Azure Data Explorer 클러스터를 가상 네트워크에 배포
중요
Azure Data Explorer를 사용하여 네트워크 보안을 구현하기 위해 Azure 프라이빗 엔드포인트 기반 솔루션으로 이동하는 것이 좋습니다. 오류가 덜 발생하고 기능 패리티를 제공합니다.
이 문서에서는 사용자 지정 Azure Virtual Network에 Azure Data Explorer 클러스터를 배포할 때 존재하는 리소스에 대해 설명합니다. 이 정보는 클러스터를 VNet(가상 네트워크)의 서브넷에 배포하는 데 도움이 됩니다. Azure Virtual Network에 대한 자세한 내용은 Azure Virtual Network란?을 참조하세요.
Azure Data Explorer는 VNet(가상 네트워크)의 서브넷에 클러스터 배포를 지원합니다. 이 기능을 통해 다음을 수행할 수 있습니다.
- Azure Data Explorer 클러스터 트래픽에 NSG(네트워크 보안 그룹) 규칙을 적용합니다.
- 온-프레미스 네트워크를 Azure Data Explorer 클러스터의 서브넷에 연결합니다.
- 서비스 엔드포인트를 사용하여 데이터 연결 원본(Event Hubs 및 Event Grid)을 보호합니다.
가상 네트워크에서 Azure Data Explorer 클러스터에 액세스
각 서비스(엔진 및 데이터 관리 서비스)에 대해 다음 IP 주소를 사용하여 Azure Data Explorer 클러스터에 액세스할 수 있습니다.
- 개인 IP: 가상 네트워크 내의 클러스터에 액세스하는 데 사용됩니다.
- 공용 IP: 관리 및 모니터링을 위해 가상 네트워크 외부에서 클러스터에 액세스하고 클러스터에서 시작된 아웃바운드 연결의 원본 주소로 사용됩니다.
중요
기본 NSG 규칙은 가상 네트워크 외부의 공용 IP 주소에 대한 액세스를 차단합니다. 퍼블릭 엔드포인트에 도달하려면 NSG에서 공용 IP 주소에 대한 예외를 추가해야 합니다.
서비스에 액세스하기 위해 다음 DNS 레코드가 만들어집니다.
[clustername].[geo-region].kusto.windows.net(엔진)ingest-[clustername].[geo-region].kusto.windows.net(데이터 관리)은 각 서비스에 대한 공용 IP에 매핑됩니다.private-[clustername].[geo-region].kusto.windows.net(엔진)ingest-private-[clustername].[geo-region].kusto.windows.net\private-ingest-[clustername].[geo-region].kusto.windows.net(데이터 관리)은 각 서비스의 개인 IP에 매핑됩니다.
가상 네트워크에서 서브넷 크기 계획
Azure Data Explorer 클러스터를 호스팅하는 데 사용되는 서브넷의 크기는 서브넷이 배포된 후에 변경할 수 없습니다. 가상 네트워크에서 Azure Data Explorer 각 VM에 대해 하나의 개인 IP 주소를 사용하고 내부 부하 분산 장치(엔진 및 데이터 관리)에 대해 두 개의 개인 IP 주소를 사용합니다. Azure 네트워킹은 또한 각 서브넷에 대해 5개의 IP 주소를 사용합니다. Azure Data Explorer는 데이터 관리 서비스에 대해 2개의 VM을 프로비저닝합니다. 엔진 서비스 VM은 사용자 구성 규모 용량별로 프로비저닝됩니다.
총 IP 주소 수:
| 기능 | 주소 수 |
|---|---|
| 엔진 서비스 | 인스턴스당 1개 |
| 데이터 관리 서비스 | 2 |
| 내부 부하 분산 장치 | 2 |
| Azure 예약된 주소 | 5 |
| 합계 | #engine_instances + 9 |
중요
- Azure Data Explorer 배포하기 전에 서브넷 크기를 계획해야 합니다. 배포되면 서브넷 크기를 변경할 수 없습니다.
- Azure Data Explorer 배포하려는 서브넷에 다른 Azure 리소스 또는 서비스를 배포하지 않는지 확인합니다. 이렇게 하면 Azure Data Explorer 일시 중단된 상태에서 다시 시작될 때 시작되지 않습니다.
Azure Data Explorer에 연결하기 위한 서비스 엔드포인트
Azure 서비스 엔드포인트를 사용하면 가상 네트워크에 대한 Azure 다중 테넌트 리소스를 보호할 수 있습니다. 클러스터를 서브넷에 배포하면 Azure Data Explorer 서브넷의 기본 리소스를 제한하면서 Event Hubs 또는 Event Grid로 데이터 연결을 설정할 수 있습니다.
