Azure SQL Managed Instance용 Azure Private Link

적용 대상:Azure SQL Managed Instance

이 문서에서는 Azure SQL Managed Instance의 프라이빗 엔드포인트의 개요와 구성 단계를 설명합니다. 프라이빗 엔드포인트는 서비스의 전체 네트워크 인프라를 노출하지 않고 서비스와 여러 가상 네트워크 간에 안전하고 격리된 연결을 설정합니다.

개요

프라이빗 링크는 원하는 가상 네트워크에서 Azure SQL Managed Instance를 사용할 수 있게 해주는 Azure 기술입니다. 네트워크 관리자는 가상 네트워크에서 Azure SQL Managed Instance에 대한 프라이빗 엔드포인트를 설정할 수 있지만 SQL 관리자는 끝점이 활성화되기 전에 끝점을 수락하거나 거부합니다. 프라이빗 엔드포인트는 서비스의 전체 네트워크 인프라를 노출하지 않고 서비스와 여러 가상 네트워크 간에 안전하고 격리된 연결을 설정합니다.

프라이빗 엔드포인트와 VNet-로컬 끝점과의 차이점

각 Azure SQL Managed Instance와 함께 배포된 기본 VNet-로컬 끝점은 서비스를 실행하는 컴퓨터가 가상 네트워크에 물리적으로 연결된 것처럼 동작합니다. 경로 테이블, 네트워크 보안 그룹, DNS 확인, 방화벽 및 유사한 메커니즘을 통해 거의 완전한 트래픽 제어가 가능합니다. 또한 이 끝점을 사용하여 자동 장애 조치(failover) 그룹, 분산 트랜잭션 및 Managed Instance 링크와 같이 1433 이외의 포트에서 연결이 필요한 시나리오에 인스턴스를 포함할 수 있습니다. VNet-로컬 끝점은 유연성을 제공하지만 특정 시나리오, 특히 여러 가상 네트워크나 테넌트가 포함된 특정 시나리오를 구성할 때는 더 복잡해집니다.

반대로 프라이빗 엔드포인트를 설정하는 것은 Azure SQL Managed Instance를 실행하는 컴퓨터에서 다른 가상 네트워크로 실제 네트워크 케이블을 확장하는 것과 같습니다. 이 연결 경로는 Azure Private Link 기술을 통해 가상으로 설정됩니다. 프라이빗 엔드포인트에서 Azure SQL Managed Instance로, 한 방향으로의 연결만 허용합니다. 포트 1433(표준 TDS 트래픽 포트)에서만 트래픽을 전달합니다. 이러한 방식으로 Azure SQL Managed Instance는 네트워크 피어링을 설정하거나 인스턴스의 공용 끝점을 설정하지 않고도 다른 가상 네트워크에서 사용할 수 있게 됩니다. 인스턴스를 다른 서브넷으로 이동하더라도 설정된 프라이빗 엔드포인트는 해당 인스턴스를 계속 가리킵니다.

Azure SQL Managed Instance에서 지원하는 다양한 엔드포인트 형식에 대한 자세한 내용은 통신 개요를 참조하세요.

프라이빗 엔드포인트 사용하는 경우

Azure SQL Managed Instance에 대한 프라이빗 엔드포인트는 VNet-로컬 끝점 또는 공용 끝점를 사용하는 것보다 더욱 안전하고 중요한 연결 시나리오 구현을 간소화합니다. 이 시나리오에는 다음이 포함됩니다.

• 에어록. Azure SQL Managed Instance에 대한 프라이빗 엔드포인트는 점프 서버 및 ExpressRoute 게이트웨이가 있는 가상 네트워크에 배포되어 온-프레미스 리소스와 클라우드 리소스 간에 보안 및 격리를 제공합니다.
• 허브 및 스포크 토폴로지. 스포크 가상 네트워크의 프라이빗 엔드포인트는 SQL 클라이언트 및 애플리케이션에서 허브 가상 네트워크의 Azure SQL Managed Instance로 트래픽을 수행하여 명확한 네트워크 격리 및 책임 분리를 설정합니다.
• 게시자-소비자. 게시자 테넌트(예: ISV)는 가상 네트워크에서 Azure SQL Managed Instance 여러 개를 관리합니다. 게시자는 다른 테넌트의 가상 네트워크에 프라이빗 엔드포인트를 만들어 소비자가 인스턴스를 사용할 수 있도록 합니다.
• Azure PaaS 및 SaaS 서비스 통합. Azure Data Factory와 같은 일부 PaaS 및 SaaS 서비스는 Azure SQL Managed Instance에 대한 프라이빗 엔드포인트를 만들고 관리할 수 있습니다.

