Azure Private Link를 사용하여 네트워크를 Azure Monitor에 연결

  • 아티클

Azure Private Link를 사용하면 프라이빗 엔드포인트를 사용하여 Azure PaaS(Platform as a Service) 리소스를 가상 네트워크에 안전하게 연결할 수 있습니다. Azure Monitor는 동시에 작동하여 워크로드를 모니터링하는 상호 연결된 서로 다른 서비스의 모음입니다. Azure Monitor 프라이빗 링크는 프라이빗 엔드포인트를 모니터링 네트워크의 경계를 정의하는 Azure Monitor 리소스 세트에 연결합니다. 이 세트를 AMPLS(Azure Monitor Private Link Scope)라고 합니다.

참고 항목

Azure Monitor 프라이빗 링크는 사용할 수 있는 다른 서비스에 대한 프라이빗 링크와 다르게 구조화됩니다. Azure Monitor는 가상 네트워크가 연결하는 각 리소스에 대해 하나씩 여러 개인 프라이빗 링크를 만드는 대신 가상 네트워크에서 AMPLS로의 단일 프라이빗 링크 연결을 사용합니다. AMPLS는 가상 네트워크가 프라이빗 링크를 통해 연결하는 모든 Azure Monitor 리소스 집합입니다.

장점

Private Link를 사용하면 다음을 수행할 수 있습니다.

  • 공용 네트워크 액세스를 개방하지 않고 Azure Monitor에 비공개로 연결합니다.
  • 권한 있는 개인 네트워크를 통해서만 모니터링 데이터에 액세스할 수 있는지 확인합니다.
  • 프라이빗 엔드포인트를 통해 연결되는 특정 Azure Monitor 리소스를 정의하여 개인 네트워크에서 데이터 반출을 방지합니다.
  • Azure ExpressRoute 및 프라이빗 링크를 사용하여 온-프레미스 개인 네트워크를 Azure Monitor에 안전하게 연결합니다.
  • Azure 백본 네트워크 내에서 모든 트래픽을 유지합니다.

자세한 내용은 Private Link의 주요 이점을 참조하세요.

작동 방식: 주요 원칙

Azure Monitor 프라이빗 링크는 프라이빗 엔드포인트를 Log Analytics 작업 영역 및 Application Insights 리소스로 구성된 Azure Monitor 리소스 집합에 연결합니다. 해당 집합을 Azure Monitor Private Link 범위라고 합니다.

Diagram that shows basic resource topology.

AMPLS:

  • 개인 IP 사용: 가상 네트워크의 프라이빗 엔드포인트는 이러한 엔드포인트의 공용 IP를 사용하는 대신 네트워크 풀에서 개인 IP를 통해 Azure Monitor 엔드포인트에 도착할 수 있게 합니다. 이러한 이유로 불필요한 아웃바운드 트래픽까지 가상 네트워크를 열지 않고도 Azure Monitor 리소스를 계속 사용할 수 있습니다.
  • Azure 백본에서 실행: 프라이빗 엔드포인트에서 Azure Monitor 리소스로의 트래픽은 공용 네트워크로 라우팅되지 않고 Azure 백본을 통과합니다.
  • Azure Monitor 리소스에 연결할 수 있는 컨트롤: AMPLS를 기본 액세스 모드로 구성합니다. 프라이빗 링크 리소스에 대해서만 또는 프라이빗 링크 및 비프라이빗 링크 리소스(AMPLS 외부의 리소스) 모두에 대한 트래픽을 허용할 수 있습니다.
  • Azure Monitor 리소스에 대한 네트워크 액세스 제어: 공용 네트워크의 트래픽을 허용하거나 차단하도록 각 작업 영역 또는 구성 요소를 구성합니다. 수집 및 쿼리 요청에 대해 다른 설정을 적용할 수 있습니다.

