패브릭에 대한 보안 액세스를 위한 프라이빗 링크(미리 보기)

프라이빗 링크를 사용하여 패브릭의 데이터 트래픽에 대한 보안 액세스를 제공할 수 있습니다. Azure Private Link 및 Azure 네트워킹 프라이빗 엔드포인트는 인터넷을 통해 가는 대신 Microsoft의 백본 네트워크 인프라를 사용하여 개인적으로 데이터 트래픽을 보내는 데 사용됩니다.

프라이빗 링크 연결을 사용하는 경우 패브릭 사용자가 Fabric의 리소스에 액세스할 때 이러한 연결은 Microsoft 프라이빗 네트워크 백본을 통과합니다.

Azure Private Link에 대한 자세한 내용은 Azure Private Link란을 참조하세요.

프라이빗 엔드포인트를 사용하도록 설정하면 많은 항목에 영향을 주므로 프라이빗 엔드포인트를 사용하도록 설정하기 전에 이 전체 문서를 검토해야 합니다.

프라이빗 엔드포인트란?

프라이빗 엔드포인트는 조직의 패브릭 항목으로 들어오는 트래픽(예: OneLake에 파일 업로드)이 항상 조직의 구성된 프라이빗 링크 네트워크 경로를 따르도록 보장합니다. 구성된 네트워크 경로에서 제공되지 않는 모든 요청을 거부하도록 Fabric을 구성할 수 있습니다.

프라이빗 엔드포인트는 클라우드 또는 온-프레미스에서 패브릭에서 외부 데이터 원본으로의 트래픽이 보호되도록 보장하지 않습니다. 데이터 원본에 대한 보안을 강화하는 방화벽 규칙 및 가상 네트워크를 구성합니다.

프라이빗 엔드포인트는 클라이언트가 지정된 서비스에 대한 연결을 시작할 수 있지만 서비스가 고객 네트워크에 대한 연결을 시작하도록 허용하지 않는 단일 방향 기술입니다. 이 프라이빗 엔드포인트 통합 패턴은 서비스가 고객 네트워크 정책 구성과 독립적으로 작동할 수 있으므로 관리 격리를 제공합니다. 다중 테넌트 서비스의 경우 이 프라이빗 엔드포인트 모델은 동일한 서비스 내에서 호스트되는 다른 고객의 리소스에 대한 액세스를 방지하기 위해 링크 식별자를 제공합니다.

Fabric 서비스는 서비스 엔드포인트가 아닌 프라이빗 엔드포인트를 구현합니다.

패브릭과 함께 프라이빗 엔드포인트를 사용하면 다음과 같은 이점이 제공됩니다.

• 인터넷에서 패브릭으로 트래픽을 제한하고 Microsoft 백본 네트워크를 통해 라우팅합니다.
• 권한 있는 클라이언트 컴퓨터만 패브릭에 액세스할 수 있는지 확인합니다.
• 데이터 및 분석 서비스에 대한 프라이빗 액세스를 의무화하는 규정 및 규정 준수 요구 사항을 준수합니다.

프라이빗 엔드포인트 구성 이해

Private Link 구성 과 관련된 패브릭 관리 포털에는 Azure Private Link 및 공용 인터넷 액세스 차단이라는 두 가지 테넌트 설정이 있습니다.

Azure Private Link가 올바르게 구성되고 공용 인터넷 액세스 차단이 사용으로 설정된 경우:

• 지원되는 패브릭 항목은 프라이빗 엔드포인트에서만 조직에 액세스할 수 있으며 공용 인터넷에서 액세스할 수 없습니다.
• 프라이빗 링크를 지원하는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 프라이빗 링크를 통해 전송됩니다.
• 프라이빗 링크를 지원하지 않는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 서비스에 의해 차단되며 작동하지 않습니다.
• 프라이빗 링크를 지원하지 않는 시나리오가 있을 수 있으므로 공용 인터넷 액세스를 차단할 때 서비스에서 차단됩니다.

Azure Private Link가 올바르게 구성되고 공용 인터넷 액세스 차단이 사용 안 함으로 설정된 경우:

• 공용 인터넷의 트래픽은 패브릭 서비스에서 허용됩니다.
• 프라이빗 링크를 지원하는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 프라이빗 링크를 통해 전송됩니다.
• 프라이빗 링크를 지원하지 않는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 공용 인터넷을 통해 전송되며 Fabric 서비스에서 허용됩니다.
• 가상 네트워크가 공용 인터넷 액세스를 차단하도록 구성된 경우 프라이빗 링크를 지원하지 않는 시나리오는 가상 네트워크에 의해 차단되고 작동하지 않습니다.

패브릭 환경의 Private Link

Onelake

Onelake는 Private Link를 지원합니다. OneLake 파일 탐색기, Azure Storage Explorer, PowerShell 등을 통해 패브릭 포털 또는 설정된 VNet 내의 컴퓨터에서 Onelake를 탐색할 수 있습니다.