프라이빗 엔드포인트
프라이빗 엔드포인트는 Azure 리소스(예: 스토리지/이벤트 허브/Data Lake Gen 2)에 대한 프라이빗 액세스를 허용하고 Virtual Network 개인 IP를 사용하여 리소스를 가상 네트워크로 효과적으로 가져옵니다. 이벤트 허브 및 스토리지와 같은 데이터 연결에서 사용하는 리소스에 대한 프라이빗 엔드포인트를 만들고, 가상 네트워크에서 Storage, Data Lake Gen 2 및 SQL Database 같은 외부 테이블을 만들어 기본 리소스에 비공개로 액세스합니다.
참고
프라이빗 엔드포인트를 설정하려면 DNS 구성이 필요하며 Azure 프라이빗 DNS 영역 설정만 지원합니다. 사용자 지정 DNS 서버는 지원되지 않습니다.
네트워크 보안 그룹 규칙 구성
NSG 를 사용하면 가상 네트워크 내에서 네트워크 액세스를 제어할 수 있습니다. Azure Data Explorer 클러스터가 가상 네트워크에서 작동하도록 NSG를 구성해야 합니다.
서브넷 위임을 사용하여 네트워크 보안 그룹 규칙 구성
서브넷 위임은 가상 네트워크의 서브넷에 배포된 Azure Data Explorer 클러스터에 대한 네트워크 보안 그룹 규칙을 구성하는 기본 방법입니다. 서브넷 위임을 사용하는 경우 서브넷에 클러스터를 만들기 전에 서브넷을 Microsoft.Kusto/clusters에 위임해야 합니다.
클러스터의 서브넷에서 서브넷 위임을 사용하도록 설정하면 서비스에서 해당 사전 배포 조건을 네트워크 의도 정책의 형식으로 정의할 수 있습니다. 서브넷에서 클러스터를 만들 때 다음 섹션에서 언급하는 NSG 구성이 자동으로 만들어집니다.
경고
서브넷 위임 구성을 변경하면 결국 클러스터의 정상적인 작동이 중단됩니다. 예를 들어 클러스터를 중지한 후에는 클러스터를 시작하거나 관리 명령을 실행하거나 클러스터에서 상태 모니터링을 적용하지 못할 수 있습니다.
수동으로 네트워크 보안 그룹 규칙 구성
또는 NSG를 수동으로 구성할 수 있습니다. 기본적으로 가상 네트워크에 클러스터를 배포하면 구성할 "Microsoft.Kusto/clusters"에 대한 서브넷 위임이 적용됩니다. 미리 보기 기능 창을 사용하여 이 요구 사항을 옵트아웃할 수 있습니다.
경고
클러스터에 대한 NSG 규칙을 수동으로 구성하는 것은 간단하지 않으며 이 문서에서 변경 내용을 지속적으로 모니터링해야 합니다. 클러스터에 서브넷 위임을 사용하거나 원하는 경우 프라이빗 엔드포인트 기반 솔루션을 사용하는 것이 좋습니다.
인바운드 NSG 구성
| 사용 | From | 수행할 작업 | 프로토콜 |
|---|---|---|---|
| 관리 | Azure Data Explorer 관리 주소/AzureDataExplorerManagement(ServiceTag) | YourAzureDataExplorerSubnet:443 | TCP |
| 상태 모니터링 | Azure Data Explorer 상태 모니터링 주소 | YourAzureDataExplorerSubnet:443 | TCP |
| Azure Data Explorer 내부 통신 | YourAzureDataExplorerSubnet: 모든 포트 | YourAzureDataExplorerSubnet: 모든 포트 | 모두 |
| Azure 부하 분산 장치 인바운드 허용(상태 프로브) | AzureLoadBalancer | YourAzureDataExplorerSubnet:80,443 | TCP |
아웃바운드 NSG 구성
| 사용 | From | 수행할 작업 | 프로토콜 |
|---|---|---|---|
| Azure Storage에 대한 종속성 | YourAzureDataExplorerSubnet | 스토리지:443 | TCP |
| Azure Data Lake에 대한 종속성 | YourAzureDataExplorerSubnet | AzureDataLake:443 | TCP |
| Event Hubs 수집 및 서비스 모니터링 | YourAzureDataExplorerSubnet | EventHub:443,5671 | TCP |
| 메트릭 게시 | YourAzureDataExplorerSubnet | AzureMonitor:443 | TCP |
| Active Directory(해당되는 경우) | YourAzureDataExplorerSubnet | AzureActiveDirectory:443 | TCP |
| KeyVault에 대한 종속성 | YourAzureDataExplorerSubnet | AzureKeyVault:443 | TCP |
| 인증 기관 | YourAzureDataExplorerSubnet | 인터넷:80 | TCP |
| 내부 통신 | YourAzureDataExplorerSubnet | Azure Data Explorer 서브넷: 모든 포트 | 모두 |
sql\_request 및 http\_request 플러그 인에 사용되는 포트 |
YourAzureDataExplorerSubnet | Internet:Custom | TCP |
다음 섹션에서는 관리 및 상태 모니터링에 대한 관련 IP 주소를 나열합니다.
