Azure Backup용 프라이빗 엔드포인트(v2 환경)의 개요 및 개념
Azure Backup을 통해 프라이빗 엔드포인트를 사용하여 Recovery Services 자격 증명 모음에서 데이터 백업 및 복원 작업을 안전하게 수행할 수 있습니다. 프라이빗 엔드포인트는 Azure VNet(가상 네트워크)에서 하나 이상의 개인 IP 주소를 사용하여 서비스를 VNet에 효과적으로 제공합니다.
이제 Azure Backup은 클래식 환경(v1)에 비해 프라이빗 엔드포인트를 만들고 사용하는 데 향상된 환경을 제공합니다.
이 문서에서는 Azure Backup용 프라이빗 엔드포인트의 향상된 기능이 어떻게 기능하고 리소스의 보안을 유지하면서 백업을 수행하는 데 도움이 되는지 설명합니다.
주요 개선 사항
- 관리 ID 없이 프라이빗 엔드포인트를 만듭니다.
- Blob 및 큐 서비스에 대한 프라이빗 엔드포인트가 만들어지지 않습니다.
- 적은 수의 개인 IP를 사용합니다.
시작하기 전에
Recovery Services 자격 증명 모음은 Azure Backup 및 Azure Site Recovery에서 모두 사용되지만, 이 문서에서는 Azure Backup 전용 프라이빗 엔드포인트를 사용하는 방법에 대해 설명합니다.
해당 자격 증명 모음으로 보호되고 이에 등록된 항목이 없는 새 Recovery Services 자격 증명 모음에 한해 프라이빗 엔드포인트를 만들 수 있습니다. 그러나 프라이빗 엔드포인트는 현재 Backup 자격 증명 모음에 대해 지원되지 않습니다.
참고 항목
고정 IP를 사용하여 프라이빗 엔드포인트를 만들 수 없습니다.
클래식 환경을 사용해 만든 자격 증명 모음(프라이빗 엔드포인트 포함)을 새 환경으로 업그레이드할 수 없습니다. 기존의 모든 프라이빗 엔드포인트를 삭제한 후 v2 환경에서 새 프라이빗 엔드포인트를 만들 수 있습니다.
한 개의 가상 네트워크에는 여러 Recovery Services 자격 증명 모음에 대한 프라이빗 엔드포인트가 포함될 수 있습니다. 또한 하나의 Recovery Services 자격 증명 모음에는 여러 가상 네트워크에 이 자격 증명 모음에 대한 프라이빗 엔드포인트가 포함될 수 있습니다. 그러나 하나의 자격 증명 모음에 대해서는 프라이빗 엔드포인트를 최대 12개 만들 수 있습니다.
하나의 자격 증명 모음에 대한 프라이빗 엔드포인트에서는 10개의 개인 IP를 사용하는데 시간이 지남에 따라 개수가 늘어날 수 있습니다. 프라이빗 엔드포인트를 만드는 동안 사용 가능한 IP가 충분한지 확인합니다.
Azure Backup의 프라이빗 엔드포인트에는 Microsoft Entra ID에 대한 액세스가 포함되지 않습니다. Azure VM에서 데이터베이스를 백업하고 MARS 에이전트를 통해 백업할 때 Microsoft Entra ID가 지역에서 작동하는 데 필요한 IP와 FQDN이 보안 네트워크에 허용된 상태의 아웃바운드 액세스 권한을 보유하도록 액세스 권한을 사용 가능으로 설정해야 합니다. 해당하는 경우 Microsoft Entra ID 액세스를 허용하기 위해 NSG 태그 및 Azure Firewall 태그를 사용할 수도 있습니다.
2020년 5월 1일 이전에 등록한 경우 구독에 Recovery Services 리소스 공급자를 다시 등록해야 합니다. 공급자를 다시 등록하려면 Azure Portal에서 구독 >리소스 공급자로 이동하여 Microsoft.RecoveryServices>다시 등록을 선택합니다.
구독 간에 DNS를 만들 수 있습니다.
