다음을 통해 공유

Azure Private Link 설정 디자인

  • 아티클

Azure Private Link의 인스턴스를 설정하기 전에 네트워크 토폴로지와 DNS 라우팅 토폴로지를 고려합니다.

Azure Private Link를 사용하여 네트워크를 Azure Monitor에 연결에서 설명한 대로, 프라이빗 링크를 설정하면 모든 Azure Monitor 리소스에 대한 트래픽에 영향을 줍니다. Application Insights 리소스의 경우 특히 그렇습니다. 또한 프라이빗 엔드포인트에 연결된 네트워크뿐만 아니라 동일한 DNS를 공유하는 다른 모든 네트워크에도 영향을 미칩니다.

가장 간단하고 안전한 방법:

  1. 단일 프라이빗 엔드포인트 및 단일 Azure Monitor 프라이빗 링크 범위(AMPLS)를 사용하여 단일 프라이빗 링크 연결을 만듭니다. 네트워크가 피어링된 경우 공유(또는 허브) 가상 네트워크에 프라이빗 링크 연결을 만듭니다.
  2. 애플리케이션 Insights 구성 요소, Log Analytics 작업 영역 및 데이터 수집 엔드포인트와 같은 모든 Azure Monitor 리소스를 해당 AMPLS에 추가합니다.
  3. 네트워크 송신 트래픽을 최대한 차단합니다.

AMPLS에 모든 Azure Monitor 리소스를 추가할 수 없는 경우에도 프라이빗 링크가 네트워크에 적용되는 방식 제어에 설명된 대로 일부 리소스에 프라이빗 링크를 적용할 수 있습니다. 이 방법은 데이터 반출을 방지하지 않으므로 권장하지 않습니다.

네트워크 토폴로지에 관한 계획

계획 프로세스에서 네트워크 토폴로지를 고려합니다.

기본 원칙: 단일 AMPLS를 사용하여 DNS 재정의 방지

일부 네트워크는 여러 가상 네트워크나 다른 연결된 네트워크로 구성됩니다. 이러한 네트워크가 동일한 DNS를 공유하는 경우 해당 네트워크에 대한 프라이빗 링크를 설정하면 DNS가 업데이트되고 모든 네트워크의 트래픽에 영향을 줍니다.

다음 다이어그램에서 가상 네트워크 10.0.1.x는 AMPLS1에 연결되는데, 여기서 Azure Monitor 엔드포인트를 10.0.1.x 범위의 IP에 매핑하는 DNS 항목을 만듭니다. 나중에 가상 네트워크 10.0.2.x는 AMPLS2에 연결되고, 여기서 동일한 전역/지역 엔드포인트를 10.0.2.x 범위의 IP에 매핑하여 동일한 DNS 항목을 재정의합니다. 이러한 가상 네트워크는 피어링되지 않으므로 이제 첫 번째 가상 네트워크가 이러한 엔드포인트에 연결되지 않습니다.

이 충돌을 방지하려면 DNS당 단일 AMPLS 개체만 만듭니다.

여러 가상 네트워크의 DNS 재정의를 보여 주는 다이어그램.

허브 및 스포크 네트워크

허브 및 스포크 네트워크는 각 스포크 가상 네트워크가 아닌 허브(기본) 네트워크에 설정된 단일 프라이빗 링크 연결을 사용해야 합니다.

허브 및 스포크 단일 프라이빗 링크를 보여 주는 다이어그램.

참고 항목

예를 들어, 각 가상 네트워크가 제한된 모니터링 리소스 집합에 액세스할 수 있도록 하는 등 스포크 가상 네트워크에 대한 별도의 프라이빗 링크를 만들려고 할 수 있습니다. 이러한 경우 각 가상 네트워크에 대한 전용 프라이빗 엔드포인트 및 AMPLS를 만들 수 있습니다. 또한 DNS 재정의를 방지하기 위해 동일한 DNS 영역을 공유하지 않는지 확인해야 합니다.