참고
서브넷 위임을 사용하여 네트워크 보안 그룹 규칙 구성에 설명된 대로 서브넷이 Microsoft.Kusto/clusters에 위임된 경우 다음 목록을 무시할 수 있습니다. 이 시나리오에서는 IP 주소가 최신 상태가 아닐 수 있지만 필요한 NSG 규칙이 클러스터에 할당되면 자동으로 업데이트됩니다.
Azure Data Explorer 관리 IP 주소
참고
향후 배포의 경우 AzureDataExplorer 서비스 태그를 사용합니다.
| 지역 | 주소 |
|---|---|
| 오스트레일리아 중부 | 20.37.26.134 |
| 오스트레일리아 중부 2 | 20.39.99.177 |
| 오스트레일리아 동부 | 40.82.217.84 |
| 오스트레일리아 남동부 | 20.40.161.39 |
| 브라질 남부 | 191.233.25.183 |
| 브라질 남동부 | 191.232.16.14 |
| 캐나다 중부 | 40.82.188.208 |
| 캐나다 동부 | 40.80.255.12 |
| 인도 중부 | 40.81.249.251, 104.211.98.159 |
| 미국 중부 | 40.67.188.68 |
| 미국 중부 EUAP | 40.89.56.69 |
| 중국 동부 2 | 139.217.184.92 |
| 중국 북부 2 | 139.217.60.6 |
| 동아시아 | 20.189.74.103 |
| 미국 동부 | 52.224.146.56 |
| 미국 동부 2 | 52.232.230.201 |
| 미국 동부 2 EUAP | 52.253.226.110 |
| 프랑스 중부 | 40.66.57.91 |
| 프랑스 남부 | 40.82.236.24 |
| 독일 중서부 | 51.116.98.150 |
| 일본 동부 | 20.43.89.90 |
| 일본 서부 | 40.81.184.86 |
| 한국 중부 | 40.82.156.149 |
| 한국 남부 | 40.80.234.9 |
| 미국 중북부 | 40.81.43.47 |
| 북유럽 | 52.142.91.221 |
| 노르웨이 동부 | 51.120.49.100 |
| 노르웨이 서부 | 51.120.133.5 |
| 폴란드 중부 | 20.215.208.177 |
| 남아프리카 북부 | 102.133.129.138 |
| 남아프리카 공화국 서부 | 102.133.0.97 |
| 미국 중남부 | 20.45.3.60 |
| 동남 아시아 | 40.119.203.252 |
| 인도 남부 | 40.81.72.110, 104.211.224.189 |
| 스위스 북부 | 20.203.198.33 |
| 스위스 서부 | 51.107.98.201 |
| 아랍에미리트 중부 | 20.37.82.194 |
| 아랍에미리트 북부 | 20.46.146.7 |
| 영국 남부 | 40.81.154.254 |
| 영국 서부 | 40.81.122.39 |
| 미국 국방부 중부 | 52.182.33.66 |
| 미국 국방부 동부 | 52.181.33.69 |
| USGov 애리조나 | 52.244.33.193 |
| USGov 텍사스 | 52.243.157.34 |
| USGov 버지니아 | 52.227.228.88 |
| 미국 중서부 | 52.159.55.120 |
| 서유럽 | 51.145.176.215 |
| 인도 서부 | 40.81.88.112 |
| 미국 서부 | 13.64.38.225 |
| 미국 서부 2 | 40.90.219.23 |
| 미국 서부 3 | 20.40.24.116 |
상태 모니터링 주소
| 지역 | 주소 |
|---|---|
| 오스트레일리아 중부 | 52.163.244.128, 20.36.43.207, 20.36.44.186, 20.36.45.105, 20.36.45.34, 20.36.44.177, 20.36.45.33, 20.36.45.9 |
| 오스트레일리아 중부 2 | 52.163.244.128 |
| 오스트레일리아 동부 | 52.163.244.128, 13.70.72.44, 52.187.248.59, 52.156.177.51, 52.237.211.110, 52.237.213.135, 104.210.70.186, 104.210.88.184, 13.75.183.192, 52.147.30.27, 13.72.245.57 |
| 오스트레일리아 남동부 | 52.163.244.128, 13.77.50.98, 52.189.213.18, 52.243.76.73, 52.189.194.173, 13.77.43.81, 52.189.213.33, 52.189.216.81, 52.189.233.66, 52.189.212.69, 52.189.248.147 |
| 브라질 남부 | 23.101.115.123, 191.233.203.34, 191.232.48.69, 191.232.169.24, 191.232.52.16, 191.239.251.52, 191.237.252.188, 191.234.162.82, 191.232.49.124, 191.232.55.149, 191.232.49.236 |
| 캐나다 중부 | 23.101.115.123, 52.228.121.143, 52.228.121.146, 52.228.121.147, 52.228.121.149, 52.228.121.150, 52.228.121.151, 20.39.136.152, 20.39.136.155, 20.39.136.180, 20.39.136.185, 20.39.136.187, 20.39.136.193, 52.228.121.152, 52.228.121.153, 52.228.121.31, 52.228.118.139, 20.48.136.29, 52.228.119.222, 52.228.121.123 |
