Share via

Microsoft Purview 네트워크 아키텍처 및 모범 사례

  • 아티클

Microsoft Purview 데이터 거버넌스 솔루션은 데이터 거버넌스를 위한 PaaS(Platform as a Service) 솔루션입니다. Microsoft Purview 계정에는 서비스에 연결하기 위해 인터넷을 통해 액세스할 수 있는 퍼블릭 엔드포인트가 있습니다. 그러나 모든 엔드포인트는 azure Active Directory(Azure AD) 로그인 및 RBAC(역할 기반 액세스 제어)를 통해 보호됩니다.

참고

이러한 모범 사례는 Microsoft Purview 통합 데이터 거버넌스 솔루션에 대한 네트워크 아키텍처를 다룹니다. Microsoft Purview 위험 및 규정 준수 솔루션에 대한 자세한 내용은 여기를 참조하세요. 일반적으로 Microsoft Purview에 대한 자세한 내용은 여기를 참조하세요.

추가된 보안 계층의 경우 Microsoft Purview 계정에 대한 프라이빗 엔드포인트를 만들 수 있습니다. Azure의 가상 네트워크에서 Microsoft Purview 계정 및 관리되는 리소스로 개인 IP 주소를 가져옵니다. 이 주소는 API 및 Microsoft Purview 거버넌스 포털과의 사용자 상호 작용 또는 검사 및 수집을 위해 가상 네트워크와 Microsoft Purview 계정 간의 모든 트래픽을 프라이빗 링크로 제한합니다.

현재 Microsoft Purview 방화벽은 purview 계정의 퍼블릭 엔드포인트에 대한 액세스 제어를 제공합니다. 방화벽을 사용하여 모든 액세스를 허용하거나 프라이빗 엔드포인트를 사용할 때 퍼블릭 엔드포인트를 통해 모든 액세스를 차단할 수 있습니다. 자세한 내용은 Microsoft Purview 방화벽 옵션을 참조하세요.

네트워크, 연결 및 보안 요구 사항에 따라 기본 서비스 또는 수집에 액세스하기 위해 Microsoft Purview 계정을 설정하고 유지 관리할 수 있습니다. 이 모범 사례 가이드를 사용하여 Microsoft Purview에 액세스하고 네트워크 또는 클라우드에서 데이터 원본을 검사할 수 있도록 네트워크 환경을 정의하고 준비합니다.

이 가이드에서는 다음 네트워크 옵션을 다룹니다.

이 가이드에서는 Microsoft Purview에 대한 가장 일반적인 네트워크 아키텍처 시나리오 몇 가지를 설명합니다. 이러한 시나리오에 국한되지는 않지만 Microsoft Purview 계정에 대한 네트워킹을 계획할 때 서비스의 제한 사항에 유의하세요.

필수 구성 요소

환경에 가장 적합한 네트워크 옵션을 이해하려면 먼저 다음 작업을 수행하는 것이 좋습니다.

옵션 1: 퍼블릭 엔드포인트 사용

기본적으로 인터넷을 통해 액세스할 수 있는 퍼블릭 엔드포인트를 통해 Microsoft Purview 계정을 사용할 수 있습니다. 다음 요구 사항이 있는 경우 Microsoft Purview 계정에서 공용 네트워크를 허용합니다.

  • Microsoft Purview 엔드포인트를 검사하거나 연결할 때는 프라이빗 연결이 필요하지 않습니다.
  • 모든 데이터 원본은 SaaS(Software-as-a-Service) 애플리케이션입니다.
  • 모든 데이터 원본에는 인터넷을 통해 액세스할 수 있는 퍼블릭 엔드포인트가 있습니다.
  • 비즈니스 사용자는 인터넷을 통해 Microsoft Purview 계정 및 Microsoft Purview 거버넌스 포털에 액세스해야 합니다.

통합 런타임 옵션

Microsoft Purview 계정 방화벽이 공용 액세스를 허용하도록 설정된 동안 데이터 원본을 검사하려면 Azure 통합 런타임과 자체 호스팅 통합 런타임을 모두 사용할 수 있습니다. 사용 방법은 데이터 원본의 지원 가능성에 따라 달라집니다.

다음은 몇 가지 모범 사례입니다.

  • Azure 통합 런타임 또는 자체 호스팅 통합 런타임을 사용하여 Azure SQL Database 또는 Azure Blob Storage 같은 Azure 데이터 원본을 검사할 수 있지만 Azure 통합 런타임을 사용하여 가능한 경우 Azure 데이터 원본을 검사하여 비용 및 관리 오버헤드를 줄이는 것이 좋습니다.

