Azure Data Factory에 대한 Azure Private Link
적용 대상:
Azure Data Factory 
Azure Synapse Analytics
팁
기업용 올인원 분석 솔루션인 Microsoft Fabric의 Data Factory를 사용해 보세요. Microsoft Fabric은 데이터 이동부터 데이터 과학, 실시간 분석, 비즈니스 인텔리전스 및 보고에 이르기까지 모든 것을 다룹니다. 무료로 새 평가판을 시작하는 방법을 알아봅니다!
Azure Private Link를 사용하면 프라이빗 엔드포인트를 통해 Azure의 다양한 PaaS(Platform as a Service) 배포에 연결할 수 있습니다. 프라이빗 엔드포인트는 특정 가상 네트워크 및 서브넷 내의 개인 IP 주소입니다. Private Link 기능을 지원하는 PaaS 배포 목록은 Private Link 설명서를 참조하세요.
고객 네트워크와 Data Factory 간의 보안 통신
Azure 가상 네트워크를 클라우드에서 네트워크의 논리적 표현으로 설정할 수 있습니다. 이렇게 하면 다음과 같은 이점이 있습니다.
- 공용 네트워크의 공격으로부터 Azure 리소스를 보호하는 데 도움이 됩니다.
- 네트워크와 데이터 팩터리가 서로 안전하게 통신하도록 합니다.
온-프레미스 네트워크를 가상 네트워크에 연결할 수도 있습니다. 사이트 간 연결인 인터넷 프로토콜 보안 VPN 연결을 설정합니다. 또는 Azure ExpressRoute 연결을 설정합니다. 이것은 프라이빗 피어링 연결입니다.
온-프레미스 컴퓨터 또는 가상 네트워크의 가상 머신에 자체 호스팅 IR(통합 런타임)을 설치할 수도 있습니다. 이렇게 하면 다음을 수행할 수 있습니다.
- 클라우드 데이터 저장소와 개인 네트워크의 데이터 저장소 간에 복사 활동을 실행합니다.
- 온-프레미스 네트워크 또는 Azure 가상 네트워크의 컴퓨팅 리소스에 대해 변환 활동을 디스패치할 수 있습니다.
다음 표에 표시된 것처럼 Azure Data Factory와 고객 가상 네트워크 간에는 여러 가지 통신 채널이 필요합니다.
| 도메인 | Port | 설명 |
|---|---|---|
adf.azure.com |
443 | Data Factory 작성 및 모니터링에 Data Factory 포털이 필요합니다. |
*.{region}.datafactory.azure.net |
443 | 자체 호스팅 IR에서 Data Factory에 연결하는 데 필요합니다. |
*.servicebus.windows.net |
443 | 대화형 작성을 위해 자체 호스팅 IR에 필요합니다. |
download.microsoft.com |
443 | 업데이트를 다운로드하기 위해 자체 호스팅 IR에 필요합니다. |
참고 항목
공용 네트워크 액세스를 사용하지 않도록 설정하는 기능은 Azure IR 및 SQL Server Integration Services IR이 아닌 자체 호스팅 IR에만 적용됩니다.
Data Factory에 대한 통신은 Private Link를 통해 이동하여 안전한 프라이빗 연결을 제공합니다.
위의 각 통신 채널에 대해 Private Link를 사용하도록 설정하면 다음과 같은 기능을 제공합니다.
지원됨:
- 모든 아웃바운드 통신을 차단하더라도 가상 네트워크의 Data Factory 포털에서 작성하고 모니터링할 수 있습니다. 포털에 대한 프라이빗 엔드포인트를 만들더라도 다른 사용자는 공용 네트워크를 통해 Data Factory 포털에 계속 액세스할 수 있습니다.
- 자체 호스팅 IR과 Data Factory 간의 명령 통신은 개인 네트워크 환경에서 안전하게 수행할 수 있습니다. 자체 호스팅 IR과 Data Factory 간의 트래픽은 Private Link를 통해 진행됩니다.
