Azure Private Link 서비스를 사용하면 Azure 가상 네트워크 내에서 가상 머신에서 실행되는 애플리케이션과 같은 자체 애플리케이션을 비공개로 노출할 수 있습니다. Private Link 서비스를 사용하면 자체 네트워크의 다른 Azure 고객 또는 클라이언트가 공용 IP 주소를 사용하지 않고 안전하게 연결할 수 있으므로 트래픽이 Azure 네트워크 내에 유지됩니다.
Azure를 사용하는 경우 안정성은 공유 책임입니다. Microsoft는 복원력 및 복구를 지원하는 다양한 기능을 제공합니다. 이러한 기능이 사용하는 모든 서비스 내에서 작동하는 방식을 이해하고 비즈니스 목표 및 가동 시간 목표를 충족하는 데 필요한 기능을 선택할 책임이 있습니다.
이 문서에서는 Azure Private Link 서비스 및 연결된 프라이빗 엔드포인트를 연결 메커니즘으로 중점합니다. 일시적인 오류, 가용성 영역 중단 및 지역 전체 중단 시의 플랫폼 수준 및 컨트롤 플레인 동작에 대해 설명합니다.
비고
이 문서에서는 사용자 고유의 VM에서 실행하는 애플리케이션에 대한 프라이빗 연결을 가능하게 하는 Azure Private Link 서비스에 중점을 둡니다. 다른 Azure 서비스(예: Azure Storage 또는 Azure SQL Database)와 함께 프라이빗 엔드포인트를 사용하는 경우 프라이빗 엔드포인트에 대한 특정 안정성 정보에 대한 해당 서비스의 안정성 가이드를 검토해야 합니다.
중요합니다
전체 솔루션의 안정성은 Private Link 서비스가 연결하는 백 엔드 서버의 구성에 따라 달라집니다. 솔루션에 따라 Azure VM(가상 머신), Azure 가상 머신 확장 집합 또는 외부 엔드포인트일 수 있습니다. 부하 분산 장치 및 기타 네트워크 구성 요소도 포함됩니다.
백 엔드 서버는 이 문서의 범위에 포함되지 않지만 해당 가용성 구성은 애플리케이션의 복원력에 직접적인 영향을 줍니다. 솔루션에 포함된 모든 Azure 서비스의 안정성 가이드를 검토하여 각 서비스가 안정성 요구 사항을 어떻게 지원하는지 파악합니다. 백 엔드 서버도 고가용성 및 영역 중복을 위해 구성하면 애플리케이션의 엔드투엔드 안정성을 확보할 수 있습니다.
안정성 아키텍처 개요
Private Link 서비스를 사용하면 고객이 Azure의 워크로드에 비공개로 연결할 수 있습니다. 서비스 공급자는 Private Link 서비스 리소스를 배포합니다. 서비스 소비자는 자체 Azure 가상 네트워크에 프라이빗 엔드포인트 를 만듭니다. 이러한 엔드포인트는 프라이빗 링크를 통해 애플리케이션에 안전하고 비공개로 연결됩니다. 이 설정은 소비자가 Azure ExpressRoute 또는 다른 프라이빗 연결 방법을 통해 온-프레미스 환경의 프라이빗 엔드포인트를 사용하는 경우에도 공용 IP 주소를 노출하지 않습니다.
Private Link 서비스는 일반적으로 백 엔드 리소스(가상 머신 또는 가상 머신 확장 집합)를 프런트하는 Azure Load Balancer에 연결됩니다. 프라이빗 링크 서비스 직접 연결(미리 보기)을 사용하면 가상 네트워크 내에서 비공개로 라우팅 가능한 IP 주소에 연결할 수 있습니다. Private Link 서비스 Direct Connect를 사용하는 경우 설명서를 주의 깊게 검토하여 요구 사항, 지역 가용성 및 제한 사항을 이해합니다.
중요합니다
Private Link 서비스 Direct Connect는 현재 미리 보기로 제공됩니다.
베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
일시적인 오류에 대한 복원력
일시적인 오류는 구성 요소에서 짧고 간헐적인 오류입니다. 클라우드와 같은 분산 환경에서 자주 발생하며 작업의 일반적인 부분입니다. 일시적인 오류는 짧은 시간 후에 스스로 수정됩니다. 애플리케이션은 일반적으로 영향을 받는 요청을 다시 시도하여 일시적인 오류를 처리할 수 있는 것이 중요합니다.
모든 클라우드 호스팅 애플리케이션은 클라우드 호스팅 API, 데이터베이스 및 기타 구성 요소와 통신할 때 Azure 임시 오류 처리 지침을 따라야 합니다. 자세한 내용은 임시 오류 처리를 위한 권장 사항을 참조하세요.
또한 표준 Load Balancer를 사용하여 Private Link 서비스를 배포 하는 경우 Azure Load Balancer에 대한 일시적인 오류 처리 권장 사항을 검토하고 일시적인 오류를 처리하도록 부하 분산 장치가 올바르게 구성되었는지 확인합니다.
가용성 영역 오류에 대한 복원력
Private Link 서비스는 가용성 영역을 지원하는 지역에 배포될 때 가용성 영역 오류에 자동으로 복원력이 있습니다. 서비스 공급자는 이 동작을 사용하도록 아무것도 구성할 필요가 없습니다.
프라이빗 엔드포인트는 지역의 가용성 영역에 자동으로 분산됩니다. 서비스 소비자는 다른 영역에 별도의 프라이빗 엔드포인트를 만들 필요가 없습니다.
요구 사항
지역 지원:가용성 영역을 지원하는 모든 지역에 영역 중복 Private Link 서비스를 배포할 수 있습니다.
