Private Link를 사용하여 Azure Digital Twins에 대한 프라이빗 액세스 사용
Azure Digital Twins를 Azure Private Link와 함께 사용하면 Azure Digital Twins 인스턴스에 대한 프라이빗 엔드포인트를 사용하도록 설정하여 공용 노출을 제거하고 가상 네트워크에 있는 클라이언트가 Private Link를 통해 인스턴스에 안전하게 액세스할 수 있습니다. Azure Digital Twins에 대한 이 보안 전략에 대한 자세한 내용은 Azure Digital Twins 인스턴스용 프라이빗 엔드포인트가 있는 Private Link를 참조하세요.
이 문서에서 설명하는 단계는 다음과 같습니다.
- Private Link를 켜고 Azure Digital Twins 인스턴스에 대한 프라이빗 엔드포인트를 구성합니다.
- Azure Digital Twins 인스턴스에서 프라이빗 엔드포인트를 보거나 편집하거나 삭제합니다.
- 공용 네트워크 액세스 플래그를 사용하거나 사용하지 않도록 설정하여 Azure Digital Twins에 대한 API 액세스를 Private Link 연결로만 제한합니다.
이 문서에는 ARM 템플릿을 사용하여 Private Link로 Azure Digital Twins를 배포하고 구성 문제를 해결하기 위한 정보도 포함되어 있습니다.
필수 조건
프라이빗 엔드포인트를 설정하려면 먼저 엔드포인트를 배포할 수 있는 Azure Virtual Network(VNet) 가 필요합니다. VNet이 아직 없으면 Azure Virtual Network 빠른 시작 중 하나에 따라 이를 설정할 수 있습니다.
Azure Digital Twins에 프라이빗 엔드포인트 추가
Azure Portal 또는 Azure CLI를 사용하여 Azure Digital Twins 인스턴스에 대한 프라이빗 엔드포인트로 Private Link를 설정할 수 있습니다.
인스턴스 초기 설정의 일부로 Private Link를 설정하려면 Azure Portal을 사용해야 합니다. 그렇지 않고 Private Link를 만든 후 인스턴스에서 Private Link를 사용하도록 설정하려면 Azure Portal 또는 Azure CLI를 사용할 수 있습니다. 이러한 생성 방법은 해당 인스턴스에 대해 동일한 구성 옵션 및 동일한 최종 결과를 제공합니다.
아래 섹션의 탭을 사용하여 원하는 환경의 지침을 선택할 수 있습니다.
팁
또한 Azure Digital Twins 인스턴스 대신 Private Link 서비스를 통해 Private Link 엔드포인트를 설정할 수 있습니다. 이 방법도 동일한 구성 옵션 및 동일한 최종 결과를 제공합니다.
Private Link 리소스 설정에 대한 자세한 내용은 Azure Portal, Azure CLI, Azure Resource Manager 또는 PowerShell에 대한 Private Link 설명서를 참조하세요.
인스턴스를 만드는 동안 프라이빗 엔드포인트 추가
이 섹션에서는 Azure Digital Twins 인스턴스의 초기 설정의 일부로 Private Link를 사용하여 프라이빗 엔드포인트를 만듭니다. 이 작업은 Azure Portal에서만 수행할 수 있습니다.
이 섹션에서는 Azure Portal에서 Azure Digital Twins 인스턴스를 설정하는 동안 Private Link를 설정하는 방법에 대해 설명합니다.
Private Link 옵션은 인스턴스 설정의 네트워킹 탭에 있습니다.
Azure Portal에서 Azure Digital Twins 인스턴스 설정을 시작합니다. 지침은 인스턴스 및 인증 설정을 참조하세요.
인스턴스 설정의 네트워킹 탭에 도달하면 연결 방법에 대해 프라이빗 엔드포인트 옵션을 선택하여 프라이빗 엔드포인트를 사용할 수 있습니다.
이렇게 하면 프라이빗 엔드포인트 세부 정보를 구성할 수 있는 프라이빗 엔드포인트 연결이라는 섹션이 추가됩니다. 계속해서 + 추가 단추를 선택합니다.
열린 프라이빗 엔드포인트 만들기 페이지에서 새 프라이빗 엔드포인트에 대한 세부 정보를 입력합니다.
구독 및 리소스 그룹에 선택 항목을 입력합니다. 위치를 사용할 VNet과 동일한 위치로 설정합니다. 엔드포인트 이름을 선택하고 대상 하위 리소스로 API를 선택합니다.