피어된 네트워크

네트워크 피어링이 허브 및 스포크가 아닌 다양한 토폴로지에서 사용됩니다. 이러한 네트워크는 서로의 IP 주소를 공유할 수 있으며 대부분 동일한 DNS를 공유할 수 있습니다. 이 경우 다른 네트워크에서 액세스할 수 있는 네트워크에 단일 프라이빗 링크를 만듭니다. 궁극적으로 DNS의 마지막 한 세트만 적용되므로 여러 프라이빗 엔드포인트와 AMPLS 개체를 만들지 마세요.

격리된 네트워크

네트워크가 피어링되지 않은 경우 프라이빗 링크를 사용하려면 DNS도 분리해야 합니다. 작업이 완료된 후 각 네트워크에 대해 별도의 프라이빗 엔드포인트와 별도의 AMPLS 개체를 만듭니다. AMPLS 개체는 동일한 작업 영역/구성 요소 또는 다른 작업 영역/구성 요소에 연결할 수 있습니다.

현지 테스트는 DNS 대신 컴퓨터의 호스트 파일 편집합니다.

네트워크의 다른 클라이언트에 영향을 주지 않고 로컬로 프라이빗 링크를 테스트하려면 프라이빗 엔드포인트를 만들 때 DNS를 업데이트하지 않아야 합니다. 대신 프라이빗 링크 엔드포인트에 요청을 보내도록 머신에서 호스트 파일을 편집합니다.

  • 프라이빗 링크를 설정하지만, 프라이빗 엔드포인트에 연결할 때 DNS와 자동 통합하지 않도록 선택합니다(5b단계).
  • 컴퓨터의 호스트 파일에서 관련 엔드포인트를 구성합니다. 매핑이 필요한 Azure Monitor 엔드포인트를 검토하려면 엔드포인트의 DNS 설정 검토를 참조하세요.

프로덕션 환경에는 이 방법을 권장하지 않습니다.

프라이빗 링크 액세스 모드를 사용하면 프라이빗 링크가 네트워크 트래픽에 미치는 영향을 제어할 수 있습니다. 이 설정은 AMPLS 개체(연결된 모든 네트워크에 영향을 주도록) 또는 연결된 특정 네트워크에 적용될 수 있습니다.

네트워크 트래픽이 지속적으로 중단되지 않도록 하려면 적절한 액세스 모드를 선택하는 것이 중요합니다. 이러한 모드는 각각 다음과 같이 개별적으로 수집과 쿼리에 대해 설정할 수 있습니다.

  • 프라이빗 전용: 가상 네트워크가 프라이빗 링크 리소스(AMPLS의 리소스)에만 연결할 수 있도록 허용합니다. 이것이 가장 안전한 작업 모드입니다. 이것은 AMPLS에서 Azure Monitor 리소스로 이동하는 트래픽을 차단하여 데이터 반출을 방지합니다. AMPLS 프라이빗 전용 액세스 모드를 보여 주는 다이어그램.
  • 열기: 가상 네트워크가 프라이빗 리소스와 AMPLS에 없는 리소스 모두에 연결될 수 있습니다(공용 네트워크의 트래픽을 수락하는 경우). 열기 액세스 모드는 데이터 반출을 방지하지는 않지만 여전히 프라이빗 링크의 다른 이점을 제공합니다. 프라이빗 링크 리소스에 대한 트래픽은 프라이빗 엔드포인트를 통해 전송되고, 유효성을 검사하고, Microsoft 백본을 통해 전송됩니다. 열기 모드는 혼합 작업 모드(공개적으로 일부 리소스에 액세스하고 프라이빗 링크를 통해 다른 리소스에 액세스) 또는 점진적 온보딩 프로세스 중에 유용합니다. AMPLS 오픈 액세스 모드를 보여 주는 다이어그램. 액세스 모드는 수집 및 쿼리에 대해 별도로 설정됩니다. 예를 들어, 수집에 대해 프라이빗 전용 모드를 설정하고 쿼리에 대해 공개 모드를 설정할 수 있습니다.