프라이빗 링크 연결을 설정하면 프라이빗 링크를 통해 트래픽을 전송하기 위해 DNS 영역이 Azure Monitor 엔드포인트를 개인 IP에 매핑합니다. Azure Monitor는 리소스별 엔드포인트와 공유 전역/지역 엔드포인트를 모두 사용하여 AMPLS의 작업 영역 및 구성 요소에 연결합니다.

Warning

Azure Monitor는 일부 공유 엔드포인트(리소스와 관련이 없는 엔드포인트)를 사용하기 때문에 단일 리소스에 대해서도 프라이빗 링크를 설정하면 모든 리소스에 대한 트래픽에 영향을 미치는 DNS 구성이 변경됩니다. 즉, 모든 작업 영역 또는 구성 요소에 대한 트래픽은 단일 프라이빗 링크 설정의 영향을 받습니다.

공유 엔드포인트를 사용한다는 것은 동일한 DNS를 공유하는 모든 네트워크에 대해 단일 AMPLS를 사용해야 한다는 의미이기도 합니다. 여러 AMPLS 리소스를 만들면 Azure Monitor DNS 영역이 서로 재정의되고 기존 환경이 중단됩니다. 자세한 내용은 네트워크 토폴로지별 계획을 참조하세요.

공유된 전역 및 지역 엔드포인트

단일 리소스에 대해서도 프라이빗 링크를 구성할 경우 할당된 개인 IP를 통해 다음 엔드포인트로 트래픽이 전송됩니다.

  • 모든 Application Insights 엔드포인트: 수집, 라이브 메트릭, Profiler 및 Application Insights 엔드포인트에 대한 디버거를 처리하는 엔드포인트는 전역입니다.
  • 쿼리 엔드포인트: Application Insights와 Log Analytics 리소스 모두에 대한 쿼리를 처리하는 엔드포인트가 전역입니다.

Important

프라이빗 링크를 만들면 AMPLS의 리소스뿐만 아니라 모든 모니터링 리소스에 대한 트래픽에 영향을 줍니다. 사실상 모든 쿼리 요청과 Application Insights 구성 요소에 대한 수집이 개인 IP를 통과하도록 합니다. 프라이빗 링크 유효성 검사가 이러한 모든 요청에 적용되는 것은 아닙니다.

AMPLS에 추가되지 않은 리소스는 AMPLS 액세스 모드가 열기이고 대상 리소스가 공용 네트워크의 트래픽을 수락하는 경우에만 도달할 수 있습니다. 개인 IP를 사용할 때 프라이빗 링크 유효성 검사는 AMPLS에 없는 리소스에 적용되지 않습니다. 자세한 내용은 프라이빗 링크 액세스 모드를 참조하세요.

참조된 리소스에 대한 데이터 수집 엔드포인트에서 관리 Prometheus용 Private Link 설정 및 Azure Monitor 작업 영역으로 데이터 수집이 구성됩니다. Private Link를 통해 Azure Monitor 작업 영역을 쿼리하는 설정은 Azure Monitor 작업 영역에서 직접 수행되며 AMPLS를 통해 처리되지 않습니다.

리소스별 엔드포인트

Log Analytics 엔드포인트는 앞에서 설명한 쿼리 엔드포인트를 제외하고 작업 영역에 따라 다릅니다. 결과적으로 특정 Log Analytics 작업 영역을 AMPLS에 추가하면 프라이빗 링크를 통해 이 작업 영역에 수집 요청을 보냅니다. 다른 작업 영역에 대한 수집은 공용 엔드포인트를 계속 사용합니다.

데이터 수집 엔드포인트도 리소스에 따라 다릅니다. 이러한 엔드포인트를 사용하여 새 Azure Monitor 에이전트데이터 수집 규칙을 사용할 때 컴퓨터(또는 컴퓨터 집합)에서 게스트 OS 원격 분석 데이터를 수집하기 위한 수집 설정을 고유하게 구성할 수 있습니다. 컴퓨터 집합에 대한 데이터 수집 엔드포인트를 구성해도 새 에이전트를 사용하는 다른 컴퓨터에서 게스트 원격 분석 수집에 영향을 미치지 않습니다.