| 캐나다 동부 | 23.101.115.123, 40.86.225.89, 40.86.226.148, 40.86.227.81, 40.86.225.159, 40.86.226.43, 40.86.227.75, 40.86.231.40, 40.86.225.81 |
| 인도 중부 | 52.163.244.128, 52.172.204.196, 52.172.218.144, 52.172.198.236, 52.172.187.93, 52.172.213.78, 52.172.202.195, 52.172.210.146 |
| 미국 중부 | 23.101.115.123, 13.89.172.11, 40.78.130.218, 40.78.131.170, 40.122.52.191, 40.122.27.37, 40.113.224.199, 40.122.118.225, 40.122.116.133, 40.122.126.193, 40.122.104.60 |
| 미국 중부 EUAP | 23.101.115.123 |
| 중국 동부 2 | 40.73.96.39 |
| 중국 북부 2 | 40.73.33.105 |
| 동아시아 | 52.163.244.128, 13.75.34.175, 168.63.220.81, 207.46.136.220, 168.63.210.90, 23.101.15.21, 23.101.7.253, 207.46.136.152, 65.52.180.140, 23.101.13.231, 23.101.3.51 |
| 미국 동부 | 52.249.253.174, 52.149.248.192, 52.226.98.175, 52.226.98.216, 52.149.184.133, 52.226.99.54, 52.226.99.58, 52.226.99.65, 52.186.38.56, 40.88.16.66, 40.88.23.108, 52.224.135.234, 52.151.240.130, 52.226.99.68, 52.226.99.110, 52.226.99.115, 52.226.99.127, 52.226.99.153, 52.226.99.207, 52.226.100.84, 52.226.100.121, 52.226.100.138, 52.226.100.176, 52.226.101.50, 52.226.101.81, 52.191.99.133, 52.226.96.208, 52.226.101.102, 52.147.211.11, 52.147.211.97, 52.147.211.226, 20.49.104.10 |
| 미국 동부 2 | 104.46.110.170, 40.70.147.14, 40.84.38.74, 52.247.116.27, 52.247.117.99, 52.177.182.76, 52.247.117.144, 52.247.116.99, 52.247.67.200, 52.247.119.96, 52.247.70.70 |
| 미국 동부 2 EUAP | 104.46.110.170 |
| 프랑스 중부 | 40.127.194.147, 40.79.130.130, 40.89.166.214, 40.89.172.87, 20.188.45.116, 40.89.133.143, 40.89.148.203, 20.188.44.60, 20.188.45.105, 20.188.44.152, 20.188.43.156 |
| 프랑스 남부 | 40.127.194.147 |
| 일본 동부 | 52.163.244.128, 40.79.195.2, 40.115.138.201, 104.46.217.37, 40.115.140.98, 40.115.141.134, 40.115.142.61, 40.115.137.9, 40.115.137.124, 40.115.140.218, 40.115.137.189 |
| 일본 서부 | 52.163.244.128, 40.74.100.129, 40.74.85.64, 40.74.126.115, 40.74.125.67, 40.74.128.17, 40.74.127.201, 40.74.128.130, 23.100.108.106, 40.74.128.122, 40.74.128.53 |
| 한국 중부 | 52.163.244.128, 52.231.77.58, 52.231.73.183, 52.231.71.204, 52.231.66.104, 52.231.77.171, 52.231.69.238, 52.231.78.172, 52.231.69.251 |
| 한국 남부 | 52.163.244.128, 52.231.200.180, 52.231.200.181, 52.231.200.182, 52.231.200.183, 52.231.153.175, 52.231.164.160, 52.231.195.85, 52.231.195.86, 52.231.195.129, 52.231.200.179, 52.231.146.96 |
| 미국 중북부 | 23.101.115.123 |
| 북유럽 | 40.127.194.147, 40.85.74.227, 40.115.100.46, 40.115.100.121, 40.115.105.188, 40.115.103.43, 40.115.109.52, 40.112.77.214, 40.115.99.5 |
| 남아프리카 북부 | 52.163.244.128 |
| 남아프리카 공화국 서부 | 52.163.244.128 |
| 미국 중남부 | 104.215.116.88, 13.65.241.130, 40.74.240.52, 40.74.249.17, 40.74.244.211, 40.74.244.204, 40.84.214.51, 52.171.57.210, 13.65.159.231 |
