Microsoft Purview 계정으로 관리되는 VNet 사용

  • 아티클

중요

현재 관리형 Virtual Network 및 관리형 프라이빗 엔드포인트는 다음 지역에 배포된 Microsoft Purview 계정에 사용할 수 있습니다.

  • 오스트레일리아 동부
  • 캐나다 중부
  • 미국 동부
  • 미국 동부 2
  • 북유럽
  • 서유럽

개념적 개요

이 문서에서는 Microsoft Purview에 대한 관리되는 Virtual Network 및 관리되는 프라이빗 엔드포인트를 구성하는 방법을 설명합니다.

지원되는 지역

현재 관리형 Virtual Network 및 관리형 프라이빗 엔드포인트는 다음 지역에 배포된 Microsoft Purview 계정에 사용할 수 있습니다.

  • 오스트레일리아 동부
  • 캐나다 중부
  • 미국 동부
  • 미국 동부 2
  • 북유럽
  • 서유럽

지원되는 데이터 원본

현재 다음 데이터 원본은 관리형 프라이빗 엔드포인트를 갖도록 지원되며 Microsoft Purview의 관리형 VNet 런타임을 사용하여 검사할 수 있습니다.

  • Azure Blob 저장소
  • Azure Cosmos DB
  • Azure Data Lake Storage Gen 2
  • Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Azure Dedicated SQL 풀(이전의 SQL DW)
  • Azure Files
  • Azure SQL 데이터베이스
  • Azure SQL Managed Instance
  • Azure Synapse Analytics

또한 SQL 인증 또는 계정 키와 같은 관리 ID가 아닌 인증 옵션을 사용하여 검사를 실행해야 하는 경우 Azure Key Vault 리소스에 대한 관리형 프라이빗 엔드포인트를 배포할 수 있습니다.

관리되는 Virtual Network

Microsoft Purview의 관리형 Virtual Network Azure에서 고객이 자체 호스팅 통합 런타임 가상 머신을 배포하고 관리할 필요 없이 관리되는 네트워크 내에서 Azure 데이터 원본을 검사할 수 있도록 Microsoft Purview 계정과 동일한 지역 내에서 Azure에서 배포 및 관리하는 가상 네트워크입니다.

Microsoft Purview 관리형 Virtual Network 아키텍처

Microsoft Purview Managed Virtual Network 내에서 Azure Managed Integration Runtime 배포할 수 있습니다. 여기에서 관리형 VNet 런타임은 프라이빗 엔드포인트를 사용하여 지원되는 데이터 원본에 안전하게 연결하고 검사합니다.

관리되는 Virtual Network 내에서 관리형 VNet 런타임을 만들면 데이터 통합 프로세스가 격리되고 안전합니다.

관리되는 Virtual Network 사용할 경우의 이점:

  • 관리되는 Virtual Network 사용하면 Virtual Network 관리하는 부담을 Microsoft Purview에 오프로드할 수 있습니다. Azure 데이터 원본을 검사하는 데 사용할 Azure Integration Runtime VNet 또는 서브넷을 만들고 관리할 필요가 없습니다.
  • 데이터 통합을 안전하게 수행하려면 심층적인 Azure 네트워킹 지식이 필요하지 않습니다. 관리형 Virtual Network 사용하면 데이터 엔지니어가 훨씬 간소화됩니다.
  • 관리형 프라이빗 엔드포인트와 함께 관리되는 Virtual Network 데이터 반출로부터 보호합니다.

중요

현재 관리되는 Virtual Network Microsoft Purview 계정 지역과 동일한 지역에서만 지원됩니다.

참고

전역 Azure 통합 런타임 또는 자체 호스팅 통합 런타임을 관리형 VNet 런타임으로 전환할 수 없으며 그 반대의 경우도 마찬가지입니다.

Microsoft Purview 계정에서 처음으로 관리되는 VNet 런타임을 만들 때 Microsoft Purview 계정에 대해 관리되는 VNet이 만들어집니다. 관리형 VNet을 보거나 관리할 수 없습니다.

관리되는 프라이빗 엔드포인트

관리되는 프라이빗 엔드포인트는 Microsoft Purview 및 Azure 리소스에 대한 프라이빗 링크를 설정하는 Microsoft Purview 관리 Virtual Network 만든 프라이빗 엔드포인트입니다. Microsoft Purview는 사용자를 대신하여 이러한 프라이빗 엔드포인트를 관리합니다.

