Virtual Network 서비스 엔드포인트Virtual Network service endpoints

VNet (Virtual Network) 서비스 끝점은 Azure 백본 네트워크를 통해 최적화 된 경로를 통해 Azure 서비스에 대 한 안전한 직접 연결을 제공 합니다.Virtual Network (VNet) service endpoint provides secure and direct connectivity to Azure services over an optimized route over the Azure backbone network. 엔드포인트를 사용하면 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있습니다.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. 서비스 끝점을 통해 vnet의 개인 IP 주소는 VNet에서 공용 IP 주소가 없어도 Azure 서비스의 끝점에 연결할 수 있습니다.Service Endpoints enables private IP addresses in the VNet to reach the endpoint of an Azure service without needing a public IP address on the VNet.

이 기능은 다음과 같은 Azure 서비스 및 지역에서 사용할 수 있습니다.This feature is available for the following Azure services and regions. *Microsoft. * * 리소스는 괄호 안에 있습니다.The Microsoft.* resource is in parenthesis. 서비스에 대 한 서비스 끝점을 구성 하는 동안 서브넷 쪽에서이 리소스를 사용 하도록 설정 합니다.Enable this resource from the subnet side while configuring service endpoints for your service:

일반 공급Generally available

  • Azure Storage (Microsoft 저장소): 모든 Azure 지역에서 일반 공급 됩니다.Azure Storage (Microsoft.Storage): Generally available in all Azure regions.
  • Azure SQL Database (Microsoft .sql): 모든 Azure 지역에서 일반 공급 됩니다.Azure SQL Database (Microsoft.Sql): Generally available in all Azure regions.
  • Azure SQL Data Warehouse (Microsoft .sql): 모든 Azure 지역에서 일반 공급 됩니다.Azure SQL Data Warehouse (Microsoft.Sql): Generally available in all Azure regions.
  • Azure Database for PostgreSQL server (Microsoft .sql): 데이터베이스 서비스를 사용할 수 있는 Azure 지역에서 일반적으로 사용할 수 있습니다.Azure Database for PostgreSQL server (Microsoft.Sql): Generally available in Azure regions where database service is available.
  • Azure Database for MySQL server (Microsoft .sql): 데이터베이스 서비스를 사용할 수 있는 Azure 지역에서 일반적으로 사용할 수 있습니다.Azure Database for MySQL server (Microsoft.Sql): Generally available in Azure regions where database service is available.
  • Azure Database for MariaDB (Microsoft .sql): 데이터베이스 서비스를 사용할 수 있는 Azure 지역에서 일반적으로 사용할 수 있습니다.Azure Database for MariaDB (Microsoft.Sql): Generally available in Azure regions where database service is available.
  • Azure Cosmos DB (microsoft.azurecosmosdb): 모든 Azure 지역에서 일반 공급 됩니다.Azure Cosmos DB (Microsoft.AzureCosmosDB): Generally available in all Azure regions.
  • Azure Key Vault (Microsoft. keyvault): 모든 Azure 지역에서 일반 공급 됩니다.Azure Key Vault (Microsoft.KeyVault): Generally available in all Azure regions.
  • Azure Service Bus (ServiceBus): 모든 Azure 지역에서 일반 공급 됩니다.Azure Service Bus (Microsoft.ServiceBus): Generally available in all Azure regions.
  • Azure Event Hubs (Microsoft EventHub): 모든 azure 지역에서 일반 공급 됩니다.Azure Event Hubs (Microsoft.EventHub): Generally available in all Azure regions.
  • Azure Data Lake Store Gen 1 (AzureActiveDirectory): ADLS Gen1를 사용할 수 있는 모든 Azure 지역에서 일반 공급 됩니다.Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory): Generally available in all Azure regions where ADLS Gen1 is available.
  • Azure App Service (Microsoft 웹): App Service를 사용할 수 있는 모든 Azure 지역에서 일반 공급 됩니다.Azure App Service (Microsoft.Web): Generally available in all Azure regions where App service is available.

