프라이빗 엔드포인트를 사용하여 온-프레미스 머신 복제

아티클
04/21/2024

Azure Site Recovery를 사용하면 Azure Private Link 프라이빗 엔드포인트를 사용하여 온-프레미스 머신을 Azure의 가상 네트워크에 복제할 수 있습니다. 복구 자격 증명 모음에 대한 프라이빗 엔드포인트 액세스는 모든 Azure 상용 및 정부 지역에서 지원됩니다.

참고 항목

프라이빗 엔드포인트에는 자동 업그레이드가 지원되지 않습니다. 자세히 알아보기.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

머신을 보호하기 위해 Azure Backup Recovery Services 자격 증명 모음을 만듭니다.
자격 증명 모음의 관리 ID를 사용하도록 설정합니다. 온-프레미스에서 Azure 대상 위치로의 트래픽을 복제할 수 있도록 스토리지 계정에 액세스하는 데 필요한 권한을 부여합니다. 스토리지에 대한 관리 ID 액세스 권한은 자격 증명 모음에 대한 프라이빗 링크 액세스를 위해 필요합니다.
프라이빗 엔드포인트에 필요한 DNS 변경을 수행합니다.
가상 네트워크 내에서 자격 증명 모음에 대한 프라이빗 엔드포인트를 만들고 승인합니다.
스토리지 계정에 대한 프라이빗 엔드포인트를 만듭니다. 필요에 따라 스토리지에 대한 퍼블릭 또는 방화벽 적용 액세스를 계속 허용할 수 있습니다. Azure Site Recovery에서는 스토리지에 액세스하기 위한 프라이빗 엔드포인트를 만들 필요가 없습니다.

다음 다이어그램에서는 프라이빗 엔드포인트를 사용한 하이브리드 재해 복구에 대한 복제 워크플로를 보여 줍니다. 온-프레미스 네트워크에는 프라이빗 엔드포인트를 만들 수 없습니다. 프라이빗 링크를 사용하려면 Azure 가상 네트워크(이 문서에서는 바이패스 네트워크라고 함)를 만들고, 온-프레미스 및 바이패스 네트워크 간에 프라이빗 연결을 설정한 다음, 바이패스 네트워크에서 프라이빗 엔드포인트를 만들어야 합니다. 모든 형태의 프라이빗 연결을 선택할 수 있습니다.

Azure Site Recovery 및 프라이빗 엔드포인트의 아키텍처를 보여 주는 다이어그램

필수 구성 요소 및 주의 사항

시작하기 전에 다음 사항에 유의하세요.

프라이빗 링크는 Site Recovery 9.35 이상에서 지원됩니다.
프라이빗 엔드포인트는 해당 Recovery Services 자격 증명 모음에 등록된 항목이 없는 새 자격 증명 모음에 대해서만 만들 수 있습니다. 따라서 자격 증명 모음에 항목을 추가하기 전에 프라이빗 엔드포인트를 만들어야 합니다. 가격 책정 정보는 Azure Private Link 가격 책정을 참조하세요.
자격 증명 모음에 대한 프라이빗 엔드포인트를 만들 때 자격 증명 모음이 잠깁니다. 이러한 자격 증명 모음에는 프라이빗 엔드포인트가 있는 네트워크에서만 액세스할 수 있습니다.
Microsoft Entra ID는 현재 프라이빗 엔드포인트를 지원하지 않습니다. 따라서 보안 Azure 가상 네트워크로부터 지역에서 Microsoft Entra ID가 작동하는 데 필요한 IP 및 정규화된 도메인 이름에 대한 아웃바운드 액세스를 허용해야 합니다. 해당하는 경우 네트워크 보안 그룹 태그 "Microsoft Entra ID" 및 Azure Firewall 태그를 사용하여 Microsoft Entra ID에 대한 액세스를 허용할 수도 있습니다.
프라이빗 엔드포인트를 만드는 바이패스 네트워크에는 5개의 IP 주소가 필요합니다. 자격 증명 모음에 대한 프라이빗 엔드포인트를 만들 때 Site Recovery는 마이크로 서비스에 액세스하기 위해 5개의 프라이빗 링크를 만듭니다.
캐시 스토리지 계정에 대한 프라이빗 엔드포인트 연결을 위해 바이패스 네트워크에서 하나의 추가 IP 주소가 필요합니다. 온-프레미스와 스토리지 계정 엔드포인트 간에 어떤 연결 방법도 사용할 수 있습니다. 예를 들어, 인터넷 또는 Azure ExpressRoute를 사용할 수 있습니다. 프라이빗 링크 설정은 선택 사항입니다. 범용 v2 계정에서만 스토리지에 대한 프라이빗 엔드포인트를 만들 수 있습니다. 범용 v2 계정의 데이터 전송 가격 책정에 대한 자세한 내용은 Azure 페이지 Blob 가격 책정을 참조하세요.