다음으로, 엔드포인트 배포를 위해 사용할 가상 네트워크 및 서브넷을 선택합니다.
마지막으로 비공개 DNS 영역과 통합할지 여부를 선택합니다. 기본값 예를 사용하거나 이 옵션에 대한 도움말이 필요하면 포털 링크에 따라 프라이빗 DNS 통합에 대해 자세히 알아볼 수 있습니다.
구성 옵션을 입력한 후 확인을 선택하여 완료합니다.
이 프로세스를 마치면 포털에서 Azure Digital Twins 인스턴스 설정의 네트워킹 탭으로 돌아갑니다. 프라이빗 엔드포인트 연결 아래에 새 엔드포인트가 표시되는지 확인합니다.
아래의 탐색 단추를 사용하여 남은 인스턴스 설정을 계속할 수 있습니다.
기존 인스턴스에 프라이빗 엔드포인트 추가
이 섹션에서는 이미 존재하는 Azure Digital Twins 인스턴스에 대해 프라이빗 엔드포인트로 Private Link를 사용 설정합니다.
먼저 브라우저에서 Azure Portal로 이동합니다. 포털 검색 창에서 이름을 검색하여 Azure Digital Twins 인스턴스를 표시합니다.
왼쪽 메뉴에서 네트워킹을 선택합니다.
프라이빗 엔드포인트 연결 탭으로 전환합니다.
+ 프라이빗 엔드포인트를 선택하여 프라이빗 엔드포인트 만들기 설정을 엽니다.
기본 탭에서 프로젝트의 구독 및 리소스 그룹과 엔드포인트의 이름 및 지역을 입력하거나 선택합니다. 지역은 사용 중인 VNet의 지역과 동일해야 합니다.
완료되었으면 다음: 리소스 > 단추를 선택하여 다음 탭으로 이동합니다.
리소스 탭에서 다음 정보를 입력하거나 선택합니다.
- 연결 방법: 내 디렉터리의 Azure 리소스에 연결을 선택하여 Azure Digital Twins 인스턴스를 검색합니다.
- 구독: 구독을 입력합니다.
- 리소스 종류: Microsoft.DigitalTwins/digitalTwinsInstances를 선택합니다.
- 리소스: Azure Digital Twins 인스턴스의 이름을 선택합니다.
- 대상 하위 리소스: API를 선택합니다.
완료되었으면 다음: 구성 > 단추를 선택하여 다음 탭으로 이동합니다.
구성 탭에서 다음 정보를 입력하거나 선택합니다.
- 가상 네트워크: 가상 네트워크를 선택합니다.
- 서브넷: 가상 네트워크에서 서브넷을 선택합니다.
- 프라이빗 DNS 영역과 통합: 프라이빗 DNS 영역과 통합 여부를 선택합니다. 기본값 예를 사용하거나 이 옵션에 대한 도움말이 필요하면 포털 링크에 따라 프라이빗 DNS 통합에 대해 자세히 알아볼 수 있습니다. 예를 선택하면 기본 구성 정보를 그대로 둘 수 있습니다.
완료되었으면 검토 + 만들기 단추를 선택하여 설정을 완료할 수 있습니다.
검토 + 만들기 탭에서 선택 항목을 검토한 후 만들기 단추를 선택합니다.
엔드포인트 배포가 완료되었으면 Azure Digital Twins 인스턴스에 대한 프라이빗 엔드포인트 연결이 표시됩니다.
프라이빗 엔드포인트 관리
이 섹션에서는 프라이빗 엔드포인트를 만든 후 보고, 편집하고, 삭제하는 방법을 확인합니다.
Azure Digital Twins 인스턴스에 대한 프라이빗 엔드포인트가 만들어지면 Azure Digital Twins 인스턴스의 네트워킹 탭에서 볼 수 있습니다. 이 페이지에는 인스턴스와 연결된 모든 프라이빗 엔드포인트 연결이 표시됩니다.
엔드포인트를 선택하여 해당 정보를 자세히 보거나, 구성 설정을 변경하거나, 연결을 삭제합니다.
팁
Azure Portal의 Private Link 센터에서도 엔드포인트를 확인할 수 있습니다.
