작업 영역 IP 방화벽 규칙을 사용하면 작업 영역 관리자가 신뢰할 수 있는 공용 IP 주소에서만 연결을 허용하여 Microsoft Fabric 작업 영역에 대한 액세스를 제어할 수 있습니다. 간단한 허용 목록을 설정하면 권한 없는 트래픽이 작업 영역에 도달하는 것을 방지할 수 있습니다. 이 보호는 공용 인터넷에 대한 노출을 줄이고 ID 및 역할 기반 액세스 제어에 추가 보호 계층을 추가합니다.
이 문서에서는 작업 영역 IP 방화벽 규칙에 대한 개요를 제공합니다. 구성 단계는 작업 영역 IP 방화벽 규칙 설정을 참조하세요.
작업 영역 수준 IP 방화벽 개요
Fabric은 Microsoft Entra 조건부 액세스, 테넌트 수준 Private Link 및 작업 영역 수준 Private Link를 포함하여 테넌트 및 작업 영역 수준 모두에서 네트워크 보안을 제공합니다. 이러한 기능은 작업 영역 및 테넌트 리소스에 대한 액세스를 보호하는 데 도움이 됩니다. 그러나 공용 엔드포인트를 통해 작업 영역이 노출되는 경우 많은 조직에서는 액세스를 제한하는 간단한 IP 기반 방법이 필요합니다. 이 메서드는 이미 있는 강력한 프라이빗 연결 및 ID 기반 컨트롤을 보완합니다.
작업 영역 IP 방화벽 규칙은 관리자가 작업 영역 수준에서 직접 IP 허용 목록을 정의할 수 있도록 하여 이러한 필요성을 해결합니다. 이 메서드는 신뢰할 수 있는 Office 네트워크, VPN 게이트웨이 또는 파트너 IP 범위에 대한 인바운드 액세스를 제한하는 간단한 방법을 제공합니다. Private Link를 사용할 수 없거나 ID 정책만으로는 충분한 네트워크 계층 경계를 제공하지 않는 경우에 유용합니다.
작업 영역 IP 방화벽 규칙은 기존 패브릭 보안 기능과 함께 작동하여 IP 기반 액세스 제한을 제공합니다. 작업 영역 수준에서 작동하기 때문에 테넌트 전체 구성 변경 또는 복잡한 네트워킹 설정이 필요하지 않습니다.
비고
IP 방화벽 규칙은 인바운드 트래픽에만 적용됩니다. 작업 영역에서 아웃바운드 연결을 제어하거나 제한하지 않습니다.
작업 영역 수준 IP 방화벽 규칙의 작동 방식
작업 영역 수준 IP 방화벽 규칙은 지정된 IP 주소의 연결만 허용하여 공용 인터넷 액세스를 작업 영역으로 제한합니다. 이러한 규칙을 구성하면 두 가지 유형의 연결만 작업 영역에 연결할 수 있습니다.
- 방화벽 규칙에 나열된 승인된 IP 주소의 연결
- 승인된 가상 네트워크의 리소스에서 작업 영역 프라이빗 엔드포인트를 통한 연결 IP 방화벽 규칙을 사용하도록 설정하면 Fabric은 작업 영역 항목에 대한 액세스 권한을 부여하기 전에 구성된 허용 목록에 대해 각 클라이언트의 공용 IP 주소를 확인합니다. 승인된 IP 주소의 연결만 Lakehouses, Warehouses, OneLake 바로 가기, Notebook 및 Spark 작업 정의와 같은 항목에 액세스할 수 있습니다. 다른 모든 연결 시도가 거부됩니다.
다음 다이어그램에서는 작업 영역 수준 IP 방화벽 규칙이 작동하는 방식을 보여 줍니다.
이 다이어그램에서
- 작업 영역 A는 인바운드 공용 액세스를 제한하며 허용된 IP 주소 B에서만 액세스할 수 있습니다.
- IP 주소 A에서 연결하는 사용자는 IP가 허용 목록에 없으므로 거부됩니다.
- IP 주소 B에서 연결하는 사용자는 IP가 작업 영역의 인바운드 규칙과 일치하기 때문에 액세스 권한을 얻습니다.
지원되는 시나리오 및 제한 사항
지원되는 항목 종류
작업 영역 수준 IP 방화벽 규칙을 사용하여 다음 패브릭 항목 유형에 대한 액세스를 제어합니다.
- Lakehouse, SQL 엔드포인트 및 바로가기
- OneLake 엔드포인트를 통한 직접 연결
- 노트북, 스파크 작업 정의 및 환경
- Machine Learning 실험 및 Machine Learning 모델
- 파이프라인
- 작업 복사
- 탑재된 데이터 공장
- 창고
- 데이터 흐름 Gen2(CI/CD)
- 변수 라이브러리
- 미러된 데이터베이스(Open Mirroring, Cosmos DB)
- 이벤트스트림
- 이벤트 하우스
고려사항 및 제한사항
- 평가판 용량을 비롯한 모든 패브릭 용량 유형은 작업 영역 수준 IP 방화벽 규칙 기능을 지원합니다.