  • 여러 Azure 데이터 원본을 검사하려면 공용 네트워크 및 Azure 통합 런타임을 사용합니다. 다음 단계에서는 Azure 통합 런타임을 사용하여 Azure에서 데이터 원본을 검사할 때 높은 수준의 통신 흐름을 보여줍니다.

    Microsoft Purview, Azure 런타임 및 데이터 원본 간의 연결 흐름을 보여 주는 스크린샷

    1. 수동 또는 자동 검사는 azure 통합 런타임을 통해 Microsoft Purview 데이터 맵 시작됩니다.

    2. Azure 통합 런타임은 데이터 원본에 연결하여 메타데이터를 추출합니다.

    3. 메타데이터는 Microsoft Purview 관리 스토리지에 큐에 대기하고 Azure Blob Storage 저장됩니다.

    4. 메타데이터는 Microsoft Purview 데이터 맵 전송됩니다.

  • 온-프레미스 및 VM 기반 데이터 원본을 검사하려면 항상 자체 호스팅 통합 런타임을 사용해야 합니다. Azure 통합 런타임은 이러한 데이터 원본에 대해 지원되지 않습니다. 다음 단계에서는 자체 호스팅 통합 런타임을 사용하여 데이터 원본을 검사할 때 높은 수준의 통신 흐름을 보여줍니다. 첫 번째 다이어그램은 리소스가 Azure 내 또는 Azure의 VM에 있는 시나리오를 보여 줍니다. 두 번째 다이어그램은 온-프레미스 리소스가 있는 시나리오를 보여줍니다. 둘 사이의 단계는 Microsoft Purview의 관점에서 동일합니다.

    Microsoft Purview, 자체 호스팅 런타임 및 데이터 원본 간의 연결 흐름을 보여 주는 스크린샷

    Microsoft Purview, 온-프레미스 자체 호스팅 런타임 및 온-프레미스 네트워크의 데이터 원본 간의 연결 흐름을 보여 주는 스크린샷

    1. 수동 또는 자동 검사가 트리거됩니다. Microsoft Purview는 Azure Key Vault 연결하여 데이터 원본에 액세스하기 위한 자격 증명을 검색합니다.

    2. 검사는 자체 호스팅 통합 런타임을 통해 Microsoft Purview 데이터 맵 시작됩니다.

    3. VM 또는 온-프레미스 컴퓨터의 자체 호스팅 통합 런타임 서비스는 데이터 원본에 연결하여 메타데이터를 추출합니다.

    4. 메타데이터는 자체 호스팅 통합 런타임에 대한 컴퓨터의 메모리에서 처리됩니다. 메타데이터는 Microsoft Purview 관리 스토리지에 큐에 대기한 다음 Azure Blob Storage 저장됩니다. 실제 데이터는 네트워크의 경계를 벗어나지 않습니다.

    5. 메타데이터는 Microsoft Purview 데이터 맵 전송됩니다.

인증 옵션

Microsoft Purview에서 데이터 원본을 검사하는 경우 자격 증명을 제공해야 합니다. 그런 다음 Microsoft Purview는 대상 데이터 원본에서 Azure 통합 런타임을 사용하여 자산의 메타데이터를 읽을 수 있습니다. 공용 네트워크를 사용하는 경우 인증 옵션 및 요구 사항은 다음 요인에 따라 달라집니다.

  • 데이터 원본 형식입니다. 예를 들어 데이터 원본이 데이터베이스에 Azure SQL 경우 각 데이터베이스에 대한 db_datareader 액세스 권한이 있는 로그인을 사용해야 합니다. 사용자 관리 ID 또는 Microsoft Purview 관리 ID일 수 있습니다. 또는 db_datareader SQL Database 추가된 Azure Active Directory의 서비스 주체일 수 있습니다.

    데이터 원본이 Azure Blob Storage 경우 Microsoft Purview 관리 ID 또는 Azure Storage 계정에서 Blob Storage 데이터 읽기 권한자 역할로 추가된 Azure Active Directory의 서비스 주체를 사용할 수 있습니다. 또는 스토리지 계정의 키를 사용합니다.

  • 인증 유형입니다. 관리 오버헤드를 줄이기 위해 가능한 경우 Microsoft Purview 관리 ID를 사용하여 Azure 데이터 원본을 검사하는 것이 좋습니다. 다른 인증 유형의 경우 Microsoft Purview 내에서 원본 인증에 대한 자격 증명을 설정해야 합니다.

