Azure Private Link를 사용하여 네트워크를 Azure Monitor에 연결

  • 아티클

Azure Private Link를 사용하면 프라이빗 엔드포인트를 사용하여 Azure PaaS(Platform as a Service) 리소스를 가상 네트워크에 안전하게 연결할 수 있습니다. Azure Monitor는 워크로드를 모니터링하기 위해 함께 작동하는 서로 다른 상호 연결된 서비스의 별자리입니다. Azure Monitor 프라이빗 링크는 프라이빗 엔드포인트를 Azure Monitor 리소스 집합에 연결하여 모니터링 네트워크의 경계를 정의합니다. 이 집합을 AMPLS(Azure Monitor Private Link Scope)라고 합니다.

참고 항목

Azure Monitor 프라이빗 링크는 사용할 수 있는 다른 서비스에 대한 프라이빗 링크와 다르게 구성됩니다. Azure Monitor는 가상 네트워크가 연결하는 각 리소스에 대해 하나씩 여러 개인 링크를 만드는 대신 가상 네트워크에서 AMPLS로의 단일 프라이빗 링크 연결을 사용합니다. AMPLS는 가상 네트워크가 프라이빗 링크를 통해 연결하는 모든 Azure Monitor 리소스의 집합입니다.

장점

Private Link를 사용하면 다음을 수행할 수 있습니다.

  • 공용 네트워크 액세스를 열지 않고 Azure Monitor에 비공개로 커넥트.
  • 인증된 프라이빗 네트워크를 통해서만 모니터링 데이터에 액세스해야 합니다.
  • 프라이빗 엔드포인트를 통해 연결하는 특정 Azure Monitor 리소스를 정의하여 프라이빗 네트워크에서 데이터 반출을 방지합니다.
  • Azure ExpressRoute 및 Private Link를 사용하여 프라이빗 온-프레미스 네트워크를 Azure Monitor에 안전하게 연결합니다.
  • Azure 백본 네트워크 내의 모든 트래픽을 유지합니다.

자세한 내용은 Private Link의 주요 이점을 참조하세요.

작동 방식: 주요 원칙

Azure Monitor 프라이빗 링크는 프라이빗 엔드포인트를 Log Analytics 작업 영역 및 Application Insights 리소스로 구성된 Azure Monitor 리소스 집합에 연결합니다. 해당 집합을 Azure Monitor Private Link 범위라고 합니다.

Diagram that shows basic resource topology.

An AMPLS:

  • 프라이빗 IP 사용: 가상 네트워크의 프라이빗 엔드포인트를 사용하면 이러한 엔드포인트의 공용 IP를 사용하는 대신 네트워크 풀에서 개인 IP를 통해 Azure Monitor 엔드포인트에 연결할 수 있습니다. 이러한 이유로 가상 네트워크를 열지 않고도 Azure Monitor 리소스를 계속 사용하여 요청되지 않은 아웃바운드 트래픽을 사용할 수 있습니다.
  • Azure 백본에서 실행: 프라이빗 엔드포인트에서 Azure Monitor 리소스로의 트래픽은 Azure 백본을 통해 이동하며 공용 네트워크로 라우팅되지 않습니다.
  • Azure Monitor 리소스에 연결할 수 있는 컨트롤: AMPLS를 기본 설정 액세스 모드로 구성합니다. Private Link 리소스 또는 Private Link 및 Private Link가 아닌 리소스(AMPLS 외부의 리소스)에 대한 트래픽만 허용할 수 있습니다.
  • Azure Monitor 리소스에 대한 네트워크 액세스를 제어합니다. 공용 네트워크의 트래픽을 허용하거나 차단하도록 각 작업 영역 또는 구성 요소를 구성합니다. 수집 및 쿼리 요청에 대해 다른 설정을 적용할 수 있습니다.