| 인도 남부 | 52.163.244.128 |
| 동남 아시아 | 52.163.244.128, 20.44.192.205, 20.44.193.4, 20.44.193.56, 20.44.193.98, 20.44.193.147, 20.44.193.175, 20.44.194.249, 20.44.196.82, 20.44.196.95, 20.44.196.104, 20.44.196.115, 20.44.197.158, 20.195.36.24, 20.195.36.25, 20.195.36.27, 20.195.36.37, 20.195.36.39, 20.195.36.40, 20.195.36.41, 20.195.36.42, 20.195.36.43, 20.195.36.44, 20.195.36.45, 20.195.36.46, 20.44.197.160, 20.44.197.162, 20.44.197.219, 20.195.58.80, 20.195.58.185, 20.195.59.60, 20.43.132.128 |
| 스위스 북부 | 51.107.58.160, 51.107.87.163, 51.107.87.173, 51.107.83.216, 51.107.68.81, 51.107.87.174, 51.107.87.170, 51.107.87.164, 51.107.87.186, 51.107.87.171 |
| 영국 남부 | 40.127.194.147, 51.11.174.122, 51.11.173.237, 51.11.174.192, 51.11.174.206, 51.11.175.74, 51.11.175.129, 20.49.216.23, 20.49.216.160, 20.49.217.16, 20.49.217.92, 20.49.217.127, 20.49.217.151, 20.49.166.84, 20.49.166.178, 20.49.166.237, 20.49.167.84, 20.49.232.77, 20.49.232.113, 20.49.232.121, 20.49.232.130, 20.49.232.140, 20.49.232.169, 20.49.165.24, 20.49.232.240, 20.49.217.152, 20.49.217.164, 20.49.217.181, 51.145.125.189, 51.145.126.43, 51.145.126.48, 51.104.28.64 |
| 영국 서부 | 40.127.194.147, 51.140.245.89, 51.140.246.238, 51.140.248.127, 51.141.48.137, 51.140.250.127, 51.140.231.20, 51.141.48.238, 51.140.243.38 |
| 미국 국방부 중부 | 52.126.176.221, 52.126.177.43, 52.126.177.89, 52.126.177.90, 52.126.177.171, 52.126.177.233, 52.126.177.245, 52.126.177.150, 52.126.178.37, 52.126.178.44, 52.126.178.56, 52.126.178.59, 52.126.178.68, 52.126.178.70, 52.126.178.97, 52.126.178.98, 52.126.178.93, 52.126.177.54, 52.126.178.94, 52.126.178.129, 52.126.178.130, 52.126.178.142, 52.126.178.144, 52.126.178.151, 52.126.178.172, 52.126.178.179, 52.126.178.182, 52.126.178.187, 52.126.178.189, 52.126.178.154, 52.127.34.97 |
| 미국 국방부 동부 | 52.127.161.3, 52.127.163.115, 52.127.163.124, 52.127.163.125, 52.127.163.130, 52.127.163.131, 52.127.163.152, 20.140.189.226, 20.140.191.106, 20.140.191.107, 20.140.191.128, 52.127.161.234, 52.245.216.185, 52.245.216.186, 52.245.216.187, 52.245.216.160, 52.245.216.161, 52.245.216.162, 52.245.216.163, 52.245.216.164, 52.245.216.165, 52.245.216.166, 52.245.216.167, 52.245.216.168, 20.140.191.129, 20.140.191.144, 20.140.191.170, 52.245.214.70, 52.245.214.164, 52.245.214.189, 52.127.50.128 |
| USGov 애리조나 | 52.244.204.5, 52.244.204.137, 52.244.204.158, 52.244.204.184, 52.244.204.225, 52.244.205.3, 52.244.50.212, 52.244.55.231, 52.244.205.91, 52.244.205.238, 52.244.201.244, 52.244.201.250, 52.244.200.92, 52.244.206.12, 52.244.206.58, 52.244.206.69, 52.244.206.83, 52.244.207.78, 52.244.203.11, 52.244.203.159, 52.244.203.238, 52.244.200.31, 52.244.202.155, 52.244.206.225, 52.244.218.1, 52.244.218.34, 52.244.218.38, 52.244.218.47, 52.244.202.7, 52.244.203.6, 52.127.2.97 |