참고 항목

VMware 및 물리적 머신을 보호하기 위해 프라이빗 엔드포인트를 설정하는 동안 구성 서버에 수동으로 MySQL을 설치해야 합니다. 수동 설치를 수행하려면 여기에 있는 단계를 따르세요.

허용되는 URL

VMware VM에 대한 현대화된 환경과 함께 프라이빗 링크를 사용하는 경우 몇 가지 리소스에 대한 퍼블릭 액세스가 필요합니다. 다음은 허용 목록에 포함할 모든 URL입니다. 프록시 기반 구성을 사용하는 경우 URL을 조회하는 동안 수신된 CNAME 레코드를 프록시가 확인해야 합니다.

URL	세부 정보
portal.azure.com	Azure Portal로 이동합니다.
`.windows.net` `.msftauth.net` `.msauth.net` `.microsoft.com` `.live.com` `.office.com`	Azure 구독에 로그인하려면.
`.microsoftonline.com` `.microsoftonline-p.com`	어플라이언스용 Microsoft Entra 애플리케이션을 만들어 Azure Site Recovery와 통신합니다.
`management.azure.com`	Azure Resource Manager 배포 및 작업에 사용됩니다.
`*.siterecovery.windowsazure.com`	Site Recovery 서비스에 연결하는 데 사용됩니다.

정부 클라우드에 대한 복제를 사용하도록 설정할 때 지속적인 연결을 위해 다음 URL이 허용되고 Azure Site Recovery 복제 어플라이언스에서 연결할 수 있는지 확인합니다.

Fairfax URL	Mooncake URL	세부 정보
`login.microsoftonline.us/*` `graph.windows.net`	`login.microsoftonline.cn` `graph.chinacloudapi.cn`	Azure 구독에 로그인하려면.
`*.portal.azure.us`	`*.portal.azure.cn`	Azure Portal로 이동합니다.
`management.usgovcloudapi.net`	`management.chinacloudapi.cn`	어플라이언스용 Microsoft Entra 애플리케이션을 만들어 Azure Site Recovery 서비스와 통신합니다.

사이트 복구를 위한 프라이빗 엔드포인트 만들기 및 사용

다음 섹션에서는 가상 네트워크에서 사이트 복구를 위한 프라이빗 엔드포인트를 만들고 사용하기 위해 수행해야 하는 단계에 대해 설명합니다.

참고 항목

이러한 단계를 표시된 순서대로 따르는 것이 좋습니다. 그러지 않으면 자격 증명 모음에서 프라이빗 엔드포인트를 사용하지 못할 수 있으며 새 자격 증명 모음을 사용하여 프로세스를 다시 시작해야 할 수 있습니다.

Recovery Services 자격 증명 모음 만들기

Recovery Services 자격 증명 모음에는 머신의 복제 정보가 포함됩니다. Site Recovery 작업을 트리거하는 데 사용됩니다. 재해가 발생한 경우 장애 조치(failover)하려는 Azure 지역에서 Recovery Services 자격 증명 모음을 만드는 방법에 대한 내용은 Recovery Services 자격 증명 모음 만들기를 참조하세요.

자격 증명 모음에 관리 ID 사용

관리 ID를 사용하면 자격 증명 모음에서 스토리지 계정에 액세스할 수 있습니다. Site Recovery는 사용자의 요구 사항에 따라 대상 스토리지 및 캐시/로그 스토리지 계정에 액세스해야 할 수 있습니다. 관리 ID 액세스는 자격 증명 모음에 프라이빗 링크 서비스를 사용하는 경우에 필요합니다.

Recovery Services 자격 증명 모음으로 이동합니다. 설정 아래에서 ID를 선택합니다.
상태를 켜기로 변경하고 저장을 선택합니다.

개체 ID가 생성됩니다. 이제 자격 증명 모음이 Microsoft Entra ID에 등록됩니다.

Recovery Services 자격 증명 모음에 대한 프라이빗 엔드포인트 만들기

온-프레미스 원본 네트워크의 머신을 보호하려면 바이패스 네트워크에서 자격 증명 모음에 대한 하나의 프라이빗 엔드포인트가 필요합니다. Azure Portal에서 Private Link 센터를 사용하거나 Azure PowerShell을 사용하여 프라이빗 엔드포인트를 만듭니다.