    1. Azure Key Vault 내에서 비밀을 생성합니다.
    2. Microsoft Purview 내에 키 자격 증명 모음을 등록합니다.
    3. Microsoft Purview 내에서 키 자격 증명 모음에 저장된 비밀을 사용하여 새 자격 증명을 만듭니다.

  • 검색에 사용되는 런타임 형식입니다. 현재 자체 호스팅 통합 런타임에서는 Microsoft Purview 관리 ID를 사용할 수 없습니다.

기타 고려 사항

  • 퍼블릭 엔드포인트를 사용하여 데이터 원본을 검사하도록 선택하는 경우 자체 호스팅 통합 런타임 VM에는 데이터 원본 및 Azure 엔드포인트에 대한 아웃바운드 액세스 권한이 있어야 합니다.

  • 자체 호스팅 통합 런타임 VM은 Azure 엔드포인트에 대한 아웃바운드 연결이 있어야 합니다.

  • Azure 데이터 원본은 공용 액세스를 허용해야 합니다. 데이터 원본에서 서비스 엔드포인트를 사용하도록 설정한 경우 신뢰할 수 있는 서비스 목록의 Azure 서비스가 Azure 데이터 원본에 액세스할 수 있도록 허용 해야 합니다. 서비스 엔드포인트는 최적의 경로를 통해 가상 네트워크에서 Azure로 트래픽을 라우팅합니다.

옵션 2: 프라이빗 엔드포인트 사용

다른 PaaS 솔루션과 마찬가지로 Microsoft Purview는 가상 네트워크에 직접 배포하는 것을 지원하지 않습니다. 따라서 네트워크 보안 그룹, 경로 테이블 또는 Azure Firewall 같은 기타 네트워크 종속 어플라이언스와 같은 제품의 리소스와 함께 특정 네트워킹 기능을 사용할 수 없습니다. 대신 가상 네트워크에서 사용하도록 설정할 수 있는 프라이빗 엔드포인트를 사용할 수 있습니다. 그런 다음 공용 인터넷 액세스를 사용하지 않도록 설정하여 Microsoft Purview에 안전하게 연결할 수 있습니다.

다음 요구 사항이 있는 경우 Microsoft Purview 계정에 프라이빗 엔드포인트를 사용해야 합니다.

  • Microsoft Purview 계정 및 데이터 원본에 대한 엔드 투 엔드 네트워크 격리가 있어야 합니다.

  • Microsoft Purview 계정에 대한 공용 액세스를 차단 해야 합니다.

  • PaaS(Platform-as-a-Service) 데이터 원본은 프라이빗 엔드포인트와 함께 배포되며 퍼블릭 엔드포인트를 통해 모든 액세스를 차단했습니다.

  • 온-프레미스 또는 IaaS(Infrastructure-as-a-Service) 데이터 원본은 퍼블릭 엔드포인트에 연결할 수 없습니다.

디자인 고려 사항

  • Microsoft Purview 계정에 비공개로 안전하게 연결하려면 계정 및 포털 프라이빗 엔드포인트를 배포해야 합니다. 예를 들어 API를 통해 Microsoft Purview에 연결하거나 Microsoft Purview 거버넌스 포털을 사용하려는 경우 이 배포가 필요합니다.

  • 프라이빗 엔드포인트를 사용하여 Microsoft Purview 거버넌스 포털에 연결해야 하는 경우 계정 및 포털 프라이빗 엔드포인트를 모두 배포해야 합니다.

  • 프라이빗 연결을 통해 데이터 원본을 검사하려면 Microsoft Purview에 대해 하나 이상의 계정과 하나의 수집 프라이빗 엔드포인트를 구성해야 합니다. Microsoft Purview 관리 ID 이외의 인증 방법을 통해 자체 호스팅 통합 런타임을 사용하여 검사를 구성해야 합니다.

  • 검사를 설정하기 전에 수집 프라이빗 엔드포인트를 통해 데이터 원본을 검사하기 위한 지원 매트릭스 를 검토합니다.

  • DNS 요구 사항을 검토합니다. 네트워크에서 사용자 지정 DNS 서버를 사용하는 경우 클라이언트는 Microsoft Purview 계정 엔드포인트에 대한 FQDN(정규화된 도메인 이름)을 프라이빗 엔드포인트의 IP 주소로 resolve 수 있어야 합니다.