공개 미리 보기Public Preview

  • Azure Container Registry (microsoft.containerregistry): Azure Container Registry를 사용할 수 있는 제한 된 Azure 지역에서 미리 보기를 사용할 수 있습니다.Azure Container Registry (Microsoft.ContainerRegistry): Preview available in limited Azure regions where Azure Container Registry is available.

최신 알림을 보려면 Azure Virtual Network 업데이트 페이지를 확인 하세요.For the most up-to-date notifications, check the Azure Virtual Network updates page.

주요 이점Key benefits

서비스 엔드포인트는 다음과 같은 이점을 제공합니다.Service endpoints provide the following benefits:

  • Azure 서비스 리소스의 보안 향상: VNet 개인 주소 공간이 겹칠 수 있습니다.Improved security for your Azure service resources: VNet private address spaces can overlap. 중복 된 공백은 VNet에서 시작 되는 트래픽을 고유 하 게 식별 하는 데 사용할 수 없습니다.You can't use overlapping spaces to uniquely identify traffic that originates from your VNet. 서비스 끝점은 VNet id를 서비스로 확장 하 여 가상 네트워크에 대 한 Azure 서비스 리소스를 보호 하는 기능을 제공 합니다.Service endpoints provide the ability to secure Azure service resources to your virtual network by extending VNet identity to the service. 가상 네트워크에서 서비스 끝점을 사용 하도록 설정 하면 가상 네트워크 규칙을 추가 하 여 가상 네트워크에 대 한 Azure 서비스 리소스를 보호할 수 있습니다.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network. 규칙 추가는 리소스에 대 한 공용 인터넷 액세스를 완전히 제거 하 고 가상 네트워크의 트래픽만 허용 하 여 향상 된 보안을 제공 합니다.The rule addition provides improved security by fully removing public internet access to resources and allowing traffic only from your virtual network.

  • 가상 네트워크에서 azure 서비스 트래픽에 대 한 최적의 라우팅: 현재 온-프레미스 및/또는 가상 어플라이언스에 인터넷 트래픽을 강제 하는 가상 네트워크의 모든 경로는 Azure 서비스 트래픽이 인터넷 트래픽과 동일한 경로를 사용 하도록 합니다.Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances also force Azure service traffic to take the same route as the internet traffic. 서비스 엔드포인트는 Azure 트래픽에 대한 최적의 라우팅을 제공합니다.Service endpoints provide optimal routing for Azure traffic.

    엔드포인트는 가상 네트워크의 서비스 트래픽을 직접 Microsoft Azure 백본 네트워크의 서비스로 항상 이동시킵니다.Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. 트래픽을 Azure 백본 네트워크에 유지하면 서비스 트래픽에 영향을 주지 않고 강제 터널링을 통해 가상 네트워크의 아웃바운드 인터넷 트래픽을 계속 감사하고 모니터링할 수 있습니다.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. 사용자 정의 경로 및 강제 터널링에 대 한 자세한 내용은 Azure 가상 네트워크 트래픽 라우팅을 참조 하세요.For more information about user-defined routes and forced-tunneling, see Azure virtual network traffic routing.

  • 관리 오버 헤드를 덜 사용하여 간단히 설정: IP 방화벽을 통해 Azure 리소스를 보호하기 위해 가상 네트워크에서 예약된 공용 IP 주소가 더 이상 필요하지 않습니다.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. 서비스 끝점을 설정 하는 데 필요한 NAT (Network Address Translation) 또는 게이트웨이 장치가 없습니다.There are no Network Address Translation (NAT) or gateway devices required to set up the service endpoints. 서브넷을 간단히 클릭 하 여 서비스 끝점을 구성할 수 있습니다.You can configure service endpoints through a simple click on a subnet. 끝점을 유지 하기 위한 추가 오버 헤드가 없습니다.There's no additional overhead to maintaining the endpoints.