프라이빗 링크 연결을 설정할 때 DNS 영역은 프라이빗 링크를 통해 트래픽을 보내도록 Azure Monitor 엔드포인트를 프라이빗 IP에 매핑합니다. Azure Monitor는 리소스별 엔드포인트와 공유 전역/지역 엔드포인트를 모두 사용하여 AMPLS의 작업 영역 및 구성 요소에 연결합니다.

Warning

Azure Monitor는 일부 공유 엔드포인트(리소스별이 아닌 엔드포인트를 의미함)를 사용하므로 단일 리소스에 대해서도 프라이빗 링크를 설정하면 모든 리소스의 트래픽에 영향을 주는 DNS 구성이 변경됩니다. 즉, 모든 작업 영역 또는 구성 요소에 대한 트래픽은 단일 프라이빗 링크 설정의 영향을 받습니다.

공유 엔드포인트를 사용한다는 것은 동일한 DNS를 공유하는 모든 네트워크에 대해 단일 AMPLS를 사용해야 한다는 의미이기도 합니다. 여러 AMPLS 리소스를 만들면 Azure Monitor DNS 영역이 서로를 재정의하고 기존 환경을 중단합니다. 자세한 내용은 네트워크 토폴로지별 계획을 참조 하세요.

공유된 전역 및 지역 엔드포인트

단일 리소스에 대해서도 Private Link를 구성하면 다음 엔드포인트에 대한 트래픽이 할당된 개인 IP를 통해 전송됩니다.

  • 모든 Application Insights 엔드포인트: 수집, 라이브 메트릭, 프로파일러 및 Application Insights 엔드포인트에 대한 디버거를 처리하는 엔드포인트는 전역입니다.
  • 쿼리 엔드포인트: Application Insights 및 Log Analytics 리소스 모두에 대한 쿼리를 처리하는 엔드포인트는 전역입니다.

Important

프라이빗 링크를 만들면 AMPLS의 리소스뿐만 아니라 모든 모니터링 리소스에 대한 트래픽에 영향을 줍니다. 효과적으로 모든 쿼리 요청 및 Application Insights 구성 요소에 대한 수집이 프라이빗 IP를 통과하게 됩니다. 프라이빗 링크 유효성 검사가 이러한 모든 요청에 적용되는 것은 아닙니다.

AMPLS 액세스 모드가 Open이고 대상 리소스가 공용 네트워크의 트래픽을 허용하는 경우에만 AMPLS에 추가되지 않은 리소스에 연결할 수 있습니다. 개인 IP 를 사용하는 경우 프라이빗 링크 유효성 검사는 AMPLS에 없는 리소스에 적용되지 않습니다. 자세한 내용은 Private Link 액세스 모드를 참조 하세요.

관리되는 Prometheus에 대한 Private Link 설정 및 Azure Monitor 작업 영역에 데이터를 수집하는 작업은 참조된 리소스에 대한 데이터 수집 엔드포인트에서 구성됩니다. Private Link를 통해 Azure Monitor 작업 영역을 쿼리하는 설정 Azure Monitor 작업 영역에서 직접 수행되며 AMPLS를 통해 처리되지 않습니다.

리소스별 엔드포인트

Log Analytics 엔드포인트는 앞에서 설명한 쿼리 엔드포인트를 제외하고 작업 영역별로 다릅니다. 결과적으로 특정 Log Analytics 작업 영역을 AMPLS에 추가하면 프라이빗 링크를 통해 이 작업 영역에 수집 요청이 전송됩니다. 다른 작업 영역으로의 수집은 퍼블릭 엔드포인트를 계속 사용합니다.

데이터 수집 엔드포인트도 리소스에 따라 다릅니다. 이를 사용하여 새 Azure Monitor 에이전트데이터 수집 규칙을 사용할 때 컴퓨터(또는 컴퓨터 집합)에서 게스트 OS 원격 분석 데이터를 수집하기 위한 수집 설정을 고유하게 구성할 수 있습니다. 컴퓨터 집합에 대한 데이터 수집 엔드포인트를 구성해도 새 에이전트를 사용하는 다른 컴퓨터의 게스트 원격 분석 수집에는 영향을 주지 않습니다.