  • 프라이빗 연결을 통해 Azure 데이터 원본을 검사하려면 관리되는 VNet 런타임을 사용합니다. 지원되는 지역을 봅니다. 이 옵션은 자체 호스팅 통합 런타임 머신을 배포하고 관리하는 관리 오버헤드를 줄일 수 있습니다.

통합 런타임 옵션

  • 데이터 원본이 Azure에 있는 경우 다음 런타임 옵션 중 하나를 선택할 수 있습니다.

    • 관리되는 VNet 런타임. Microsoft Purview 계정이 지원되는 지역에 배포되어 있고 지원되는 데이터 원본을 검사하려는 경우 이 옵션을 사용합니다.

    • 자체 호스팅 통합 런타임.

      • 자체 호스팅 통합 런타임을 사용하는 경우 Microsoft Purview 수집 프라이빗 엔드포인트가 배포된 동일한 가상 네트워크 또는 피어링된 가상 네트워크 내에 배포된 Windows 가상 머신에서 자체 호스팅 통합 런타임을 설정하고 사용해야 합니다. Azure 통합 런타임은 수집 프라이빗 엔드포인트에서 작동하지 않습니다.

      • 온-프레미스 데이터 원본을 검사하려면 온-프레미스 Windows 머신 또는 Azure 가상 네트워크 내의 VM에 자체 호스팅 통합 런타임을 설치할 수도 있습니다.

      • Microsoft Purview에서 프라이빗 엔드포인트를 사용하는 경우 데이터 원본에서 Microsoft Purview 프라이빗 엔드포인트가 배포된 Azure 가상 네트워크의 자체 호스팅 통합 VM으로의 네트워크 연결을 허용해야 합니다.

      • 자체 호스팅 통합 런타임의 자동 업그레이드를 허용하는 것이 좋습니다. 자동 업그레이드를 허용하려면 Azure 가상 네트워크 또는 회사 방화벽에서 필요한 아웃바운드 규칙을 열어야 합니다. 자세한 내용은 자체 호스팅 통합 런타임 네트워킹 요구 사항을 참조하세요.

인증 옵션

  • Microsoft Purview 관리 ID를 사용하여 수집 프라이빗 엔드포인트를 통해 데이터 원본을 검사할 수 없습니다. 데이터 원본 유형에 따라 서비스 주체, 계정 키 또는 SQL 인증을 사용합니다.

  • 자격 증명이 Azure Key Vault에 저장되고 Microsoft Purview 내에 등록되어 있는지 확인합니다.

  • Azure Key Vault에서 만드는 각 비밀을 기반으로 Microsoft Purview에서 자격 증명을 만들어야 합니다. Azure의 Key Vault 리소스에서 Microsoft Purview에 대한 비밀에 대한 액세스 권한을 최소한 할당하고나열해야 합니다. 그렇지 않으면 Microsoft Purview 계정에서 자격 증명이 작동하지 않습니다.

현재 제한 사항

  • 수집 프라이빗 엔드포인트 및 자체 호스팅 통합 런타임을 통해 전체 구독 또는 리소스 그룹을 사용하여 여러 Azure 원본을 검사하는 것은 수집에 프라이빗 엔드포인트를 사용하는 경우 지원되지 않습니다. 대신 데이터 원본을 개별적으로 등록하고 검사할 수 있습니다.

  • Microsoft Purview 프라이빗 엔드포인트와 관련된 제한 사항은 알려진 제한을 참조하세요.

  • Private Link 서비스와 관련된 제한 사항은 Azure Private Link 제한을 참조하세요.

프라이빗 엔드포인트 시나리오

단일 가상 네트워크, 단일 지역

이 시나리오에서는 모든 Azure 데이터 원본, 자체 호스팅 통합 런타임 VM 및 Microsoft Purview 프라이빗 엔드포인트가 Azure 구독의 동일한 가상 네트워크에 배포됩니다.

온-프레미스 데이터 원본이 있는 경우 Microsoft Purview 프라이빗 엔드포인트가 배포된 Azure 가상 네트워크에 대한 사이트 간 VPN 또는 Azure ExpressRoute 연결을 통해 연결이 제공됩니다.

이 아키텍처는 주로 소규모 조직 또는 개발, 테스트 및 개념 증명 시나리오에 적합합니다.

단일 가상 네트워크 시나리오에서 프라이빗 엔드포인트가 있는 Microsoft Purview를 보여 주는 스크린샷

단일 지역, 여러 가상 네트워크

Azure에서 둘 이상의 가상 네트워크를 함께 연결하려면 가상 네트워크 피어링을 사용할 수 있습니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 프라이빗이며 Azure 백본 네트워크에 유지됩니다.

