Azure SQL Managed Instance에 대한 서비스 엔드포인트 정책 구성(미리 보기)
적용 대상: Azure SQL Managed Instance
VNet(가상 네트워크) Azure Storage 서비스 엔드포인트 정책을 사용하면 Azure Storage에 대한 송신 가상 네트워크 트래픽을 필터링하여 데이터 전송을 특정 스토리지 계정으로 제한할 수 있습니다.
엔드포인트 정책을 구성하고 이를 SQL Managed Instance와 연결하는 기능은 현재 미리 보기 상태입니다.
주요 이점
Azure SQL Managed Instance에 대한 가상 네트워크 Azure Storage 서비스 엔드포인트 정책을 구성하면 다음과 같은 이점이 있습니다.
Azure Storage에 대한 Azure SQL Managed Instance 트래픽의 향상된 보안: 엔드포인트 정책은 중요 비즈니스용 데이터의 실수로 인한 유출이나 악의적인 유출을 방지하는 보안 제어를 설정합니다. 트래픽은 데이터 거버넌스 요구 사항을 준수하는 스토리지 계정으로만 제한될 수 있습니다.
액세스할 수 있는 스토리지 계정에 대한 세분화된 제어: 서비스 엔드포인트 정책은 구독, 리소스 그룹, 개별 스토리지 계정 수준에서 스토리지 계정에 대한 트래픽을 허용할 수 있습니다. 관리자는 서비스 엔드포인트 정책을 사용하여 Azure에서 조직의 데이터 보안 아키텍처를 준수하도록 강제할 수 있습니다.
시스템 트래픽은 영향을 받지 않음: 서비스 엔드포인트 정책은 Azure SQL Managed Instance가 작동하는 데 필요한 스토리지에 대한 액세스를 방해하지 않습니다. 여기에는 백업, 데이터 파일, 트랜잭션 로그 파일, 기타 자산의 스토리지가 포함됩니다.
중요
서비스 엔드포인트 정책은 SQL Managed Instance 서브넷에서 시작되고 Azure Storage에서 종료되는 트래픽만 제어합니다. 이 정책은 온-프레미스 BACPAC 파일에 데이터베이스 내보내기, Azure Data Factory 통합, Azure Diagnostic 설정 통해 진단 정보 수집 또는 직접 Azure Storage를 대상으로 지정하지 않는 기타 데이터 추출 메커니즘에 영향을 주지 않습니다.
제한 사항
Azure SQL Managed Instance에 대해 서비스 엔드포인트 정책을 사용하는 데는 다음과 같은 제한 사항이 있습니다.
- 미리 보기에서는 서브넷에 서비스 엔드포인트 정책을 배치할 경우 해당 서브넷의 인스턴스가 다른 서브넷의 인스턴스에서 PITR(지정 시간 복원)을 수행할 수 없게 됩니다. 그러나 서비스 엔드포인트 정책 때문에 다른 서브넷의 인스턴스가 해당 서브넷에서 백업을 복원하지 못하는 것은 아닙니다.
- 미리 보기에서 이 기능은 중국 동부 2, 중국 북부 2, 미국 중부 EUAP, 미국 동부 2 EUAP, US Gov 애리조나, US Gov 텍사스, US Gov 버지니아, 미국 중서부를 제외하고 SQL Managed Instance가 지원되는 모든 Azure 지역에서 사용할 수 있습니다.
- 이 기능은 Azure Resource Manager 배포 모델을 통해 배포된 가상 네트워크에만 사용할 수 있습니다.
- 이 기능은 Azure Storage에 대한 서비스 엔드포인트가 사용되는 서브넷에서만 사용할 수 있습니다.
- 서비스 엔드포인트에 서비스 엔드포인트 정책을 할당하면 엔드포인트가 지역에서 전역 범위로 업그레이드됩니다. 즉, 스토리지 계정이 있는 지역에 관계없이 Azure Storage에 대한 트래픽이 서비스 엔드포인트를 통과합니다.
- 스토리지 계정을 허용하면 RA-GRS 보조 데이터베이스에 대한 액세스가 자동으로 허용됩니다.
스토리지 인벤토리 준비
서브넷에서 서비스 엔드포인트 정책 구성을 시작하기 전에 관리형 인스턴스가 해당 서브넷에 액세스할 수 있어야 하는 스토리지 계정 목록을 작성합니다.
다음은 Azure Storage에 연결할 수 있는 워크플로 목록입니다.
- Azure Storage에 대한 감사.
- Azure Storage에 대한 복사 전용 백업 수행.
- Azure Storage에서 데이터베이스 복원.
- BULK INSERT 또는 OPENROWSET(BULK ...)을 사용하여 데이터 가져오기.
- Azure Storage의 이벤트 파일 대상에 확장된 이벤트 로그.
- Azure SQL Managed Instance에 대한 Azure DMS 오프라인 마이그레이션.
- Azure SQL Managed Instance에 대한 로그 재생 서비스 마이그레이션.