액세스 모드를 선택할 때는 주의해야 합니다. 프라이빗 전용 액세스 모드를 사용하면 구독이나 테넌트에 관계없이 동일한 DNS를 공유하는 모든 네트워크에서 AMPLS에 없는 리소스에 대한 트래픽이 차단됩니다. Log Analytics 수집 요청은 설명되어 있는 예외입니다. 모든 Azure Monitor 리소스를 AMPLS에 추가할 수 없는 경우 먼저 선택 리소스를 추가하고 열기 액세스 모드를 적용합니다. 모든 Azure Monitor 리소스를 AMPLS에 추가한 후에만 최대 보안을 위해 프라이빗 전용 모드로 전환합니다.

구성 세부 정보 및 예제는 API 및 명령줄 사용을 참조하세요.

참고 항목

Log Analytics 수집은 리소스별 엔드포인트를 사용합니다. 따라서 AMPLS 액세스 모드를 준수하지 않습니다. Log Analytics 수집 요청이 AMPLS 외부의 작업 영역에 액세스할 수 없도록 하려면 AMPLS 액세스 모드에 관계없이 공용 엔드포인트에 대한 트래픽을 차단하도록 네트워크 방화벽을 설정합니다.

특정 네트워크에 대한 액세스 모드 설정

AMPLS 리소스에 설정된 액세스 모드는 모든 네트워크에 영향을 주지만 특정 네트워크에 대해 해당 설정을 재정의할 수 있습니다.

다음 다이어그램에서 VNet1은 공개 모드를 사용하고 VNet2는 프라이빗 전용 모드를 사용합니다. VNet1의 요청은 프라이빗 링크를 통해 작업 영역 1 및 구성 요소 2에 도달할 수 있습니다. 요청은 구성 요소 3이 공용 네트워크의 트래픽을 수락하는 경우에만 구성 요소 3에 도달할 수 있습니다. VNet2 요청은 구성 요소 3에 도달할 수 없습니다. 혼합 액세스 모드를 보여 주는 다이어그램.

AMPLS 제한 고려

AMPLS의 제한 개체는 다음과 같습니다.

  • 가상 네트워크는 한 개의 AMPLS 개체에만 연결할 수 있습니다. 즉, AMPLS 개체는 가상 네트워크가 액세스할 수 있어야 하는 모든 Azure Monitor 리소스에 대한 액세스를 제공해야 합니다.
  • AMPLS 개체는 최대 300개의 Log Analytics 작업 영역과 1,000개의 Application Insights 구성 요소에 연결할 수 있습니다.
  • Azure Monitor 리소스(작업 영역 또는 Application Insights 구성 요소 또는 데이터 수집 엔드포인트)는 최대 5개의 AMPLS에 연결할 수 있습니다.
  • 한 AMPLS 개체가 최대 10개의 프라이빗 엔드포인트에 연결할 수 있습니다.

참고 항목

2021년 12월 1일 이전에 만든 AMPLS 리소스는 50개의 리소스만 지원합니다.

다음 다이어그램대로 작업이 수행됩니다.

  • 각 가상 네트워크는 한 개의 AMPLS 개체에만 연결할 수 있습니다.
  • AMPLS A는 연결할 수 있는 가능한 300개의 Log Analytics 작업 영역 중 2개와 가능한 1000개의 Application Insights 구성 요소 중 1개를 사용하여 두 개의 작업 영역과 하나의 Application Insight 구성 요소에 연결합니다.
  • 작업 영역 2는 가능한 다섯 개의 AMPLS 연결 중 두 개를 사용하여 AMPLS A와 AMPLS B에 연결합니다.
  • AMPLS B는 가능한 10개의 프라이빗 엔드포인트 연결 중 두 개를 사용하여 두 가상 네트워크(VNet2 및 VNet3)의 프라이빗 엔드포인트로 연결됩니다.

AMPLS 제한을 보여 주는 다이어그램.

리소스에 대한 네트워크 액세스 제어

Log Analytics 작업 영역 또는 Application Insights 구성 요소를 다음으로 설정할 수 있습니다.

  • 공용 네트워크(리소스 AMPLS에 연결되지 않은 네트워크)의 수집을 허용하거나 차단합니다.
  • 공용 네트워크(리소스 AMPLS에 연결되지 않은 네트워크)의 쿼리를 허용하거나 차단합니다.