Important

2021년 12월 1일부터 프라이빗 엔드포인트 DNS 구성은 동일한 지역의 모든 작업 영역에 단일 개인 IP 주소를 할당하는 엔드포인트 압축 메커니즘을 사용합니다. 지원되는 크기 조정(AMPLS당 최대 300개의 작업 영역 및 1,000개의 구성 요소)을 개선하고 네트워크의 IP 풀에서 가져온 총 IP 수를 줄입니다.

Azure Monitor 프라이빗 링크에서 설명한 대로 DNS를 사용하는 경우 동일한 DNS를 공유하는 모든 네트워크에 대해 단일 AMPLS 리소스만 만들어야 합니다. 따라서 단일 글로벌 또는 지역 DNS를 사용하는 조직에는 모든 전역 또는 지역 네트워크에서 모든 Azure Monitor 리소스에 대한 트래픽을 관리하는 단일 프라이빗 링크가 있습니다.

2021년 9월 이전에 만든 프라이빗 링크의 경우 다음을 의미합니다.

  • 로그 수집은 AMPLS의 리소스에 대해서만 작동합니다. 구독이나 테넌트에 관계없이 다른 모든 리소스에 대한 수집이 거부됩니다(동일한 DNS를 공유하는 모든 네트워크에서).
  • 쿼리에는 쿼리 요청이 AMPLS에 없는 리소스에도 도달할 수 있도록 하는 더 개방적인 동작이 있습니다. 여기서는 고객 쿼리가 AMPLS에 없는 리소스로 중단되는 것을 방지하고 리소스 중심 쿼리가 전체 결과 집합을 반환할 수 있도록 하기 위한 것이었습니다.

이 동작은 AMPLS에 없는 리소스에 대한 수집을 중단하기 때문에 일부 고객에게는 너무 제한적인 것으로 판명되었습니다. 그러나 AMPLS에 없는 리소스를 쿼리할 수 있기 때문에 다른 사용자에게는 너무 관대했습니다.

2021년 9월부터 프라이빗 링크에는 네트워크 트래픽에 미치는 영향을 명시적으로 설정하는 새로운 필수 AMPLS 설정이 있습니다. 이제 새 AMPLS 리소스를 만들 때 수집 및 쿼리에 대해 원하는 액세스 모드를 별도로 선택해야 합니다.

  • 프라이빗 전용 모드: Private Link 리소스에 대한 트래픽만 허용합니다.
  • 열기 모드: Private Link를 사용하여 AMPLS의 리소스와 통신하지만 트래픽이 다른 리소스로 계속 이동할 수도 있습니다. 자세한 내용은 프라이빗 링크가 네트워크에 적용되는 방식 제어를 참조하세요.

Log Analytics 쿼리 요청은 AMPLS 액세스 모드 설정의 영향을 받지만 Log Analytics 수집 요청은 리소스별 엔드포인트를 사용하며 AMPLS 액세스 모드에서 제어되지 않습니다. Log Analytics 수집 요청이 AMPLS 외부의 작업 영역에 액세스할 수 없도록 하려면 AMPLS 액세스 모드에 관계없이 공용 엔드포인트에 대한 트래픽을 차단하도록 네트워크 방화벽을 설정합니다.

참고 항목

처음에 아웃바운드 트래픽 ServiceTag:AzureMonitor을 허용하도록 네트워크 보안 그룹 규칙을 설정하여 Private Link로 Log Analytics를 구성한 경우 연결된 VM은 공용 엔드포인트를 통해 로그를 보냅니다. 나중에 아웃바운드 트래픽 ServiceTag:AzureMonitor을 거부하도록 규칙을 변경하는 경우 VM을 다시 부팅하거나 세션을 줄일 때까지 연결된 VM이 로그를 계속 보냅니다. 원하는 구성이 즉시 적용되도록 하려면 연결된 VM을 다시 부팅합니다.

다음 단계