| USGov 텍사스 | 52.126.176.221, 52.126.177.43, 52.126.177.89, 52.126.177.90, 52.126.177.171, 52.126.177.233, 52.126.177.245, 52.126.177.150, 52.126.178.37, 52.126.178.44, 52.126.178.56, 52.126.178.59, 52.126.178.68, 52.126.178.70, 52.126.178.97, 52.126.178.98, 52.126.178.93, 52.126.177.54, 52.126.178.94, 52.126.178.129, 52.126.178.130, 52.126.178.142, 52.126.178.144, 52.126.178.151, 52.126.178.172, 52.126.178.179, 52.126.178.182, 52.126.178.187, 52.126.178.189, 52.126.178.154, 52.127.34.97 |
| USGov 버지니아 | 52.127.161.3, 52.127.163.115, 52.127.163.124, 52.127.163.125, 52.127.163.130, 52.127.163.131, 52.127.163.152, 20.140.189.226, 20.140.191.106, 20.140.191.107, 20.140.191.128, 52.127.161.234, 52.245.216.185, 52.245.216.186, 52.245.216.187, 52.245.216.160, 52.245.216.161, 52.245.216.162, 52.245.216.163, 52.245.216.164, 52.245.216.165, 52.245.216.166, 52.245.216.167, 52.245.216.168, 20.140.191.129, 20.140.191.144, 20.140.191.170, 52.245.214.70, 52.245.214.164, 52.245.214.189, 52.127.50.128 |
| 미국 중서부 | 23.101.115.123, 13.71.194.194, 13.78.151.73, 13.77.204.92, 13.78.144.31, 13.78.139.92, 13.77.206.206, 13.78.140.98, 13.78.145.207, 52.161.88.172, 13.77.200.169 |
| 서유럽 | 213.199.136.176, 51.124.88.159, 20.50.253.190, 20.50.254.255, 52.143.5.71, 20.50.255.137, 20.50.255.176, 52.143.5.148, 20.50.255.211, 20.54.216.1, 20.54.216.113, 20.54.216.236, 20.54.216.244, 20.54.217.89, 20.54.217.102, 20.54.217.162, 20.50.255.109, 20.54.217.184, 20.54.217.197, 20.54.218.36, 20.54.218.66, 51.124.139.38, 20.54.218.71, 20.54.218.104, 52.143.0.117, 20.54.218.240, 20.54.219.47, 20.54.219.75, 20.76.10.82, 20.76.10.95, 20.76.10.139, 20.50.2.13 |
| 인도 서부 | 52.163.244.128 |
| 미국 서부 | 13.88.13.50, 40.80.156.205, 40.80.152.218, 104.42.156.123, 104.42.216.21, 40.78.63.47, 40.80.156.103, 40.78.62.97, 40.80.153.6 |
| 미국 서부 2 | 52.183.35.124, 40.64.73.23, 40.64.73.121, 40.64.75.111, 40.64.75.125, 40.64.75.227, 40.64.76.236, 40.64.76.240, 40.64.76.242, 40.64.77.87, 40.64.77.111, 40.64.77.122, 40.64.77.131, 40.91.83.189, 52.250.74.132, 52.250.76.69, 52.250.76.130, 52.250.76.137, 52.250.76.145, 52.250.76.146, 52.250.76.153, 52.250.76.177, 52.250.76.180, 52.250.76.191, 52.250.76.192, 40.64.77.143, 40.64.77.159, 40.64.77.195, 20.64.184.243, 20.64.184.249, 20.64.185.9, 20.42.128.97 |
ExpressRoute 설정
ExpressRoute를 사용하여 온-프레미스 네트워크를 Azure Virtual Network에 연결합니다. 일반적인 설정은 BGP(Border Gateway Protocol) 세션을 통해 기본 경로(0.0.0.0/0)를 알리는 것입니다. 이렇게 하면 가상 네트워크에서 나오는 트래픽이 트래픽을 중단할 수 있는 고객의 프레미스 네트워크로 전달되어 아웃바운드 흐름이 중단될 수 있습니다. 이 기본값을 해결하기 위해 UDR(사용자 정의 경로)(0.0.0.0/0)을 구성할 수 있으며 다음 홉은 인터넷이 됩니다. UDR이 BGP보다 우선하므로 트래픽이 인터넷으로 향하게 됩니다.
