Azure Backup용 프라이빗 엔드포인트(v1 환경)의 개요 및 개념
Azure Backup에서는 프라이빗 엔드포인트를 사용하여 Recovery Services 자격 증명 모음에서 데이터를 안전하게 백업하고 복원할 수 있습니다. 프라이빗 엔드포인트는 Azure VNet(가상 네트워크)에서 하나 이상의 개인 IP 주소를 사용하여 서비스를 VNet에 효과적으로 제공합니다.
이 문서는 Azure Backup에 대한 프라이빗 엔드포인트가 작동하는 방법과 프라이빗 엔드포인트를 사용하여 리소스의 보안을 유지하는 시나리오를 이해하는 데 도움이 됩니다.
참고 항목
Azure Backup은 이제 프라이빗 엔드포인트를 만들기 위한 새로운 환경을 제공합니다. 자세히 알아보기.
시작하기 전에
- 프라이빗 엔드포인트는 자격 증명 모음에 등록된 항목이 없는 새 Recovery Services 자격 증명 모음에 대해서만 만들 수 있습니다. 따라서 자격 증명 모음에 대한 항목을 보호하려면 프라이빗 엔드포인트를 만들어야 합니다. 그러나 프라이빗 엔드포인트는 현재 Backup 자격 증명 모음에 대해 지원되지 않습니다.
- 한 개의 가상 네트워크에는 여러 Recovery Services 자격 증명 모음에 대한 프라이빗 엔드포인트가 포함될 수 있습니다. 또한 하나의 Recovery Services 자격 증명 모음에는 여러 가상 네트워크에 이 자격 증명 모음에 대한 프라이빗 엔드포인트가 포함될 수 있습니다. 그러나 자격 증명 모음에 대해 만들 수 있는 최대 프라이빗 엔드포인트 수는 12입니다.
- 자격 증명 모음에 대한 공용 네트워크 액세스가 모든 네트워크에서 허용으로 설정된 경우 자격 증명 모음은 자격 증명 모음에 등록된 모든 컴퓨터에서 백업 및 복원을 허용합니다. 자격 증명 모음에 대한 공용 네트워크 액세스가 거부로 설정된 경우 자격 증명 모음은 자격 증명 모음에 할당된 개인 IP를 통해 백업/복원을 요청하는 자격 증명 모음에 등록된 컴퓨터의 백업 및 복원만 허용합니다.
- 백업을 위한 프라이빗 엔드포인트 연결에는 Azure Backup에서 스토리지에 사용하는 IP를 포함하여 서브넷에 총 11개의 개인 IP가 사용됩니다. 이 숫자는 특정 Azure 지역에서 더 높을 수 있습니다. 따라서 백업용 프라이빗 엔드포인트를 만들려는 경우 사용할 수 있는 충분한 개인 IP(/26)가 있는 것이 좋습니다.
- Recovery Services 자격 증명 모음은 Azure Backup 및 Azure Site Recovery에서 모두 사용하지만 이 문서에서는 Azure Backup 전용 프라이빗 엔드포인트를 사용하는 방법을 설명합니다.
- 백업용 프라이빗 엔드포인트에는 Microsoft Entra ID에 대한 액세스 권한이 포함되어 있지 않으며 동일한 권한이 별도로 보장되어야 합니다. 따라서 Microsoft Entra ID가 지역에서 작동하는 데 필요한 IP 및 FQDN은 Azure VM에서 데이터베이스의 백업을 수행하고 MARS 에이전트를 사용하여 백업할 때 보안 네트워크에서의 아웃바운드 액세스가 허용되어야 합니다. 해당하는 경우 Microsoft Entra ID 액세스를 허용하기 위해 NSG 태그 및 Azure Firewall 태그를 사용할 수도 있습니다.
- 2020년 5월 1일 이전에 등록한 경우 구독에 Recovery Services 리소스 공급 기업을 다시 등록해야 합니다. 공급 기업을 다시 등록하려면 Azure Portal에서 구독으로 이동하고, 왼쪽 탐색 모음에서 리소스 공급자로 이동한 다음 Microsoft.RecoveryServices를 선택하고, 다시 등록을 선택합니다.
- 자격 증명 모음에 프라이빗 엔드포인트를 사용하도록 설정된 경우 SQL 및 SAP HANA 데이터베이스 백업에 대한 지역 간 복원이 지원되지 않습니다.