- 트랜잭션 복제를 사용하여 테이블 동기화.
스토리지에 액세스하는 이러한 워크플로나 다른 워크플로에 참여하는 스토리지 계정의 계정 이름, 리소스 그룹, 구독을 기록해 둡니다.
정책 구성
먼저 서비스 엔드포인트 정책을 만든 다음, SQL Managed Instance 서브넷과 정책을 연결해야 합니다. 비즈니스 요구 사항에 맞게 이 섹션에서 워크플로를 수정합니다.
참고
- SQL Managed Instance 서브넷에는 /Services/Azure/ManagedInstance 서비스 별칭을 포함하는 정책이 필요합니다(5단계 참조).
- 이미 서비스 엔드포인트 정책이 포함된 서브넷에 배포된 Managed Instance는 /Services/Azure/ManagedInstance 서비스 별칭을 자동으로 업그레이드합니다.
서비스 엔드포인트 정책 만들기
서비스 엔드포인트 정책을 만들려면 다음 단계를 수행합니다.
Azure Portal에 로그인합니다.
+ 리소스 만들기를 선택합니다.
검색 창에 서비스 엔드포인트 정책을 입력하고, 서비스 엔드포인트 정책을 선택한 다음, 만들기를 선택합니다.
기본 사항 페이지에서 다음 값을 입력합니다.
- 구독: 드롭다운에서 정책에 대한 구독을 선택합니다.
- 리소스 그룹: 관리형 인스턴스가 있는 리소스 그룹을 선택하거나, 새로 만들기를 선택하고 새 리소스 그룹의 이름을 입력합니다.
- 이름: mySEP와 같은 정책의 이름을 입력합니다.
- 위치: 관리형 인스턴스를 호스트하는 가상 네트워크의 지역을 선택합니다.
정책 정의에서 별칭 추가를 선택하고 별칭 추가 창에 다음 정보를 입력합니다.
- 서비스 별칭: /Services/Azure/ManagedInstance를 선택합니다.
- 추가를 선택하여 서비스 별칭 추가를 완료합니다.
정책 정의의 리소스 아래에서 + 추가를 선택하고 리소스 추가 창에서 다음 정보를 입력하거나 선택합니다
- 서비스: Microsoft.Storage를 선택합니다.
- 범위: 구독의 모든 계정을 선택합니다.
- 구독: 허용할 스토리지 계정이 포함된 구독을 선택합니다. 앞에서 만든 Azure Storage 계정의 인벤토리를 참조하세요.
- 추가를 선택하여 리소스 추가를 완료합니다.
- 이 단계를 반복하여 구독을 더 추가합니다.
선택 사항: 태그 아래 서비스 엔드포인트 정책에서 태그를 구성할 수 있습니다.
검토 + 생성를 선택합니다. 정보의 유효성을 검사하고 만들기를 선택합니다. 추가로 편집하려면 이전을 선택합니다.
팁
먼저 전체 구독에 대한 액세스를 허용하도록 정책을 구성합니다. 모든 워크플로가 정상적으로 작동하는지 확인하여 구성의 유효성을 검사합니다. 그런 다음, 필요에 따라 개별 스토리지 계정 또는 리소스 그룹의 계정을 허용하도록 정책을 다시 구성합니다. 이렇게 하려면 범위: 필드에서 단일 계정 또는 리소스 그룹의 모든 계정을 선택하고 이에 따라 다른 필드를 입력합니다.
정책을 서브넷과 연결
서비스 엔드포인트 정책이 만들어진 후 정책을 SQL Managed Instance 서브넷과 연결합니다.
정책을 연결하려면 다음 단계를 수행합니다.
Azure Portal의 모든 서비스 상자에서 가상 네트워크를 검색합니다. 가상 네트워크를 선택합니다.
관리형 인스턴스를 호스트하는 가상 네트워크를 찾고 선택합니다.
서브넷을 선택하고 관리형 인스턴스 전용 서브넷을 선택합니다. 서브넷 창에 다음 정보를 입력합니다.
- 서비스: Microsoft.Storage를 선택합니다. 이 필드가 비어 있으면 해당 서브넷에서 Azure Storage에 대한 서비스 엔드포인트를 구성해야 합니다.
- 서비스 엔드포인트 정책: SQL Managed Instance 서브넷에 적용할 서비스 엔드포인트를 선택합니다.
저장을 선택하여 가상 네트워크 구성을 완료합니다.
Warning
이 서브넷의 정책에 /Services/Azure/ManagedInstance
별칭이 없는 경우 다음 오류가 표시될 수 있습니다. Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.
Details: Service endpoint policies on subnet are missing definitions
이 문제를 해결하려면 /Services/Azure/ManagedInstance
별칭을 포함하도록 서브넷의 모든 정책을 업데이트합니다.
다음 단계
- Azure Storage 계정 보호에 관해 자세히 알아봅니다.
- SQL Managed Instance의 보안 기능에 관해 알아봅니다.
- SQL Managed Instance의 연결 아키텍처를 살펴봅니다.