제한 사항Limitations

  • 이 기능은 Azure Resource Manager 배포 모델을 통해 배포된 가상 네트워크에만 사용할 수 있습니다.The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • 엔드포인트는 Azure 가상 네트워크에서 구성된 서브넷에서 활성화됩니다.Endpoints are enabled on subnets configured in Azure virtual networks. 온-프레미스에서 Azure 서비스로의 트래픽에 끝점을 사용할 수 없습니다.Endpoints can't be used for traffic from your premises to Azure services. 자세한 내용은 온-프레미스에서 Azure 서비스 액세스 보호 를 참조 하세요.For more information, see Secure Azure service access from on-premises
  • Azure SQL의 경우 서비스 엔드포인트는 가상 네트워크의 지역 내에서 Azure 서비스 트래픽에만 적용됩니다.For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. Azure Storage의 경우 끝점은 가상 네트워크를 배포 하 여 GRS (읽기 액세스 지역 중복 저장소) 및 GRS (지역 중복 저장소) 트래픽을 지원 하기 위해 쌍을 이루는 지역을 포함 하도록 확장 됩니다.For Azure Storage, endpoints also extend to include paired regions where you deploy the virtual network to support Read-Access Geo-Redundant Storage (RA-GRS) and Geo-Redundant Storage (GRS) traffic. 자세한 내용은 Azure 쌍을 이루는 지역을 참조하세요.For more information, see Azure paired regions.
  • Azure Data Lake Storage (ADLS) Gen 1의 경우 동일한 지역 내의 가상 네트워크에 대해서만 VNet 통합 기능을 사용할 수 있습니다.For Azure Data Lake Storage (ADLS) Gen 1, the VNet Integration capability is only available for virtual networks within the same region. 또한 ADLS Gen1의 가상 네트워크 통합은 가상 네트워크와 Azure Active Directory (Azure AD) 간의 가상 네트워크 서비스 끝점 보안을 사용 하 여 액세스 토큰에 추가 보안 클레임을 생성 합니다.Also note that virtual network integration for ADLS Gen1 uses the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. 그런 다음, 이러한 클레임을 사용하여 Data Lake Storage Gen1 계정에 대해 가상 네트워크를 인증하고 액세스를 허용합니다.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. 서비스 끝점 지원 서비스에 나열 된 AzureActiveDirectory 태그는 서비스 끝점을 ADLS Gen 1에 지 원하는 데만 사용 됩니다.The Microsoft.AzureActiveDirectory tag listed under services supporting service endpoints is used only for supporting service endpoints to ADLS Gen 1. Azure AD는 서비스 끝점을 기본적으로 지원 하지 않습니다.Azure AD doesn't support service endpoints natively. Azure Data Lake Store Gen 1 VNet 통합에 대 한 자세한 내용은 Azure Data Lake Storage Gen1의 네트워크 보안을 참조 하세요.For more information about Azure Data Lake Store Gen 1 VNet integration, see Network security in Azure Data Lake Storage Gen1.

가상 네트워크에 대 한 Azure 서비스 보안 유지Secure Azure services to virtual networks

  • 가상 네트워크 서비스 엔드포인트는 Azure 서비스에 가상 네트워크의 ID를 제공합니다.A virtual network service endpoint provides the identity of your virtual network to the Azure service. 가상 네트워크에서 서비스 끝점을 사용 하도록 설정 하면 가상 네트워크 규칙을 추가 하 여 가상 네트워크에 대 한 Azure 서비스 리소스를 보호할 수 있습니다.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network.