이러한 세분성을 통해 작업 영역별로 필요에 따라 액세스를 설정할 수 있습니다. 예를 들어, 프라이빗 링크로 연결된 네트워크(특정 가상 네트워크를 의미함)를 통해서만 데이터 수집을 허용하지만 공용 및 개인 네트워크 모두에서 쿼리를 허용하도록 선택할 수 있습니다.

공용 네트워크의 쿼리를 차단하는 것은 머신 및 SDK와 같은 연결된 AMPLS 외부의 클라이언트가 리소스의 데이터를 쿼리할 수 없다는 것을 의미합니다. 해당 데이터에는 로그, 메트릭, 라이브 메트릭 스트림이 포함됩니다. 공용 네트워크의 쿼리를 차단하면 통합 문서, 대시보드, Azure Portal의 Insights, Azure Portal 외부에서 실행되는 쿼리 등 이러한 쿼리를 실행하는 모든 환경에 영향을 줍니다.

참고 항목

이러한 설정이 적용되지 않는 특정 예외가 있습니다. 다음 섹션에서 세부 정보를 확인할 수 있습니다.

공용 네트워크(리소스 AMPLS에 연결되지 않은 네트워크)의 액세스를 허용하거나 차단하도록 데이터 수집 엔드포인트를 설정할 수 있습니다.

구성 정보는 리소스 액세스 플래그 설정을 참조하세요.

예외

다음 예외를 유의하세요.

진단 로그

진단 설정을 통해 작업 영역에 업로드된 로그 및 메트릭은 안전한 프라이빗 Microsoft 채널을 통해 이동하며 이러한 설정으로 제어되지 않습니다.

사용자 지정 메트릭 또는 Azure Monitor 게스트 메트릭

Azure Monitor 에이전트를 통해 수집 및 업로드된 사용자 지정 메트릭(미리 보기)은 데이터 수집 엔드포인트에 의해 제어되지 않습니다. 이 메트릭은 프라이빗 링크를 통해 구성할 수 없습니다.

Azure Resource Manager

앞서 설명한 액세스 제한은 리소스의 데이터에 적용됩니다. 그러나, 이러한 액세스 설정의 켜기 또는 끄기와 같은 구성 변경은 Azure Resource Manager에서 관리합니다. 이 설정을 제어하려면 적절한 역할, 권한, 네트워크 제어 및 감사를 사용하여 리소스에 대한 액세스를 제한합니다. 자세한 내용은 Azure Monitor 역할, 권한 및 보안을 참조하세요.

참고 항목

Resource Manager API를 통해 전송된 쿼리는 Azure Monitor 프라이빗 링크를 사용할 수 없습니다. 이 쿼리는 대상 리소스가 공용 네트워크의 쿼리를 허용하는 경우에만 진행할 수 있습니다(네트워크 격리 창을 통해서 또는 CLI를 사용하여 설정됨).

Resource Manager API를 통해 쿼리를 실행하는 것으로 알려진 환경은 다음과 같습니다.

  • LogicApp 커넥터
  • 업데이트 관리 솔루션
  • 변경 내용 추적 솔루션
  • VM 인사이트
  • 컨테이너 인사이트
  • Log Analytics 작업 영역 요약(사용되지 않음) 창(솔루션 대시보드 표시)

Application Insight 고려 사항

  • 모니터링되는 워크로드를 호스팅하는 리소스를 프라이빗 링크에 추가해야 합니다. 예를 들어, Azure 웹앱용 프라이빗 엔드포인트 사용을 참조하세요.
  • 포털이 아닌 사용 환경은 모니터링되는 워크로드를 포함하는 프라이빗 링크 가상 네트워크에서도 실행해야 합니다.
  • 프로파일러 및 디버거에 대한 프라이빗 링크를 지원하려면 고유한 스토리지 계정을 제공해야 합니다.

참고 항목

작업 영역 기반의 Application Insights를 완벽하게 보호하려면 Application Insights 리소스 및 기본 Log Analytics 작업 영역에 대한 액세스를 잠가야 합니다.

로그 분석 비용에 대한 고려 사항

다음 Log Analytics 고려 사항에 유의하세요.