Microsoft Purview 관리 프라이빗 엔드포인트

Microsoft Purview는 프라이빗 링크를 지원합니다. 프라이빗 링크를 사용하면 Azure(PaaS) 서비스(예: Azure Storage, Azure Cosmos DB, Azure Synapse Analytics)에 액세스할 수 있습니다.

프라이빗 링크를 사용하는 경우 데이터 원본과 관리되는 Virtual Network 간의 트래픽은 전적으로 Microsoft 백본 네트워크를 통해 트래버스됩니다. Private Link 데이터 반출 위험으로부터 보호합니다. 프라이빗 엔드포인트를 만들어 리소스에 대한 프라이빗 링크를 설정합니다.

프라이빗 엔드포인트는 관리되는 Virtual Network 개인 IP 주소를 사용하여 서비스를 효과적으로 가져옵니다. 프라이빗 엔드포인트는 전체 서비스가 아닌 Azure의 특정 리소스에 매핑됩니다. 고객은 organization 승인된 특정 리소스에 대한 연결을 제한할 수 있습니다. 프라이빗 링크 및 프라이빗 엔드포인트에 대해 자세히 알아봅니다.

참고

관리 오버헤드를 줄이려면 관리되는 프라이빗 엔드포인트를 만들어 지원되는 모든 Azure 데이터 원본을 검사하는 것이 좋습니다.

경고

Azure PaaS 데이터 저장소(Blob, Azure Data Lake Storage Gen2, Azure Synapse Analytics)에 대해 이미 만들어진 프라이빗 엔드포인트가 있고 모든 네트워크에서 액세스를 허용하는 경우에도 Microsoft Purview는 관리형 프라이빗 엔드포인트를 사용하여 액세스할 수 있습니다. 프라이빗 엔드포인트가 아직 없는 경우 이러한 시나리오에서 만들어야 합니다.

프라이빗 엔드포인트 연결은 Microsoft Purview에서 관리되는 프라이빗 엔드포인트를 만들 때 "보류 중" 상태로 만들어집니다. 승인 워크플로가 시작됩니다. 프라이빗 링크 리소스 소유자는 연결을 승인하거나 거부할 책임이 있습니다.

관리되는 프라이빗 엔드포인트에 대한 승인

소유자가 연결을 승인하면 프라이빗 링크가 설정됩니다. 그렇지 않으면 프라이빗 링크가 설정되지 않습니다. 두 경우 모두 관리되는 프라이빗 엔드포인트는 연결의 상태 업데이트됩니다.

관리되는 프라이빗 엔드포인트 승인

승인된 상태의 관리형 프라이빗 엔드포인트만 지정된 프라이빗 링크 리소스로 트래픽을 보낼 수 있습니다.

대화형 작성

대화형 제작 기능은 테스트 연결, 폴더 목록 및 테이블 목록 찾아보기, 스키마 가져오기 및 데이터 미리 보기와 같은 기능에 사용됩니다. Purview-Managed Virtual Network 있는 Azure Integration Runtime 만들거나 편집할 때 대화형 작성을 사용하도록 설정할 수 있습니다. 백 엔드 서비스는 대화형 제작 기능을 위해 컴퓨팅을 미리 할당합니다. 그렇지 않으면 대화형 작업이 수행될 때마다 컴퓨팅이 할당되며 더 많은 시간이 소요됩니다. 대화형 작성을 위한 TTL(Time To Live)은 60분이므로 마지막 대화형 작성 작업의 60분 후에 자동으로 비활성화됩니다.

대화형 작성

배포 단계

필수 구성 요소

Microsoft Purview 계정에 대한 관리형 VNet 및 관리형 VNet 런타임을 배포하기 전에 다음 필수 조건을 충족하는지 확인합니다.

  1. 지원되는 지역 중 하나에 배포된 Microsoft Purview 계정입니다.
  2. Microsoft Purview 역할에서 Microsoft Purview 계정의 루트 컬렉션 수준에서 데이터 큐레이터여야 합니다.
  3. Azure RBAC 역할에서 프라이빗 링크를 승인하려면 Microsoft Purview 계정 및 데이터 원본에 기여자 있어야 합니다.