많은 고객이 허브 및 스포크 네트워크 아키텍처를 사용하여 Azure에서 네트워크 인프라를 빌드합니다. 여기서는 다음을 수행합니다.

  • 네트워킹 공유 서비스(예: 네트워크 가상 어플라이언스, ExpressRoute/VPN 게이트웨이 또는 DNS 서버)는 허브 가상 네트워크에 배포됩니다.
  • 스포크 가상 네트워크는 가상 네트워크 피어링을 통해 이러한 공유 서비스를 사용합니다.

허브 및 스포크 네트워크 아키텍처에서는 organization 데이터 거버넌스 팀에 가상 네트워크(허브)가 포함된 Azure 구독을 제공할 수 있습니다. 모든 데이터 서비스는 가상 네트워크 피어링 또는 사이트 간 VPN 연결을 통해 허브 가상 네트워크에 연결된 몇 가지 다른 구독에 있을 수 있습니다.

허브 및 스포크 아키텍처에서는 허브 구독 및 가상 네트워크에 Microsoft Purview 및 하나 이상의 자체 호스팅 통합 런타임 VM을 배포할 수 있습니다. 동일한 지역의 여러 구독에서 다른 가상 네트워크의 데이터 원본을 등록하고 검사할 수 있습니다.

자체 호스팅 통합 런타임 VM은 계정 및 수집 프라이빗 엔드포인트가 배포된 동일한 Azure 가상 네트워크 또는 피어링된 가상 네트워크 내에 배포할 수 있습니다.

여러 가상 네트워크의 시나리오에서 프라이빗 엔드포인트가 있는 Microsoft Purview를 보여 주는 스크린샷

필요에 따라 스포크 가상 네트워크에 다른 자체 호스팅 통합 런타임을 배포할 수 있습니다.

여러 지역, 여러 가상 네트워크

데이터 원본이 하나 이상의 Azure 구독에서 여러 Azure 지역에 분산된 경우 이 시나리오를 사용할 수 있습니다.

성능 및 비용 최적화를 위해 데이터 원본이 있는 각 지역에 하나 이상의 자체 호스팅 통합 런타임 VM을 배포하는 것이 좋습니다.

여러 가상 네트워크 및 여러 지역의 시나리오에서 프라이빗 엔드포인트가 있는 Microsoft Purview를 보여 주는 스크린샷

관리형 Vnet 런타임을 사용하여 검사

Microsoft Purview 계정이 지원되는 지역에 배포되어 있고 지원되는 Azure 데이터 원본을 검색하려는 경우 관리형 VNet 런타임을 사용하여 프라이빗 네트워크의 데이터 원본을 검사할 수 있습니다.

관리형 VNet 런타임을 사용하면 런타임 관리의 관리 오버헤드를 최소화하고 전체 검사 기간을 줄일 수 있습니다.

관리형 VNet 런타임을 사용하여 Azure 데이터 원본을 검사하려면 데이터 원본에 Azure 구독에 프라이빗 네트워크가 이미 있는 경우에도 관리형 프라이빗 엔드포인트를 Microsoft Purview Managed Virtual Network 내에 배포해야 합니다.

관리되는 VNet이 있는 Microsoft Purview를 보여 주는 스크린샷

관리형 VNet 런타임에서 지원되지 않는 Azure의 온-프레미스 데이터 원본 또는 추가 데이터 원본을 검사해야 하는 경우 관리형 VNet 런타임과 자체 호스팅 통합 런타임을 모두 배포할 수 있습니다.

관리되는 VNet 및 SHIR이 있는 Microsoft Purview를 보여 주는 스크린샷

주 지역에서 Microsoft Purview를 사용할 수 없는 경우

Microsoft Purview는 Azure Platform as a Service 솔루션입니다. 지원되는 모든 Azure 지역에서 Azure 구독 내에 Microsoft Purview 계정을 배포할 수 있습니다.

기본 Azure 지역에서 Microsoft Purview를 사용할 수 없는 경우 Microsoft Purview 계정을 배포할 보조 지역을 선택할 때 다음 요소를 고려합니다.