- 프라이빗 엔드포인트를 사용하여 이미 Recovery Services 자격 증명 모음을 새 테넌트로 이동하는 경우 자격 증명 모음의 관리 ID를 다시 만들고 구성하고 필요에 따라 새 프라이빗 엔드포인트를 만들기 위해 Recovery Services 자격 증명 모음을 업데이트해야 합니다. 이 작업을 수행하지 않으면 백업 및 복원 작업이 실패하기 시작합니다. 또한 구독 내에서 설정된 Azure RBAC(역할 기반 액세스 제어) 권한을 다시 구성해야 합니다.
권장 및 지원되는 시나리오
자격 증명 모음에 프라이빗 엔드포인트를 사용하도록 설정하면 Azure VM, MARS 에이전트 백업 및 DPM에서만 SQL 및 SAP HANA 워크로드의 백업 및 복원에 사용됩니다. 다른 워크로드의 백업에도 자격 증명 모음을 사용할 수 있습니다. 그러나 프라이빗 엔드포인트는 필요하지 않습니다. 프라이빗 엔드포인트는 SQL 및 SAP HANA 워크로드 백업 및 MARS 에이전트를 사용한 백업 외에도 Azure VM 백업을 위한 파일 복구를 수행하는 데 사용됩니다. 자세한 내용은 다음 표를 참조하세요.
| 시나리오 | 권장 사항 |
|---|---|
| Azure VM에서 워크로드 백업(SQL, SAP HANA), MARS 에이전트, DPM 서버를 사용하여 백업. | 가상 네트워크에서 Azure Backup 또는 Azure Storage에 대해 허용 목록에 IP/FQDN을 추가하지 않고도 백업 및 복원을 허용하려면 프라이빗 엔드포인트를 사용하는 것이 좋습니다. 해당 시나리오에서는 SQL 데이터베이스를 호스팅하는 VM이 Microsoft Entra IP 또는 FQDN에 연결할 수 있는지 확인합니다. |
| Azure VM 백업 | VM 백업을 위해 IP 또는 FQDN에 액세스하지 않아도 됩니다. 따라서 디스크 백업 및 복원용 프라이빗 엔드포인트가 필요하지 않습니다. 그러나 프라이빗 엔드포인트가 포함된 자격 증명 모음에서 파일 복구는 자격 증명 모음에 대한 프라이빗 엔드포인트가 포함된 가상 네트워크로 제한됩니다. ACL로 지정된 비관리 디스크를 사용하는 경우 디스크가 포함된 스토리지 계정이 신뢰할 수 있는 Microsoft 서비스에 대한 액세스를 허용하는지 확인합니다(ACL로 지정된 경우). |
| Azure Files 백업 | Azure Files 백업은 로컬 스토리지 계정에 저장됩니다. 따라서 백업 및 복원을 위한 프라이빗 엔드포인트가 필요하지 않습니다. |
참고 항목
프라이빗 엔드포인트는 DPM 서버 2022, MABS v4 이상에서만 지원됩니다.
프라이빗 엔드포인트로 인한 네트워크 연결 차이
위에서 언급했듯이 프라이빗 엔드포인트는 Azure VM 및 MARS 에이전트 백업에서 워크로드(SQL, SAP HANA) 백업에 특히 유용합니다.
프라이빗 엔드포인트가 있거나 없는 모든 시나리오에서 워크로드 확장(Azure VM 내에서 실행되는 SQL 및 SAP HANA 인스턴스의 백업용)과 MARS 에이전트는 모두 Microsoft Entra ID(Microsoft 365 Common 및 Office Online 섹션 56 및 59에 언급된 FQDN)에 대한 연결 호출을 수행합니다.
워크로드 확장 또는 MARS 에이전트가 Recovery Services 자격 증명 모음을 위해 프라이빗 엔드포인트 없이 설치된 경우 이러한 연결 외에도 다음 도메인에 대한 연결도 필요합니다.
| 서비스 | 도메인 이름 | 포트 |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com 섹션 56 및 59에 따라 FQDN에 대한 액세스를 허용합니다. |
443 경우에 따라 |
프라이빗 엔드포인트가 있는 Recovery Services 자격 증명 모음에 대해 워크로드 확장 또는 MARS 에이전트가 설치된 경우 다음 엔드포인트에 도달합니다.
| 서비스 | 도메인 이름 | 포트 |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com 섹션 56 및 59에 따라 FQDN에 대한 액세스를 허용합니다. |
443 경우에 따라 |
참고 항목
위의 텍스트에서는 <geo>는 지역 코드(예: 미국 동부의 경우 eus, 유럽 북부의 경우 ne)를 나타냅니다. 지역 코드에 대해서는 다음 목록을 참조하세요.