자격 증명 모음에 항목을 보호하기 전이나 후에 보조 프라이빗 엔드포인트를 만들 수 있습니다. 프라이빗 엔드포인트 지원 자격 증명 모음에 지역 간 복원을 수행하는 방법을 알아봅니다.
권장 및 지원되는 시나리오
자격 증명 모음에 프라이빗 엔드포인트를 사용하도록 설정하면 Azure VM, MARS 에이전트 백업 및 DPM에서만 SQL 및 SAP HANA 워크로드의 백업 및 복원에 사용됩니다. 다른 워크로드의 백업에도 자격 증명 모음을 사용할 수 있습니다. 그러나 프라이빗 엔드포인트는 필요하지 않습니다. 프라이빗 엔드포인트는 SQL 및 SAP HANA 워크로드 백업 및 MARS 에이전트를 사용한 백업 외에도 Azure VM 백업을 위한 파일 복구를 수행하는 데 사용됩니다.
다음 표에는 시나리오 및 권장 사항이 나와 있습니다.
| 시나리오 | 권장 |
|---|---|
| Azure VM에서 워크로드 백업(SQL, SAP HANA), MARS 에이전트, DPM 서버를 사용하여 백업. | 가상 네트워크에서 Azure Backup 또는 Azure Storage에 대해 허용 목록에 IP/FQDN을 추가하지 않고도 백업 및 복원을 허용하려면 프라이빗 엔드포인트를 사용하는 것이 좋습니다. 해당 시나리오에서는 SQL 데이터베이스를 호스팅하는 VM이 Microsoft Entra IP 또는 FQDN에 연결할 수 있는지 확인합니다. |
| Azure VM 백업 | VM 백업을 위해 IP 또는 FQDN에 액세스하지 않아도 됩니다. 따라서 디스크 백업 및 복원용 프라이빗 엔드포인트가 필요하지 않습니다. 그러나 프라이빗 엔드포인트가 포함된 자격 증명 모음에서 파일 복구는 자격 증명 모음에 대한 프라이빗 엔드포인트가 포함된 가상 네트워크로 제한됩니다. ACL로 지정된 비관리 디스크를 사용하는 경우 디스크가 포함된 스토리지 계정이 신뢰할 수 있는 Microsoft 서비스에 대한 액세스를 허용하는지 확인합니다(ACL로 지정된 경우). |
| Azure Files 백업 | Azure Files 백업은 로컬 스토리지 계정에 저장됩니다. 따라서 백업 및 복원을 위한 프라이빗 엔드포인트가 필요하지 않습니다. |
참고 항목
프라이빗 엔드포인트는 DPM 서버 2022, MABS v4 이상에서만 지원됩니다.
프라이빗 엔드포인트용 네트워크 연결의 차이
위에서 언급했듯이 프라이빗 엔드포인트는 Azure VM 및 MARS 에이전트 백업에서 워크로드(SQL, SAP HANA) 백업에 특히 유용합니다.
프라이빗 엔드포인트가 있거나 없는 모든 시나리오에서 워크로드 확장(Azure VM 내에서 실행되는 SQL 및 SAP HANA 인스턴스의 백업용)과 MARS 에이전트는 모두 Microsoft Entra ID(Microsoft 365 Common 및 Office Online 섹션 56 및 59에 언급된 FQDN)에 대한 연결 호출을 수행합니다.
프라이빗 엔드포인트 없는 Recovery Services 자격 증명 모음에 대해 워크로드 확장 또는 MARS 에이전트가 설치된 경우, 이러한 연결 외에 다음과 같은 도메인 연결도 필요합니다.
| 서비스 | 도메인 이름 | 포트 |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com 이 문서에 따라 섹션 56, 59에 의거하여 FQDN에 대한 액세스 허용 |
443 경우에 따라 |
프라이빗 엔드포인트가 있는 Recovery Services 자격 증명 모음에 대해 워크로드 확장 또는 MARS 에이전트가 설치된 경우 다음 엔드포인트가 전달됩니다.
| 서비스 | 도메인 이름 | 포트 |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com 이 문서에 따라 섹션 56, 59에 의거하여 FQDN에 대한 액세스 허용 |
443 경우에 따라 |
참고 항목
위의 텍스트에서는 <geo>는 지역 코드(예: 미국 동부의 경우 eus, 유럽 북부의 경우 ne)를 나타냅니다. 지역 코드에 대해서는 다음 목록을 참조하세요.