방화벽으로 아웃바운드 트래픽 보호
도메인 이름을 제한하기 위해 Azure Firewall 또는 가상 어플라이언스를 사용하여 아웃바운드 트래픽을 보호하려면 방화벽에서 다음 FQDN(정규화된 도메인 이름)을 허용해야 합니다.
prod.warmpath.msftcloudes.com:443
gcs.prod.monitoring.core.windows.net:443
production.diagnostics.monitoring.core.windows.net:443
graph.windows.net:443
graph.microsoft.com:443
*.login.microsoft.com :443
*.update.microsoft.com:443
login.live.com:443
wdcp.microsoft.com:443
login.microsoftonline.com:443
azureprofilerfrontdoor.cloudapp.net:443
*.core.windows.net:443
*.servicebus.windows.net:443,5671
shoebox2.metrics.nsatc.net:443
prod-dsts.dsts.core.windows.net:443
*.vault.azure.net
ocsp.msocsp.com:80
*.windowsupdate.com:80
ocsp.digicert.com:80
go.microsoft.com:80
dmd.metaservices.microsoft.com:80
www.msftconnecttest.com:80
crl.microsoft.com:80
www.microsoft.com:80
adl.windows.com:80
crl3.digicert.com:80
참고
와일드카드(*)를 사용하여 종속성에 대한 액세스를 제한하려면 종속성을 자동으로 검색하는 방법에 설명된 API를 사용하세요.
Azure Firewall을 사용하는 경우 다음 속성과 함께 네트워크 규칙을 추가합니다.
프로토콜: TCP 원본 유형: IP 주소 원본: * 서비스 태그: AzureMonitor 대상 포트: 443
경로 테이블 구성
비대칭 경로 문제를 방지하려면 다음 홉 인터넷을 사용하여 클러스터 서브넷의 경로 테이블을 구성해야 합니다.
서브넷 위임을 사용하여 경로 테이블 구성
NSG 규칙에 대해 수행된 방식과 유사하게 서브넷 위임을 사용하여 클러스터 배포에 대한 경로 테이블을 구성하는 것이 좋습니다. 클러스터의 서브넷에서 서브넷 위임을 사용하도록 설정하면 서비스가 경로 테이블을 구성하고 업데이트할 수 있습니다.
수동으로 경로 테이블 구성
또는 경로 테이블을 수동으로 구성할 수 있습니다. 기본적으로 가상 네트워크에 클러스터를 배포하면 구성할 "Microsoft.Kusto/clusters"에 대한 서브넷 위임이 적용됩니다. 미리 보기 기능 창을 사용하여 이 요구 사항을 옵트아웃할 수 있습니다.
경고
클러스터에 대한 경로 테이블을 수동으로 구성하는 것은 간단하지 않으며 이 문서에서 변경 내용을 지속적으로 모니터링해야 합니다. 클러스터에 서브넷 위임을 사용하거나 원하는 경우 프라이빗 엔드포인트 기반 솔루션을 사용하는 것이 좋습니다.
경로 테이블을 수동으로 구성하려면 서브넷에서 정의해야 합니다. 다음 홉 인터넷을 통해 관리 및 상태 모니터링 주소를 추가해야 합니다.
