빠른 시작: Azure CLI를 사용하여 Private Link 서비스 만들기

서비스를 참조하는 Private Link 서비스 만들기를 시작합니다. Azure 표준 Load Balancer 배후에 배포된 서비스 또는 리소스에 대한 Private Link 액세스를 제공합니다. 서비스 사용자는 가상 네트워크에서 비공개로 액세스할 수 있습니다.

Azure를 구독하고 있지 않다면 시작하기 전에 Azure 체험 계정을 만듭니다.

사전 요구 사항

• Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell의 Bash에 대한 빠른 시작을 참조하세요.

  

• CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.

  • 로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 로그인을 참조하세요.

  • 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI에서 확장 사용을 참조하세요.

  • az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.

• 이 빠른 시작에는 Azure CLI 버전 2.0.28 이상이 필요합니다. Azure Cloud Shell을 사용하는 경우 최신 버전이 이미 설치되어 있습니다.

리소스 그룹 만들기

Azure 리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다.

az group create를 사용하여 리소스 그룹을 만듭니다.

• 명명된 test-rg

• eastus2 위치에 있습니다.

az group create \
    --name test-rg \
    --location eastus2

내부 부하 분산 장치 만들기

이 섹션에서는 가상 네트워크 및 내부 Azure Load Balancer를 만듭니다.

가상 네트워크

이 섹션에서는 Private Link 서비스에 액세스하는 부하 분산 장치를 호스팅할 가상 네트워크와 서브넷을 만듭니다.

az network vnet create를 사용하여 가상 네트워크를 만듭니다.

• 명명된 vnet-1

• 10.0.0.0/16의 주소 접두사.

• 이름이 subnet-1인 서브넷

• 10.0.0.0/24의 서브넷 접두사.

• test-rg 리소스 그룹에서

• 위치: eastus2.

• 서브넷에서 프라이빗 링크 서비스에 대한 네트워크 정책을 사용하지 않도록 설정합니다.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

표준 부하 분산 장치 만들기

이 섹션에서는 다음과 같은 부하 분산 장치 구성 요소를 만들고 구성하는 방법에 대해 자세히 설명합니다.

• 부하 분산 장치에서 들어오는 네트워크 트래픽을 수신하는 프런트 엔드 IP 풀

• 프런트 엔드 풀에서 부하 분산된 네트워크 트래픽을 보내는 백 엔드 IP 풀

• 백 엔드 VM 인스턴스의 상태를 확인하는 상태 프로브.

• 트래픽이 VM에 분산되는 방법을 정의하는 부하 분산 장치 규칙

부하 분산 장치 리소스 만들기

az network lb create를 사용하여 공용 부하 분산 장치를 만듭니다.

• 명명된 load-balancer

• frontend라는 프런트 엔드 풀

• backend-pool이라는 백 엔드 풀

• 가상 네트워크 vnet-1과 연결됩니다.

• 백 엔드 서브넷 subnet-1과 연결됩니다.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

상태 프로브 만들기

상태 프로브는 네트워크 트래픽을 보낼 수 있도록 모든 가상 머신 인스턴스를 검사합니다.

프로브 확인에 실패한 가상 머신은 부하 분산 장치에서 제거됩니다. 오류가 해결되면 가상 머신이 부하 분산 장치에 다시 추가됩니다.

az network lb probe create를 사용하여 상태 프로브를 만듭니다.

• 가상 머신의 상태 모니터링

• 명명된 health-probe

• 프로토콜: TCP

• 포트 80 모니터링

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

부하 분산 장치 규칙 만들기

다음과 같은 부하 분산 장치 규칙을 정의합니다.

• 들어오는 트래픽에 대한 프런트 엔드 IP 구성

• 트래픽을 수신할 백 엔드 IP 풀

• 필요한 원본 및 대상 포트

az network lb rule create를 사용하여 부하 분산 장치 규칙을 만듭니다.

• 명명된 http-rule

• 프런트 엔드 풀 frontend의 포트 80에서 수신 대기

• 포트 80을 사용하여 백 엔드 주소 풀 backend-pool에 부하 분산된 네트워크 트래픽을 전송합니다.

• 상태 프로브 health-probe 사용

• 프로토콜: TCP

• 15분의 유휴 제한 시간.

• TCP 재설정을 활성화합니다.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

네트워크 정책 사용 안 함

가상 네트워크에서 프라이빗 링크 서비스를 만들려면 먼저 privateLinkServiceNetworkPolicies 설정을 사용하지 않도록 설정해야 합니다.

• az network vnet subnet update를 사용하여 네트워크 정책을 사용하지 않도록 설정합니다.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

Private Link 서비스 만들기

이 섹션에서는 이전 단계에서 만든 Azure Load Balancer를 사용하는 프라이빗 링크 서비스를 만듭니다.

az network private-link-service create를 통해 표준 부하 분산 장치 프런트 엔드 IP 구성을 사용하여 프라이빗 링크 서비스를 만듭니다.

• 명명된 private-link-service

• 가상 네트워크 vnet-1에서

• 표준 부하 분산 장치 load-balancer 및 프런트 엔드 구성 frontend와 연결됩니다.

• eastus2 위치에 있습니다.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

프라이빗 링크 서비스가 생성되고 트래픽을 수신할 수 있습니다. 트래픽 흐름을 보려면 표준 부하 분산 장치 뒤에 애플리케이션을 구성합니다.

프라이빗 엔드포인트 만들기

이 섹션에서는 프라이빗 링크 서비스를 프라이빗 엔드포인트에 매핑합니다. 가상 네트워크는 프라이빗 링크 서비스에 대한 프라이빗 엔드포인트를 포함합니다. 이 가상 네트워크에는 프라이빗 링크 서비스에 액세스하는 리소스가 포함되어 있습니다.

프라이빗 엔드포인트 가상 네트워크 만들기

az network vnet create를 사용하여 가상 네트워크를 만듭니다.

• 명명된 vnet-pe

• 10.1.0.0/16의 주소 접두사.

• 이름이 subnet-pe인 서브넷

• 10.1.0.0/24의 서브넷 접두사.

• test-rg 리소스 그룹에서

• 위치: eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

엔드포인트 및 연결 만들기

• az network private-link-service show를 사용하여 프라이빗 링크 서비스의 리소스 ID를 가져옵니다. 이 명령은 나중에 사용할 수 있도록 리소스 ID를 변수에 배치합니다.

• az network private-endpoint create를 사용하여 이전에 만든 가상 네트워크에 프라이빗 엔드포인트를 만듭니다.

• 명명된 private-endpoint

• test-rg 리소스 그룹에서

• 연결 이름 connection-1

• 위치: eastus2.

• 가상 네트워크 vnet-pe 및 서브넷 subnet-pe에서

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe 

리소스 정리

더 이상 필요하지 않은 경우 az group delete 명령을 사용하여 리소스 그룹, 프라이빗 링크 서비스, 부하 분산 장치 및 모든 관련 리소스를 제거합니다.

az group delete \
    --name test-rg 

다음 단계

이 빠른 시작에서 관련 정보는 다음과 같습니다.

• 가상 네트워크 및 내부 Azure Load Balancer를 만들었습니다.

• 프라이빗 링크 서비스를 만들었습니다.

Azure 프라이빗 엔드포인트에 대해 자세히 알아보려면 계속 진행하세요.

빠른 시작: Azure CLI를 사용하여 프라이빗 엔드포인트 만들기