프라이빗 엔드포인트가 설정된 Recovery Services 자격 증명 모음의 경우 FQDN(privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net)의 이름 확인에서는 개인 IP 주소를 반환해야 합니다. 이는 다음을 사용하여 달성할 수 있습니다.
- Azure 프라이빗 DNS 영역
- 사용자 지정 DNS
- 호스트 파일의 DNS 항목
- Azure DNS/Azure 프라이빗 DNS 영역에 대한 조건부 전달자
스토리지 계정에 대한 개인 IP 매핑은 Recovery Services 자격 증명 모음용으로 만들어진 프라이빗 엔드포인트에 나열됩니다. Azure에서 Blob 및 큐에 대한 DNS 레코드를 관리할 수 있으므로, Azure 프라이빗 DNS 영역을 사용하는 것이 좋습니다. 자격 증명 모음에 새 스토리지 계정이 할당되면 해당 개인 IP용 DNS 레코드가 Blob 또는 큐 Azure 프라이빗 DNS 영역에 자동으로 추가됩니다.
타사 프록시 서버 또는 방화벽을 사용하여 DNS 프록시 서버를 구성한 경우, 위의 도메인 이름을 허용해야 하고 사용자 지정 DNS(위 FQDN에 대한 DNS 레코드가 있음) 또는 프라이빗 DNS 영역이 연결된 Azure 가상 네트워크에서 168.63.129.16으로 리디렉션되어야 합니다.
다음 예에서는 Recovery Services 자격 증명 모음, Blob, 큐 및 Microsoft Entra ID에 대한 도메인 이름 쿼리를 168.63.129.16으로 리디렉션하기 위해 DNS 프록시로 사용되는 Azure Firewall을 보여 줍니다.
자세한 내용은 프라이빗 엔드포인트 만들기 및 사용을 참조하세요.
프라이빗 엔드포인트가 있는 자격 증명 모음에 대한 네트워크 연결
Recovery Services용 프라이빗 엔드포인트는 NIC(네트워크 인터페이스)와 연결됩니다. 프라이빗 엔드포인트 연결이 작동하려면 Azure 서비스의 모든 트래픽을 네트워크 인터페이스로 리디렉션해야 합니다. 이는 서비스/Blob/큐 URL에 대한 네트워크 인터페이스와 연결된 개인 IP용 DNS 매핑을 추가하여 달성할 수 있습니다.
프라이빗 엔드포인트가 있는 Recovery Services 자격 증명 모음에 등록된 가상 머신에 워크로드 백업 확장이 설치되면 확장에서 Azure Backup 서비스 <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com의 프라이빗 URL에 연결을 시도합니다.
프라이빗 URL이 확인되지 않으면 공용 URL <azure_backup_svc>.<geo>.backup.windowsazure.com를 시도합니다. Recovery Services 자격 증명 모음에 대한 공용 네트워크 액세스가 '모든 네트워크에서 허용'으로 구성된 경우, Recovery Services 자격 증명 모음은 공용 URL을 통해 확장에서 들어오는 요청을 허용합니다. Recovery Services 자격 증명 모음에 대한 공용 네트워크 액세스가 '거부'로 구성된 경우, 복구 서비스 자격 증명 모음은 공용 URL을 통해 확장에서 들어오는 요청을 거부합니다.
참고 항목
위의 도메인 이름 <geo>에서 지역 코드(예: 미국 동부는 eus, 북유럽은 ne)를 확인합니다. 지역 코드에 대한 자세한 내용은 다음 목록을 참조하세요.
