가상 네트워크 서비스 태그

서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다.

서비스 태그를 사용하여 네트워크 보안 그룹, Azure Firewall 및 사용자 정의 경로에서 네트워크 액세스 제어를 정의할 수 있습니다. 보안 규칙 및 경로를 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다. 서비스 태그 이름(예: ApiManagement)을 보안 규칙의 적절한 원본 또는 대상 필드에 지정하면 해당 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다. 경로의 주소 접두사에 서비스 태그 이름을 지정하면 서비스 태그로 캡슐화된 접두사에 대한 트래픽을 원하는 다음 홉 유형으로 라우팅할 수 있습니다.

참고

2022년 3월 현재, 사용자 정의 경로에서 명시적 주소 접두사 대신 서비스 태그를 사용하는 것은 미리 보기가 아니며 일반 공급됩니다.

퍼블릭 엔드포인트가 있는 Azure 서비스에 액세스하면서, 서비스 태그를 사용하여 네트워크 격리를 수행하고 일반 인터넷에서 Azure 리소스를 보호할 수 있습니다. 인바운드/아웃바운드 네트워크 보안 그룹 규칙을 만들어 인터넷에서 들어오고 나가는 트래픽을 거부하고 AzureCloud 또는 특정 Azure 서비스의 다른 사용 가능한 서비스 태그에서 들어오고 나가는 트래픽을 허용합니다.

서비스 태그를 사용하여 Azure 서비스의 네트워크 격리

사용 가능한 서비스 태그

다음 표에는 네트워크 보안 그룹 규칙에서 사용할 수 있는 모든 서비스 태그가 나와 있습니다.

열은 태그가 다음에 해당하는지 여부를 나타냅니다.

  • 인바운드 또는 아웃바운드 트래픽을 포함하는 규칙에 적합합니다.
  • 지역 범위를 지원합니다.
  • Azure Firewall 규칙에서 인바운드 또는 아웃바운드 트래픽에 대해서만 대상 규칙으로 사용할 수 있습니다.

기본적으로 서비스 태그는 전체 클라우드의 범위를 반영합니다. 일부 서비스 태그는 해당 IP 범위를 지정된 지역으로 제한하여 보다 자세히 제어할 수 있습니다. 예를 들어, 서비스 태그 Storage는 전체 클라우드의 Azure Storage를 나타내지만 Storage.WestUS는 범위를 WestUS 지역의 스토리지 IP 주소 범위로 좁힙니다. 다음 표에서는 각 서비스 태그가 이러한 지역 범위를 지원하는지 여부를 나타내며 각 태그에 대해 나열된 방향이 권장 사항입니다. 예를 들어 AzureCloud 태그를 사용하여 인바운드 트래픽을 허용할 수 있습니다. 대부분의 시나리오에서는 다른 Azure 고객이 사용하는 IP가 서비스 태그의 일부로 포함되어 있으므로 모든 Azure IP의 트래픽을 허용하지 않는 것이 좋습니다.

태그 목적 인바운드 또는 아웃바운드를 사용할 수 있나요? 지역 범위를 지원할 수 있나요? Azure Firewall에서 사용할 수 있나요?
ActionGroup 작업 그룹입니다. 인바운드
ApiManagement Azure API Management 전용 배포에 대한 관리 트래픽입니다.

참고: 이 태그는 지역별 제어 평면에 대한 Azure API Management 서비스 엔드포인트를 나타냅니다. 이 태그를 사용하면 고객이 API Management 서비스에 구성된 API, 작업, 정책, 명명된 값에 대해 관리 작업을 수행할 수 있습니다.
인바운드
ApplicationInsightsAvailability Application Insights 가용성입니다. 인바운드
AppConfiguration 앱 구성입니다. 아웃바운드
AppService Azure App Service 이 태그는 웹앱 및 함수 앱에 대한 아웃바운드 보안 규칙에 권장됩니다.