현재 지원되지 않는 사항:
- 연결 테스트, 폴더 목록 및 테이블 목록 찾아보기, 스키마 가져오기, 데이터 미리 보기 등 자체 호스팅 IR을 사용하는 대화형 작성은 Private Link를 통과합니다. 자체 포함된 대화형 작성이 사용하도록 설정된 경우 트래픽은 프라이빗 링크를 통과하세요. 자체 포함된 대화형 작성을 참조하세요.
참고 항목
자체 포함된 대화형 작성이 사용하도록 설정된 경우 "IP 가져오기" 및 "로그 보내기"는 모두 지원되지 않습니다.
- 자동 업데이트를 사용하도록 설정하면 Microsoft 다운로드 센터에서 자동으로 다운로드할 수 있는 자체 호스팅 IR의 새 버전은 현재 지원되지 않습니다.
현재 지원되지 않는 기능을 사용하려면 가상 네트워크 또는 회사 방화벽에서 이전에 언급한 도메인 및 포트를 구성해야 합니다.
프라이빗 엔드포인트를 통해 Data Factory에 연결하는 것은 데이터 팩터리의 자체 호스팅 IR에만 적용됩니다. Azure Synapse Analytics에서는 지원되지 않습니다.
Warning
Private Link Data Factory를 사용하도록 설정하고 동시에 퍼블릭 액세스를 차단하는 경우 자격 증명이 안전하도록 자격 증명을 Azure Key Vault에 저장하는 것이 좋습니다.
자체 호스팅 IR과 Data Factory 간의 통신을 위한 프라이빗 엔드포인트 구성
이 섹션에서는 자체 호스팅 IR과 Data Factory 간의 통신을 위해 프라이빗 엔드포인트를 구성하는 방법을 설명합니다.
프라이빗 엔드포인트를 만들고 Data Factory에 대한 프라이빗 링크 설정
프라이빗 엔드포인트는 자체 호스팅 IR과 Data Factory 간의 통신을 위해 가상 네트워크에 만들어집니다. Data Factory에 대한 프라이빗 엔드포인트 링크 설정의 단계를 따릅니다.
DNS 구성이 올바른지 확인
DNS 설정을 확인하거나 구성하려면 프라이빗 엔드포인트에 대한 DNS 변경의 지침을 따릅니다.
Azure Relay의 FQDN 및 다운로드 센터를 방화벽의 허용 목록에 배치
자체 호스팅 IR이 가상 네트워크의 가상 머신에 설치된 경우 가상 네트워크의 NSG에서 FQDN 이하로 아웃바운드 트래픽을 허용합니다.
자체 호스팅 IR이 온-프레미스 환경의 컴퓨터에 설치된 경우 온-프레미스 환경의 방화벽 및 가상 네트워크의 NSG에서 FQDN 이하로 아웃바운드 트래픽을 허용하세요.
| 도메인 | Port | 설명 |
|---|---|---|
*.servicebus.windows.net |
443 | 대화형 작성을 위해 자체 호스팅 IR에 필요합니다. |
download.microsoft.com |
443 | 업데이트를 다운로드하기 위해 자체 호스팅 IR에 필요합니다. |
방화벽 및 NSG에서 이전 아웃바운드 트래픽을 허용하지 않으면 자체 호스팅 IR이 제한됨 상태로 표시됩니다. 그러나 작업을 실행하는 데 여전히 사용할 수 있습니다. 대화형 작성 및 자동 업데이트만 작동하지 않습니다.
참고 항목
하나의 데이터 팩터리(공유)에 자체 호스팅 IR이 있고 자체 호스팅 IR이 다른 데이터 팩터리(연결된)와 공유되는 경우 공유 데이터 팩터리에 대한 프라이빗 엔드포인트만 만들어야 합니다. 다른 연결된 데이터 팩터리는 자체 호스팅 IR과 Data Factory 간의 통신에 이 프라이빗 링크를 활용할 수 있습니다.
참고 항목
현재 자체 호스팅 통합 런타임과 Synapse Analytics 작업 영역 간의 프라이빗 링크 설정을 지원하지 않습니다. 그리고 자체 호스팅 통합 런타임은 Synapse 작업 영역에서 데이터 반출 보호가 사용하도록 설정된 경우에도 Synapse와 계속 통신할 수 있습니다.
