관리되는 Prometheus 및 Azure Monitor 작업 영역에 프라이빗 엔드포인트 사용
관리되는 Prometheus 및 Azure Monitor 작업 영역에 프라이빗 엔드포인트를 사용하면 VNet(가상 네트워크)의 클라이언트에서 Private Link를 통해 데이터를 안전하게 쿼리할 수 있습니다. 프라이빗 엔드포인트는 Azure Monitor 작업 영역 리소스의 VNet 주소 공간 내에서 별도의 IP 주소를 사용합니다. VNet과 작업 영역 리소스에 있는 클라이언트 간의 네트워크 트래픽은 VNet과 Microsoft 백본 네트워크의 프라이빗 링크를 통과하므로 공용 인터넷이 노출되지 않습니다.
참고 항목
Azure Managed Grafana를 사용하여 데이터를 쿼리하는 경우 Managed Grafana에서 Azure Monitor 작업 영역으로 향하는 쿼리가 인터넷을 통과하지 않고 Microsoft 백본 네트워크를 사용하도록 관리형 프라이빗 엔드포인트를 구성하세요.
작업 영역에 프라이빗 엔드포인트를 사용하면 다음을 수행할 수 있습니다.
- 작업 영역의 공용 쿼리 엔드포인트에서 모든 연결이 차단되도록 공용 액세스 네트워크 설정을 구성하여 작업 영역을 보호합니다.
- VNet에서의 데이터 반출을 차단하도록 하여 VNet 보안을 강화합니다.
- 프라이빗 피어링과 함께 VPN 또는 ExpressRoutes를 사용하여 VNet에 연결하는 온-프레미스 네트워크에서 작업 영역에 안전하게 연결합니다.
개념적 개요
프라이빗 엔드포인트는 VNet(Virtual Network)의 Azure 서비스에 대한 특별 네트워크 인터페이스입니다. 작업 영역에 사용되는 프라이빗 엔드포인트를 만들 때 VNet 및 작업 영역의 클라이언트 간에 보안 연결을 제공합니다. 프라이빗 엔드포인트에는 VNet의 IP 주소 범위 내에서 IP 주소가 할당됩니다. 프라이빗 엔드포인트와 작업 영역 간의 연결에서는 보안 프라이빗 링크를 사용합니다.
VNet의 애플리케이션은 다른 방법을 사용하는 것과 동일한 연결 문자열과 권한 부여 메커니즘을 사용하여 프라이빗 엔드포인트를 통해 작업 영역에 원활하게 연결할 수 있습니다.
서비스 엔드포인트를 사용하는 서브넷에서 프라이빗 엔드포인트를 만들 수 있습니다. 그런 다음, 서브넷의 클라이언트는 다른 서비스에 액세스하기 위해 서비스 엔드포인트를 사용하면서 프라이빗 엔드포인트를 사용하여 작업 영역에 연결할 수 있습니다.
VNet에서 작업 영역에 사용되는 프라이빗 엔드포인트를 만들면 작업 영역 계정 소유자에게 승인을 위한 동의 요청이 전송됩니다. 프라이빗 엔드포인트 만들기를 요청한 사용자가 작업 영역 소유자이면 이 동의 요청이 자동으로 승인됩니다.
Azure Monitor 작업 영역 소유자는 Azure Portal의 작업 영역 네트워킹 페이지에 있는 ’프라이빗 액세스’ 탭을 통해 동의 요청과 프라이빗 엔드포인트를 관리할 수 있습니다.
팁
프라이빗 엔드포인트를 통해서만 작업 영역에 액세스할 수 있도록 제한하려면 Azure Portal의 작업 영역 네트워킹 페이지에 있는 '공용 액세스' 탭에서 '공용 액세스 사용 안 함 및 프라이빗 액세스 사용'을 선택합니다.
프라이빗 엔드포인트 만들기
Azure Portal, PowerShell 또는 Azure CLI를 사용하여 프라이빗 엔드포인트를 만들려면 다음 문서를 참조하세요. 문서에서는 Azure 웹앱을 대상 서비스로 기능하게 하지만 프라이빗 링크를 만드는 단계는 Azure Monitor 작업 영역에서의 단계와 동일합니다.
프라이빗 엔드포인트를 만들 때 리소스 형식Microsoft.Monitor/accounts을 선택하고 연결할 Azure Monitor 작업 영역을 지정합니다. prometheusMetrics를 대상 하위 리소스로 선택합니다.
프라이빗 엔드포인트에 연결
프라이빗 엔드포인트를 사용하는 VNet의 클라이언트는 퍼블릭 엔드포인트에 연결하는 클라이언트와 동일한 Azure Monitor 작업 영역의 쿼리 엔드포인트를 사용해야 합니다. Microsoft는 DNS 확인을 사용하여 프라이빗 링크를 통해 연결을 자동으로 VNet에서 작업 영역으로 라우팅합니다.
기본적으로 프라이빗 엔드포인트에 대한 필수 업데이트를 사용하여 VNet에 연결된 프라이빗 DNS 영역을 만듭니다. 그러나 사용자 고유의 DNS 서버를 사용하는 경우 DNS 구성을 추가로 변경해야 할 수 있습니다. 아래 DNS 변경 섹션에서는 프라이빗 엔드포인트에 필요한 업데이트에 대해 설명합니다.