프라이빗 엔드포인트가 설정된 Recovery Services 자격 증명 모음의 경우 FQDN(privatelink.<geo>.backup.windowsazure.com, *.blob.core.windows.net, *.queue.core.windows.net, *.blob.storage.azure.net)의 이름 확인에서는 개인 IP 주소를 반환해야 합니다. 이는 다음을 사용하여 달성할 수 있습니다.
- Azure 프라이빗 DNS 영역
- 사용자 지정 DNS
- 호스트 파일의 DNS 항목
- Azure DNS 또는 Azure 프라이빗 DNS 영역에 대한 조건부 전달자.
Blob 및 대기열의 프라이빗 엔드포인트는 표준 이름 지정 패턴을 따르며 <프라이빗 엔드포인트 이름>_ecs 또는 <프라이빗 엔드포인트 이름>_prot으로 시작하고 각각 _blob 및 _queue 접미사가 붙습니다.
참고 항목
Azure Backup을 사용하여 Blob 및 큐에 대한 DNS 레코드를 관리할 수 있는 Azure 프라이빗 DNS 영역을 사용하는 것이 좋습니다. 자격 증명 모음에 할당된 관리 ID는 새 스토리지 계정이 백업 데이터에 할당될 때마다 DNS 레코드 추가를 자동화하는 데 사용됩니다.
타사 프록시 서버 또는 방화벽을 사용하여 DNS 프록시 서버를 구성한 경우 위의 도메인 이름을 허용하고 사용자 지정 DNS(위 FQDN에 대한 DNS 레코드가 있음) 또는 프라이빗 DNS 영역이 연결된 Azure 가상 네트워크의 168.63.129.16으로 리디렉션해야 합니다.
다음 예에서는 Recovery Services 자격 증명 모음, Blob, 큐 및 Microsoft Entra ID에 대한 도메인 이름 쿼리를 168.63.129.16으로 리디렉션하기 위해 DNS 프록시로 사용되는 Azure Firewall을 보여 줍니다.
자세한 내용은 프라이빗 엔드포인트 만들기 및 사용을 참조하세요.
프라이빗 엔드포인트가 있는 자격 증명 모음에 대한 네트워크 연결 설정
복구 서비스의 프라이빗 엔드포인트는 NIC(네트워크 인터페이스)와 연결됩니다. 프라이빗 엔드포인트 연결이 작동하려면 Azure 서비스에 대한 모든 트래픽이 네트워크 인터페이스로 리디렉션되어야 합니다. 이는 service/blob/queue URL에 대한 네트워크 인터페이스와 연결된 개인 IP에 대한 DNS 매핑을 추가하여 달성됩니다.
프라이빗 엔드포인트가 있는 Recovery Services 자격 증명 모음에 등록된 가상 머신에 워크로드 백업 확장이 설치되면 확장은 Azure Backup 서비스 <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com의 프라이빗 URL에서 연결을 시도합니다. 프라이빗 URL이 문제를 해결하지 못하는 경우 공용 URL <azure_backup_svc>.<geo>.backup.windowsazure.com을 시도합니다.
참고 항목
위의 텍스트에서는 <geo>는 지역 코드(예: 미국 동부의 경우 eus, 유럽 북부의 경우 ne)를 나타냅니다. 지역 코드에 대해서는 다음 목록을 참조하세요.
이러한 프라이빗 URL은 자격 증명 모음에만 적용됩니다. 자격 증명 모음에 등록된 확장 및 에이전트만 이러한 엔드포인트를 통해 Azure Backup과 통신할 수 있습니다. Recovery Services 자격 증명 모음에 대한 공용 네트워크 액세스가 거부로 구성된 경우 VNet에서 실행되지 않는 클라이언트가 자격 증명 모음에서 백업 및 복원을 요청하는 것을 제한합니다. 프라이빗 엔드포인트 설정과 함께 공용 네트워크 액세스를 거부로 설정하는 것이 좋습니다. 확장과 에이전트가 처음에 프라이빗 URL을 시도하면 URL의 *.privatelink.<geo>.backup.windowsazure.com DNS 확인은 프라이빗 엔드포인트와 연결된 해당 개인 IP를 반환해야 합니다.
