Device Update for IoT Hub 계정에 대한 프라이빗 엔드포인트 구성

프라이빗 엔드포인트를 사용하여 공용 인터넷을 통하지 않고 프라이빗 링크를 통해 가상 네트워크에서 계정으로 직접 트래픽을 안전하게 허용할 수 있습니다. 프라이빗 엔드포인트는 계정에 대한 VNet 주소 공간의 IP 주소를 사용합니다. 자세한 개념 정보는 네트워크 보안을 참조하세요.

이 문서에서는 계정에 대한 프라이빗 엔드포인트를 구성하는 방법을 설명합니다.

Azure Portal 또는 Azure CLI를 사용하여 계정에 대한 프라이빗 엔드포인트를 만들 수 있습니다.

필수 조건

Azure Portal

Azure Portal에 대한 필수 조건은 없습니다.

Azure CLI

Azure CLI 환경:

• Azure Cloud Shell에서 Bash 환경을 사용합니다.

  

• 또는 CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다.

  • az login 명령을 사용하여 Azure CLI에 로그인합니다.

  • az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.

  • 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 이 문서의 명령은 azure-iot 확장을 사용합니다. az extension update --name azure-iot를 실행하여 최신 버전의 확장을 사용하고 있는지 확인합니다.

Device Update 계정에서 프라이빗 엔드포인트 구성

Azure Portal의 Device Update 계정 내에서 새 프라이빗 엔드포인트를 만들 수 있습니다. 이러한 프라이빗 엔드포인트 연결은 자동 승인되며 이 문서의 나머지 부분에서 설명하는 검토 및 승인을 위한 추가 단계가 필요하지 않습니다.

1. Azure Portal에 로그인하고 계정 또는 도메인으로 이동합니다.

2. 계정 페이지의 네트워킹 탭으로 전환합니다. 프라이빗 엔드포인트로만 액세스를 제한하려면 공용 네트워크 액세스를 사용하지 않도록 설정합니다.

3. 프라이빗 액세스 탭으로 전환한 다음 도구 모음에서 + 추가를 선택합니다.

   

4. 기본 페이지에서 프라이빗 엔드포인트에 대한 다음 정보를 제공합니다.

   • 구독: 프라이빗 엔드포인트를 만들 Azure 구독입니다.

   • 리소스 그룹: 프라이빗 엔드포인트에 대한 기존 또는 새 리소스 그룹입니다.

   • 이름: 엔드포인트의 이름입니다. 이 값은 네트워크 인터페이스 이름을 자동 생성하는 데 사용됩니다.

   • 지역: 엔드포인트의 Azure 지역입니다. 프라이빗 엔드포인트는 가상 네트워크와 동일한 지역에 있어야 하지만 Device Update 계정과 다른 지역에 있을 수 있습니다.

     

5. 리소스 페이지가 자동으로 채워집니다.

   

6. Virtual Network 페이지에서 프라이빗 엔드포인트를 배포할 서브넷과 가상 네트워크를 선택합니다.

   • 가상 네트워크: 현재 선택한 구독 및 위치의 가상 네트워크만 드롭다운 목록에 나열됩니다.

   • 서브넷: 선택한 가상 네트워크에서 서브넷을 선택합니다.

     

7. DNS 페이지에서 사용자 지정 DNS를 사용하지 않는 한 미리 채워진 값을 사용합니다.

   

8. 태그 페이지에서 프라이빗 엔드포인트 리소스와 연결하려는 태그(이름 및 값)를 만듭니다.

9. 검토 + 만들기 페이지에서 모든 설정을 검토하고 만들기를 선택하여 프라이빗 엔드포인트를 만듭니다.

Private Link 센터에서 프라이빗 엔드포인트 구성

Device Update 계정에 대한 액세스 권한이 없는 경우 Private Link 센터에서 프라이빗 엔드포인트를 만들 수 있습니다. 연결을 만드는 사용자에게 승인 권한도 없는 경우에는 연결이 보류 상태로 만들어집니다.

Azure Portal 또는 Azure CLI를 사용하여 프라이빗 엔드포인트를 만들 수 있습니다.

Azure Portal

1. Azure Portal에서 Private Link 센터>프라이빗 엔드포인트로 이동하고 +만들기를 선택합니다.

   

2. 기본 페이지에서 프라이빗 엔드포인트에 대한 다음 정보를 제공합니다.

   • 구독: 프라이빗 엔드포인트를 만들 Azure 구독입니다.
   • 리소스 그룹: 프라이빗 엔드포인트에 대한 기존 또는 새 리소스 그룹입니다.
   • 이름: 엔드포인트의 이름입니다. 이 값은 네트워크 인터페이스 이름을 자동 생성하는 데 사용됩니다.
   • 지역: 엔드포인트의 Azure 지역입니다. 프라이빗 엔드포인트는 가상 네트워크와 동일한 지역에 있어야 하지만 Device Update 계정과 다른 지역에 있을 수 있습니다.

3. 리소스 탭의 모든 필수 필드를 입력합니다.