Log Analytics 솔루션 팩 다운로드

Log Analytics 에이전트는 전역 저장소 계정에 액세스하여 솔루션 팩을 다운로드해야 합니다. 2021년 4월 19일 또는 그 이후(또는 Azure 소버린 클라우드에서 2021년 6월 시작)에 생성된 프라이빗 링크 설정은 프라이빗 링크를 통해 에이전트의 솔루션 팩 스토리지에 연결할 수 있습니다. blob.core.windows.net용으로 만든 새 DNS 영역을 통해 이 기능을 수행할 수 있습니다.

프라이빗 링크 설정이 2021년 4월 19일 이전에 생성된 경우에는 프라이빗 링크를 통해 솔루션 팩 스토리지에 연결되지 않습니다. 이를 처리하려면 다음 중 하나를 수행할 수 있습니다.

  • AMPLS와 연결된 프라이빗 엔드포인트를 다시 만듭니다.

  • 방화벽 허용 목록에 다음 규칙을 추가하여 에이전트가 공용 엔드포인트를 통해 스토리지 계정에 연결할 수 있도록 허용합니다.

    클라우드 환경 에이전트 리소스 포트 Direction
    Azure 공용 scadvisorcontent.blob.core.windows.net 443 아웃바운드
    Azure Government usbn1oicore.blob.core.usgovcloudapi.net 443 아웃바운드
    21Vianet에서 운영하는 Microsoft Azure mceast2oicore.blob.core.chinacloudapi.cn 443 아웃바운드

스토리지 계정은 사용자 지정 로그 수집 프로세스에서 사용됩니다. 기본적으로 서비스 관리형 스토리지 계정이 사용됩니다. 프라이빗 링크에서 사용자 지정 로그를 수집하려면 사용자 고유의 스토리지 계정을 사용하여 Log Analytics 작업 영역에 연결해야 합니다.

사용자 고유의 스토리지 계정을 연결하는 방법에 대한 자세한 내용은 로그 수집을 위한 고객 소유의 스토리지 계정, 특히 프라이빗 링크 사용Log Analytics 작업 영역에 스토리지 계정 연결을 참조하세요.

자동화

Azure Automation 계정이 필요한 Log Analytics 솔루션(예: 업데이트 관리, 변경 내용 추적 또는 인벤토리)을 사용하는 경우 Automation 계정의 프라이빗 링크도 만들어야 합니다. 자세한 내용은 Azure Private Link를 사용하여 네트워크를 Azure Automation에 안전하게 연결을 참조하세요.

참고 항목

일부 제품 및 Azure Portal 환경은 Resource Manager를 통해 데이터를 쿼리합니다. 이 경우 프라이빗 링크 설정이 Resource Manager에도 적용되는 경우가 아니면 프라이빗 링크를 통해 데이터를 쿼리할 수 없습니다. 이 제한을 극복하려면 리소스에 대한 네트워크 액세스 제어에 설명된 대로 공용 네트워크에서 쿼리를 허용하도록 리소스를 구성할 수 있습니다. (수집은 프라이빗 링크 네트워크로 계속 제한될 수 있습니다.) Resource Manager를 통해 다음 제품 및 환경 쿼리 작업 영역을 확인했습니다.

  • LogicApp 커넥터
  • 업데이트 관리 솔루션
  • 변경 내용 추적 솔루션
  • 포털의 작업 영역 요약(사용되지 않음) 창(솔루션 대시보드 표시)
  • VM 인사이트
  • 컨테이너 인사이트

관리되는 Prometheus 고려 사항

  • Private Link 수집 설정은 AMPLS와 Prometheus 메트릭을 저장하는 데 사용되는 Azure Monitor 작업 영역을 참조하는 DCE(데이터 수집 엔드포인트)의 설정을 사용하여 수행됩니다.
  • Private Link 쿼리 설정은 Prometheus 메트릭을 저장하는 데 사용되는 Azure Monitor 작업 영역에서 직접 수행되며 AMPLS를 통해 처리되지 않습니다.

요구 사항

다음 요구 사항에 유의하세요.