프라이빗 엔드포인트용 DNS 변경
프라이빗 엔드포인트를 생성하면 데이터 팩터리에 대한 DNS CNAME 리소스 레코드가 접두사 privatelink를 포함하는 하위 도메인의 별칭으로 업데이트됩니다. 또한 기본적으로 프라이빗 엔드포인트에 대한 DNS A 리소스 레코드를 사용하여 privatelink 하위 도메인에 해당하는 프라이빗 DNS 영역을 만듭니다.
프라이빗 엔드포인트를 사용하여 가상 네트워크 외부에서 데이터 팩터리 엔드포인트 URL을 확인하면 Data Factory의 퍼블릭 엔드포인트로 확인됩니다. 프라이빗 엔드포인트를 호스트하는 가상 네트워크에서 확인하는 경우 스토리지 엔드포인트 URL은 프라이빗 엔드포인트의 IP 주소로 확인됩니다.
위의 예에서 프라이빗 엔드포인트를 호스팅하는 가상 네트워크 외부에서 해결되면 DataFactoryA라는 데이터 팩터리에 대한 DNS 리소스 레코드는 다음과 같습니다.
| 이름 | 타입 | 값 |
|---|---|---|
| DataFactoryA.{지역}.datafactory.azure.net | CNAME | < Data Factory 퍼블릭 엔드포인트 > |
| < Data Factory 퍼블릭 엔드포인트 > | A | < Data Factory 공용 IP 주소 > |
프라이빗 엔드포인트를 호스트하는 가상 네트워크에서 확인하는 경우 DataFactoryA에 대한 DNS 리소스 레코드는 다음과 같이 확인됩니다.
| 이름 | 타입 | 값 |
|---|---|---|
| DataFactoryA.{지역}.datafactory.azure.net | CNAME | DataFactoryA.{지역}.privatelink.datafactory.azure.net |
| DataFactoryA.{지역}.privatelink.datafactory.azure.net | A | < 프라이빗 엔드포인트 IP 주소 > |
네트워크에서 사용자 지정 DNS 서버를 사용하는 경우 클라이언트는 프라이빗 엔드포인트 IP 주소에 대한 Data Factory 엔드포인트의 FQDN을 확인할 수 있어야 합니다. Private Link 하위 도메인을 가상 네트워크의 프라이빗 DNS 영역에 위임하도록 DNS 서버를 구성합니다. 또는 프라이빗 엔드포인트 IP 주소를 사용하여 DataFactoryA.{region}.datafactory.azure.net에 대한 A 레코드를 구성할 수 있습니다.
참고 항목
현재, Data Factory 포털 엔드포인트는 하나뿐이므로 DNS 영역에 포털에 대한 프라이빗 엔드포인트는 하나뿐입니다. 두 번째 또는 후속 포털 프라이빗 엔드포인트를 만들려고 하면 포털에 대해 이전에 만든 프라이빗 DNS 항목을 덮어씁니다.
Data Factory에 대한 프라이빗 엔드포인트 링크 설정
이 섹션에서는 Data Factory에 대한 프라이빗 엔드포인트 링크를 설정합니다.
다음과 같이 Data Factory 만들기 단계에서 퍼블릭 엔드포인트 또는 프라이빗 엔드포인트를 선택하여 자체 호스팅 IR을 Data Factory에 연결할지 여부를 선택할 수 있습니다.
만든 후에 언제든지 네트워킹 창의 Data Factory 포털 페이지에서 선택을 변경할 수 있습니다. 프라이빗 엔드포인트를 사용하도록 설정한 후에는 데이터 팩터리에 프라이빗 엔드포인트도 추가해야 합니다.
프라이빗 엔드포인트에는 링크의 가상 네트워크와 서브넷이 필요합니다. 이 예제에서 서브넷 내의 가상 머신은 프라이빗 엔드포인트 링크를 통해 연결되는 자체 호스팅 IR을 실행하는 데 사용됩니다.