  • 현재 가상 네트워크의 Azure 서비스 트래픽은 공용 IP 주소를 원본 IP 주소로 사용합니다.Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. 서비스 엔드포인트에서 서비스 트래픽은 가상 네트워크의 Azure 서비스에 액세스할 때 가상 네트워크 프라이빗 주소를 원본 IP 주소로 사용하도록 전환됩니다.With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. 이 스위치를 사용하면 IP 방화벽에서 사용되는 예약된 공용 IP 주소가 필요 없이 서비스에 액세스할 수 있습니다.This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

    참고

    서비스 엔드포인트를 사용하면 서비스 트래픽에 대한 서브넷의 가상 머신 원본 IP 주소가 공용 IPv4 주소에서 프라이빗 IPv4 주소로 전환됩니다.With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. Azure 공용 IP 주소를 사용하는 기존 Azure 서비스 방화벽 규칙은 더 이상 이 스위치에 작동하지 않습니다.Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. 서비스 엔드포인트를 설정하기 전에 Azure 서비스 방화벽 규칙에서 이 스위치를 허용해야 합니다.Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. 서비스 엔드포인트를 구성하는 동안 이 서브넷의 서비스 트래픽이 일시적으로 중단될 수도 있습니다.You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

온-프레미스에서 Azure 서비스 액세스 보안Secure Azure service access from on-premises

기본적으로 가상 네트워크에 대해 보호 된 Azure 서비스 리소스는 온-프레미스 네트워크에서 연결할 수 없습니다.By default, Azure service resources secured to virtual networks aren't reachable from on-premises networks. 온-프레미스의 트래픽을 허용하려는 경우 온-프레미스 또는 ExpressRoute의 공용 IP 주소(일반적으로 NAT)도 허용해야 합니다.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Azure 서비스 리소스에 대 한 IP 방화벽 구성을 통해 이러한 IP 주소를 추가할 수 있습니다.You can add these IP addresses through the IP firewall configuration for Azure service resources.

Express 경로: 공용 피어 링 또는 온-프레미스의 Microsoft 피어 링에 대해 express 경로를 사용 하는 경우 사용 중인 NAT IP 주소를 식별 해야 합니다.ExpressRoute: If you're using ExpressRoute for public peering or Microsoft peering from your premises, you'll need to identify the NAT IP addresses that you're using. 공용 피어 링의 경우 각 Express 경로 회로는 트래픽이 Microsoft Azure 네트워크 백본으로 들어갈 때 Azure 서비스 트래픽에 적용 되는 두 개의 NAT IP 주소를 기본적으로 사용 합니다.For public peering, each ExpressRoute circuit uses two NAT IP addresses, by default, applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Microsoft 피어 링의 경우 NAT IP 주소는 서비스 공급자가 제공 하거나 제공 하는 고객입니다.For Microsoft peering, the NAT IP addresses are either customer provided or provided by the service provider.서비스 리소스에 대한 액세스를 허용하려면 리소스 IP 방화벽 설정에서 이러한 공용 IP 주소를 허용해야 합니다. To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting.ExpressRoute 회로 IP 주소를 찾으려면 Azure Portal을 통해 ExpressRoute에서 지원 티켓을 엽니다. To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Express 경로 공용 및 Microsoft 피어 링의 NAT에 대 한 자세한 내용은 express 경로 nat 요구 사항을 참조 하세요.For more information about NAT for ExpressRoute public and Microsoft peering, see ExpressRoute NAT requirements.

Virtual Network에 대한 Azure 서비스 보호

구성Configuration

  • 가상 네트워크의 서브넷에서 서비스 끝점을 구성 합니다.Configure service endpoints on a subnet in a virtual network. 엔드포인트는 해당 서브넷 내에서 실행되는 모든 컴퓨팅 인스턴스를 사용합니다.Endpoints work with any type of compute instances running within that subnet.
  • 모든 지원 되는 Azure 서비스 (예: 서브넷에 대해 지원 되는 모든 Azure 서비스 Azure Storage 또는 Azure SQL Database)에 대해 여러 서비스 끝점을 구성할 수 있습니다.You can configure multiple service endpoints for all supported Azure services (Azure Storage or Azure SQL Database, for example) on a subnet.
  • Azure SQL Database의 경우 가상 네트워크는 Azure 서비스 리소스와 동일한 지역에 있어야 합니다.For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. GRS 및 RA-GRS Azure Storage 계정을 사용하는 경우 기본 계정은 가상 네트워크와 동일한 지역에 있어야 합니다.If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. 다른 모든 서비스의 경우 모든 지역에서 가상 네트워크에 대 한 Azure 서비스 리소스를 보호할 수 있습니다.For all other services, you can secure Azure service resources to virtual networks in any region.
  • 엔드포인트가 구성된 가상 네트워크는 Azure 서비스 리소스와 동일하거나 다른 구독에 구성될 수 있습니다.The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. 엔드포인트를 설정하고 Azure 서비스를 보호하는 데 필요한 사용 권한에 대한 자세한 내용은 프로비전을 참조하세요.For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • 지원되는 서비스의 경우 서비스 엔드포인트를 사용하여 가상 네트워크에 대한 기존 또는 새로운 리소스를 보호할 수 있습니다.For supported services, you can secure new or existing resources to virtual networks using service endpoints.

