Azure Private Link FAQ(질문과 대답)

  • Azure 프라이빗 엔드포인트 : Azure 프라이빗 엔드포인트는 Azure Private Link에서 제공하는 서비스에 비공개로 안전하게 연결하는 네트워크 인터페이스입니다. 프라이빗 엔드포인트를 사용하여 Private Link를 지원하는 Azure PaaS 서비스나 사용자 고유의 Private Link 서비스에 연결할 수 있습니다.
  • Azure Private Link 서비스 : Azure Private Link 서비스는 서비스 공급자가 만든 서비스입니다. 현재 Private Link 서비스는 표준 Load Balancer의 프런트 엔드 IP 구성에 연결할 수 있습니다.

트래픽은 Microsoft 백본을 통해 비공개로 전송되며 인터넷을 통과하지 않습니다. Azure Private Link는 고객 데이터를 저장하지 않습니다.

서비스 엔드포인트와 프라이빗 엔드포인트의 차이점은 무엇인가요?

  • 프라이빗 엔드포인트는 세분화된 분할을 제공하는 특정 서비스의 배후에 있는 특정 리소스에 대한 네트워크 액세스를 제공합니다. 트래픽은 퍼블릭 엔드포인트를 사용하지 않고 온-프레미스에서 서비스 리소스에 도달할 수 있습니다.
  • 서비스 엔드포인트는 공개적으로 라우팅 가능한 IP 주소를 유지합니다. 프라이빗 엔드포인트는 프라이빗 엔드포인트가 구성된 가상 네트워크의 주소 공간에 있는 개인 IP입니다.

여러 Private Link 리소스 형식은 프라이빗 엔드포인트를 통한 액세스를 지원합니다. 리소스에는 Azure PaaS 서비스와 사용자 고유의 Private Link 서비스가 포함됩니다. 이는 일 대 다 관계입니다.

Private Link 서비스는 여러 프라이빗 엔드포인트로부터 연결을 받습니다. 프라이빗 엔드포인트는 하나의 Private Link 서비스에 연결합니다.

예. 프라이빗 엔드포인트와 Private Link 서비스가 둘 다 제대로 작동하려면 네트워크 정책을 사용하지 않도록 설정해야 합니다. 둘 다 서로 독립적인 속성이 있습니다.

Private Endpoint

동일한 VNet에 여러 프라이빗 엔드포인트를 만들 수 있나요? 서로 다른 서비스에 연결할 수 있나요?

예. 동일한 VNet 또는 서브넷에 여러 개의 프라이빗 엔드포인트가 있을 수 있습니다. 이를 서로 다른 서비스에 연결할 수 있습니다.

프라이빗 엔드포인트에 전용 서브넷이 필요한가요?

아니요. 프라이빗 엔드포인트에는 전용 서브넷이 필요하지 않습니다. 서비스가 배포된 VNet의 모든 서브넷에서 프라이빗 엔드포인트 IP를 선택할 수 있습니다.

예. 프라이빗 엔드포인트는 Azure Active Directory 테넌트의 Private Link 서비스 또는 Azure PaaS에 연결할 수 있습니다. 여러 테넌트에 연결하는 프라이빗 엔드포인트에는 수동 요청 승인이 필요합니다.

프라이빗 엔드포인트가 여러 Azure 지역의 Azure PaaS 리소스에 연결할 수 있나요?

예. 프라이빗 엔드포인트는 여러 Azure 지역의 Azure PaaS 리소스에 연결할 수 있습니다.

내 프라이빗 엔드포인트의 NIC(네트워크 인터페이스 카드)를 수정할 수 있나요?

프라이빗 엔드포인트를 만들 때 읽기 전용 NIC가 할당됩니다. 이는 수정할 수 없으며 프라이빗 엔드포인트의 수명 주기 동안 유지됩니다.

지역 장애가 발생할 경우 프라이빗 엔드포인트를 사용하는 동안 어떻게 가용성을 달성할 수 있나요?