가상 네트워크 만들기
프라이빗 엔드포인트 링크에서 사용할 기존 가상 네트워크가 없는 경우에는 가상 네트워크를 만들고 서브넷을 할당해야 합니다.
Azure Portal에 로그인합니다.
화면의 왼쪽 위 모서리에서 리소스 만들기>네트워킹>가상 네트워크를 선택하거나, 검색 상자에서 가상 네트워크를 검색합니다.
가상 네트워크 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.
설정 값 프로젝트 세부 정보 구독 Azure 구독을 선택합니다. Resource group 가상 네트워크의 리소스 그룹을 선택합니다. 인스턴스 세부 정보 이름 가상 네트워크의 이름을 입력합니다. 지역 중요: 프라이빗 엔드포인트가 사용하는 것과 동일한 지역을 선택합니다. IP 주소 탭을 선택하거나 페이지 하단의 다음: IP 주소를 선택합니다.
IP 주소 탭에서 다음 정보를 입력합니다.
설정 값 IPv4 주소 공간 10.1.0.0/16을 입력합니다. 서브넷 이름 아래에서 기본값이라는 단어를 선택합니다.
서브넷 편집에서 다음 정보를 입력합니다.
설정 값 서브넷 이름 서브넷의 이름을 입력합니다. 서브넷 주소 범위 10.1.0.0/24를 입력합니다. 저장을 선택합니다.
검토 + 만들기 탭을 선택하거나 검토 + 만들기 단추를 선택합니다.
만들기를 실행합니다.
자체 호스팅 IR에 대한 가상 머신 만들기
위 단계에서 만든 새 서브넷의 자체 호스팅 IR을 실행할 기존 가상 머신도 만들거나 할당해야 합니다.
포털의 왼쪽 위 모서리에서 리소스 만들기>컴퓨팅>가상 머신을 선택하거나 검색 상자에 가상 머신을 검색합니다.
가상 머신 만들기에서 기본 사항 탭에서 값을 입력하거나 선택합니다.
설정 값 프로젝트 세부 정보 구독 Azure 구독을 선택합니다. Resource group 리소스 그룹을 선택합니다. 인스턴스 세부 정보 가상 머신 이름 가상 머신의 이름을 입력합니다. 지역 가상 네트워크에 사용된 지역을 선택합니다. 가용성 옵션 인프라 중복이 필요하지 않습니다.를 선택합니다. 이미지 Windows Server 2019 Datacenter - Gen1 또는 자체 호스팅 IR을 지원하는 다른 Windows 이미지를 선택합니다. Azure Spot 인스턴스 아니오를 선택합니다. 크기 VM 크기를 선택하거나 기본 설정을 사용합니다. 관리자 계정 사용자 이름 사용자 이름을 입력합니다. 암호 암호를 입력합니다. 암호 확인 암호를 다시 입력합니다. 네트워킹 탭을 선택하거나 다음: 디스크>다음: 네트워킹을 차례로 선택합니다.
네트워킹 탭에서 다음을 선택하거나 입력합니다.
설정 값 네트워크 인터페이스 가상 네트워크 만든 가상 네트워크를 선택합니다. 서브넷 만든 서브넷을 선택합니다. 공용 IP 없음을 선택합니다. NIC 네트워크 보안 그룹 추가 기본. 퍼블릭 인바운드 포트 없음을 선택합니다. 검토 + 만들기를 선택합니다.
설정을 검토한 다음, 만들기를 선택합니다.
참고 항목
Azure는 공용 IP 주소가 할당되지 않았거나 내부 기본 Azure Load Balancer의 백 엔드 풀에 있는 VM에 대한 기본 아웃바운드 액세스 IP를 제공합니다. 기본 아웃바운드 액세스 IP 메커니즘은 구성할 수 없는 아웃바운드 IP 주소를 제공합니다.
다음 이벤트 중 하나가 발생하면 기본 아웃바운드 액세스 IP가 사용하지 않도록 설정됩니다.
- 공용 IP 주소가 VM에 할당됩니다.
- VM은 아웃바운드 규칙 유무에 관계없이 표준 Load Balancer의 백 엔드 풀에 배치됩니다.