관리형 VNet 런타임 배포

참고

다음 가이드에서는 관리형 VNet 런타임을 사용하여 Azure Data Lake Storage Gen 2를 등록하고 검사하는 방법을 보여 있습니다.

  1. 다음을 통해 Microsoft Purview 거버넌스 포털을 엽니다.

    Microsoft Purview 계정을 보여 주는 스크린샷

  2. 데이터 맵 --> 통합 런타임으로 이동합니다.

    Microsoft Purview 데이터 맵 메뉴를 보여 주는 스크린샷

  3. 통합 런타임 페이지에서 + 새 아이콘을 선택하여 새 런타임을 만듭니다. Azure를 선택한 다음 , 계속을 선택합니다.

    새 Azure 런타임을 만드는 방법을 보여 주는 스크린샷

  4. 관리형 VNet 런타임의 이름을 제공하고, 지역을 선택하고, 대화형 제작을 구성합니다. 만들기를 선택합니다.

    관리되는 VNet 런타임을 만드는 방법을 보여 주는 스크린샷

  5. 처음으로 관리형 VNet 런타임을 배포하면 Microsoft Purview 및 해당 Managed Storage 계정에 대한 관리형 프라이빗 엔드포인트를 만들기 위한 Microsoft Purview 거버넌스 포털에서 여러 워크플로가 트리거됩니다. 각 워크플로에서 를 선택하여 해당 Azure 리소스에 대한 프라이빗 엔드포인트를 승인합니다.

    관리되는 VNet 런타임 배포를 보여 주는 스크린샷

  6. Azure Portal Microsoft Purview 계정 리소스 창에서 관리되는 프라이빗 엔드포인트를 승인합니다. 관리되는 스토리지 계정 페이지에서 Blob 및 큐 서비스에 대한 관리형 프라이빗 엔드포인트를 승인합니다.

    Microsoft Purview에 대한 관리되는 프라이빗 엔드포인트를 승인하는 방법을 보여 주는 스크린샷

    Microsoft Purview에 대한 관리형 프라이빗 엔드포인트를 승인하는 방법을 보여 주는 스크린샷 - 승인됨

    관리되는 스토리지 계정에 대한 관리되는 프라이빗 엔드포인트를 승인하는 방법을 보여 주는 스크린샷

    관리형 스토리지 계정에 대한 관리형 프라이빗 엔드포인트를 승인하는 방법을 보여 주는 스크린샷 - 승인됨

  7. 관리에서 관리형 프라이빗 엔드포인트를 선택하여 모든 관리형 프라이빗 엔드포인트가 성공적으로 배포 및 승인되었는지 확인합니다. 모든 프라이빗 엔드포인트가 승인됩니다.

    Microsoft Purview의 관리되는 프라이빗 엔드포인트를 보여 주는 스크린샷

    Microsoft Purview의 관리형 프라이빗 엔드포인트를 보여 주는 스크린샷 - 승인됨

데이터 원본에 대한 관리형 프라이빗 엔드포인트 배포

관리형 프라이빗 엔드포인트를 사용하여 데이터 원본을 연결하여 전송 중에 데이터 보안을 보장할 수 있습니다. 데이터 원본이 공용 액세스를 허용하고 공용 네트워크를 통해 연결하려는 경우 이 단계를 건너뛸 수 있습니다. 통합 런타임이 데이터 원본에 연결할 수 있는 한 검사 실행을 실행할 수 있습니다.

데이터 원본에 대한 관리형 프라이빗 엔드포인트를 배포하고 승인하려면 목록에서 원하는 데이터 원본을 선택하는 다음 단계를 수행합니다.

  1. 관리로 이동하고 관리되는 프라이빗 엔드포인트를 선택합니다.

  2. + 새로 만들기를 선택합니다.

  3. 지원되는 데이터 원본 목록에서 관리형 VNet 런타임을 사용하여 검사하려는 데이터 원본에 해당하는 형식을 선택합니다.

    데이터 원본에 대한 관리되는 프라이빗 엔드포인트를 만드는 방법을 보여 주는 스크린샷

  4. 관리형 프라이빗 엔드포인트의 이름을 제공하고, 드롭다운 목록에서 Azure 구독 및 데이터 원본을 선택합니다. 만들기를 선택합니다.

