Azure 서비스에 대한 가상 네트워크 통합Virtual network integration for Azure services

Azure 서비스를 Azure 가상 네트워크에 통합하면 가상 네트워크의 가상 머신 또는 컴퓨팅 리소스에서 서비스에 대한 프라이빗 액세스가 가능합니다.Integrating Azure services to an Azure virtual network enables private access to the service from virtual machines or compute resources in the virtual network. 다음 옵션을 사용하여 가상 네트워크의 Azure 서비스를 통합할 수 있습니다.You can integrate Azure services in your virtual network with the following options:

  • 서비스의 전용 인스턴스를 가상 네트워크에 배포합니다.Deploying dedicated instances of the service into a virtual network. 이렇게 하면 가상 네트워크 내에서 그리고 온-프레미스에서 서비스에 비공개적으로 액세스할 수 있습니다.The services can then be privately accessed within the virtual network and from on-premises networks.
  • 서비스 엔드포인트를 통해 가상 네트워크를 서비스로 확장합니다.Extending a virtual network to the service, through service endpoints. 서비스 엔드포인트를 통해 개별 서비스 리소스를 가상 네트워크로 보호할 수 있습니다.Service endpoints allow individual service resources to be secured to the virtual network.

여러 Azure 서비스를 가상 네트워크에 통합하려면 위의 패턴 중 하나 이상을 결합하면 됩니다.To integrate multiple Azure services to your virtual network, you can combine one or more of the above patterns. 예를 들어 가상 네트워크에 HDInsight를 배포하고 서비스 엔드포인트를 통해 저장소 계정을 HDInsight 서브넷으로 보호할 수 있습니다.For example, you can deploy HDInsight into your virtual network and secure a storage account to the HDInsight subnet through Service endpoints.

가상 네트워크에 Azure 서비스 배포Deploy Azure services into virtual networks

가상 네트워크에 전용 Azure 서비스를 배포하는 경우 사설 IP 주소를 통해 개인적으로 서비스 리소스와 통신할 수 있습니다.When you deploy dedicated Azure services in a virtual network, you can communicate with the service resources privately, through private IP addresses.

가상 네트워크에 배포된 서비스

가상 네트워크 내에 서비스를 배포하면 다음과 같은 기능이 제공됩니다.Deploying services within a virtual network provides the following capabilities:

  • 가상 네트워크 내의 리소스는 개인 IP 주소를 통해 개인적으로 서로 통신할 수 있습니다.Resources within the virtual network can communicate with each other privately, through private IP addresses. 가상 네트워크의 가상 머신에서 실행 중인 SQL Server와 HDInsight 간에 데이터를 전송하는 예제입니다.Example, directly transferring data between HDInsight and SQL Server running on a virtual machine, in the virtual network.
  • 온-프레미스 리소스는 사이트 간 VPN(VPN Gateway) 또는 ExpressRoute를 통해 개인 IP 주소를 사용하여 가상 네트워크의 리소스에 액세스할 수 있습니다.On-premises resources can access resources in a virtual network using private IP addresses over a Site-to-Site VPN (VPN Gateway) or ExpressRoute.
  • 가상 네트워크를 피어링하여 가상 네트워크의 리소스가 개인 IP 주소로 서로 간에 통신하도록 할 수 있습니다.Virtual networks can be peered to enable resources in the virtual networks to communicate with each other, using private IP addresses.
  • 일반적으로 가상 네트워크에서 서비스 인스턴스 Azure 서비스에 의해 완전히 관리 됩니다.Service instances in a virtual network are typically fully managed by the Azure service. 여기에 리소스의 상태를 모니터링 및 부하를 사용 하 여 크기 조정 합니다.This includes monitoring the health of the resources and scaling with load.
  • 서비스 인스턴스는 가상 네트워크의 서브넷에 배포됩니다.Service instances are deployed into a subnet in a virtual network. 인바운드 및 서브넷에 대 한 아웃 바운드 네트워크 액세스를 통해 열어야 네트워크 보안 그룹, 서비스에서 제공한 지침에 따라 합니다.Inbound and outbound network access for the subnet must be opened through network security groups, per guidance provided by the service.
  • 특정 서비스는 제한 정책, 경로 또는 결합 Vm 및 동일한 서브넷 내에서 서비스 리소스의 응용 프로그램에서 배포 된 서브넷에 대 한 제한도 적용 합니다.Certain services also impose restrictions on the subnet they are deployed in, limiting the application of policies, routes or combining VMs and service resources within the same subnet. 시간이 지남에 따라 변경 될 수 있기에 특정 제한에 각 서비스를 사용 하 여 확인 합니다.Check with each service on the specific restrictions as they may change over time. 이러한 서비스의 예로 Azure NetApp 파일 전용 HSM을 Azure Container Instances를 App Service입니다.Examples of such services are Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service.
  • 경우에 따라 서비스에서는 서브넷이 특정 서비스를 호스트할 수 있다는 명시적 식별자로써 위임된 서브넷을 요구할 수 있습니다.Optionally, services might require a delegated subnet as an explicit identifier that a subnet can host a particular service. 에 위임 하 여 서비스에는 위임 된 서브넷에서 서비스 관련 리소스를 만드는 명시적 권한을 얻습니다.By delegating, services get explicit permissions to create service-specific resources in the delegated subnet.
  • REST API 응답의 예 참조는 위임 된 서브넷이 있는 가상 네트워크합니다.See an example of a REST API response on a virtual network with a delegated subnet. 통해 위임 된 서브넷 모델을 사용 하는 서비스의 종합적인 목록을 얻을 수는 사용 가능한 위임 API.A comprehensive list of services that are using the delegated subnet model can be obtained via the Available Delegations API.