- Azure NAT Gateway 리소스는 VM의 서브넷에 할당됩니다.
유연한 오케스트레이션 모드에서 가상 머신 확장 집합을 사용하여 만드는 VM에는 기본 아웃바운드 액세스 권한이 없습니다.
Azure의 아웃바운드 연결에 대한 자세한 내용은 Azure의 기본 아웃바운드 액세스 및 아웃바운드 연결에 SNAT(원본 네트워크 주소 변환) 사용을 참조하세요.
프라이빗 엔드포인트 만들기
마지막으로, 데이터 팩터리에서 프라이빗 엔드포인트를 만들어야 합니다.
데이터 팩터리에 대한 Azure Portal 페이지에서 네트워킹>프라이빗 엔드포인트 연결을 선택한 다음, + 프라이빗 엔드포인트를 선택합니다.
프라이빗 엔드포인트 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.
설정 값 프로젝트 세부 정보 Subscription 구독을 선택합니다. Resource group 리소스 그룹을 선택합니다. 인스턴스 세부 정보 이름 엔드포인트의 이름을 입력합니다. 지역 만든 가상 네트워크의 지역을 선택합니다. 화면 아래쪽에서 리소스 탭 또는 다음: 리소스 단추를 선택합니다.
리소스에서 다음 정보를 입력하거나 선택합니다.
설정 값 연결 방법 내 디렉터리의 Azure 리소스에 연결을 선택합니다. Subscription 구독을 선택합니다. 리소스 유형 Microsoft.Datafactory/factories를 선택합니다. 리소스 데이터 팩터리를 선택합니다. 대상 하위 리소스 자체 호스팅 IR 및 Data Factory 간 명령 통신을 위해 프라이빗 엔드포인트를 사용하려는 경우 대상 하위 리소스로 datafactory를 선택합니다. 가상 네트워크에서 데이터 팩터리를 작성하고 모니터링하기 위해 프라이빗 엔드포인트를 사용하려는 경우 대상 하위 리소스로 portal을 선택합니다. 화면 아래쪽에서 구성 탭 또는 다음: 구성 단추를 선택합니다.
구성에서 다음 정보를 입력하거나 선택합니다.
설정 값 네트워킹 가상 네트워크 만든 가상 네트워크를 선택합니다. 서브넷 만든 서브넷을 선택합니다. 프라이빗 DNS 통합 프라이빗 DNS 영역과 통합 예(기본값)를 그대로 둡니다. Subscription 구독을 선택합니다. 프라이빗 DNS 영역 두 대상 하위 리소스 모두에 기본값인 1을 유지합니다. datafactory: (New) privatelink.datafactory.azure.net. 2. portal: (New) privatelink.adf.azure.com. 검토 + 만들기를 선택합니다.
만들기를 선택합니다.
Private Link를 사용하여 Data Factory 리소스에 대한 액세스 제한
Private Link로 구독의 Data Factory 리소스에 대한 액세스를 제한하려면 포털을 사용하여 Azure 리소스 관리를 위한 프라이빗 링크 만들기의 단계를 따르세요.
알려진 문제
양쪽이 Private Link 및 프라이빗 엔드포인트에 노출되면 각 PaaS 리소스에 액세스할 수 없습니다. 이 문제는 Private Link 및 프라이빗 엔드포인트의 알려진 제한 사항입니다.
예를 들어, 고객 A는 프라이빗 링크를 사용하여 가상 네트워크 A에 있는 데이터 팩터리 A의 포털에 액세스하고 있습니다. 데이터 팩터리 A가 공용 액세스를 차단하지 않으면 고객 B는 퍼블릭을 통해 가상 네트워크 B에 있는 데이터 팩터리 A의 포털에 액세스할 수 있습니다. 그러나 고객 B가 가상 네트워크 B의 데이터 팩터리 B에 대해 프라이빗 엔드포인트를 만들면 고객 B는 더 이상 가상 네트워크 B에서 퍼블릭을 통해 데이터 팩터리 A에 액세스할 수 없습니다.