참고: 이 태그에는 IP 기반 SSL(앱 할당 주소)을 사용할 때 할당된 IP 주소가 포함되지 않습니다.
아웃바운드
AppServiceManagement App Service Environment 전용 배포에 대한 관리 트래픽입니다. 모두
AutonomousDevelopmentPlatform 자율 개발 플랫폼 모두
AzureActiveDirectory Azure Active Directory. 아웃바운드
AzureActiveDirectoryDomainServices Azure Active Directory Domain Services 전용 배포에 대한 관리 트래픽 모두
AzureAdvancedThreatProtection Azure Advanced Threat Protection 아웃바운드
AzureArcInfrastructure Azure Arc 지원 서버, Azure Arc 지원 Kubernetes 및 게스트 구성 트래픽.

참고: 이 태그에는 AzureActiveDirectory,AzureTrafficManagerAzureResourceManager 태그에 대한 종속성이 있습니다.
아웃바운드
AzureAttestation Azure Attestation. 아웃바운드
AzureBackup Azure Backup

참고: 이 태그는 StorageAzureActiveDirectory 태그에 종속됩니다.
아웃바운드
AzureBotService Azure Bot Service 아웃바운드
AzureCloud 모든 데이터 센터 퍼블릭 IP 주소입니다. 모두
AzureCognitiveSearch Azure Cognitive Search.

이 태그 또는 이 태그가 적용되는 IP 주소를 사용하여 데이터 원본에 대한 보안 액세스 권한을 인덱서에 부여할 수 있습니다. 인덱서에 대한 자세한 내용은 인덱서 연결 설명서를 참조하세요.

참고: 검색 서비스의 IP는 이 서비스 태그의 IP 범위 목록에 포함되지 않으므로 데이터 원본의 IP 방화벽에도 추가해야 합니다.
인바운드
AzureConnectors 이 태그는 Azure Logic Apps 서비스에 대한 인바운드 웹후크 콜백과 Azure Storage 또는 Azure Event Hubs와 같은 해당 서비스에 대한 아웃바운드 호출을 수행하는 관리되는 커넥터의 IP 주소를 나타냅니다. 모두 Yes
AzureContainerAppsService Azure Container Apps Service 모두 아니요
AzureContainerRegistry Azure Container Registry입니다. 아웃바운드
AzureCosmosDB Azure Cosmos DB 아웃바운드
AzureDatabricks Azure Databricks입니다. 모두
AzureDataExplorerManagement Azure Data Explorer 관리 기능입니다. 인바운드
AzureDataLake Azure Data Lake Storage Gen1입니다. 아웃바운드
AzureDeviceUpdate IoT Hub용 디바이스 업데이트. 모두
AzureDevSpaces Azure Dev Spaces입니다. 아웃바운드
AzureDevOps Azure DevOps. 인바운드
AzureDigitalTwins Azure Digital Twins.

참고: 이 태그 또는 이 태그에 포함된 IP 주소를 사용하여 이벤트 경로에 구성된 엔드포인트에 대한 액세스를 제한할 수 있습니다.
인바운드
AzureEventGrid Azure Event Grid. 모두
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door입니다. 모두 아니요
AzureHealthcareAPIs 이 태그가 적용되는 IP 주소는 Azure Health Data Services에 대한 액세스를 제한하는 데 사용할 수 있습니다. 모두
AzureInformationProtection Azure Information Protection입니다.

참고: 이 태그는 AzureActiveDirectory, AzureFrontDoor.FrontendAzureFrontDoor.FirstParty 태그에 종속됩니다.
아웃바운드
AzureIoTHub Azure IoT Hub입니다. 아웃바운드
AzureKeyVault Azure Key Vault.