이러한 프라이빗 URL은 자격 증명 모음에만 적용됩니다. 해당 자격 증명 모음에 등록된 확장 및 에이전트만 이러한 엔드포인트를 통해 Azure Backup 서비스와 통신할 수 있습니다. Recovery Services 자격 증명 모음에 대한 공용 네트워크 액세스가 '거부'로 구성된 경우, VNet에서 실행되지 않는 클라이언트는 자격 증명 모음에 대한 백업/복원 작업 요청이 제한됩니다. 공용 네트워크 액세스는 프라이빗 엔드포인트 설정과 함께 '거부'로 설정하는 것이 좋습니다. 확장 및 에이전트에서 처음에 프라이빗 URL을 시도하는 경우 URL의 *.privatelink.<geo>.backup.windowsazure.com DNS 확인에서는 프라이빗 엔드포인트와 연결된 해당 개인 IP를 반환해야 합니다.
DNS 확인 솔루션은 여러 가지가 있습니다.
- Azure 프라이빗 DNS 영역
- 사용자 지정 DNS
- 호스트 파일의 DNS 항목
- Azure DNS/Azure 프라이빗 DNS 영역에 대한 조건부 전달자
Recovery Services 자격 증명 모음에 대한 프라이빗 엔드포인트가 Azure Portal을 통해 '프라이빗 DNS 영역과 통합' 옵션을 사용하여 만들어지면 리소스가 할당될 때 Azure Backup 서비스(*.privatelink.<geo>backup.windowsazure.com)의 개인 IP 주소에 필요한 DNS 항목이 자동으로 만들어집니다. 다른 솔루션에서는 사용자 지정 DNS 또는 호스트 파일에서 해당 FQDN에 대한 DNS 항목을 수동으로 만들어야 합니다.
통신 채널(Blob 또는 큐)용 VM을 검색한 후 DNS 레코드를 수동으로 관리하려면 첫 번째 등록 후 Blob 및 큐에 대한 DNS 레코드(사용자 지정 DNS 서버/호스트 파일만 해당)를 참조하세요. 백업 스토리지 계정 Blob에 대한 첫 번째 백업 후 DNS 레코드를 수동으로 관리하려면 첫 번째 등록 후 Blob 및 큐에 대한 DNS 레코드(사용자 지정 DNS 서버/호스트 파일에만 해당)를 참조하세요.
FQDN용 개인 IP 주소는 Recovery Services 자격 증명 모음용으로 만든 프라이빗 엔드포인트의 DNS 구성 창에서 찾을 수 있습니다.
다음 다이어그램은 프라이빗 DNS 영역을 사용하여 이러한 프라이빗 서비스 FQDN을 확인할 때 확인이 작동하는 방식을 보여 줍니다.
Azure VM에서 실행되는 워크로드 확장에는 스토리지 계정 엔드포인트에 대한 연결이 두 개 이상 필요합니다. 첫 번째 계정은 큐 메시지를 통해 통신 채널로 사용되고, 두 번째 계정은 백업 데이터를 저장하는 데 사용됩니다. MARS 에이전트는 백업 데이터를 저장하는 데 사용되는 하나 이상의 스토리지 계정 엔드포인트에 액세스할 수 있어야 합니다.
프라이빗 엔드포인트 사용 자격 증명 모음의 경우 Azure Backup 서비스에서 이러한 스토리지 계정에 대한 프라이빗 엔드포인트를 만듭니다. 이렇게 하면 Azure Backup과 관련된 모든 네트워크 트래픽(서비스에 대한 컨트롤 플레인 트래픽 및 스토리지 Blob에 대한 백업 데이터)이 가상 네트워크를 벗어나지 않습니다. Azure Backup 클라우드 서비스 외에도 워크로드 확장 및 에이전트에는 Azure Storage 계정 및 Microsoft Entra ID에 대한 연결이 필요합니다.
다음 다이어그램에서는 프라이빗 DNS 영역을 사용하는 스토리지 계정에 대해 이름 확인이 작동하는 방식을 보여 줍니다.
다음 다이어그램은 보조 지역에서 프라이빗 엔드포인트를 복제하여 프라이빗 엔드포인트를 통해 지역 간 복원을 수행할 수 있는 방법을 보여 줍니다. 프라이빗 엔드포인트 지원 자격 증명 모음에 지역 간 복원을 수행하는 방법을 알아봅니다.