가상 네트워크에 배포할 수 있는 서비스Services that can be deployed into a virtual network

CategoryCategory 서비스Service Dedicated¹ 서브넷Dedicated¹ Subnet
컴퓨팅Compute 가상 머신: Linux 또는 WindowsVirtual machines: Linux or Windows
가상 머신 확장 집합Virtual machine scale sets
클라우드 서비스: Virtual Network(클래식)만 해당Cloud Service: Virtual network (classic) only
Azure BatchAzure Batch
아닙니다.No
아니요No
아닙니다.No
No²No²
네트워크Network Application Gateway - WAFApplication Gateway - WAF
VPN GatewayVPN Gateway
Azure FirewallAzure Firewall
네트워크 가상 어플라이언스Network Virtual Appliances
예.Yes
Yes
Yes
아닙니다.No
DataData RedisCacheRedisCache
Azure SQL Database Managed InstanceAzure SQL Database Managed Instance
예.Yes
예.Yes
분석Analytics Azure HDInsightAzure HDInsight
Azure DatabricksAzure Databricks
No²No²
No²No²
IDIdentity Azure Active Directory Domain ServicesAzure Active Directory Domain Services 아닙니다.No
컨테이너Containers AKS(Azure Kubernetes Service)Azure Kubernetes Service (AKS)
ACI(Azure Container Instance)Azure Container Instance (ACI)
Azure Virtual Network CNI 플러그 인을 사용하는 Azure Container Service 엔진Azure Container Service Engine with Azure Virtual Network CNI plug-in
No²No²
예.Yes

아닙니다.No
Web API ManagementAPI Management
App Service EnvironmentApp Service Environment
Azure Logic AppsAzure Logic Apps
예.Yes
Yes
예.Yes
호스트됨Hosted Azure 전용 HSMAzure Dedicated HSM
Azure NetApp FilesAzure NetApp Files
예.Yes
Yes

서비스 특정 리소스만이 서브넷에 배포할 수 있습니다 하 고 고객 VM/VMSSs 함께 사용할 수 없습니다 '전용' 의미 ¹¹ 'Dedicated' implies that only service specific resources can be deployed in this subnet and cannot be combined with customer VM/VMSSs
² 권장 하지만 서비스에 의해 적용 된 필수 요구 되지 않습니다.² Recommended, but not a mandatory requirement imposed by the service.

Azure 서비스에 대한 서비스 엔드포인트Service endpoints for Azure services

일부 Azure 서비스는 가상 네트워크에 배포할 수 없습니다.Some Azure services can't be deployed in virtual networks. 필요한 경우 가상 네트워크 서비스 엔드포인트를 사용하도록 설정하여 일부 서비스 리소스에 대한 액세스를 특정 가상 네트워크 서브넷으로만 제한할 수 있습니다.You can restrict access to some of the service resources to only specific virtual network subnets, if you choose, by enabling a virtual network service endpoint. 가상 네트워크 서비스 엔드포인트 및 엔드포인트를 사용할 수 있는 서비스에 대해 자세히 알아봅니다.Learn more about virtual network service endpoints, and the services that endpoints can be enabled for.