    관리되는 프라이빗 엔드포인트를 설정하기 위해 데이터 원본을 선택하는 방법을 보여 주는 스크린샷

  5. 관리형 프라이빗 엔드포인트 목록에서 데이터 원본에 대해 새로 만든 관리형 프라이빗 엔드포인트를 선택한 다음, Azure Portal 승인 관리에서 를 선택하여 Azure Portal 프라이빗 엔드포인트를 승인합니다.

    데이터 원본에 대한 관리되는 프라이빗 엔드포인트에 대한 승인을 보여 주는 스크린샷

  6. 링크를 클릭하면 Azure Portal 리디렉션됩니다. 프라이빗 엔드포인트 연결에서 새로 만든 프라이빗 엔드포인트를 선택하고 승인을 선택합니다.

    Azure Portal 데이터 원본에 대한 프라이빗 엔드포인트를 승인하는 방법을 보여 주는 스크린샷

    Azure Portal 데이터 원본에 대해 승인된 프라이빗 엔드포인트를 보여 주는 스크린샷

  7. Microsoft Purview 거버넌스 포털 내에서 관리형 프라이빗 엔드포인트도 승인된 것으로 표시되어야 합니다.

    Purview 거버넌스 포털의 데이터 원본을 포함한 관리되는 프라이빗 엔드포인트를 보여 주는 스크린샷

관리형 VNet 런타임을 사용하여 데이터 원본 등록 및 검사

데이터 원본 등록

데이터 원본에 대한 검사를 설정하기 전에 Microsoft Purview에 데이터 원본을 등록하는 것이 중요합니다. 데이터 원본을 아직 등록하지 않은 경우 다음 단계에 따라 데이터 원본을 등록합니다.

  1. Microsoft Purview 계정으로 이동합니다.

  2. 왼쪽 메뉴에서 데이터 맵 을 선택합니다.

  3. 등록을 선택하세요.

  4. 원본 등록에서 데이터 원본을 선택합니다.

  5. 계속을 선택합니다.

  6. 원본 등록 화면에서 다음을 수행합니다.

    1. 이름 상자에 데이터 원본이 카탈로그에 나열될 이름을 입력합니다.
    2. 구독 드롭다운 목록 상자에서 구독을 선택합니다.
    3. 컬렉션 선택 상자에서 컬렉션을 선택합니다.
    4. 등록을 선택하여 데이터 원본을 등록합니다.

자세한 내용은 Microsoft Purview에서 데이터 원본 관리를 참조하세요.

데이터 원본 검사

다음 옵션 중 원하는 옵션을 사용하여 Microsoft Purview Managed VNet 런타임을 사용하여 데이터 원본을 검사할 수 있습니다.

  • 관리 ID 사용(권장) - Microsoft Purview 계정을 만드는 즉시 시스템 할당 관리 ID(SAMI)가 Azure AD 테넌트에서 자동으로 만들어집니다. Microsoft Purview SAMI(시스템 할당 관리 ID)에서 검사를 수행하려면 리소스 유형에 따라 특정 RBAC 역할 할당이 필요합니다.

  • 다른 인증 옵션 사용:

    • 계정 키 또는 SQL 인증 - Microsoft Purview가 비밀을 사용하여 데이터 원본을 안전하게 검사할 수 있도록 자격 증명을 저장하기 위해 Azure Key Vault 내에 비밀을 만들 수 있습니다. 비밀은 스토리지 계정 키, SQL 로그인 암호 또는 암호일 수 있습니다.

    • 서비스 주체 - 이 메서드에서는 Azure Active Directory 테넌트에서 새 서비스 주체를 만들거나 기존 서비스 주체를 사용할 수 있습니다.

관리 ID를 사용하여 검사

관리형 VNet 런타임 및 Microsoft Purview 관리 ID를 사용하여 데이터 원본을 검사하려면 다음 단계를 수행합니다.

  1. Microsoft Purview 거버넌스 포털의 왼쪽 창에서 데이터 맵 탭을 선택합니다.

  2. 등록한 데이터 원본을 선택합니다.

  3. 세부 정보> 보기+ 새 검사를 선택하거나 원본 타일에서 빠른 작업 검색 아이콘을 사용합니다.

  4. 검사의 이름을 입력합니다.

  5. 통합 런타임을 통해 연결에서 새로 만든 관리형 VNet 런타임을 선택합니다.