DNS 확인을 위한 해결 방법은 다음과 같습니다.
- Azure 프라이빗 DNS 영역
- 사용자 지정 DNS
- 호스트 파일의 DNS 항목
- Azure DNS/Azure 프라이빗 DNS 영역에 대한 조건부 전달자
Recovery Services 자격 증명 모음의 프라이빗 엔드포인트가 프라이빗 DNS 영역과 통합 옵션을 사용하여 Azure Portal을 통해 만들어지면 Azure Backup 서비스(*.privatelink.<geo>backup.windowsazure.com)의 개인 IP 주소에 필요한 DNS 항목은 리소스가 할당될 때마다 자동으로 만들어집니다. 다른 솔루션에서는 사용자 지정 DNS 또는 호스트 파일에서 해당 FQDN에 대한 DNS 항목을 수동으로 만들어야 합니다.
통신 채널(BLOB/큐)에 대한 VM 검색 후 DNS 레코드의 수동 관리는 첫 번째 등록 후 Blob 및 큐에 대한 DNS 레코드(사용자 지정 DNS 서버/호스트 파일에만 해당)를 참조하세요. 백업 스토리지 계정 Blob에 대한 첫 번째 백업 후 DNS 레코드를 수동으로 관리하려면 첫 번째 등록 후 Blob 및 큐에 대한 DNS 레코드(사용자 지정 DNS 서버/호스트 파일에만 해당)를 참조하세요.
FQDN의 개인 IP 주소는 Recovery Services 자격 증명 모음에 대해 만든 프라이빗 엔드포인트의 프라이빗 엔드포인트 블레이드에서 찾을 수 있습니다.
다음 다이어그램은 프라이빗 DNS 영역을 사용하여 이러한 프라이빗 서비스 FQDN을 확인할 때 확인이 작동하는 방식을 보여 줍니다.
Azure VM에서 실행되는 워크로드 확장에는 최소 두 개의 스토리지 계정에 대한 연결이 필요합니다. 첫 번째 계정은 큐 메시지를 통해 통신 채널로 사용되고 두 번째 계정은 백업 데이터를 저장하는 데 사용됩니다. MARS 에이전트는 백업 데이터를 저장하는 데 사용되는 하나의 스토리지 계정에 대한 액세스 권한이 필요합니다.
프라이빗 엔드포인트 사용 자격 증명 모음의 경우 Azure Backup 서비스에서 이러한 스토리지 계정에 대한 프라이빗 엔드포인트를 만듭니다. 이렇게 하면 Azure Backup과 관련된 모든 네트워크 트래픽(서비스에 대한 컨트롤 플레인 트래픽 및 스토리지 Blob에 대한 백업 데이터)이 가상 네트워크를 벗어나지 않습니다. Azure Backup 클라우드 서비스 외에도 워크로드 확장 및 에이전트에는 Azure Storage 계정 및 Microsoft Entra ID에 대한 연결이 필요합니다.
필수 조건으로 Recovery Services 자격 증명 모음에는 동일한 리소스 그룹에서 추가 프라이빗 엔드포인트를 만들기 위한 권한이 필요합니다. 또한 프라이빗 DNS 영역(privatelink.blob.core.windows.net, privatelink.queue.core.windows.net)에서 DNS 항목을 만들 수 있는 권한을 Recovery Services 자격 증명 모음에 제공하는 것이 좋습니다. Recovery Services 자격 증명 모음은 VNet 및 프라이빗 엔드포인트가 만들어지는 리소스 그룹에서 프라이빗 DNS 영역을 검색합니다. 이러한 영역에 DNS 항목을 추가할 수 있는 권한이 있는 경우 자격 증명 모음에서 만들어집니다. 그렇지 않으면 수동으로 만들어야 합니다.
참고 항목
다른 구독에 있는 프라이빗 DNS 영역과의 통합은 이 환경에서 지원되지 않습니다.
다음 다이어그램에서는 프라이빗 DNS 영역을 사용하는 스토리지 계정에 대해 이름 확인이 작동하는 방식을 보여 줍니다.