참고: 이 태그는 AzureActiveDirectory 태그에 종속됩니다.
아웃바운드
AzureLoadBalancer Azure 인프라 부하 분산 장치입니다. 이 태그는 Azure의 상태 프로브가 시작되는 호스트의 가상 IP 주소(168.63.129.16)로 변환됩니다. 이는 백엔드 리소스에 대한 실제 트래픽이 아닌 프로브 트래픽만 포함합니다. Azure Load Balancer를 사용하지 않는 경우 이 규칙을 재정의할 수 있습니다. 모두 아니요
AzureLoadTestingInstanceManagement 이 서비스 태그는 Azure Load Testing 서비스에서 프라이빗 부하 테스트 시나리오에서 가상 네트워크에 삽입된 부하 생성 인스턴스로의 인바운드 연결에 사용됩니다.

참고: 이 태그는 인바운드 연결을 위해 Azure Firewall, NSG, UDR 및 기타 모든 게이트웨이에서 사용됩니다.
아니요
AzureMachineLearning Azure Machine Learning입니다. 모두
AzureMonitor Log Analytics, Application Insights, AzMon 및 사용자 지정 메트릭(GIG 엔드포인트)입니다.

참고: Log Analytics의 경우, 스토리지 태그도 필요합니다. Linux 에이전트를 사용하는 경우 GuestAndHybridManagement 태그도 필요합니다.
아웃바운드
AzureOpenDatasets Azure Open Datasets입니다.

참고: 이 태그는 AzureFrontDoor.FrontendStorage 태그에 종속됩니다.
아웃바운드
AzurePlatformDNS 기본 인프라(기본값) DNS 서비스입니다.

이 태그를 사용하여 기본 DNS를 사용하지 않도록 설정할 수 있습니다. 이 태그를 사용할 때는 주의해야 합니다. Azure 플랫폼 고려 사항을 읽어 보는 것이 좋습니다. 또한 이 태그를 사용하기 전에 테스트를 수행하는 것이 좋습니다.
아웃바운드
AzurePlatformIMDS 기본 인프라 서비스인 Azure IMDS(Instance Metadata Service)입니다.

이 태그를 사용하여 기본 IMDS를 사용하지 않도록 설정할 수 있습니다. 이 태그를 사용할 때는 주의해야 합니다. Azure 플랫폼 고려 사항을 읽어 보는 것이 좋습니다. 또한 이 태그를 사용하기 전에 테스트를 수행하는 것이 좋습니다.
아웃바운드
AzurePlatformLKM Windows 라이선스 또는 키 관리 서비스입니다.

이 태그를 사용하여 라이선스에 대한 기본값을 사용하지 않도록 설정할 수 있습니다. 이 태그를 사용할 때는 주의해야 합니다. Azure 플랫폼 고려 사항을 읽어 보는 것이 좋습니다. 또한 이 태그를 사용하기 전에 테스트를 수행하는 것이 좋습니다.
아웃바운드
AzureResourceManager Azure Resource Manager입니다. 아웃바운드
AzureSentinel Microsoft Sentinel. 인바운드
AzureSignalR Azure SignalR입니다. 아웃바운드
AzureSiteRecovery Azure Site Recovery입니다.

참고: 이 태그는 AzureActiveDirectory, AzureKeyVault, EventHub,GuestAndHybridManagementStorage 태그에 종속됩니다.
아웃바운드 아니요
AzureSphere 이 태그 또는 이 태그에서 다루는 IP 주소를 사용하여 Azure Sphere Security Services에 대한 액세스를 제한할 수 있습니다. 모두
AzureStack Azure Stack Bridge 서비스.
이 태그는 지역별 Azure Stack Bridge 서비스 엔드포인트를 나타냅니다.
아웃바운드
AzureTrafficManager Azure Traffic Manager 프로브 IP 주소입니다.

Traffic Manager 프로브 IP 주소에 대한 자세한 내용은 Azure Traffic Manager FAQ를 참조하세요.
인바운드
AzureUpdateDelivery Windows 업데이트에 액세스합니다.