OneLake 지역 엔드포인트를 사용하는 직접 호출은 패브릭에 대한 프라이빗 링크를 통해 작동하지 않습니다. OneLake 및 지역 엔드포인트에 연결하는 방법에 대한 자세한 내용은 OneLake에 어떻게 할까요? 연결을 참조하세요.

Warehouse 및 Lakehouse SQL 엔드포인트

포털에서 웨어하우스 항목 및 Lakehouse SQL 엔드포인트에 액세스하는 것은 Private Link로 보호됩니다. 고객은 TDS(테이블 형식 데이터 스트림) 엔드포인트(예: SQL Server Management Studio, Azure Data Studio)를 사용하여 프라이빗 링크를 통해 웨어하우스에 연결할 수도 있습니다.

공용 인터넷 액세스 차단 테넌트 설정을 사용하는 경우 Warehouse의 시각적 쿼리가 작동하지 않습니다.

Lakehouse, Notebook, Spark 작업 정의, 환경

Azure Private Link 테넌트 설정을 사용하도록 설정하면 첫 번째 Spark 작업(Notebook 또는 Spark 작업 정의)을 실행하거나 Lakehouse 작업(테이블에 로드, 테이블 기본 최적화 또는 진공과 같은 테넌트 작업)을 수행하면 작업 영역에 대한 관리형 가상 네트워크가 생성됩니다.

관리형 가상 네트워크가 프로비전되면 Spark에 대한 시작 풀(기본 컴퓨팅 옵션)이 비활성화됩니다. 이러한 풀은 공유 가상 네트워크에서 호스트되는 미리 설치된 클러스터이기 때문에 비활성화됩니다. Spark 작업은 작업 영역의 전용 관리형 가상 네트워크 내에서 작업 제출 시 요청 시 생성되는 사용자 지정 풀에서 실행됩니다. 관리형 가상 네트워크가 작업 영역에 할당된 경우 다른 지역의 용량 간에 작업 영역 마이그레이션이 지원되지 않습니다.

프라이빗 링크 설정을 사용하도록 설정하면 다른 지역의 패브릭 용량을 사용하는 경우에도 홈 지역이 패브릭 데이터 엔지니어 지원하지 않는 테넌트에 대해 Spark 작업이 작동하지 않습니다.

자세한 내용은 Fabric용 관리되는 VNet을 참조 하세요.

데이터 흐름 Gen2

Dataflow gen2를 사용하여 데이터를 가져와 데이터를 변환하고 프라이빗 링크를 통해 데이터 흐름을 게시할 수 있습니다. 데이터 원본이 방화벽 뒤에 있는 경우 VNet 데이터 게이트웨이를 사용하여 데이터 원본에 연결할 수 있습니다. VNet 데이터 게이트웨이를 사용하면 게이트웨이(컴퓨팅)를 기존 가상 네트워크에 삽입하여 관리되는 게이트웨이 환경을 제공할 수 있습니다. VNet 게이트웨이 연결을 사용하여 프라이빗 링크가 필요한 테넌트에서 Lakehouse 또는 Warehouse에 연결하거나 가상 네트워크를 사용하여 다른 데이터 원본에 연결할 수 있습니다.

파이프라인

프라이빗 링크를 통해 파이프라인에 연결하는 경우 데이터 파이프라인을 사용하여 퍼블릭 엔드포인트가 있는 모든 데이터 원본의 데이터를 프라이빗 링크 사용 Microsoft Fabric Lakehouse로 로드할 수 있습니다. 고객은 프라이빗 링크를 사용하여 Notebook 및 데이터 흐름 활동을 비롯한 활동을 사용하여 데이터 파이프라인을 작성하고 운영할 수도 있습니다. 그러나 현재 Fabric의 프라이빗 링크를 사용하도록 설정하면 데이터 웨어하우스에서 데이터 웨어하우스로 데이터를 복사할 수 없습니다.

ML 모델, 실험 및 AI 기술

ML 모델, 실험 및 AI 기술은 프라이빗 링크를 지원합니다.

Power BI

• 인터넷 액세스를 사용하지 않도록 설정한 경우 Power BI 의미 체계 모델, Datamart 또는 Dataflow Gen1이 Power BI 의미 체계 모델 또는 데이터 흐름에 데이터 원본으로 연결되면 연결이 실패합니다.

• 패브릭에서 테넌트 설정 Azure Private Link 를 사용하는 경우 웹에 게시가 지원되지 않습니다.

• 패브릭에서 테넌트 설정 블록 공용 인터넷 액세스를 사용하는 경우 전자 메일 구독이 지원되지 않습니다.