프라이빗 엔드포인트는 Azure Private Link의 SLA와 동일한 SLA를 지원하는 고가용성 리소스입니다. 그러나 이러한 리소스는 지역 리소스이므로 Azure 지역에서 발생하는 중단이 가용성에 영향을 줄 수 있습니다. 지역 장애가 발생하는 경우 가용성을 달성하기 위해 동일한 대상 리소스에 연결된 여러 PE를 다른 지역에 배포할 수 있습니다. 이러한 방식으로 한 지역이 다운되면 다른 지역의 PE를 통해 복구 시나리오를 위한 트래픽을 라우팅할 수 있으므로 대상 리소스에 액세스할 수 있습니다. 대상 서비스 쪽에서 지역 장애를 처리하는 방법에 대한 자세한 내용은 장애 조치(failover) 및 복구에 대한 서비스 설명서를 검토하세요. Private LInk 트래픽은 대상 엔드포인트의 Azure DNS 확인을 따릅니다.

가용성 영역 오류가 발생할 경우 프라이빗 엔드포인트를 사용하는 동안 어떻게 가용성을 달성할 수 있나요?

프라이빗 엔드포인트는 Azure Private Link의 SLA와 동일한 SLA를 지원하는 고가용성 리소스입니다. 프라이빗 엔드포인트는 영역 중립적입니다. 프라이빗 엔드포인트 지역의 가용성 영역 오류는 프라이빗 엔드포인트의 가용성에 영향을 주지 않습니다.

프라이빗 엔드포인트가 ICMP 트래픽을 지원합니까?

TCP 및 UDP 트래픽은 프라이빗 엔드포인트에 대해서만 지원됩니다. 자세한 내용은 Private Link 제한 사항을 참조하세요.

서비스 백 엔드는 가상 네트워크에서 표준 Load Balancer 뒤에 있어야 합니다.

다음 몇 가지 방법으로 Private Link 서비스를 스케일링할 수 있습니다.

  • 표준 부하 분산 장치 뒤에 있는 풀에 백 엔드 VM을 추가합니다.
  • Private Link 서비스에 IP를 추가합니다. Private Link 서비스당 최대 8개의 IP가 허용됩니다.
  • 표준 Load Balancer에 새 Private Link 서비스를 추가합니다. 표준 Load Balancer당 최대 8개의 Private Link 서비스가 허용됩니다.
  • NAT IP 구성은 대상 쪽(서비스 공급자 쪽)의 Private Link 트래픽에 원본 NAT를 제공하여 원본(소비자 쪽)과 대상(서비스 공급자) 주소 공간 간에 IP 충돌이 발생하지 않도록 합니다. NAT IP 주소는 서비스에서 받은 모든 패킷에 대해 원본 IP로 표시되고, 서비스에서 보낸 모든 패킷에 대해 대상 IP로 표시됩니다. NAT IP는 서비스 공급자의 가상 네트워크에 있는 임의 서브넷에서 선택할 수 있습니다.
  • 각 NAT IP는 표준 Load Balancer 뒤에 있는 VM당 64k TCP 연결(64k 포트)을 제공합니다. 연결을 스케일링 및 추가하기 위해 새 NAT IP를 추가하거나 표준 Load Balancer 뒤에 VM을 추가할 수 있습니다. 이렇게 하면 포트 가용성을 늘리고 더 많이 연결할 수 있습니다. 연결은 NAT IP와 표준 Load Balancer 뒤에 있는 VM 간에 분산됩니다.

내 서비스를 여러 프라이빗 엔드포인트에 연결할 수 있나요?

예. 하나의 Private Link 서비스가 여러 프라이빗 엔드포인트로부터 연결을 받을 수 있습니다. 그러나 프라이빗 엔드포인트는 하나의 Private Link 서비스에만 연결할 수 있습니다.

Private Link 서비스에서 표시 유형 구성을 사용하여 노출을 제어할 수 있습니다. 표시 유형은 세 가지 설정을 지원합니다.

  • 없음 - Azure RBAC 액세스 권한이 있는 구독만 서비스를 찾을 수 있습니다.
  • 제한적 - Azure RBAC 액세스 권한이 있는 승인된 구독만 서비스를 찾을 수 있습니다.
  • 모두 - 모든 사용자가 서비스를 찾을 수 있습니다.

아니요. 기본 Load Balancer를 통한 Private Link 서비스는 지원되지 않습니다.

아니요. Private Link 서비스에는 전용 서브넷이 필요하지 않습니다. 서비스가 배포된 VNet에서 모든 서브넷을 선택할 수 있습니다.

아니요. Azure Private Link는 이 기능을 제공합니다. 고객의 주소 공간과 겹치지 않는 주소 공간을 확보할 필요는 없습니다.

다음 단계