Important

2021년 12월 1일부터 프라이빗 엔드포인트 DNS 구성은 엔드포인트 압축 메커니즘을 사용하여 동일한 지역의 모든 작업 영역에 단일 개인 IP 주소를 할당합니다. 이렇게 하면 지원되는 스케일링(AMPLS당 최대 300개의 작업 영역 및 1000개의 구성 요소)이 개선되고 네트워크의 IP 풀에서 가져온 총 IP 수가 줄어듭니다.

Azure Monitor 프라이빗 링크가 DNS를 사용함에 설명된 대로 동일한 DNS를 공유하는 모든 네트워크에 대해 단일 AMPLS 리소스만 만들어야 합니다. 따라서 단일 전역 또는 지역 DNS를 사용하는 조직에는 모든 전역 또는 지역 네트워크에서 모든 Azure Monitor 리소스에 대한 트래픽을 관리하기 위한 단일 프라이빗 링크가 있습니다.

2021년 9월 이전에 만든 프라이빗 링크의 경우 다음을 의미합니다.

  • 로그 수집은 AMPLS의 리소스에 대해서만 작동합니다. 구독이나 테넌트에 관계없이 다른 모든 리소스에 대한 수집이 거부됩니다(동일한 DNS를 공유하는 모든 네트워크에서).
  • 쿼리에는 쿼리 요청이 AMPLS에 없는 리소스에도 도달할 수 있는 더 공개적인 동작이 있습니다. 여기서 의도는 AMPLS에 없는 리소스에 대한 고객 쿼리 중단을 방지하고 리소스 중심 쿼리가 전체 결과 집합을 반환하도록 허용하는 것이었습니다.

이 동작은 AMPLS에 없는 리소스에 대한 수집을 중단하기 때문에 일부 고객에게는 너무 제한적인 것으로 판명되었습니다. 그러나 AMPLS에 없는 리소스를 쿼리할 수 있기 때문에 다른 사용자에게는 너무 허용적이었습니다.

2021년 9월부터 프라이빗 링크에는 네트워크 트래픽에 미치는 영향을 명시적으로 설정하는 새로운 필수 AMPLS 설정이 있습니다. 새 AMPLS 리소스를 만들 때 이제는 수집과 쿼리에 대해 개별적으로 원하는 액세스 모드를 선택해야 합니다.

  • 프라이빗 전용 모드: 프라이빗 링크 리소스에 대한 트래픽만 허용합니다.
  • 공개 모드: 프라이빗 링크를 사용하여 AMPLS의 리소스와 통신하지만 트래픽도 다른 리소스로 계속 진행할 수 있습니다. 자세한 내용은 프라이빗 링크가 네트워크에 적용되는 방식 제어를 참조하세요.

Log Analytics 쿼리 요청은 AMPLS 액세스 모드 설정의 영향을 받더라도, Log Analytics 수집 요청은 리소스별 엔드포인트를 사용하므로 AMPLS 액세스 모드에 의해 제어되지 않습니다. Log Analytics 수집 요청이 AMPLS 외부의 작업 영역에 액세스할 수 없도록 하려면 AMPLS 액세스 모드에 관계없이 공용 엔드포인트에 대한 트래픽을 차단하도록 네트워크 방화벽을 설정합니다.

참고 항목

ServiceTag:AzureMonitor에서 아웃바운드 트래픽을 허용하도록 네트워크 보안 그룹 규칙을 처음 설정하여 프라이빗 링크로 Log Analytics를 구성한 경우 연결된 VM은 공용 엔드포인트를 통해 로그를 보냅니다. 나중에 ServiceTag:AzureMonitor에서 아웃바운드 트래픽을 거부하도록 규칙을 변경하는 경우 VM을 다시 부팅하거나 세션을 끊을 때까지 연결된 VM은 계속 로그를 보냅니다. 원하는 구성이 즉시 적용되도록 하려면 연결된 VM을 다시 부팅합니다.

다음 단계