프라이빗 엔드포인트를 만들려면 다음 단계를 수행합니다.

Azure Portal에서 리소스 만들기를 선택합니다.
Azure Marketplace에서 프라이빗 링크를 검색합니다.
검색 결과에서 프라이빗 링크를 선택하고 Backup 및 Site Recovery 페이지에서 만들기를 선택합니다.
왼쪽 창에서 프라이빗 엔드포인트를 선택합니다. 프라이빗 엔드포인트 페이지에서 만들기를 선택하여 자격 증명 모음에 대한 프라이빗 엔드포인트 만들기를 시작합니다.
프라이빗 엔드포인트 만들기 페이지의 기본>프로젝트 세부 정보 섹션에서 다음을 수행합니다.
1. 구독에서 Contoso Environment를 선택합니다.
2. 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 예를 들면 ContosoCloudRG입니다.
프라이빗 엔드포인트 만들기 페이지의 기본>인스턴스 세부 정보 섹션에서 다음을 수행합니다.
1. 이름에 자격 증명 모음을 식별하기 위한 이름을 입력합니다. 예를 들어 ContosoPrivateEP입니다.
2. 네트워크 인터페이스 이름은 이전 단계의 이름 선택에 따라 자동으로 채워집니다.
3. 지역에서 바이패스 네트워크에 사용한 지역을 사용합니다. 예를 들어 (유럽)영국 남부입니다.
4. 다음을 선택합니다.
리소스 섹션에서 다음을 수행합니다.
1. 연결 방법에서 내 디렉터리의 Azure 리소스에 연결을 선택합니다.
2. 구독에서 Contoso Environment를 선택합니다.
3. 선택한 구독에 대한 리소스 종류에서 Microsoft.RecoveryServices/vaults를 선택합니다.
4. 리소스에서 Recovery Services 자격 증명 모음의 이름을 선택합니다.
5. 대상 하위 리소스로 Azure Site Recovery를 선택합니다.
6. 다음을 선택합니다.
Virtual Network 섹션에서 다음을 수행합니다.
1. 가상 네트워크에서 바이패스 네트워크를 선택합니다.
2. 서브넷에서 프라이빗 엔드포인트를 만들려는 서브넷을 지정합니다.
3. 개인 IP 구성에서 기본 선택을 유지합니다.
4. 다음을 선택합니다.
DNS 섹션에서 다음을 수행합니다.
1. 예를 선택하여 프라이빗 DNS 영역과의 통합을 사용하도록 설정합니다.
  
  참고 항목
  
  예를 선택하면 자동으로 영역을 바이패스 네트워크에 연결합니다. 이 작업은 또한 프라이빗 엔드포인트에 대해 만든 새 IP 및 정규화된 도메인 이름의 DNS 확인에 필요한 DNS 레코드도 추가합니다.
2. 기존 DNS 영역을 선택하거나 새로 만듭니다.
동일한 자격 증명 모음에 연결하는 모든 새 프라이빗 엔드포인트에 대한 새 DNS 영역을 만들도록 선택해야 합니다. 기존 프라이빗 DNS 영역을 선택하는 경우 이전 CNAME 레코드를 덮어씁니다. 계속하기 전에 프라이빗 엔드포인트 지침을 참조하세요.

환경에 허브 및 스포크 모델이 있는 경우 전체 설정을 위한 하나의 프라이빗 엔드포인트 및 하나의 프라이빗 DNS 영역만 있으면 됩니다. 이미 모든 가상 네트워크 간에 피어링이 사용하도록 설정되어 있기 때문입니다. 자세한 내용은 프라이빗 엔드포인트 DNS 통합을 참조하세요.

프라이빗 DNS 영역을 수동으로 만들려면 수동으로 프라이빗 DNS 영역 만들기 및 DNS 레코드 추가의 단계를 따르세요.
태그 섹션에서 프라이빗 엔드포인트에 대한 태그를 추가할 수 있습니다.
검토 + 만들기 유효성 검사가 완료되면 만들기를 선택하여 프라이빗 엔드포인트를 만듭니다.

프라이빗 엔드포인트를 만들 때 5개의 FQDN(정규화된 도메인 이름)이 프라이빗 엔드포인트에 추가됩니다. 이러한 링크를 통해 온-프레미스 네트워크의 머신은 바이패스 네트워크를 통해 자격 증명 모음 컨텍스트에서 필요한 모든 Site Recovery 마이크로 서비스에 액세스할 수 있습니다. 바이패스 네트워크 및 모든 피어링 네트워크에서 모든 Azure 머신의 보호를 위해 동일한 프라이빗 엔드포인트를 사용할 수 있습니다.