참고: 이 태그는 Windows 업데이트 메타데이터 서비스에 대한 액세스를 제공합니다. 업데이트를 성공적으로 다운로드하려면 AzureFrontDoor.FirstParty 서비스 태그를 사용하도록 설정하고 다음과 같이 정의된 프로토콜과 포트를 사용하여 아웃바운드 보안 규칙을 구성해야 합니다.
  • AzureUpdateDelivery: TCP, 포트 443
  • AzureFrontDoor.FirstParty: TCP, 포트 80
아웃바운드 아니요
AzureWebPubSub AzureWebPubSub 모두 아니요
BatchNodeManagement Azure Batch 전용 배포에 대한 관리 트래픽입니다. 모두
ChaosStudio Azure Chaos Studio.

참고: Chaos Agent에서 Application Insights 통합을 사용하도록 설정한 경우 AzureMonitor 태그도 필요합니다.
모두
CognitiveServicesManagement Azure Cognitive Services에 대한 트래픽 주소 범위입니다. 모두
DataFactory Azure 데이터 팩터리 모두
DataFactoryManagement Azure Data Factory에 대한 관리 트래픽입니다. 아웃바운드
Dynamics365ForMarketingEmail Dynamics 365 마케팅 메일 서비스의 주소 범위입니다. 아웃바운드 아니요
EOPExternalPublishedIPs 이 태그는 보안 및 준수 센터 PowerShell에 사용되는 IP 주소를 나타냅니다. 자세한 내용은 EXO V2 모듈을 사용하여 보안 및 준수 센터 PowerShell에 연결을 참조하세요. 모두
EventHub Azure Event Hubs입니다. 아웃바운드
GatewayManager Azure VPN Gateway 및 Application Gateway 전용 배포에 대한 관리 트래픽입니다. 인바운드
GuestAndHybridManagement Azure Automation 및 게스트 구성입니다. 아웃바운드
HDInsight Azure HDInsight. 인바운드
인터넷 가상 네트워크 외부에 있으며 공용 인터넷으로 연결할 수 있는 IP 주소 공간입니다.

주소 범위에는 Azure에서 소유하는 퍼블릭 IP 주소 공간이 포함됩니다.
모두
LogicApps Logic Apps입니다. 모두
LogicAppsManagement Logic Apps에 대한 관리 트래픽입니다. 인바운드 아니요
M365ManagementActivityApi Office 365 Management Activity API는 Office 365 및 Azure Active Directory 활동 로그의 다양한 사용자, 관리자, 시스템 및 정책 작업 및 이벤트 관련 정보를 제공합니다. 고객과 파트너는 이 정보를 사용하여 엔터프라이즈에 대한 기존 작업, 보안 및 규정 준수 모니터링 솔루션을 개선하거나 새로 만들 수 있습니다.

참고: 이 태그는 AzureActiveDirectory 태그에 종속됩니다.
아웃바운드
M365ManagementActivityApiWebhook 새 콘텐츠를 사용할 수 있게 되면 구독에 대해 구성된 webhook로 알림이 전송됩니다. 인바운드 아니요
MicrosoftAzureFluidRelay 이 태그는 Azure Microsoft Fluid Relay Server에 사용되는 IP 주소를 나타냅니다. 아웃바운드
MicrosoftCloudAppSecurity 클라우드용 Microsoft Defender 앱 아웃바운드
MicrosoftContainerRegistry Microsoft 컨테이너 이미지용 컨테이너 레지스트리입니다.

참고: 이 태그는 AzureFrontDoor.FirstParty 태그에 종속됩니다.
아웃바운드
PowerBI 게시합니다. 모두 아니요
PowerPlatformInfra 이 태그는 Power Platform 서비스를 호스트하는 인프라에서 사용하는 IP 주소를 나타냅니다. 아웃바운드
PowerPlatformPlex 이 태그는 고객을 대신하여 Power Platform 확장 실행을 호스트하기 위해 인프라에서 사용하는 IP 주소를 나타냅니다. 인바운드
PowerQueryOnline 파워 쿼리 온라인입니다. 모두
Service Bus 프리미엄 서비스 계층을 사용하는 Azure Service Bus 트래픽입니다. 아웃바운드
ServiceFabric Azure Service Fabric입니다.