옵션 1: 보조 지역에 Microsoft Purview 계정을 배포하고 Azure 데이터 원본이 있는 주 지역에 모든 프라이빗 엔드포인트를 배포합니다. 이 시나리오의 경우:

  • 오스트레일리아 남동부가 모든 데이터 원본의 기본 지역이고 주 지역에 모든 네트워크 리소스가 배포된 경우 이 옵션을 사용하는 것이 좋습니다.
  • 보조 지역(예: 오스트레일리아 동부)에 Microsoft Purview 계정을 배포합니다.
  • 주 지역(예: 오스트레일리아 남동부)에 계정, 포털 및 수집을 포함한 모든 Microsoft Purview 프라이빗 엔드포인트를 배포합니다.
  • 주 지역(예: 오스트레일리아 남동부)에 모든 Microsoft Purview 자체 호스팅 통합 런타임 VM을 배포합니다. 이렇게 하면 데이터 맵 검사가 데이터 원본이 있는 로컬 지역에서 발생하고 Microsoft Purview 계정이 배포된 보조 지역에서 메타데이터만 수집되므로 지역 간 트래픽을 줄일 수 있습니다.
  • 메타데이터 수집에 Microsoft Purview Managed VNet을 사용하는 경우 관리형 VNet 런타임 및 모든 관리형 프라이빗 엔드포인트는 Microsoft Purview가 배포된 지역(예: 오스트레일리아 동부)에 자동으로 배포됩니다.

옵션 2: 보조 지역에 Microsoft Purview 계정을 배포하고 주 및 보조 지역에 프라이빗 엔드포인트를 배포합니다. 이 시나리오의 경우:

  • 주 지역과 보조 지역에 데이터 원본이 있고 사용자가 주 지역을 통해 연결된 경우 이 옵션을 사용하는 것이 좋습니다.
  • 보조 지역(예: 오스트레일리아 동부)에 Microsoft Purview 계정을 배포합니다.
  • Microsoft Purview 거버넌스 포털에 대한 사용자 액세스를 위해 주 지역(예: 오스트레일리아 남동부)에 Microsoft Purview 거버넌스 포털 프라이빗 엔드포인트를 배포합니다.
  • 주 지역(예: 오스트레일리아 남동부)에 Microsoft Purview 계정 및 수집 프라이빗 엔드포인트를 배포하여 주 지역에서 로컬로 데이터 원본을 검사합니다.
  • 보조 지역(예: 오스트레일리아 동부)에 Microsoft Purview 계정 및 수집 프라이빗 엔드포인트를 배포하여 보조 지역에서 로컬로 데이터 원본을 검사합니다.
  • 기본 및 보조 지역 모두에서 Microsoft Purview 자체 호스팅 통합 런타임 VM을 배포합니다. 이렇게 하면 데이터 맵 검색 트래픽을 로컬 지역에 유지하고 보조 지역(예: 오스트레일리아 동부)에서 가 구성된 Microsoft Purview 데이터 맵 메타데이터만 보내는 데 도움이 됩니다.
  • 메타데이터 수집에 Microsoft Purview Managed VNet을 사용하는 경우 관리형 VNet 런타임 및 모든 관리형 프라이빗 엔드포인트는 Microsoft Purview가 배포된 지역(예: 오스트레일리아 동부)에 자동으로 배포됩니다.

프라이빗 엔드포인트를 사용하는 DNS 구성

여러 Microsoft Purview 계정의 이름 확인

organization 프라이빗 엔드포인트를 사용하여 여러 Microsoft Purview 계정을 배포하고 유지 관리해야 하는 경우 다음 권장 사항을 따르는 것이 좋습니다.

  1. 각 Microsoft Purview 계정에 대해 하나 이상의 계정 프라이빗 엔드포인트를 배포합니다.
  2. 각 Microsoft Purview 계정에 대해 하나 이상의 수집 프라이빗 엔드포인트 집합을 배포합니다.
  3. Azure 환경에서 Microsoft Purview 계정 중 하나에 대해 하나의 포털 프라이빗 엔드포인트를 배포합니다. 포털 프라이빗 엔드포인트에 대한 하나의 DNS A 레코드를 만들어 를 resolveweb.purview.azure.com. 포털 프라이빗 엔드포인트는 동일한 Azure 가상 네트워크 또는 VNet 피어링을 통해 연결된 가상 네트워크의 모든 purview 계정에서 사용할 수 있습니다.

