS 구성으로 이동합니다. Azure Managed Grafana에 대한 Azure 프라이빗 엔드포인트 프라이빗 DNS 영역 값은 Azure 서비스 DNS 영역에 나열됩니다.

   

6. 다음: 태그>를 선택하고 필요에 따라 태그를 만듭니다. 태그는 동일한 태그를 여러 개의 리소스 및 리소스 그룹에 적용하여 리소스를 범주화하고 통합된 청구 정보를 볼 수 있는 이름/값 쌍입니다.

7. 다음: 검토 + 만들기>를 선택하여 Azure Managed Grafana 작업 영역, 프라이빗 엔드포인트, 가상 네트워크 및 DNS에 대한 정보를 검토합니다. 자동화용 템플릿 다운로드를 선택하여 나중에 이 양식의 JSON 데이터를 다시 사용할 수도 있습니다.

8. 만들기를 실행합니다.

배포가 완료되면 엔드포인트가 생성되었다는 알림이 표시됩니다. 자동 승인된 경우 작업 영역에 비공개로 액세스할 수 있습니다. 그렇지 않으면 승인될 때까지 기다려야 합니다.

Azure CLI

1. 프라이빗 엔드포인트를 설정하려면 가상 네트워크가 필요합니다. 가상 네트워크가 아직 없으면 az network vnet create를 사용하여 가상 네트워크를 만듭니다. 자리 표시자 텍스트 <vnet>, <resource-group>, <subnet> 및 <vnet-location>을 새로운 가상 네트워크의 이름, 리소스 그룹, 이름 및 vnet 위치로 바꿉니다.

   az network vnet create --name <vnet> --resource-group <resource-group> --subnet-name <subnet> --location <vnet-location>
   

   자리 표시자	설명	예시
   <vnet>	새 가상 네트워크의 이름을 입력합니다. 가상 네트워크를 사용하면 Azure 리소스에서 서로 인터넷을 통해 개별적으로 통신할 수 있습니다.	MyVNet
   <resource-group>	가상 네트워크에 대한 기존 리소스 그룹의 이름을 입력합니다.	MyResourceGroup
   <subnet>	새 서브넷 이름을 입력합니다. 서브넷은 네트워크 내의 네트워크입니다. 개인 IP 주소가 할당되는 위치입니다.	MySubnet
   <vnet-location>	Azure 지역을 입력합니다. 가상 네트워크는 프라이빗 엔드포인트와 동일한 지역에 있어야 합니다.	centralus

2. az grafana show 명령을 실행하여 개인 액세스를 설정할 Azure Managed Grafana 작업 영역의 속성을 검색합니다. 자리 표시자 <grafana-workspace>를 작업 영역의 이름으로 바꿉니다.

   az grafana show --name <grafana-workspace>
   

   이 명령은 Azure Managed Grafana 작업 영역에 대한 정보가 포함된 출력을 생성합니다. id 값을 적어 둡니다. 예: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana.

3. az network private-endpoint create 명령을 실행하여 Azure Managed Grafana 작업 영역에 대한 프라이빗 엔드포인트를 만듭니다. 자리 표시자 텍스트 <resource-group>, <private-endpoint>, <vnet>, <private-connection-resource-id>, <connection-name> 및 <location>을 사용자 고유의 정보로 바꿉니다.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint> --vnet-name <vnet> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id grafana
   

   자리 표시자	설명	예시
   <resource-group>	프라이빗 엔드포인트에 대한 기존 리소스 그룹의 이름을 입력합니다.	MyResourceGroup
   <private-endpoint>	새 프라이빗 엔드포인트에 대한 이름을 입력합니다.	MyPrivateEndpoint
   <vnet>	기존 VNet의 이름을 입력합니다.	Myvnet
   <private-connection-resource-id>	Azure Managed Grafana 작업 영역의 비공개 연결 리소스 ID를 입력합니다. 이전 단계의 출력에서 저장한 ID입니다.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.Dashboard/grafana/my-azure-managed-grafana
   <connection-name>	연결 이름을 입력합니다.	MyConnection
   <location>	Azure 지역을 입력합니다. 프라이빗 엔드포인트는 가상 네트워크와 동일한 지역에 있어야 합니다.	centralus

프라이빗 링크 연결 관리

포털

Azure Managed Grafana 작업 영역에서 네트워킹>프라이빗 액세스로 이동하여 작업 영역에 연결된 프라이빗 엔드포인트에 액세스합니다.