  6. 자격 증명 관리 ID 선택에서 검사에 적합한 컬렉션을 선택하고 연결 테스트를 선택합니다. 연결이 성공하면 계속을 선택합니다.

    관리형 VNet을 사용하여 새 검사를 만드는 방법을 보여 주는 스크린샷

  7. 단계에 따라 적절한 검사 규칙을 선택하고 검사에 대한 scope.

  8. 검사 트리거를 선택합니다. 일정을 설정하거나 검사를 한 번 실행할 수 있습니다.

  9. 검사를 검토하고 저장 및 실행을 선택합니다.

    검사 검토

다른 인증 옵션을 사용하여 검사

지원되는 다른 옵션을 사용하여 Microsoft Purview Managed Runtime을 사용하여 데이터 원본을 검사할 수도 있습니다. 이렇게 하려면 비밀이 저장된 Azure Key Vault 대한 프라이빗 연결을 설정해야 합니다.

계정 키 또는 SQL 인증을 사용하여 검사를 설정하려면 다음 단계를 수행합니다.

  1. Azure Key Vault 대한 Microsoft Purview 액세스 권한을 부여합니다.

  2. Microsoft Purview에서 새 자격 증명을 만듭니다.

  3. 관리로 이동하고 관리되는 프라이빗 엔드포인트를 선택합니다.

  4. + 새로 만들기를 선택합니다.

  5. 지원되는 데이터 원본 목록에서 Key Vault 선택합니다.

    Azure Key Vault 대한 관리되는 프라이빗 엔드포인트를 만드는 방법을 보여 주는 스크린샷

  6. 관리형 프라이빗 엔드포인트의 이름을 제공하고, 드롭다운 목록에서 Azure 구독 및 Azure Key Vault 선택합니다. 만들기를 선택합니다.

    Microsoft Purview 거버넌스 포털에서 Azure Key Vault 대한 관리되는 프라이빗 엔드포인트를 만드는 방법을 보여 주는 스크린샷

  7. 관리형 프라이빗 엔드포인트 목록에서 Azure Key Vault 대해 새로 만든 관리형 프라이빗 엔드포인트를 선택한 다음, Azure Portal 승인 관리에서 를 선택하여 Azure Portal 프라이빗 엔드포인트를 승인합니다.

    Azure Key Vault 대한 관리되는 프라이빗 엔드포인트를 승인하는 방법을 보여 주는 스크린샷

  8. 링크를 클릭하면 Azure Portal 리디렉션됩니다. 프라이빗 엔드포인트 연결에서 Azure Key Vault 대해 새로 만든 프라이빗 엔드포인트를 선택하고 승인을 선택합니다.

    Azure Portal Azure Key Vault 대한 프라이빗 엔드포인트를 승인하는 방법을 보여 주는 스크린샷

    Azure Portal Azure Key Vault 대해 승인된 프라이빗 엔드포인트를 보여 주는 스크린샷

  9. Microsoft Purview 거버넌스 포털 내에서 관리형 프라이빗 엔드포인트도 승인된 것으로 표시되어야 합니다.

    Purview 거버넌스 포털의 Azure Key Vault 포함하여 관리되는 프라이빗 엔드포인트를 보여 주는 스크린샷

  10. Microsoft Purview 거버넌스 포털의 왼쪽 창에서 데이터 맵 탭을 선택합니다.

  11. 등록한 데이터 원본을 선택합니다.

  12. 세부 정보> 보기+ 새 검사를 선택하거나 원본 타일에서 빠른 작업 검색 아이콘을 사용합니다.

  13. 검사의 이름을 입력합니다.

  14. 통합 런타임을 통해 연결에서 새로 만든 관리형 VNet 런타임을 선택합니다.

  15. 자격 증명에 대해 이전에 등록한 자격 증명을 선택하고 검사에 적합한 컬렉션을 선택하고 연결 테스트를 선택합니다. 연결이 성공하면 계속을 선택합니다.

    관리형 VNet 및 SPN을 사용하여 새 검사를 만드는 방법을 보여 주는 스크린샷

  16. 단계에 따라 적절한 검사 규칙을 선택하고 검사에 대한 scope.

  17. 검사 트리거를 선택합니다. 일정을 설정하거나 검사를 한 번 실행할 수 있습니다.

  18. 검사를 검토하고 저장 및 실행을 선택합니다.

    SPN을 사용하여 검사 검토

다음 단계