VNet-로컬 또는 공용 엔드포인트보다 프라이빗 엔드포인트를 사용하면 다음과 같은 이점이 있습니다.

• IP 주소 예측 가능성: Azure SQL Managed Instance에 대한 프라이빗 엔드포인트에는 해당 서브넷의 주소 범위에서 고정 IP 주소가 할당됩니다. 이 IP 주소는 VNet 로컬 및 공용 엔드포인트의 IP 주소가 변경되더라도 고정되어 있습니다.
• 세분화된 네트워크 액세스: 프라이빗 엔드포인트는 가상 네트워크 내에서만 볼 수 있습니다.
• 강력한 네트워크 격리: 피어링 시나리오에서 피어링된 가상 네트워크는 양방향 연결을 설정하는 반면, 프라이빗 엔드포인트는 단방향이며 네트워크 내부의 네트워크 리소스를 Azure SQL Managed Instance에 노출하지 않습니다.
• 주소 겹침 방지: 여러 가상 네트워크를 피어링하려면 신중한 IP 공간 할당이 필요하며 주소 공간이 겹칠 때 문제가 발생할 수 있습니다.
• IP 주소 공간 범위 보존: 프라이빗 엔드포인트는 서브넷의 주소 공간에서 하나의 IP 주소만 사용합니다.

제한 사항

• Azure SQL Managed Instance를 사용하려면 SQL 클라이언트에서 보낸 연결 문자열에 정확한 인스턴스 호스트 이름이 표시되어야 합니다. 프라이빗 엔드포인트 IP 주소 사용은 지원되지 않으며 실패합니다. 이 문제를 해결하려면 DNS 서버를 구성하거나 프라이빗 엔드포인트에 대한 도메인 이름 확인 설정의 설명대로 프라이빗 DNS 영역을 사용합니다.
• DNS 이름 자동 등록은 아직 지원되지 않습니다. 대신 프라이빗 엔드포인트에 대한 도메인 이름 확인 설정의 단계를 수행합니다.
• SQL Managed Instance에 대한 프라이빗 엔드포인트는 SQL 트래픽용 표준 TDS 포트인 포트 1433에 연결하는 데만 사용할 수 있습니다. 다른 포트에서 통신해야 하는 더 복잡한 연결 시나리오는 인스턴스의 VNet-로컬 끝점을 통해 설정되어야 합니다.
• Azure SQL Managed Instance에 대한 프라이빗 엔드포인트에는 프라이빗 엔드포인트에 대한 도메인 이름 확인 설정의 설명대로 필요한 DNS 확인을 구성하기 위한 특별한 설정이 필요합니다.
• 프라이빗 엔드포인트는 항상 프록시 연결 형식으로 작동합니다.

가상 네트워크에 프라이빗 엔드포인트 만들기

Azure Portal, Azure PowerShell 또는 Azure CLI를 사용하여 프라이빗 엔드포인트를 만듭니다.

• Azure Portal
• Azure PowerShell
• Azure CLI

프라이빗 엔드포인트를 만든 후에는 대상 가상 네트워크 내에서 생성을 승인해야 할 수도 있습니다. 프라이빗 엔드포인트 만들기 요청 검토 및 승인을 참조하세요.

SQL Managed Instance에 대한 프라이빗 엔드포인트가 완벽하게 작동하도록 하려면 지침에 따라 프라이빗 엔드포인트에 대한 도메인 이름 확인을 설정합니다.

PaaS 또는 SaaS 서비스에 프라이빗 엔드포인트 만들기

일부 Azure PaaS 및 SaaS 서비스는 프라이빗 엔드포인트를 사용하여 환경 내에서 데이터에 액세스할 수 있습니다. 이러한 서비스에서 프라이빗 엔드포인트를 설정하는 절차("관리형 프라이빗 엔드포인트" 또는 "관리형 가상 네트워크의 프라이빗 엔드포인트"라고도 함)는 서비스마다 다릅니다. 관리자는 프라이빗 엔드포인트 만들기 요청 검토 및 승인의 설명대로 Azure SQL Managed Instance에서 요청을 계속 검토하고 승인해야 합니다.