1. 프라이빗 링크 연결의 연결 상태를 확인합니다. 프라이빗 엔드포인트를 만들 때 연결이 승인되어야 합니다. 프라이빗 엔드포인트를 만들 리소스가 디렉터리에 있고 충분한 권한이 있는 경우 연결 요청이 자동 승인됩니다. 그렇지 않으면 해당 리소스의 소유자가 연결 요청을 승인할 때까지 기다려야 합니다. 연결 승인 모델에 대한 자세한 내용은 Azure 프라이빗 엔드포인트 관리를 참조하세요.

2. 연결을 수동으로 승인, 거부 또는 제거하려면 편집할 엔드포인트 옆의 확인란을 선택하고 상단 메뉴에서 작업 항목을 선택합니다.

3. 프라이빗 엔드포인트의 이름을 선택하여 프라이빗 엔드포인트 리소스를 열고 추가 정보에 액세스하거나 프라이빗 엔드포인트를 편집합니다.

   

Azure CLI

모든 프라이빗 엔드포인트 연결 세부 정보 검토

az network private-endpoint-connection list 명령을 실행하여 Azure Managed Grafana 작업 영역에 연결된 모든 프라이빗 엔드포인트 연결을 검토하고 연결 상태를 확인합니다. 자리 표시자 <resource-group>과 <grafana-workspace>를 리소스 그룹과 Azure Managed Grafana 작업 영역의 이름으로 바꿉니다.

az network private-endpoint-connection list --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

필요에 따라 특정 프라이빗 엔드포인트의 세부 정보를 가져오려면 az network private-endpoint-connection show 명령을 사용합니다. 자리 표시자 텍스트 <resource-group>과 <grafana-workspace>를 리소스 그룹 이름과 Azure Managed Grafana 작업 영역의 이름으로 바꿉니다.

az network private-endpoint-connection show --resource-group <resource-group> --name <grafana-workspace> --type Microsoft.Dashboard/grafana

연결 승인 받기

프라이빗 엔드포인트를 만들 때 연결이 승인되어야 합니다. 프라이빗 엔드포인트를 만들 리소스가 디렉터리에 있고 충분한 권한이 있는 경우 연결 요청이 자동 승인됩니다. 그렇지 않으면 해당 리소스의 소유자가 연결 요청을 승인할 때까지 기다려야 합니다.

프라이빗 엔드포인트 연결을 승인하려면 az network private-endpoint-connection approve 명령을 사용합니다. 자리 표시자 텍스트 <resource-group>, <private-endpoint> 및 <grafana-workspace>를 리소스 그룹 이름, 프라이빗 엔드포인트 이름 및 Azure Managed Grafana 리소스의 이름으로 바꿉니다.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.Dashboard/grafana --resource-name <grafana-workspace>

연결 승인 모델에 대한 자세한 내용은 Azure 프라이빗 엔드포인트 관리를 참조하세요.

프라이빗 엔드포인트 연결을 삭제합니다.

프라이빗 엔드포인트 연결을 삭제하려면 az network private-endpoint-connection delete 명령을 사용합니다. 자리 표시자 텍스트 <resource-group> 및 <private-endpoint>을 리소스 그룹 이름과 프라이빗 엔드포인트 이름으로 바꿉니다.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

더 많은 CLI 명령을 보려면 az network private-endpoint-connection으로 이동하세요.

프라이빗 엔드포인트에 문제가 있는 경우 Azure 프라이빗 엔드포인트 연결 문제 해결 가이드를 확인하세요.

다음 단계

이 방법 가이드에서는 사용자의 Azure Managed Grafana 작업 영역에 대한 프라이빗 액세스를 설정하는 방법을 알아보았습니다. Managed Grafana 작업 영역과 데이터 원본 간에 프라이빗 액세스를 구성하는 방법을 알아보려면 비공개로 데이터 원본에 연결을 참조하세요.