5개의 도메인 이름은 다음 패턴으로 형식이 지정됩니다.

{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com

사이트 복구를 위한 프라이빗 엔드포인트 승인

프라이빗 엔드포인트를 만들려고 하며 Recovery Services 자격 증명 모음의 소유자이기도 한 경우 이전에 만든 프라이빗 엔드포인트가 몇 분 내에 자동으로 승인됩니다. 그렇지 않으면 자격 증명 모음 소유자가 프라이빗 엔드포인트를 승인해야 해당 엔드포인트를 사용할 수 있습니다. 요청된 프라이빗 엔드포인트 연결을 승인하거나 거부하려면 복구 자격 증명 모음 페이지의 설정에서 프라이빗 엔드포인트 연결로 이동합니다.

계속하기 전에 프라이빗 엔드포인트 리소스로 이동하여 연결 상태를 검토할 수 있습니다.

자격 증명 모음의 프라이빗 엔드포인트 연결 페이지와 연결 목록을 보여 주는 스크린샷

(선택 사항) 캐시 스토리지 계정에 대한 프라이빗 엔드포인트 만들기

Azure Storage에 대해 프라이빗 엔드포인트를 사용할 수 있습니다. Azure Site Recovery 복제를 위해 스토리지 액세스에 대한 프라이빗 엔드포인트를 만드는 것은 선택 사항입니다. 스토리지에 대한 프라이빗 엔드포인트를 만드는 경우 바이패스 가상 네트워크의 캐시/로그 스토리지 계정에 대해 프라이빗 엔드포인트가 필요합니다.

참고 항목

스토리지 계정에서 프라이빗 엔드포인트를 사용하도록 설정하지 않은 경우에도 성공적으로 보호됩니다. 그러나 복제 트래픽은 인터넷을 통해 Azure Site Recovery 퍼블릭 엔드포인트로 전송됩니다. 복제 트래픽이 프라이빗 링크를 통해 전달되도록 하려면 프라이빗 엔드포인트에서 스토리지 계정을 사용하도록 설정해야 합니다.

참고 항목

범용 v2 스토리지 계정에서만 스토리지에 대한 프라이빗 엔드포인트를 만들 수 있습니다. 가격 책정 정보는 Azure 페이지 Blob 가격 책정을 참조하세요.

프라이빗 스토리지 만들기에 대한 지침에 따라 프라이빗 엔드포인트를 사용하여 스토리지 계정을 만듭니다. 프라이빗 DNS 영역과 통합에서 예를 선택해야 합니다. 기존 DNS 영역을 선택하거나 새로 만듭니다.

자격 증명 모음에 필요한 권한 부여

설정에 따라 대상 Azure 지역에 하나 이상의 스토리지 계정이 필요할 수 있습니다. 그런 다음, Site Recovery에 필요한 모든 캐시/로그 스토리지 계정에 대한 관리 ID 권한을 부여합니다. 이 경우 필요한 스토리지 계정을 미리 만들어야 합니다.

가상 머신의 복제를 사용하도록 설정하기 전에 스토리지 계정 유형에 따라 자격 증명 모음의 관리 ID에 다음 역할 권한이 있어야 합니다.

Resource Manager 기반 스토리지 계정(표준 유형):
- 기여자
- Storage Blob 데이터 Contributor
Resource Manager 기반 스토리지 계정(프리미엄 유형):
- 기여자
- Storage Blob 데이터 소유자
클래식 스토리지 계정:
- 클래식 Storage 계정 기여자
- 클래식 스토리지 계정 키 운영자 서비스 역할

다음 단계에서는 스토리지 계정에 역할 할당을 추가하는 방법을 설명합니다. 세부 단계에 대해서는 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.

스토리지 계정으로 이동합니다.
액세스 제어(IAM) 를 선택합니다.
추가 > 역할 할당 추가를 선택합니다.
역할 탭에서 이 섹션의 시작 부분에 나열된 역할 중 하나를 선택합니다.
멤버 탭에서 관리 ID를 선택한 다음, 멤버 선택을 선택합니다.
Azure 구독을 선택합니다.
시스템 할당 관리 ID를 선택하고 자격 증명 모음을 검색한 다음, 선택합니다.
검토 + 할당 탭에서 검토 + 할당을 선택하여 역할을 할당합니다.

