다음을 통해 공유

Azure PaaS 서비스 연결

  • 아티클

이 문서에서는 Azure PaaS 서비스를 사용하기 위한 권장 연결 방법을 제공합니다.

디자인 고려 사항

  • Azure PaaS 서비스는 기본 구성에서 일반적으로 Microsoft 글로벌 네트워크를 통해 공개적으로 사용 가능한 엔드포인트를 통해 액세스됩니다. 일부 고객은 퍼블릭 엔드포인트의 사용을 줄이기 위한 요구 사항이 있을 수 있으므로 Azure 플랫폼은 이러한 엔드포인트를 보호하거나 완전히 비공개로 만들기 위한 선택적 기능을 제공합니다.

    • 일부 PaaS 서비스는 Resource Instance 시스템 할당 관리 ID(예: Azure Storage)에 따라 공용 액세스 제한을 허용합니다.

    • 많은 PaaS 서비스는 신뢰할 수 있는 Azure 서비스(예: Azure Container Registry)에 따라 공용 액세스 제한을 허용합니다.

    • 가상 네트워크 삽입 은 지원되는 서비스에 대한 전용 프라이빗 배포 를 제공합니다. 관리 평면 트래픽은 여전히 공용 IP 주소를 통해 이동합니다.

    V Net 삽입된 서비스 연결을 보여 주는 다이어그램

    • 일부 PaaS 서비스는 고객 내의 IP 주소를 통해 프라이빗 액세스를 허용하는 Azure Private Link 호환됩니다. 자세한 내용은 Private Link의 주요 이점을 참조하세요.

    • 가상 네트워크 서비스 엔드포인트는 선택한 서브넷에서 선택한 PaaS 서비스에 대한 서비스 수준 액세스를 제공합니다. Azure Storage는 서비스 엔드포인트 사용을 특정 스토리지 계정으로 추가로 제한할 수 있는 서비스 엔드포인트 정책을 제공합니다. NVA(네트워크 가상 어플라이언스)를 활용하여 서비스 엔드포인트와 함께 계층 7 검사 및 FQDN 필터링을 수행할 수도 있지만 이 방법은 추가 성능 및 크기 조정 고려 사항을 제공합니다.

서비스 엔드포인트와 프라이빗 엔드포인트의 차이점은 무엇인가요?에서는 Private Link 엔드포인트와 VNet 서비스 엔드포인트의 차이점을 설명합니다.

디자인 권장 사항

  • 가상 네트워크 삽입을 지원하는 Azure PaaS 서비스의 경우 프라이빗 네트워크(가상 네트워크 또는 가상 네트워크 게이트웨이를 통한 온-프레미스) 내의 리소스에 액세스해야 하는 경우 가상 네트워크 삽입 기능을 사용하도록 설정하는 것이 좋습니다. 또한 가상 네트워크에 삽입된 이러한 서비스는 서비스 특정 공용 IP 주소를 사용하여 관리 평면 작업을 계속 수행한다는 점을 고려합니다. 서비스가 올바르게 작동하려면 연결을 보장해야 합니다. UDR 및 NSG를 사용하여 가상 네트워크 내에서 이 통신을 잠급니다. UDR에서 서비스 태그를 사용하여 필요한 경로 수를 줄이고 사용하는 경우 기본 경로를 재정의할 수 있습니다.

  • 데이터 반출 보호 및 개인 IP 주소 지정만 사용하는 것이 확고한 요구 사항인 경우 사용 가능한 경우 Azure Private Link 사용하는 것이 좋습니다.

  • 가상 네트워크 서비스 엔드포인트를 사용하여 데이터 반출이 우려되지 않거나, Private Link 사용할 수 없거나, 비용 최적화가 필요한 대규모 데이터 수집 요구 사항이 있는 경우 가상 네트워크 내에서 Azure PaaS 서비스에 대한 액세스를 보호하는 것이 좋습니다. (Azure 서비스 엔드포인트는 GB당 네트워크 데이터를 기반으로 하는 비용 구성 요소를 포함하는 Azure Private Link 달리 비용이 발생하지 않습니다.

서비스 엔드포인트 연결을 보여 주는 다이어그램

  • 온-프레미스에서 Azure PaaS 서비스에 액세스해야 하는 경우 다음 옵션을 사용합니다.

    • 프라이빗 액세스가 필요하지 않고 온-프레미스 인터넷 대역폭으로 충분한 경우 인터넷 및 Microsoft 글로벌 네트워크를 통해 PaaS 서비스의 기본 퍼블릭 엔드포인트를 사용합니다.
    • 가상 네트워크 삽입 또는 Azure Private Link 프라이빗 하이브리드 연결(프라이빗 피어링이 있는 ExpressRoute 또는 사이트간 VPN)을 사용합니다.

  • 모든 서브넷에서 기본적으로 가상 네트워크 서비스 엔드포인트를 사용하도록 설정하지 마세요. PaaS 서비스 기능 가용성 및 고유한 성능 및 보안 요구 사항에 따라 사례별로 위에서 고려한 접근 방식을 따릅니다.

  • 가능한 경우 일부 Azure PaaS 서비스(예: Application Gateway V2)를 사용하여 컨트롤 플레인 작업을 관리하는 복잡성을 증가시킬 수 있으므로 강제 터널링(프라이빗 하이브리드 연결을 통해 기본 경로를 보급하여 온-프레미스를 통해 Azure 가상 네트워크에서 인터넷 바인딩된 트래픽을 전달)을 사용하지 마세요.