   • 연결 방법: 리소스 ID 또는 별칭으로 Azure 리소스에 연결을 선택합니다.
   • 리소스 ID 또는 별칭: Device Update 계정의 리소스 ID를 입력합니다. 개요 페이지에서 JSON 보기를 선택하여 Azure Portal에서 Device Update 계정의 리소스 ID를 검색할 수 있습니다. 또는 az iot du account show 명령을 사용하고 ID 값 az iot du account show -n <account_name> --query id를 쿼리하여 쿼리할 수 있습니다.
   • 대상 하위 리소스 값은 DeviceUpdate여야 합니다.

   

4. Virtual Network 페이지에서 프라이빗 엔드포인트를 배포할 서브넷과 가상 네트워크를 선택합니다.

   • 가상 네트워크: 현재 선택한 구독 및 위치의 가상 네트워크만 드롭다운 목록에 나열됩니다.
   • 서브넷: 선택한 가상 네트워크에서 서브넷을 선택합니다.

5. DNS 페이지에서 사용자 지정 DNS를 사용하지 않는 한 미리 채워진 값을 사용합니다.

6. 태그 페이지에서 프라이빗 엔드포인트 리소스와 연결하려는 태그(이름 및 값)를 만듭니다.

7. 검토 + 만들기 페이지에서 모든 설정을 검토하고 만들기를 선택하여 프라이빗 엔드포인트를 만듭니다.

Azure CLI

az network private-endpoint create 명령을 사용하여 프라이빗 엔드포인트를 만듭니다.

다음 자리 표시자를 사용자 고유의 정보로 바꿉니다.

• RESOURCE_GROUP_NAME: 리소스 그룹의 이름입니다.
• PRIVATE_ENDPOINT_NAME: 프라이빗 엔드포인트의 이름입니다.
• PRIVATE_LINK_CONNECTION_NAME: 프라이빗 링크 서비스 연결의 이름입니다.
• VIRTUAL_NETWORK_NAME: 서브넷과 연결된 기존 가상 네트워크의 이름입니다.
• SUBNET_NAME: 기존 서브넷의 이름 또는 ID입니다. 서브넷 이름을 사용하는 경우 가상 네트워크 이름도 포함해야 합니다. 서브넷 ID를 사용하는 경우 --vnet-name 매개 변수를 생략할 수 있습니다.
• DEVICE_UPDATE_RESOURCE_ID: 개요 페이지에서 JSON 보기를 선택하여 Azure Portal에서 Device Update 계정의 리소스 ID를 검색할 수 있습니다. 또는 az iot du account show 명령을 사용하고 ID 값 az iot du account show -n <account_name> --query id를 쿼리하여 쿼리할 수 있습니다.
• LOCATION: Azure 지역의 이름입니다. 프라이빗 엔드포인트는 가상 네트워크와 동일한 지역에 있어야 하지만 Device Update 계정과 다른 지역에 있을 수 있습니다.

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

az network private-endpoint delete 명령을 사용하여 프라이빗 엔드포인트를 삭제할 수 있습니다.

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

프라이빗 링크 연결 관리

수동 승인을 기다리는 프라이빗 엔드포인트를 만들 때 연결을 승인해야 사용할 수 있습니다. 프라이빗 엔드포인트를 만드는 리소스가 디렉터리에 있는 경우 충분한 사용 권한이 있다면 연결 요청을 승인할 수 있습니다. 다른 디렉터리의 Azure 리소스에 연결하는 경우 해당 리소스의 소유자가 연결 요청을 승인할 때까지 기다려야 합니다.

다음 네 가지 프로비저닝 상태가 있습니다.

서비스 작업	서비스 소비자 프라이빗 엔드포인트 상태	설명
None	보류 중	연결이 수동으로 만들어지고, 프라이빗 링크 리소스 소유자의 승인이 보류 중입니다.
승인	승인됨	연결이 자동 또는 수동으로 승인되었으며, 사용할 준비가 되었습니다.
거부	거부됨	Private Link 리소스 소유자가 연결을 거부했습니다.
제거	연결 끊김	Private Link 리소스 소유자가 연결을 제거했습니다. 프라이빗 엔드포인트는 정보를 제공하므로 정리를 위해 삭제해야 합니다.

Azure Portal

Device Update 계정에서 보류 중인 연결 검토

1. Azure Portal에서 관리할 Device Update 계정으로 이동합니다.

2. 네트워킹 탭을 선택합니다.

3. 보류 중인 연결이 있으면 프로비저닝 상태가 보류 중인 연결이 나열됩니다.

   

4. 확인란을 사용하여 보류 중인 연결을 선택한 다음 승인 또는 거부를 선택합니다.

Private Link 센터에서 보류 중인 연결 검토

1. Azure Portal에서 Private Link 센터>보류 중인 연결로 이동합니다.

2. 확인란을 사용하여 보류 중인 연결을 선택한 다음 승인 또는 거부를 선택합니다.

   

Azure CLI

프라이빗 엔드포인트 연결을 관리하려면 az iot du account private-endpoint-connection set 명령을 사용합니다.

다음 자리 표시자를 사용자 고유의 정보로 바꿉니다.

• ACCOUNT_NAME: Device Update 계정의 이름입니다.
• PRIVATE_LINK_CONNECTION_NAME: 프라이빗 링크 서비스 연결의 이름입니다.
• STATUS: Approved 또는 Rejected입니다.

az iot du account private-endpoint-connection set \
    --name <ACCOUNT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --status <STATUS> \
    --desc 'Optional description'

다음 단계

네트워크 보안 개념에 대해 알아봅니다.