참고 항목

Azure SQL Managed Instance를 사용하려면 SQL 클라이언트의 연결 문자열에서 인스턴스 이름을 도메인 이름의 첫 번째 세그먼트(예: <instance-name>.<dns-zone>.database.windows.net)로 전달해야 합니다. IP 주소를 통해 Azure SQL Managed Instance의 프라이빗 엔드포인트에 연결을 시도하는 PaaS 및 SaaS 서비스는 연결할 수 없습니다.

테넌트 간 프라이빗 엔드포인트 만들기

다른 Azure 테넌트에서도 Azure SQL Managed Instance에 대한 프라이빗 엔드포인트를 만들 수 있습니다. 이렇게 하려면 프라이빗 엔드포인트가 표시되어야 하는 가상 네트워크의 관리자는 먼저 프라이빗 엔드포인트를 요청하려는 Azure SQL Managed Instance의 전체 리소스 ID를 가져와야 합니다. 이 정보를 사용하면 Private Link 센터에서 새 프라이빗 엔드포인트를 만들 수 있습니다. 이전과 마찬가지로 Azure SQL Managed Instance 관리자는 프라이빗 엔드포인트 만들기 요청 검토 및 승인에 따라 검토하고 승인 또는 거부할 수 있는 요청을 받습니다.

프라이빗 엔드포인트 만들기 요청 검토 및 승인

프라이빗 엔드포인트 만들기 요청이 전송되면 SQL 관리자는 Azure SQL Managed Instance에 대한 프라이빗 엔드포인트 연결을 관리할 수 있습니다. 새 프라이빗 엔드포인트 연결을 관리하는 첫 번째 단계는 프라이빗 엔드포인트를 검토하고 승인하는 것입니다. 이 단계에서는 프라이빗 엔드포인트를 만드는 사용자 또는 서비스에 Azure SQL Managed Instance 리소스에 대한 충분한 Azure RBAC 권한이 있는 경우 자동으로 수행됩니다. 사용자에게 충분한 권한이 없는 경우 프라이빗 엔드포인트를 수동으로 검토하고 승인해야 합니다.

프라이빗 엔드포인트를 승인하려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure SQL Managed Instance로 이동합니다.

2. 보안에서 프라이빗 엔드포인트 연결을 선택합니다.

   

3. 보류 중 상태의 연결을 검토하고 확인란을 선택하여 승인하거나 거부할 프라이빗 엔드포인트 연결을 하나 이상 선택합니다.

   

4. 승인 또는 거부를 선택한 다음, 작업을 확인하는 대화 상자에서 예를 선택합니다.

   

5. 연결을 승인하거나 거부하면 프라이빗 엔드포인트 연결 목록에는 현재 프라이빗 엔드포인트 연결 상태와 요청/응답 메시지가 반영됩니다.

   

프라이빗 엔드포인트에 대한 도메인 이름 확인 설정

Azure SQL Managed Instance에 대한 프라이빗 엔드포인트를 만든 후에는 도메인 이름 확인을 구성해야 합니다. 그렇지 않으면 로그인 시도가 실패합니다. 아래 방법은 Azure DNS 확인을 사용하는 가상 네트워크에서 작동합니다. 가상 네트워크가 사용자 지정 DNS 서버를 사용하도록 구성된 경우 그에 따라 단계를 조정합니다.

프라이빗 엔드포인트에 대한 도메인 이름 확인을 VNet-로컬 끝점의 도메인 이름이 <instance-name>.<dns-zone>.database.windows.net인 인스턴스로 설정하려면 인스턴스와 해당 프라이빗 엔드포인트가 같은 가상 네트워크에 또는 다른 가상 네트워크에 있는지 여부에 따라 다음 두 가지 절차 중 하나를 수행합니다.

Important

고유한 가상 네트워크에서 Azure SQL Managed Instance의 VNet-로컬 끝점 도메인 이름을 확인하는 방법을 변경하지 마세요. 변경하면 관리 작업을 수행하는 인스턴스 기능이 중단됩니다.