참고: 이 태그는 지역별 제어 평면에 대한 Service Fabric 서비스 엔드포인트를 나타냅니다. 이를 통해 고객은 VNET 엔드포인트에서 Service Fabric 클러스터에 대한 관리 작업을 수행할 수 있습니다. (예: https:// westus.servicefabric.azure.com)
모두
Sql Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB 및 Azure Synapse Analytics.

참고: 이 태그는 서비스의 특정 인스턴스가 아니라 서비스를 나타냅니다. 예를 들어 태그는 특정 SQL 데이터베이스 또는 서버가 아닌 Azure SQL Database 서비스를 나타냅니다. 이 태그는 SQL Managed Instance에 적용되지 않습니다.
아웃바운드
SqlManagement SQL 전용 배포에 대한 관리 트래픽입니다. 모두
스토리지 Azure Storage.

참고: 이 태그는 서비스의 특정 인스턴스가 아니라 서비스를 나타냅니다. 예를 들어 태그는 특정 Azure Storage 계정이 아닌 Azure Storage 서비스를 나타냅니다.
아웃바운드
StorageSyncService 스토리지 동기화 서비스입니다. 모두 아니요
WindowsAdminCenter Windows Admin Center 백 엔드 서비스가 고객의 Windows Admin Center 설치와 통신하도록 허용합니다. 아웃바운드
WindowsVirtualDesktop Azure Virtual Desktop(이전의 Windows Virtual Desktop). 모두
VirtualNetwork 가상 네트워크 주소 공간(가상 네트워크에 대해 정의된 모든 IP 주소 범위), 연결된 모든 온-프레미스 주소 공간 및 피어링된 가상 네트워크 또는 가상 네트워크 게이트웨이에 연결된 가상 네트워크, 사용자 정의 경로에 사용되는 호스트의 가상 IP 주소입니다. 이 태그에는 기본 경로가 포함될 수도 있습니다. 모두

참고

  • Azure Firewall에서 서비스 태그를 사용하는 경우 인바운드 및 아웃바운드 트래픽에 대한 대상 규칙만 만들 수 있습니다. 원본 규칙은 지원되지 않습니다. 자세한 내용은 Azure Firewall 서비스 태그 설명서를 참조하세요.

  • Azure 서비스의 서비스 태그는 사용되는 특정 클라우드의 주소 접두사를 나타냅니다. 예를 들어, Azure 퍼블릭 클라우드의 Sql 태그 값에 해당하는 기본 IP 범위는 Azure 중국 클라우드의 기본 범위와 다릅니다.

  • Azure Storage 또는 Azure SQL Database와 같은 서비스에 가상 네트워크 서비스 엔드포인트를 구현하는 경우 Azure는 서비스의 가상 네트워크 서브넷에 경로를 추가합니다. 경로의 주소 접두사는 해당하는 서비스 태그와 동일한 주소 접두사 또는 CIDR 범위입니다.

클래식 배포 모델에서 지원되는 태그

클래식 배포 모델(Azure Resource Manager 이전)에서는 이전 표에 나열된 태그 중 일부만 지원합니다. 클래식 배포 모델의 태그는 다음 표와 같이 철자가 다릅니다.

Resource Manager 태그 클래식 배포 모델의 해당 태그
AzureLoadBalancer AZURE_LOADBALANCER
인터넷 인터넷
VirtualNetwork VIRTUAL_NETWORK

온-프레미스 서비스 태그

온-프레미스 방화벽 구성의 일부로 포함할 현재 서비스 태그 및 범위 정보를 얻을 수 있습니다. 이 정보는 각 서비스 태그에 해당하는 IP 범위의 현재 지정 시간 목록입니다. 다음 섹션에 설명된 대로 프로그래밍 방식으로 또는 JSON 파일 다운로드를 통해 이 정보를 가져올 수 있습니다.