고려 사항Considerations

  • 서비스 끝점을 사용 하도록 설정 하면 원본 IP 주소는 해당 서브넷의 서비스와 통신할 때 공용 IPv4 주소를 사용 하 여 개인 IPv4 주소를 사용 하는 것으로 전환 됩니다.After enabling a service endpoint, the source IP addresses switch from using public IPv4 addresses to using their private IPv4 address when communicating with the service from that subnet. 이 전환 중에 서비스에 대한 기존의 모든 오픈 TCP 연결이 닫힙니다.Any existing open TCP connections to the service are closed during this switch. 서브넷의 서비스에 서비스 엔드포인트를 사용하거나 사용하지 않도록 설정하는 경우 중요한 작업이 실행되지 않아야 합니다.Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. 또한 IP 주소를 전환한 후에 애플리케이션이 Azure 서비스에 자동으로 연결될 수 있어야 합니다.Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    IP 주소 전환은 가상 네트워크의 서비스 트래픽에만 영향을 줍니다.The IP address switch only impacts service traffic from your virtual network. 가상 컴퓨터에 할당 된 공용 IPv4 주소로 주소를 지정 하는 다른 트래픽에는 영향을 주지 않습니다.There's no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Azure 서비스의 경우 Azure 공용 IP 주소를 사용하는 기존 방화벽 규칙이 있는 경우 이러한 규칙은 가상 네트워크 프라이빗 주소로 전환하는 동시에 작동이 중지됩니다.For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • 서비스 끝점을 사용 하 여 Azure 서비스에 대 한 DNS 항목은 현재 상태로 유지 되 고 Azure 서비스에 할당 된 공용 IP 주소로 계속 확인 됩니다.With service endpoints, DNS entries for Azure services remain as-is today and continue to resolve to public IP addresses assigned to the Azure service.

  • 서비스 엔드포인트의 NSG(네트워크 보안 그룹):Network security groups (NSGs) with service endpoints:

    • 기본적으로 NSGs는 아웃 바운드 인터넷 트래픽을 허용 하 고 VNet에서 Azure 서비스로의 트래픽만 허용 합니다.By default, NSGs allow outbound internet traffic and also allow traffic from your VNet to Azure services. 이 트래픽은 계속 해 서 서비스 끝점을 그대로 사용 합니다.This traffic continues to work with service endpoints as is.
    • 모든 아웃 바운드 인터넷 트래픽을 거부 하 고 특정 Azure 서비스에 대 한 트래픽만 허용 하려면 NSGs의 서비스 태그 를 사용 하면 됩니다.If you want to deny all outbound internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. NSG 규칙에서 지원 되는 Azure 서비스를 대상으로 지정할 수 있으며, Azure는 각 태그의 IP 주소에 대 한 유지 관리도 제공 합니다.You can specify supported Azure services as destination in your NSG rules and Azure also provides the maintenance of IP addresses underlying each tag. 자세한 내용은 NSG의 Azure 서비스 태그를 참조하세요.For more information, see Azure Service tags for NSGs.