다른 가상 네트워크

프라이빗 엔드포인트와 Azure SQL Managed Instance가 다른 가상 네트워크에 있으면 다음 단계를 수행합니다.

다음 단계를 완료하면 끝점 가상 네트워크 내부에서 <instance-name>.<dns-zone>.database.windows.net에 연결하는 SQL 클라이언트가 프라이빗 엔드포인트를 통해 투명하게 라우팅됩니다.

1. Private Link Center를 방문하거나 다음 단계를 수행하여 프라이빗 엔드포인트의 IP 주소를 가져옵니다.

   1. Azure Portal에서 Azure SQL Managed Instance로 이동합니다.

   2. 보안에서 프라이빗 엔드포인트 연결을 선택합니다.

   3. 테이블에서 프라이빗 엔드포인트 연결을 찾아 선택한 연결의 프라이빗 엔드포인트 이름을 선택합니다.

      

   4. *개요 페이지에서 네트워크 인터페이스를 선택합니다.

      

   5. 개요 페이지에서 Essentials를 선택하여 개인 IP 주소를 식별하고 복사합니다.

      

2. privatelink.<dns-zone>.database.windows.net이라는 이름의 프라이빗 Azure DNS 영역을 만듭니다.

3. 프라이빗 DNS 영역을 엔드포인트 가상 네트워크에 연결합니다.

4. DNS 영역에서 다음 값을 사용하여 새 레코드 집합을 만듭니다.

   • 이름: <instance-name>
   • 형식: A
   • IP 주소: 이전 설정에서 가져온 프라이빗 엔드포인트의 IP 주소입니다.

같은 가상 네트워크

프라이빗 엔드포인트와 Azure SQL Managed Instance가 같은 가상 네트워크에 있으면 다음 단계를 수행합니다.

다음 단계를 완료하면 연결 문자열에 Encrypt=false 및 TrustServerCertificate=true가 포함된 끝점 가상 네트워크 내부의 SQL 클라이언트가 프라이빗 엔드포인트에 연결할 수 있습니다(예: <instance-name>.privatelink.site). 이전과 마찬가지로 클라이언트는 <instance-name>.<dns-zone>.database.windows.net에서 VNet-로컬 끝점에 계속 연결할 수 있습니다.

참고 항목

프라이빗 엔드포인트와 Azure SQL Managed Instance가 같은 가상 네트워크에 있으면 신뢰할 수 있는 암호화된 연결을 설정하거나 SQL 클라이언트를 프라이빗 엔드포인트로 투명하게 다시 라우팅할 수 없습니다.

1. Private Link Center를 방문하거나 다음 단계를 수행하여 프라이빗 엔드포인트의 IP 주소를 가져옵니다.

   1. Azure Portal에서 Azure SQL Managed Instance로 이동합니다.
   2. 보안에서 프라이빗 엔드포인트 연결을 선택합니다.
   3. 테이블에서 프라이빗 엔드포인트 연결을 찾아 선택한 연결의 프라이빗 엔드포인트 이름을 선택합니다.

   

   4. *개요 페이지에서 네트워크 인터페이스를 선택합니다.

   

   5. 개요 페이지에서 Essentials를 선택하여 개인 IP 주소를 식별하고 복사합니다.

   

2. privatelink.<dns-zone>.database.windows.net이외의 이름이 지정된 프라이빗 Azure DNS 영역을 만듭니다(예: privatelink.site).

   Warning

   프라이빗 DNS 영역 privatelink.<dns-zone>.database.windows.net의 이름을 지정하면 인스턴스의 내부 연결이 중단되어 관리 작업이 실패합니다.

3. 프라이빗 DNS 영역을 엔드포인트 가상 네트워크에 연결합니다.

4. DNS 영역에서 다음 값을 사용하여 새 레코드 집합을 만듭니다.

   • 이름: <instance-name>
   • 형식: A
   • IP 주소: 이전 단계에서 가져온 프라이빗 엔드포인트의 IP 주소입니다.

다음 단계

• Azure SQL Managed Instance 연결 아키텍처를 알아보세요.
• Azure Private Link 및 프라이빗 엔드포인트에 대해 자세히 알아보세요.
• Azure Private Link 가용성에서 프라이빗 링크와 호환되는 Azure PaaS 서비스 목록을 참조하세요.