이러한 권한 외에도 신뢰할 수 있는 Microsoft 서비스에 대한 액세스를 허용해야 합니다. 이렇게 하려면 다음 단계를 수행합니다.

방화벽 및 가상 네트워크로 이동합니다.
예외에서 신뢰할 수 있는 Microsoft 서비스가 이 스토리지 계정에 액세스하도록 허용을 선택합니다.

가상 머신 보호

위의 작업을 완료한 후 온-프레미스 인프라의 설정을 계속 진행합니다. 다음 작업 중 하나를 완료하여 계속합니다.

설치가 완료되면 원본 머신에 대한 복제를 사용하도록 설정합니다. 바이패스 네트워크에서 자격 증명 모음에 대한 프라이빗 엔드포인트를 만들 때까지 인프라를 설정하지 마세요.

수동으로 프라이빗 DNS 영역 만들기 및 DNS 레코드 추가

자격 증명 모음에 대한 프라이빗 엔드포인트를 만들 때 프라이빗 DNS 영역과 통합하는 옵션을 선택하지 않은 경우 이 섹션의 단계를 따릅니다.

Site Recovery 공급자(Hyper-V 머신의 경우) 또는 프로세스 서버(VMware/물리적 머신의 경우)에서 프라이빗 FQDN을 개인 IP로 확인할 수 있도록 하나의 프라이빗 DNS 영역을 만듭니다.

프라이빗 DNS 영역 만들기.
1. 전체 서비스 검색 상자에서 프라이빗 DNS 영역을 검색한 다음, 결과에서 프라이빗 DNS 영역을 선택합니다.
2. 프라이빗 DNS 영역 페이지에서 추가 단추를 선택하여 새 영역 만들기를 시작합니다.
3. 프라이빗 DNS 영역 만들기 페이지에서 필요한 세부 정보를 입력합니다. 프라이빗 DNS 영역 이름으로 privatelink.siterecovery.windowsazure.com을 입력합니다. 임의 리소스 그룹 및 구독을 선택할 수 있습니다.
4. 검토 + 만들기 탭으로 이동하여 DNS 영역을 검토하고 만듭니다.
5. VMware 또는 실제 컴퓨터를 보호하기 위해 현대화된 아키텍처를 사용하는 경우 privatelink.prod.migration.windowsazure.com에 대한 또 다른 프라이빗 DNS 영역을 만들어야 합니다. 이 엔드포인트는 Site Recovery에서 온-프레미스 환경 검색을 수행하는 데 사용됩니다.
  
  Important
  
  Azure GOV 사용자의 경우 DNS 영역에 privatelink.prod.migration.windowsazure.us를 추가합니다.
프라이빗 DNS 영역을 가상 네트워크에 연결하려면 다음 단계를 수행합니다.
1. 이전 단계에서 만든 프라이빗 DNS 영역으로 이동한 후 왼쪽 창에 있는 가상 네트워크 링크로 이동합니다. 추가를 선택합니다.
2. 필수 세부 정보를 입력합니다. 구독 및 가상 네트워크 목록에서 바이패스 네트워크에 해당하는 세부 정보를 선택합니다. 다른 필드에는 기본값을 그대로 둡니다.
DNS 레코드를 추가합니다.

이제 필요한 프라이빗 DNS 영역 및 프라이빗 엔드포인트를 만들었으므로 DNS 영역에 DNS 레코드를 추가해야 합니다.

참고 항목

사용자 지정 프라이빗 DNS 영역을 사용하는 경우 다음 단계에 설명된 것과 유사하게 입력해야 합니다.

이 단계에서는 프라이빗 DNS 영역에 프라이빗 엔드포인트의 각 FQDN에 대한 항목을 입력해야 합니다.
1. 프라이빗 DNS 영역으로 이동한 다음, 왼쪽 창에서 개요 섹션으로 이동합니다. 레코드 집합을 선택하여 레코드 추가를 시작합니다.
2. 레코드 집합 추가 페이지에서 각 정규화된 도메인 이름 및 개인 IP 항목을 A 형식 레코드로 추가합니다. 개요의 프라이빗 엔드포인트 페이지에서 정규화된 도메인 이름 및 IP 목록을 가져올 수 있습니다. 다음 스크린샷에 표시된 것처럼 프라이빗 엔드포인트의 첫 번째 정규화된 도메인 이름이 프라이빗 DNS 영역의 레코드 집합에 추가됩니다.
  
  이러한 정규화된 도메인 이름은 {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.siterecovery.windowsazure.com 패턴과 일치합니다.