예를 들어 미국 서부 지역의 경우 다음 UDR을 정의해야 합니다.
| Name | 주소 접두사 | 다음 홉 |
|---|---|---|
| ADX_Management | 13.64.38.225/32 | 인터넷 |
| ADX_Monitoring | 23.99.5.162/32 | 인터넷 |
| ADX_Monitoring_1 | 40.80.156.205/32 | 인터넷 |
| ADX_Monitoring_2 | 40.80.152.218/32 | 인터넷 |
| ADX_Monitoring_3 | 104.42.156.123/32 | 인터넷 |
| ADX_Monitoring_4 | 104.42.216.21/32 | 인터넷 |
| ADX_Monitoring_5 | 40.78.63.47/32 | 인터넷 |
| ADX_Monitoring_6 | 40.80.156.103/32 | 인터넷 |
| ADX_Monitoring_7 | 40.78.62.97/32 | 인터넷 |
| ADX_Monitoring_8 | 40.80.153.6/32 | 인터넷 |
종속성을 자동으로 검색하는 방법
Azure Data Explorer는 고객이 프로그래밍 방식으로 모든 외부 아웃바운드 종속성(FQDN)을 검색할 수 있도록 하는 API를 제공합니다. 이러한 아웃바운드 종속성을 통해 고객은 자신의 끝에 방화벽을 설정하여 종속 FQDN을 통한 관리 트래픽을 허용할 수 있습니다. 고객은 Azure 또는 온-프레미스에서 이러한 방화벽 어플라이언스를 가질 수 있습니다. 후자는 추가 대기 시간을 발생시키고 서비스 성능에 영향을 줄 수 있습니다. 서비스 팀은 서비스 성능에 대한 영향을 평가하기 위해 이 시나리오를 테스트해야 합니다.
PowerShell을 사용하여 REST API를 설명하는 데 ARMClient가 사용됩니다.
ARMClient에 로그인
armclient login진단 작업 호출
$subscriptionId = '<subscription id>' $clusterName = '<name of cluster>' $resourceGroupName = '<resource group name>' $apiversion = '2021-01-01' armclient get /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/OutboundNetworkDependenciesEndpoints?api-version=$apiversion응답 확인
{ "value": [ ... { "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Kusto/Clusters/<clusterName>/OutboundNetworkDependenciesEndpoints/AzureActiveDirectory", "name": "<clusterName>/AzureActiveDirectory", "type": "Microsoft.Kusto/Clusters/OutboundNetworkDependenciesEndpoints", "etag": "\"\"", "location": "<AzureRegion>", "properties": { "category": "Azure Active Directory", "endpoints": [ { "domainName": "login.microsoftonline.com", "endpointDetails": [ { "port": 443 } ] }, { "domainName": "graph.windows.net", "endpointDetails": [ { "port": 443 } ] } ], "provisioningState": "Succeeded" } }, { "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Kusto/Clusters/<clusterName>/OutboundNetworkDependenciesEndpoints/InternalTracing", "name": "<clustername>/InternalTracing", "type": "Microsoft.Kusto/Clusters/OutboundNetworkDependenciesEndpoints", "location": "Australia Central", "properties": { "category": "Internal Tracing", "endpoints": [ { "domainName": "ingest-<internalTracingCluster>.<region>.kusto.windows.net", "endpointDetails": [ { "port": 443, "ipAddress": "25.24.23.22" } ] } ], "provisioningState": "Succeeded" } } ... ] }
아웃바운드 종속성은 Microsoft Entra ID, Azure Monitor, 인증 기관, Azure Storage 및 내부 추적과 같은 범주를 다룹니다. 각 범주에는 서비스를 실행하는 데 필요한 도메인 이름과 포트 목록이 있습니다. 선택한 방화벽 어플라이언스를 프로그래밍 방식으로 구성하는 데 사용할 수 있습니다.
Azure Resource Manager 템플릿을 사용하여 가상 네트워크에 Azure Data Explorer 클러스터 배포
가상 네트워크에 Azure Data Explorer 클러스터를 배포하려면 Azure Data Explorer 클러스터를 가상 네트워크에 배포 Azure Resource Manager 템플릿을 사용합니다.
이 템플릿은 클러스터, 가상 네트워크, 서브넷, 네트워크 보안 그룹 및 공용 IP 주소를 만듭니다.
알려진 제한 사항
- 배포된 클러스터가 있는 가상 네트워크 리소스는 새 리소스 그룹 또는 구독으로 이동 작업을 지원하지 않습니다.
- 클러스터 엔진 또는 데이터 관리 서비스에 사용되는 공용 IP 주소 리소스는 새 리소스 그룹 또는 구독으로 이동 작업을 지원하지 않습니다.
- 쿼리의 일부로 Azure Data Explorer 클러스터를 삽입한 가상 네트워크의 "private-" DNS 접두사를 사용할 수 없습니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기