공용 네트워크 액세스 플래그 사용 안 함/사용
네트워크 보안 향상을 위해 모든 퍼블릭 연결을 거부하고 프라이빗 액세스 엔드포인트를 통한 연결만 허용하도록 Azure Digital Twins 인스턴스를 구성할 수 있습니다. 이 작업은 공용 네트워크 액세스 플래그를 사용하여 수행됩니다.
이 정책을 사용하면 API 액세스를 Private Link 연결만으로 제한할 수 있습니다. 공용 네트워크 액세스 플래그가 disabled으로 설정되었으면 퍼블릭 클라우드에서 Azure Digital Twins 인스턴스 데이터 영역으로의 모든 REST API 호출이 403, Unauthorized를 반환합니다. 그렇지 않으면 정책이 disabled로 설정되고 프라이빗 엔드포인트를 통해 요청이 작성되면 API 호출이 성공합니다.
Azure Portal, Azure CLI 또는 ARMClient 명령 도구를 사용하여 네트워크 플래그의 값을 업데이트할 수 있습니다.
Azure Portal에서 공용 네트워크 액세스를 사용 안 함 또는 사용하도록 설정하려면 포털을 열고 Azure Digital Twins 인스턴스로 이동합니다.
왼쪽 메뉴에서 네트워킹을 선택합니다.
공용 액세스 탭에서 공용 네트워크 액세스 허용을 사용 안 함 또는 모든 네트워크로 설정합니다.
저장을 선택합니다.
ARM 템플릿을 사용하여 배포
ARM 템플릿을 사용하여 Azure Digital Twins로 Private Link를 설정할 수도 있습니다.
Azure 함수가 Private Link 엔드포인트를 통해 Azure Digital Twins에 연결하도록 허용하는 샘플 템플릿은 Azure 함수 및 Private Link(ARM 템플릿)가 포함된 Azure Digital Twins를 참조하세요.
이 템플릿은 Azure Digital Twins 인스턴스, 가상 네트워크, 가상 네트워크에 연결된 Azure 함수 및 Private Link 연결을 만들어 프라이빗 엔드포인트를 통해 Azure 함수에 Azure Digital Twins 인스턴스에 액세스할 수 있도록 합니다.
문제 해결
Azure Digital Twins에서 Private Link를 사용할 때 발생할 수 있는 몇 가지 일반적인 문제는 다음과 같습니다.
문제: Azure Digital Twins API에 액세스하려고 하면 응답 본문에 다음 오류와 함께 HTTP 오류 코드 403이 표시됩니다.
{ "statusCode": 403, "message": "Public network access disabled by policy." }해결 방법: 이 오류는 Azure Digital Twins 인스턴스에 대해
publicNetworkAccess가 사용하지 않도록 설정되고 API 요청이 Private Link를 통해 전달될 것으로 예상되지만 호출이 공용 네트워크(가상 네트워크용으로 구성된 부하 분산 장치)를 통해 라우팅되었습니다. 엔드포인트 호스트 이름을 통해 API에 액세스하려고 할 때 API 클라이언트가 프라이빗 엔드포인트에 대한 개인 IP를 확인하고 있는지 확인합니다.서브넷에 있는 프라이빗 엔드포인트의 개인 IP에 대한 호스트 이름 확인을 용이하게 하기 위해 프라이빗 DNS 영역을 구성할 수 있습니다. 프라이빗 DNS 영역이 가상 네트워크에 올바르게 연결되어 있고 올바른 영역 이름(예:
privatelink.digitaltwins.azure.net)을 사용하는지 확인합니다.문제: 프라이빗 엔드포인트를 통해 Azure Digital Twins에 액세스하려고 하면 연결 시간이 초과됩니다.
해결 방법: 클라이언트가 프라이빗 엔드포인트 및 해당 서브넷과 통신하는 것을 금지하는 네트워크 보안 그룹 규칙이 없는지 확인합니다. TCP 포트 443의 통신은 클라이언트의 원본 IP 주소/서브넷과 프라이빗 엔드포인트 대상 IP 주소/서브넷 간에 허용되어야 합니다.
Private Link 문제 해결 제안에 대한 자세한 내용은 Azure Private Endpoint 연결 문제 해결을 참조하세요.
다음 단계
ARM 템플릿(Azure 함수 및 Private Link가 포함된 Azure Digital Twins)을 사용하여 Private Link로 보호된 환경을 빠르게 설정합니다.
또는 Azure용 Private Link에 대해 자세히 알아봅니다. Azure Private Link 서비스란?