프라이빗 엔드포인트를 사용하는 IoT Central에 대한 네트워크 보안
디바이스 연결에 대한 표준 IoT Central 엔드포인트는 공용 URL을 사용하여 액세스됩니다. 유효한 ID를 가진 모든 디바이스는 모든 위치에서 IoT Central 애플리케이션에 연결할 수 있습니다.
프라이빗 엔드포인트를 사용하여 IoT Central 애플리케이션에 대한 디바이스 연결을 제한하고 보호하며, 프라이빗 가상 네트워크를 통한 액세스만 허용합니다.
프라이빗 엔드포인트는 가상 네트워크 주소 공간의 개인 IP 주소를 사용하여 디바이스를 IoT Central 애플리케이션에 비공개로 연결합니다. 가상 네트워크의 디바이스와 IoT 플랫폼 간의 네트워크 트래픽이 Microsoft 백본 네트워크에서 가상 네트워크와 프라이빗 링크를 통과하며 공용 인터넷에서의 노출을 제거합니다.
Azure Virtual Network에 대한 자세한 내용은 다음을 참조하세요.
IoT Central 애플리케이션의 프라이빗 엔드포인트를 사용하면 다음을 수행할 수 있습니다.
- 공용 엔드포인트의 모든 연결을 차단하도록 방화벽을 구성하여 클러스터를 보호합니다.
- 가상 네트워크의 데이터를 보호할 수 있도록 하여 가상 네트워크에 대한 보안을 강화합니다.
- VPN 게이트웨이 또는 ExpressRoute 개인 피어링을 사용하여 가상 네트워크에 연결하는 IoT Central부터 온-프레미스 네트워크까지 디바이스를 안전하게 연결합니다.
IoT Central에서 프라이빗 엔드포인트를 사용하는 것은 온-프레미스 네트워크에 연결된 디바이스에 적합합니다. 인터넷과 같은 광역 네트워크에 배포된 디바이스에는 프라이빗 엔드포인트를 사용하면 안 됩니다.
프라이빗 엔드포인트란?
프라이빗 엔드포인트는 가상 네트워크의 IP 주소 범위에서 IP 주소가 할당된 가상 네트워크의 Azure 서비스에 대한 특수 네트워크 인터페이스입니다. 프라이빗 엔드포인트는 가상 네트워크의 디바이스와 거기에 연결된 IoT 플랫폼 간에 안전한 연결을 제공합니다. 프라이빗 엔드포인트와 Azure IoT 플랫폼 간의 연결은 보안 프라이빗 링크를 사용합니다.
가상 네트워크에 연결된 디바이스는 프라이빗 엔드포인트를 통해 클러스터에 원활하게 연결할 수 있습니다. 권한 부여 메커니즘은 공용 엔드포인트에 연결하는 데 사용하는 것과 동일합니다. 그러나 애플리케이션에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하면 전역 프로비전 호스트 global.azure-devices-provisioning.net URL이 확인되지 않으므로 DPS 연결 URL을 업데이트해야 합니다.
가상 네트워크의 클러스터에 대한 프라이빗 엔드포인트를 만들면 구독 소유자의 승인을 위해 동의 요청이 전송됩니다. 프라이빗 엔드포인트 만들기를 요청한 사용자가 구독의 소유자인 경우 요청이 자동으로 승인됩니다. 구독 소유자는 프라이빗 엔드포인트에서 Azure Portal의 클러스터에 대한 동의 요청 및 프라이빗 엔드포인트를 관리할 수 있습니다.
각 IoT Central 애플리케이션은 여러 프라이빗 엔드포인트를 지원할 수 있으며, 각 엔드포인트는 다른 지역의 가상 네트워크에 있을 수 있습니다. 여러 프라이빗 엔드포인트를 사용하려는 경우 DNS를 구성하고 가상 네트워크 서브넷의 크기를 계획하는 데 각별한 주의를 기울여야 합니다.
가상 네트워크의 서브넷 크기 계획
서브넷을 만든 후에는 가상 네트워크의 서브넷 크기를 변경할 수 없습니다. 따라서 서브넷의 크기를 계획하고 향후 성장을 허용하는 것이 중요합니다.
IoT Central은 프라이빗 엔드포인트 배포의 일부로 여러 고객에게 표시되는 FQDN을 만듭니다. IoT Central용 FQDN 외에도 기본 IoT Hub, Event Hubs 및 Device Provisioning Service 리소스에 대한 FQDN이 있습니다.
IoT Central 프라이빗 엔드포인트는 가상 네트워크 및 서브넷의 여러 IP 주소를 사용합니다. 또한 애플리케이션의 부하 프로필에 따라 IoT Central은 기본 IoT Hub를 자동으로 크기 조정하므로 프라이빗 엔드포인트에서 사용하는 IP 주소 수가 증가할 수 있습니다. 서브넷의 크기를 결정할 때 이러한 증가 가능성을 계획합니다.
다음 정보를 사용하여 서브넷에 필요한 총 IP 주소 수를 확인할 수 있습니다.
| 기능 | 프라이빗 엔드포인트당 IP 주소 수 |
|---|---|
| IoT Central URL | 1 |
| 기본 IoT Hub | 2-50 |
| IoT Hub에 해당하는 Event Hubs | 2-50 |
| Device Provisioning Service | 1 |
| Azure 예약된 주소 | 5 |
| 합계 | 11-107 |
자세한 내용은 Azure Virtual Network FAQ를 참조하세요.
참고
서브넷의 최소 크기는 /28(사용 가능한 IP 주소 14개)여야 합니다. IoT Central 프라이빗 엔드포인트 /24와 함께 사용하는 것이 좋습니다. 이는 극단적인 워크로드에 도움이 됩니다.
다음 단계
이제 프라이빗 엔드포인트를 사용하여 디바이스를 애플리케이션에 연결하는 방법에 대해 알아보았으므로 다음 단계를 제안합니다.