여러 Microsoft Purview 계정에 대한 프라이빗 엔드포인트 및 DNS 레코드를 처리하는 방법을 보여 주는 스크린샷

이 시나리오는 여러 Microsoft Purview 계정이 여러 구독 및 VNet 피어링을 통해 연결된 여러 VNet에 배포되는 경우에도 적용됩니다. 포털 프라이빗 엔드포인트는 주로 Microsoft Purview 거버넌스 포털과 관련된 정적 자산을 렌더링하므로 Microsoft Purview 계정과는 독립적이므로 VNet이 연결된 경우 Azure 환경의 모든 Microsoft Purview 계정을 방문하려면 하나의 포털 프라이빗 엔드포인트만 필요합니다.

여러 vnet의 여러 Microsoft Purview 계정에 대한 프라이빗 엔드포인트 및 DNS 레코드를 처리하는 방법을 보여 주는 스크린샷

참고

Microsoft Purview 계정이 격리된 네트워크 세분화에 배포되는 시나리오에서 각 Microsoft Purview 계정에 대해 별도의 포털 프라이빗 엔드포인트를 배포해야 할 수 있습니다. Microsoft Purview 포털 은 고객 정보가 없는 모든 고객을 위한 정적 콘텐츠입니다. 필요에 따라 최종 사용자가 인터넷을 시작할 수 있는 경우 공용 네트워크(포털 프라이빗 엔드포인트 없음)를 사용하여 시작할 web.purview.azure.com 수 있습니다.

옵션 3: 프라이빗 엔드포인트와 퍼블릭 엔드포인트 모두 사용

데이터 원본의 하위 집합에서 프라이빗 엔드포인트를 사용하는 옵션을 선택할 수 있으며, 동시에 다음 중 하나를 검사해야 합니다.

  • 서비스 엔드포인트로 구성된 기타 데이터 원본
  • 인터넷을 통해 액세스할 수 있는 퍼블릭 엔드포인트가 있는 데이터 원본

공용 엔드포인트 또는 서비스 엔드포인트를 사용하여 수집 프라이빗 엔드포인트 및 일부 데이터 원본을 사용하여 일부 데이터 원본을 검사해야 하는 경우 다음을 수행할 수 있습니다.

  1. Microsoft Purview 계정에 프라이빗 엔드포인트를 사용합니다.
  2. Microsoft Purview 계정의 모든 네트워크에서공용 네트워크 액세스를 사용으로 설정합니다.

통합 런타임 옵션

  • 프라이빗 엔드포인트로 구성된 Azure 데이터 원본을 검사하려면 Microsoft Purview 계정 및 수집 프라이빗 엔드포인트가 배포된 동일한 가상 네트워크 또는 피어링된 가상 네트워크 내에 배포된 Windows 가상 머신에서 자체 호스팅 통합 런타임을 설정하고 사용해야 합니다.

    Microsoft Purview에서 프라이빗 엔드포인트를 사용하는 경우 데이터 원본에서 Microsoft Purview 프라이빗 엔드포인트가 배포된 Azure 가상 네트워크의 자체 호스팅 통합 VM으로의 네트워크 연결을 허용해야 합니다.

  • 퍼블릭 엔드포인트를 허용하도록 구성된 Azure 데이터 원본을 검사하려면 Azure 통합 런타임을 사용할 수 있습니다.

  • 온-프레미스 데이터 원본을 검사하려면 온-프레미스 Windows 머신 또는 Azure 가상 네트워크 내의 VM에 자체 호스팅 통합 런타임을 설치할 수도 있습니다.

  • 자체 호스팅 통합 런타임에 대해 자동 업그레이드를 허용하는 것이 좋습니다. 자동 업그레이드를 허용하려면 Azure 가상 네트워크 또는 회사 방화벽에서 필요한 아웃바운드 규칙을 열어야 합니다. 자세한 내용은 자체 호스팅 통합 런타임 네트워킹 요구 사항을 참조하세요.

인증 옵션

  • 퍼블릭 엔드포인트를 허용하도록 구성된 Azure 데이터 원본을 검사하려면 데이터 원본 형식에 따라 모든 인증 옵션을 사용할 수 있습니다.

  • 수집 프라이빗 엔드포인트를 사용하여 프라이빗 엔드포인트로 구성된 Azure 데이터 원본을 검사하는 경우:

    • Microsoft Purview 관리 ID는 사용할 수 없습니다. 대신 데이터 원본 유형에 따라 서비스 주체, 계정 키 또는 SQL 인증을 사용합니다.

    • 자격 증명이 Azure Key Vault에 저장되고 Microsoft Purview 내에 등록되어 있는지 확인합니다.