시나리오Scenarios

  • 피어링되거나 연결된 여러 가상 네트워크: 하나의 가상 네트워크 또는 여러 가상 네트워크의 여러 서브넷에 대한 Azure 서비스를 보호하려면 각 서브넷에서 서비스 엔드포인트를 독립적으로 활성화하고 모든 서브넷에 대한 Azure 서비스 리소스를 보호할 수 있습니다.Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • 가상 네트워크에서 azure 서비스로 아웃 바운드 트래픽 필터링: 가상 네트워크에서 azure 서비스로 전송 되는 트래픽을 검사 하거나 필터링 하려는 경우 가상 네트워크 내에 네트워크 가상 어플라이언스를 배포할 수 있습니다.Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic sent to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. 네트워크 가상 어플라이언스를 배포한 서브넷에 서비스 엔드포인트를 적용하고 이 서브넷에 대한 Azure 서비스 리소스만을 보호할 수 있습니다.You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. 이 시나리오는 네트워크 가상 어플라이언스 필터링을 사용 하 여 가상 네트워크에서 특정 Azure 리소스로의 Azure 서비스 액세스만 제한 하려는 경우에 유용할 수 있습니다.This scenario might be helpful if you want use network virtual appliance filtering to restrict Azure service access from your virtual network only to specific Azure resources. 자세한 내용은 네트워크 가상 어플라이언스에서 송신을 참조하세요.For more information, see egress with network virtual appliances.
  • 가상 네트워크에 직접 배포 된 서비스에 대 한 azure 리소스 보안: 다양 한 azure 서비스를 가상 네트워크의 특정 서브넷에 직접 배포할 수 있습니다.Securing Azure resources to services deployed directly into virtual networks: You can directly deploy various Azure services into specific subnets in a virtual network. 관리되는 서비스 서브넷에서 서비스 엔드포인트를 설정하여 관리되는 서비스 서브넷에 대한 Azure 서비스 리소스를 보호할 수 있습니다.You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Azure 가상 컴퓨터의 디스크 트래픽: 관리 되는 디스크 및 관리 되지 않는 디스크에 대 한 가상 컴퓨터 디스크 트래픽은 Azure Storage의 서비스 끝점 라우팅 변경의 영향을 받지 않습니다.Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic for managed and unmanaged disks isn't affected by service endpoints routing changes for Azure Storage. 이 트래픽에는 탑재 및 탑재 해제 뿐만 아니라 diskIO도 포함 됩니다.This traffic includes diskIO as well as mount and unmount. 서비스 끝점을 통해 네트워크를 선택 하 고 네트워크 규칙을 Azure Storage하 여 페이지 blob에 대 한 REST 액세스를 제한할 수 있습니다.You can limit REST access to page blobs to select networks through service endpoints and Azure Storage network rules.

로깅 및 문제 해결Logging and troubleshooting

특정 서비스에 대 한 서비스 끝점을 구성한 후에는 서비스 끝점 경로가 다음에 의해 적용 되는지 확인 합니다.Once you configure service endpoints to a specific service, validate that the service endpoint route is in effect by:

  • 서비스 진단에서 모든 서비스 요청의 원본 IP 주소 유효성을 검사합니다.Validating the source IP address of any service request in the service diagnostics. 서비스 엔드포인트에서 모든 새로운 요청은 요청의 원본 IP 주소를 가상 네트워크 개인 IP 주소로 표시하고 가상 네트워크에서 요청한 클라이언트에 할당됩니다.All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. 엔드포인트가 없는 경우 주소는 Azure 공용 IP 주소입니다.Without the endpoint, the address is an Azure public IP address.
  • 서브넷의 모든 네트워크 인터페이스에서 유효 경로를 볼 수 있습니다.Viewing the effective routes on any network interface in a subnet. 서비스에 대한 경로:The route to the service:
    • 각 서비스의 주소를 지정하는 구체적인 기본 경로를 표시합니다.Shows a more specific default route to address prefix ranges of each service
    • VirtualNetworkServiceEndpoint의 nextHopType이 있습니다.Has a nextHopType of VirtualNetworkServiceEndpoint
    • 강제 터널링 경로에 비해 서비스에 대 한 직접 연결이 적용 됨을 나타냅니다.Indicates that a more direct connection to the service is in effect compared to any forced-tunneling routes

참고

서비스 엔드포인트 경로는 Azure 서비스의 주소 접두사에 대한 BGP 또는 UDR 경로를 재정의합니다.Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. 자세한 내용은 유효 경로를 사용 하 여 문제 해결을 참조 하세요.For more information, see troubleshooting with effective routes.