네트워크 서브넷 크기

지원되는 가장 작은 IPv4 서브넷은 /27(CIDR 서브넷 정의 사용)입니다. Azure 가상 네트워크는 /29만큼 작을 수 있지만, Azure는 5개의 IP 주소를 예약합니다. 단일 작업 영역에 연결하는 경우에도, Azure Monitor 프라이빗 링크 설정에는 11개 이상의 IP 주소가 필요합니다. Azure Monitor 프라이빗 링크 엔드포인트의 목록은 엔드포인트의 DNS 설정을 검토합니다.

에이전트

로그 분석 작업 영역에 대한 안전한 원격 분석 수집을 사용하도록 설정하려면 최신 버전의 Windows 및 Linux 에이전트를 사용해야 합니다. 이전 버전에서는 프라이빗 네트워크에서 모니터링 데이터를 업로드할 수 없습니다.

Azure Monitor Windows 에이전트

Azure Monitor Windows 에이전트 버전 1.1.1.0 이상(데이터 수집 엔드포인트 사용).

Azure Monitor Linux 에이전트

Azure Monitor Linux 에이전트 버전 1.10.5.0 이상(데이터 수집 엔드포인트 사용).

Log Analytics Windows 에이전트(더 이상 사용되지 않음)

Log Analytics 에이전트 버전 10.20.18038.0 이상을 사용합니다.

Log Analytics Linux 에이전트(더 이상 사용되지 않음)

에이전트 버전 1.12.25 이상을 사용합니다. 할 수 없는 경우 VM에서 다음 명령을 실행합니다.

$ sudo /opt/microsoft/omsagent/bin/omsadmin.sh -X
$ sudo /opt/microsoft/omsagent/bin/omsadmin.sh -w <workspace id> -s <workspace key>

Azure Portal

Application Insights, Log Analytics 및 데이터 수집 엔드포인트와 같은 Azure Monitor 포털 환경을 사용하려면 개인 네트워크에서 Azure Portal 및 Azure Monitor 확장에 액세스할 수 있어야 합니다. AzureActiveDirectory, AzureResourceManager, AzureFrontDoor.FirstPartyAzureFrontdoor.Frontend 서비스 태그를 네트워크 보안 그룹에 추가합니다.

프로그래밍 액세스

개인 네트워크의 Azure Monitor에서 REST API, Azure CLI 또는 PowerShell을 사용하려면 서비스 태그 AzureActiveDirectoryAzureResourceManager를 방화벽에 추가합니다.

콘텐츠 배달 네트워크에서 Application Insights SDK 다운로드

브라우저에서 CDN으로부터 코드를 다운로드하려고 시도하지 않도록 스크립트에서 JavaScript 코드를 추가로 줍니다. 예제는 GitHub에서 제공됩니다.

브라우저 DNS 설정

프라이빗 링크를 통해 Azure Monitor 리소스에 연결하는 경우 이러한 리소스에 대한 트래픽은 네트워크에 구성된 프라이빗 엔드포인트를 통해 이동해야 합니다. 프라이빗 엔드포인트를 사용하도록 설정하려면 프라이빗 엔드포인트에 연결에 설명된 대로 DNS 설정을 업데이트합니다. 일부 브라우저는 사용자가 설정하는 대신 자체 DNS 설정을 사용합니다. 브라우저는 Azure Monitor 공용 엔드포인트에 연결을 시도하고 프라이빗 링크를 완전히 우회할 수 있습니다. 브라우저 설정이 이전 DNS 설정을 재정의하거나 캐시하지 않는지 확인합니다.

쿼리 제한: externaldata 연산자

  • externaldata 운영자는 스토리지 계정에서 데이터를 읽지만 스토리지에 비공개로 액세스된다고 보장하지는 않으므로 프라이빗 링크 상에서 지원되지 않습니다.
  • ADX 프록시(Azure Data Explorer 프록시)를 사용하면 로그 쿼리에서 Azure Data Explorer로 쿼리할 수 있습니다. ADX 프록시는 대상 리소스의 비공개 액세스를 보장하지 않기 때문에 프라이빗 링크를 통해 지원되지 않습니다.

다음 단계