프라이빗 엔드포인트용 DNS 변경
참고 항목
프라이빗 엔드포인트에 대한 DNS 설정을 구성하는 방법에 대한 자세한 내용은 Azure 프라이빗 엔드포인트 DNS 구성을 참조하세요.
프라이빗 엔드포인트를 만들 때 작업 영역의 DNS CNAME 리소스 레코드는 privatelink 접두사가 있는 하위 도메인에서 별칭으로 업데이트됩니다. 또한 기본적으로 프라이빗 엔드포인트에 대한 DNS A 리소스 레코드를 사용하여 privatelink 하위 도메인에 해당하는 프라이빗 DNS 영역을 만듭니다.
프라이빗 엔드포인트를 사용하여 VNet 외부에서 쿼리 엔드포인트 URL을 확인하면 작업 영역의 퍼블릭 엔드포인트로 확인됩니다. 프라이빗 엔드포인트를 호스트하는 VNet에서 확인되면 엔드포인트 URL은 프라이빗 엔드포인트의 IP 주소로 확인됩니다.
다음 예제에서는 미국 동부 지역에 있는 k8s02-workspace를 사용합니다. 리소스 이름은 고유하지 않습니다. URL 경로를 고유하게 만들려면 이름 뒤에 몇 문자를 추가해야 합니다(예: k8s02-workspace-<key>). 이 고유한 쿼리 엔드포인트는 Azure Monitor 작업 영역 개요 페이지에 표시됩니다.
프라이빗 엔드포인트를 호스트하는 VNet 외부에서 확인되면 Azure Monitor 작업 영역의 DNS 리소스 레코드는 다음과 같습니다.
| 이름 | 타입 | 값 |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <AMW 지역 서비스 퍼블릭 엔드포인트> |
| <AMW 지역 서비스 퍼블릭 엔드포인트> | A | <AMW 지역 서비스 공용 IP 주소> |
앞에서 설명했듯이 작업 영역의 네트워킹 페이지에 있는 ‘공용 액세스’ 탭을 사용하여 퍼블릭 엔드포인트를 통해 VNet 외부에 있는 클라이언트에 대한 액세스를 거부하거나 제어할 수 있습니다.
'k8s02-workspace'의 DNS 리소스 레코드는 프라이빗 엔드포인트를 호스트하는 VNet의 클라이언트에서 확인되면 다음과 같습니다.
| 이름 | 타입 | 값 |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
A | <프라이빗 엔드포인트 IP 주소> |
이 방식을 사용하면 프라이빗 엔드포인트를 호스트하는 VNet의 클라이언트와 VNet 외부에 있는 클라이언트에 같은 쿼리 엔드포인트를 사용하여 작업 영역에 액세스할 수 있습니다.
네트워크에서 사용자 지정 DNS 서버를 사용하는 경우 클라이언트는 프라이빗 엔드포인트 IP 주소에 대한 작업 영역 쿼리 엔드포인트의 FQDN을 확인할 수 있어야 합니다. 프라이빗 링크 하위 도메인을 VNet의 프라이빗 DNS 영역에 위임하도록 DNS 서버를 구성하거나 프라이빗 엔드포인트 IP 주소를 사용하여 k8s02-workspace에 대한 A 레코드를 구성해야 합니다.
팁
사용자 지정 또는 온-프레미스 DNS 서버를 사용하는 경우 privatelink 하위 도메인의 작업 영역 쿼리 엔드포인트를 프라이빗 엔드포인트 IP 주소로 확인하도록 DNS 서버를 구성해야 합니다. privatelink 하위 도메인을 VNet의 프라이빗 DNS 영역에 위임하거나 DNS 서버에서 DNS 영역을 구성하고 DNS A 레코드를 추가하여 이를 수행할 수 있습니다.
Azure Monitor 작업 영역의 프라이빗 엔드포인트에 권장되는 DNS 영역 이름은 다음과 같습니다.
| 리소스 | 대상 하위 리소스 | 영역 이름 |
|---|---|---|
| Azure Monitor 작업 영역 | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
프라이빗 엔드포인트 지원 목적으로 자체 DNS 서버를 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
가격 책정
가격 책정에 대한 자세한 내용은 Azure Private Link 가격 책정을 참조하세요.
알려진 문제
Azure Monitor 작업 영역의 프라이빗 엔드포인트에 관련된 다음과 같은 알려진 문제에 유의하세요.
프라이빗 엔드포인트가 있는 VNet의 클라이언트에 대한 작업 영역 쿼리 액세스 제약 조건
기존 프라이빗 엔드포인트가 있는 VNet의 클라이언트에서 프라이빗 엔드포인트가 있는 다른 Azure Montor 작업 영역에 액세스할 때 제약 조건이 적용됩니다. 예를 들어 VNet N1에 작업 영역 A1의 프라이빗 엔드포인트가 있다고 가정합니다. 작업 영역 A2에 VNet N2의 프라이빗 엔드포인트가 있는 경우 VNet N1의 클라이언트는 프라이빗 엔드포인트를 사용하여 A2 계정에 있는 작업 영역 데이터도 쿼리해야 합니다. 작업 영역 A2에 프라이빗 엔드포인트가 구성되지 않은 경우 VNet N1의 클라이언트는 프라이빗 엔드포인트를 사용하지 않고 해당 작업 영역에서 데이터를 쿼리할 수 있습니다.
이 제약 조건은 작업 영역 A2에서 프라이빗 엔드포인트를 만들 때 적용되는 DNS 변경의 결과입니다.