    • Azure Key Vault 만드는 각 비밀을 기반으로 Microsoft Purview에서 자격 증명을 만들어야 합니다. 최소한 Azure의 Key Vault 리소스에서 Microsoft Purview에 대한 비밀에 대한 가져오기목록 액세스를 할당합니다. 그렇지 않으면 Microsoft Purview 계정에서 자격 증명이 작동하지 않습니다.

옵션 4: 수집에만 프라이빗 엔드포인트 사용

다음을 수행해야 하는 경우 이 옵션을 선택할 수 있습니다.

  • 수집 프라이빗 엔드포인트를 사용하여 모든 데이터 원본을 검사합니다.
  • 공용 네트워크를 사용하지 않도록 관리되는 리소스를 구성해야 합니다.
  • 공용 네트워크를 통해 Microsoft Purview 거버넌스 포털에 대한 액세스를 사용하도록 설정합니다.

이 옵션을 사용하려면 다음을 수행합니다.

  1. Microsoft Purview 계정에 대한 수집 프라이빗 엔드포인트를 구성합니다.
  2. Microsoft Purview 계정에서 수집 전용(미리 보기)을 위해공용 네트워크 액세스를 사용 안 함으로 설정합니다.

통합 런타임 옵션

옵션 2에 대한 권장 사항을 따릅니다.

인증 옵션

옵션 2에 대한 권장 사항을 따릅니다.

자체 호스팅 통합 런타임 네트워크 및 프록시 권장 사항

온-프레미스 및 Azure 네트워크에서 데이터 원본을 검사하려면 이 문서의 앞부분에서 언급한 시나리오에 대해 Azure VNet 또는 온-프레미스 네트워크 내에서 하나 이상의 자체 호스팅 통합 런타임 가상 머신 을 배포하고 사용해야 할 수 있습니다.

  • 관리를 간소화하려면 가능하면 Azure 런타임 및 Microsoft Purview Managed Runtime 을 사용하여 Azure 데이터 원본을 검사합니다.

  • 자체 호스팅 통합 런타임 서비스는 포트 443을 통해 퍼블릭 또는 프라이빗 네트워크를 통해 Microsoft Purview와 통신할 수 있습니다. 자세한 내용은 자체 호스팅 통합 런타임 네트워킹 요구 사항을 참조하세요.

  • 자체 호스팅 통합 런타임 VM 하나를 사용하여 Microsoft Purview에서 하나 이상의 데이터 원본을 검색할 수 있지만 자체 호스팅 통합 런타임은 Microsoft Purview에만 등록되어야 하며 동시에 Azure Data Factory 또는 Azure Synapse 사용할 수 없습니다.

  • 하나의 Microsoft Purview 계정에서 하나 이상의 자체 호스팅 통합 런타임을 등록하고 사용할 수 있습니다. 데이터 원본이 있는 각 지역 또는 온-프레미스 네트워크에 자체 호스팅 통합 런타임 VM을 하나 이상 배치하는 것이 좋습니다.

  • 각 자체 호스팅 통합 런타임 VM에 필요한 용량에 대한 기준을 정의하고 수요에 따라 VM 용량을 확장하는 것이 좋습니다.

  • 가능하면 프라이빗 네트워크를 통해 자체 호스팅 통합 런타임 VM과 Microsoft Purview 및 관리되는 리소스 간에 네트워크 연결을 설정하는 것이 좋습니다.

  • 자동 업데이트를 사용하는 경우 download.microsoft.com 아웃바운드 연결을 허용합니다.

  • 자체 호스팅 통합 런타임 서비스는 자체 호스팅 통합 런타임 VM이 ExpressRoute 또는 사이트 간 VPN 연결을 통해 Azure에 연결된 Azure VNet 또는 온-프레미스 네트워크에 배포되는 경우 아웃바운드 인터넷 연결이 필요하지 않습니다. 이 경우 프라이빗 네트워크를 통해 검사 및 메타데이터 수집 프로세스를 수행할 수 있습니다.

  • 자체 호스팅 통합 런타임은 직접 또는 프록시 서버를 통해 Microsoft Purview 및 관리되는 리소스를 통신할 수 있습니다. 자체 호스팅 통합 런타임 VM이 Azure VNet 내에 있거나 ExpressRoute 또는 사이트 대 사이트 VPN 연결을 통해 연결된 경우 프록시 설정을 사용하지 않습니다.

  • 프록시 설정과 함께 자체 호스팅 통합 런타임을 사용해야 하는 경우 지원되는 시나리오를 검토합니다.

다음 단계