- IP 네트워크 규칙은 공용 인터넷 IP 주소만 지원합니다. 개인 네트워크용으로 예약된 IP 주소 범위( RFC 1918에 정의된 대로)는 지원되지 않습니다. 프라이빗 네트워크에는 10, 172.16~172.31 및 192.168로 시작하는 주소가 포함됩니다.
- 작업 영역당 최대 256개 IP 방화벽 규칙을 구성할 수 있습니다.
- 프라이빗 엔드포인트(테넌트 또는 작업 영역 수준)를 IP 방화벽 규칙으로 사용하는 가상 네트워크의 VM에서 공용 IP 주소를 추가할 수 없습니다.
- 중복 규칙 이름은 허용되지 않으며 IP 주소에는 공백이 허용되지 않습니다.
- 온-프레미스 네트워크에서 트래픽을 사용하도록 설정하려면 네트워크에서 사용하는 인터넷 연결 IP 주소를 식별합니다. 네트워크 관리자에게 문의하여 도움을 요청하세요.
- 온-프레미스에서 Azure ExpressRoute를 사용하는 경우 Microsoft 피어링에 사용되는 NAT IP 주소를 식별합니다. 서비스 공급자 또는 고객이 NAT IP 주소를 제공합니다.
- 허용된 공용 IP 주소가 잘못되었거나 누락되어 작업 영역에 액세스할 수 없는 경우 API를 사용하여 IP 방화벽 규칙을 업데이트합니다.
IP 방화벽 규칙이 다른 네트워크 보안 설정과 상호 작용하는 방법
작업 영역 IP 방화벽 규칙은 프라이빗 링크 및 공용 액세스 제한과 같은 기존 테넌트 및 작업 영역 네트워크 보안 설정과 상호 작용합니다. 이러한 상호 작용을 이해하면 IP 방화벽 규칙을 효과적으로 구성하고 사용하는 데 도움이 됩니다. 이 섹션에서는 다양한 네트워크 구성이 IP 방화벽 규칙을 사용하여 작업 영역을 관리하고 액세스하는 기능에 미치는 영향을 설명합니다.
작업 영역 IP 방화벽 규칙 구성
작업 영역에서 공용 액세스를 허용하는 경우에만 패브릭 포털을 통해 작업 영역 IP 방화벽 규칙을 구성할 수 있습니다. 구성 방법은 테넌트 수준 설정에 따라 달라집니다. 테넌트 수준에서 공용 액세스를 사용하도록 설정한 경우 포털을 통해 직접 규칙을 구성할 수 있습니다. 그러나 테넌트에 프라이빗 링크가 필요한 경우 테넌트 프라이빗 링크를 통해 연결된 네트워크에서 작업 영역 설정에 액세스해야 합니다.
이러한 제한에 관계없이 API 액세스는 계속 사용할 수 있습니다. 제한적인 설정이 있더라도 적절한 엔드포인트 및 네트워크 경로를 사용하여 패브릭 API를 통해 항상 작업 영역 IP 방화벽 규칙을 관리할 수 있습니다.
다음 표에서는 다양한 보안 구성 조합이 Microsoft Fabric 작업 영역을 구성하고 액세스하는 기능에 미치는 영향을 보여 줍니다.
표 1: 다양한 네트워크 시나리오에서 IP 방화벽 규칙 구성
이 테이블의 각 시나리오에서 사용자는 패브릭 포털 또는 패브릭 API(GET 및 SET 작업)를 통해 작업 영역에 대한 IP 방화벽 설정에 액세스하려고 합니다.