• 패브릭에서 테넌트 설정 Azure Private Link 를 사용하는 경우 Power BI 보고서를 PDF 또는 PowerPoint로 내보내는 것은 지원되지 않습니다.

• 조직에서 패브릭에서 Azure Private Link를 사용하는 경우 최신 사용 메트릭 보고서에는 부분 데이터(보고서 열기 이벤트만 포함)가 포함됩니다. 프라이빗 링크를 통해 클라이언트 정보를 전송하는 경우 현재 제한 사항으로 인해 패브릭은 프라이빗 링크를 통해 보고서 페이지 뷰 및 성능 데이터를 캡처할 수 없습니다. 조직에서 Fabric에서 Azure Private Link 및 공용 인터넷 액세스 차단 테넌트 설정을 사용하도록 설정한 경우 데이터 세트에 대한 새로 고침이 실패하고 사용 메트릭 보고서에 데이터가 표시되지 않습니다.

기타 패브릭 항목

KQL 데이터베이스 및 EventStream과 같은 다른 패브릭 항목은 현재 Private Link를 지원하지 않으며 규정 준수 상태 보호하기 위해 공용 인터넷 액세스 차단 테넌트 설정을 켜면 자동으로 비활성화됩니다.

Microsoft Purview Information Protection

Microsoft Purview Information Protection은 현재 Private Link를 지원하지 않습니다. 즉, 격리된 네트워크에서 실행되는 Power BI Desktop에서 민감도 단추가 회색으로 표시되고 레이블 정보가 표시되지 않으며 .pbix 파일의 암호 해독이 실패합니다.

데스크톱에서 이러한 기능을 사용하도록 설정하기 위해 관리자는 Microsoft Purview Information Protection, EOP(Exchange Online Protection) 및 AIP(Azure Information Protection)를 지원하는 기본 서비스에 대한 서비스 태그를 구성할 수 있습니다. 프라이빗 링크 격리 네트워크에서 서비스 태그를 사용하는 것의 영향을 이해해야 합니다.

기타 고려 사항 및 제한 사항

패브릭에서 프라이빗 엔드포인트를 사용하는 동안 유의해야 할 몇 가지 고려 사항이 있습니다.

• Fabric은 Private Link를 사용하는 테넌트에서 최대 200개의 용량을 지원합니다.

• 패브릭 관리 포털에서 Private Link를 켜면 테넌트 마이그레이션이 차단됩니다.

• 고객은 단일 VNet에서 여러 테넌트의 패브릭 리소스에 연결할 수 없으며 프라이빗 링크를 설정하는 마지막 테넌트만 연결할 수 있습니다.

• 프라이빗 링크는 평가판 용량에서 지원되지 않습니다.

• 프라이빗 링크 환경을 사용하는 경우에는 외부 이미지 또는 테마를 사용할 수 없습니다.

• 각 프라이빗 엔드포인트는 하나의 테넌트에만 연결할 수 있습니다. 둘 이상의 테넌트에서 사용할 프라이빗 링크를 설정할 수 없습니다.

• 패브릭 사용자의 경우: 온-프레미스 데이터 게이트웨이는 지원되지 않으며 Private Link를 사용하도록 설정하면 등록에 실패합니다. 게이트웨이 구성자를 성공적으로 실행하려면 Private Link를 사용하지 않도록 설정해야 합니다. VNet 데이터 게이트웨이가 작동합니다.

• 비 PowerBI(PowerApps 또는 LogicApps) 게이트웨이 사용자의 경우: Private Link를 사용하는 경우 게이트웨이가 제대로 작동하지 않습니다. 잠재적 해결 방법은 Azure Private Link 테넌트 설정을 사용하지 않도록 설정하고, 원격 지역(권장 지역 이외의 지역)에서 게이트웨이를 구성한 다음, Azure Private Link를 다시 사용하도록 설정하는 것입니다. Private Link를 다시 사용하도록 설정한 후에는 원격 지역의 게이트웨이에서 프라이빗 링크를 사용하지 않습니다.

• 프라이빗 링크 리소스 REST API는 태그를 지원하지 않습니다.

• 클라이언트 브라우저에서 다음 URL에 액세스할 수 있어야 합니다.

  • 인증에 필수:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, 계정 유형에 따라 다를 수 있습니다.

  • 데이터 엔지니어 및 데이터 과학 환경에 필요합니다.

    • http://res.cdn.office.net/
    • https://pypi.org/*(예: https://pypi.org/pypi/azure-storage-blob/json)
    • condaPackages에 대한 로컬 정적 엔드포인트
    • https://cdn.jsdelivr.net/npm/monaco-editor*

관련 콘텐츠

• 보안 프라이빗 엔드포인트 설정 및 사용
• 패브릭용 관리되는 VNet
• 조건부 액세스
• Microsoft Entra 테넌트 ID를 찾는 방법