프로비저닝Provisioning

가상 네트워크에서 가상 네트워크에 대 한 쓰기 권한이 있는 사용자가 독립적으로 서비스 끝점을 구성할 수 있습니다.Service endpoints can be configured on virtual networks independently by a user with write access to a virtual network. VNet에 대 한 Azure 서비스 리소스를 보호 하려면 사용자는 추가 된 서브넷에 대해 Microsoft. Network/virtualNetworks/서브넷/joinViaServiceEndpoint/action 에 대 한 사용 권한이 있어야 합니다.To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the added subnets. 기본 제공 서비스 관리자 역할은 기본적으로이 권한을 포함 합니다.The built-in service administrator roles include this permission by default. 사용자 지정 역할을 만들어 사용 권한을 수정할 수 있습니다.You can modify the permission by creating custom roles.

기본 제공 역할에 대 한 자세한 내용은 Azure 기본 제공 역할을 참조 하세요.For more information about built-in roles, see Azure built-in roles. 사용자 지정 역할에 특정 사용 권한을 할당 하는 방법에 대 한 자세한 내용은 Azure 사용자 지정 역할을 참조 하세요.For more information about assigning specific permissions to custom roles, see Azure custom roles.

가상 네트워크 및 Azure 서비스 리소스가 동일한 구독이나 다른 구독에 있을 수 있습니다.Virtual networks and Azure service resources can be in the same or different subscriptions. 가상 네트워크 및 Azure 서비스 리소스가 다른 구독에 있는 경우 동일한 AD(Active Directory) 테넌트 아래에 있어야 합니다.If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

가격 책정 및 제한Pricing and limits

서비스 끝점 사용에 대 한 추가 비용은 없습니다.There's no additional charge for using service endpoints. 현재 Azure 서비스 (Azure Storage, Azure SQL Database 등)에 대 한 가격 책정 모델은 현재 상태로 적용 됩니다.The current pricing model for Azure services (Azure Storage, Azure SQL Database, etc.) applies as-is today.

가상 네트워크의 총 서비스 끝점 수에는 제한이 없습니다.There's no limit on the total number of service endpoints in a virtual network.

Azure Storage 계정과 같은 특정 Azure 서비스는 리소스를 보호 하는 데 사용 되는 서브넷의 수에 제한을 적용할 수 있습니다.Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. 자세한 내용은 다음 단계 섹션에서 다양 한 서비스에 대 한 설명서를 참조 하세요.Refer to the documentation for various services in the Next steps section for details.

VNet 서비스 끝점 정책VNet service endpoint policies

VNet 서비스 끝점 정책을 통해 Azure 서비스에 대 한 가상 네트워크 트래픽을 필터링 할 수 있습니다.VNet service endpoint policies allow you to filter virtual network traffic to Azure services. 이 필터는 서비스 끝점에 대 한 특정 Azure 서비스 리소스만 허용 합니다.This filter allows only specific Azure service resources over service endpoints. 서비스 엔드포인트 정책은 Azure 서비스의 가상 네트워크 트래픽에 대한 세부적인 액세스 제어를 제공합니다.Service endpoint policies provide granular access control for virtual network traffic to Azure services. 자세한 내용은 Virtual Network 서비스 끝점 정책을 참조 하세요.For more information, see Virtual Network Service Endpoint Policies.

FAQFAQs

Faq는 Virtual Network 서비스 끝점 faq를 참조 하세요.For FAQs, see Virtual Network Service Endpoint FAQs.

다음 단계Next steps