| Scenario | 테넌트 프라이빗 링크 | 테넌트 공용 인터넷 | 작업 영역 프라이빗 링크 및 공용 액세스 허용 | 작업 영역 프라이빗 링크(공용 액세스 차단) | 작업 영역 IP 방화벽 설정에 대한 포털 액세스 | 작업 영역 IP 방화벽 설정에 대한 API 액세스 |
|---|---|---|---|---|---|---|
| 1 | Yes | Blocked | Yes | - | 예, 테넌트 프라이빗 링크만 있는 네트워크에서 | 예, api.fabric.microsoft.com 또는 테넌트별 FQDN을 사용하는 테넌트 프라이빗 링크가 있는 네트워크에서 |
| 2 | Yes | Blocked | Yes | - | 예, 테넌트 프라이빗 링크가 있는 네트워크 사용 | 예, api.fabric.microsoft.com 또는 테넌트별 FQDN을 사용하는 테넌트 프라이빗 링크가 있는 네트워크에서 |
| 3 | Yes | Blocked | - | Yes | 아니오 | 예, api.fabric.microsoft.com 또는 테넌트별 FQDN을 사용하는 테넌트 프라이빗 링크가 있는 네트워크에서 |
| 4 | Yes | 허용됨 | Yes | - | 예, 테넌트 프라이빗 링크가 있는 공용 인터넷 또는 네트워크를 통해 | 예, 테넌트별 FQDN을 사용하여 테넌트 프라이빗 링크가 있는 공용 인터넷 또는 네트워크를 통해 api.fabric.microsoft.com 사용 |
| 5 | Yes | 허용됨 | - | Yes | 아니오 | 예, 테넌트별 FQDN을 사용하여 테넌트 프라이빗 링크가 있는 공용 인터넷 또는 네트워크를 통해 api.fabric.microsoft.com 사용 |
| 6 | 아니오 | N/A | Yes | - | 예, 공용 인터넷을 통해 | 예, 공용 인터넷을 통해 api.fabric.microsoft.com 사용 |
| 7 | 아니오 | N/A | - | Yes | 아니오 | 예, 공용 인터넷을 통해 api.fabric.microsoft.com 사용 |
| 8 | Yes | Blocked | - | - | 예, 테넌트 프라이빗 링크가 있는 네트워크 사용 | 예, api.fabric.microsoft.com 또는 테넌트별 FQDN을 사용하는 테넌트 프라이빗 링크가 있는 네트워크에서 |
| 9 | Yes | 허용됨 | - | - | 예, 테넌트 프라이빗 링크가 있는 공용 인터넷 또는 네트워크를 통해 | 예, 테넌트별 FQDN을 사용하여 테넌트 프라이빗 링크가 있는 공용 인터넷 또는 네트워크를 통해 api.fabric.microsoft.com 사용 |
| 10 | 아니오 | N/A | - | - | 예, 공용 인터넷을 통해 | 예, 공용 인터넷을 통해 api.fabric.microsoft.com 사용 |
IP 방화벽 규칙을 사용하여 액세스 동작
작업 영역에 대한 IP 방화벽 규칙을 구성한 후에는 허용 목록에 있는 IP 주소의 연결만 작업 영역 및 해당 항목에 액세스할 수 있습니다. 이 제한은 패브릭 포털을 사용하든 패브릭 API를 사용하든 관계없이 적용됩니다.
다음 표에서는 허용된 공용 IP 주소에서 요청이 발생할 때 IP 방화벽 규칙이 작업 영역 액세스에 미치는 영향을 보여 줍니다. 이 표에서는 다양한 테넌트 수준 보안 구성에 대해 설명하며 패브릭 포털과 Fabric API 간에 액세스가 어떻게 다른지 보여 줍니다. 이러한 시나리오에서 작업 영역은 IP 방화벽 규칙만 사용하거나 작업 영역 프라이빗 링크와 함께 사용할 수 있습니다.
표 2: IP 방화벽 규칙이 구성된 액세스 동작
이 테이블의 각 시나리오에 대해 다음을 수행합니다.
- 작업 영역에는 공용 IP 주소 허용 목록으로 구성된 IP 방화벽 규칙이 있습니다. (작업 영역 프라이빗 링크도 사용 중일 수 있지만 표시된 시나리오와는 관련이 없습니다.)
- 사용자가 작업 영역의 방화벽 규칙에서 허용된 IP 주소에서 작업 영역 및 해당 항목에 액세스하려고 시도합니다.
| 테넌트 수준 인바운드 구성 | 다음에서 액세스 | 작업 영역 및 항목에 대한 포털 액세스 | 작업 영역 및 항목에 대한 API 액세스 |
|---|---|---|---|
| 테넌트 프라이빗 링크: 사용 중 테넌트 블록 공용 액세스: 사용 |
허용된 IP | 아니오 | 예, api.fabric.microsoft.com 사용 |
| 테넌트 프라이빗 링크: 사용 임차인 블록 공용 접근: 활성화됨 |
허용된 IP | 아니오 | 예, api.fabric.microsoft.com 사용 |
| 테넌트 비공개 연결: 사용됨 테넌트의 공용 액세스 차단: 비활성화됨 |
허용된 IP | Yes | 예, api.fabric.microsoft.com 사용 |
| 테넌트 전용 링크: 활성화됨 테넌트 공용 접근 차단: 사용 안 함 |
허용된 IP | Yes | 예, api.fabric.microsoft.com 사용 |
| 테넌트 프라이빗 링크: 사용 안 함 | 허용된 IP | Yes | 예, api.fabric.microsoft.com 사용 |
| 테넌트 프라이빗 링크: 사용 안 함 | 허용된 IP | Yes | 예, api.fabric.microsoft.com 사용 |
다음 단계
- 작업 영역 IP 방화벽 규칙을 설정하는 방법을 알아보려면 작업 영역 IP 방화벽 규칙 설정을 참조하세요.
- 인바운드 보호 기능이 함께 작동하는 방식을 이해하려면 Microsoft Fabric의 인바운드 네트워크 보호를 참조하세요.