부하 분산 장치 종속성: Private Link 서비스를 백엔드 부하 분산 장치에서 사용하는 경우, 엔드투엔드 영역 복원력을 확보하기 위해 영역 중복 구성을 해야 합니다. 자세한 내용은 Azure Load Balancer의 안정성을 참조하세요.
비용
Private Link 서비스에 대한 가용성 영역 지원과 관련된 추가 비용은 없습니다.
가용성 영역 지원 구성
가용성 영역 지원은 가용성 영역을 지원하는 지역에 Private Link 서비스를 배포할 때 자동으로 사용하도록 설정됩니다.
모든 영역이 정상인 경우의 동작
이 섹션에서는 가용성 영역 지원을 위해 Private Link 서비스 및 프라이빗 엔드포인트가 구성되고 모든 가용성 영역이 작동할 때 예상되는 사항에 대해 설명합니다.
영역 간 작업: 프라이빗 엔드포인트 및 Private Link 서비스를 통한 트래픽은 가용성 영역을 통해 라우팅될 수 있습니다.
영역 간 데이터 복제: Azure Private Link는 연결에 대한 상태 비정상 서비스이기 때문에 영역 간에 데이터 복제를 수행하지 않습니다.
영역 오류 중 동작
이 섹션에서는 가용성 영역 지원을 위해 Private Link 서비스 및 프라이빗 엔드포인트가 구성되고 가용성 영역 중단이 발생할 때 예상되는 사항에 대해 설명합니다.
- 검색 및 응답: Microsoft는 가용성 영역 오류를 감지하고 서비스 응답을 관리할 책임이 있습니다.
- 통지: 영역이 다운된 경우 Microsoft는 자동으로 알리지 않습니다. 그러나 Azure Service Health 를 사용하여 영역 오류를 포함하여 서비스의 전반적인 상태를 파악할 수 있으며, 문제를 알리도록 Service Health 경고를 설정할 수 있습니다.
활성 요청: 활성 요청은 가용성 영역 오류 중에 종료될 수 있습니다. 서비스 소비자는 다른 일시적인 오류와 유사하게 일시적 중단 후 실패한 요청을 다시 시도해야 합니다.
예상 데이터 손실: Azure Private Link는 연결에 대한 상태 비정상 서비스이므로 데이터 손실이 발생하지 않습니다.
예상 가동 중지 시간: 실패한 영역을 통해 연결하는 기존 연결은 중단될 수 있습니다. 부하 분산 장치 및 애플리케이션 서버와 같은 백 엔드 구성 요소를 계속 사용할 수 있는 한 서비스 소비자는 즉시 연결을 다시 시도할 수 있으며 요청은 다른 영역의 인프라를 통해 라우팅됩니다.
재배포: 단일 가용성 영역이 실패하면 서비스가 정상 영역을 통해 새 트래픽을 라우팅하여 계속 작동합니다.
영향을 받는 가용성 영역의 가상 머신이 계속 작동할 가능성은 낮습니다. 그러나 영역의 가상 머신이 계속 작동하는 동안 영향을 받는 영역에서 Azure Private Link를 사용할 수 없게 하는 부분 영역 오류가 발생하는 경우 영향을 받는 영역의 가상 머신에 대한 아웃바운드 연결은 다른 영역의 Private Link 인프라를 통해 라우팅됩니다.
부하 분산 장치 또는 백 엔드 가상 머신과 같은 종속 구성 요소가 영역 복원력이 없는 경우에도 애플리케이션 가동 중지 시간이 발생할 수 있습니다.
영역 복구
영향을 받는 가용성 영역이 복구되면 Microsoft는 장애 복구 프로세스를 자동으로 관리합니다. 고객이 수행할 작업은 없습니다.
영역 오류 테스트
Private Link 플랫폼은 가용성 영역에서 Private Link 서비스 및 프라이빗 엔드포인트에 대한 트래픽 라우팅, 장애 조치(failover) 및 장애 복구(failback)를 관리합니다. 이 기능은 완전히 관리되므로 가용성 영역 오류 프로세스의 유효성을 검사할 필요가 없습니다.
지역 전체 오류에 대한 복원력
Private Link 서비스는 단일 지역 서비스입니다. 서비스는 다중 지역 기능이나 지역 간 자동 장애 조치를 제공하지 않습니다. Azure 지역을 사용할 수 없게 되면 해당 지역의 Private Link 서비스도 사용할 수 없습니다.
복원력을 위한 사용자 지정 다중 지역 솔루션
여러 지역을 사용하여 네트워킹 접근 방식을 설계하는 경우 사용자(서비스 공급자)는 각 지역에 독립적인 Private Link 서비스를 배포해야 합니다. 각 Private Link 서비스를 배포하고 관리할 책임이 있습니다. 서비스 소비자는 필요에 따라 각 Private Link 서비스에서 프라이빗 엔드포인트를 구성하고 트래픽을 적절한 Private Link 서비스로 라우팅할 책임이 있습니다.
백업 및 복구
Private Link 서비스는 고객 데이터를 저장하지 않으며 백업 또는 복원이 필요하지 않습니다. 구성을 다시 만들려면 네트워킹 리소스에 대한 코드 기반 인프라 템플릿을 유지 관리하는 것이 좋습니다. Private Link 서비스는 구성 전용이며 고객 데이터를 저장하지 않으므로 백업 작업은 신속한 재배포를 위해 코드 기반 인프라 템플릿에 집중해야 합니다.
서비스 수준 약정
Azure 서비스의 SLA(서비스 수준 계약)는 각 서비스의 예상 가용성과 해당 가용성 예상 결과치를 달성하기 위해 솔루션이 충족해야 하는 조건을 설명합니다. 자세한 내용은 온라인 서비스 SLA를 참조하세요.