서비스 태그 검색 API

IP 주소 범위 세부 정보와 함께 서비스 태그의 현재 목록을 프로그래밍 방식으로 검색할 수 있습니다.

예를 들어 스토리지 서비스 태그에 대한 모든 접두사를 검색하려면 다음 PowerShell cmdlet을 사용합니다.

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

참고

  • API 데이터는 해당 지역의 NSG 규칙과 함께 사용할 수 있는 태그를 나타냅니다. API 데이터는 다운로드 가능한 JSON 파일과 다를 수 있으므로 사용 가능한 서비스 태그에 대한 정보 원본으로 사용합니다.
  • 새 서비스 태그 데이터가 모든 Azure 지역의 API 결과에 전파될 때까지 최대 4주가 소요됩니다. 이 프로세스로 인해 API 데이터가 현재 다운로드 가능한 JSON 파일에 있는 태그의 하위 집합을 나타내므로 API 데이터 결과가 다운로드 가능한 JSON 파일과 동기화되지 않을 수 있습니다.
  • 사용자는 인증을 받아야 하며 현재 구독에 대한 읽기 권한이 있는 역할이 있어야 합니다.

다운로드 가능한 JSON 파일을 사용하여 서비스 태그 검색

현재 서비스 태그 목록이 포함된 JSON 파일을 IP 주소 범위 정보와 함께 다운로드할 수 있습니다. 이러한 목록은 매주 업데이트되고 게시됩니다. 각 클라우드의 위치는 다음과 같습니다.

해당 파일의 IP 주소 범위는 CIDR 표기법으로 되어 있습니다.

다음 AzureCloud 태그에는 일반 스키마에 따라 서식이 지정된 지역 이름이 없습니다.

  • AzureCloud.centralfrance(FranceCentral)
  • AzureCloud.southfrance(FranceSouth)
  • AzureCloud.germanywc(GermanyWestCentral)
  • AzureCloud.germanyn(GermanyNorth)
  • AzureCloud.norwaye(NorwayEast)
  • AzureCloud.norwayw(NorwayWest)
  • AzureCloud.switzerlandn(SwitzerlandNorth)
  • AzureCloud.switzerlandw(SwitzerlandWest)
  • AzureCloud.usstagee(EastUSSTG)
  • AzureCloud.usstagec(SouthCentralUSSTG)

참고

이 정보의 일부는 Azure 퍼블릭, Azure 중국Azure 독일용 XML 파일에 게시되었습니다. 이러한 XML 다운로드는 2020년 6월 30일부터 더 이상 지원되지 않으며 해당 날짜 이후에는 더 이상 사용할 수 없습니다. 이전 섹션에서 설명한 대로 검색 API 또는 JSON 파일 다운로드를 사용하여 마이그레이션해야 합니다.

  • JSON 파일에서 증가된 changeNumber 값을 기록하여 한 게시에서 다음 게시까지의 업데이트를 검색할 수 있습니다. 각 하위 섹션(예: Storage.WestUS)에는 변경이 발생할 때마다 증가하는 고유한 changeNumber가 있습니다. 하위 섹션이 변경될 때 파일의 changeNumber 최상위 수준이 증가합니다.

  • 서비스 태그 정보를 구문 분석하는 방법에 대한 예제(예: WestUS의 스토리지에 대한 모든 주소 범위 가져오기)를 보려면 서비스 태그 검색 API PowerShell 설명서를 참조하세요.

  • 서비스 태그에 새 IP 주소를 추가하는 경우, Azure에서 일주일 이상 사용되지 않습니다. 이렇게 하면 서비스 태그와 연결된 IP 주소를 추적해야 하는 시스템을 업데이트하는 데 시간이 걸릴 수 있습니다.

다음 단계