Microsoft Purview 프라이빗 엔드포인트 및 관리되는 VNet에 대한 FAQ
이 문서에서는 고객과 현장 팀이 Azure Private Link 또는 Microsoft Purview 관리형 VNet을 사용하여 Microsoft Purview 네트워크 구성에 대해 자주 묻는 일반적인 질문에 답변합니다. Microsoft Purview 방화벽 설정, 프라이빗 엔드포인트, DNS 구성 및 관련 구성에 대한 질문을 명확히 하기 위한 것입니다.
Private Link 사용하여 Microsoft Purview를 설정하려면 Microsoft Purview 계정에 프라이빗 엔드포인트 사용을 참조하세요. Microsoft Purview 계정에 대해 관리되는 VNet을 구성하려면 Microsoft Purview 계정으로 관리되는 VNet 사용을 참조하세요.
일반적인 질문
다음과 같은 일반적인 질문에 대한 답변을 확인하세요.
자체 호스팅 통합 런타임 또는 관리형 IR은 언제 사용해야 하나요?
다음과 같은 경우 관리되는 IR을 사용합니다.
- Microsoft Purview 계정은 관리형 VNet에 대해 지원되는 지역 중 하나에 배포됩니다.
- 관리 IR에서 지원되는 데이터 원본 을 검사할 계획입니다.
다음과 같은 경우 자체 호스팅 통합 런타임을 사용합니다.
- Azure IaaS, 프라이빗 네트워크 뒤의 SaaS 서비스 또는 온-프레미스 네트워크에서 데이터 원본을 검색할 계획입니다.
- Microsoft Purview 계정이 배포된 지역에서는 관리형 VNet을 사용할 수 없습니다.
- 관리되는 VNet IR 지원 원본 아래에 나열되지 않은 원본을 검색할 계획입니다.
Microsoft Purview 계정 내에서 자체 호스팅 통합 런타임과 관리형 IR을 모두 사용할 수 있나요?
예. 단일 Microsoft Purview 계정(Azure IR, 관리형 IR 및 자체 호스팅 통합 런타임)에서 하나 이상의 런타임 옵션을 사용할 수 있습니다. 단일 검사에서 하나의 런타임 옵션만 사용할 수 있습니다.
Microsoft Purview 계정 프라이빗 엔드포인트를 배포하는 목적은 무엇인가요?
Microsoft Purview 계정 프라이빗 엔드포인트는 가상 네트워크 내에서 시작된 클라이언트 호출만 계정에 액세스할 수 있는 시나리오를 사용하도록 설정하여 다른 보안 계층을 추가하는 데 사용됩니다. 이 프라이빗 엔드포인트는 포털 프라이빗 엔드포인트의 필수 구성 요소이기도 합니다.
Microsoft Purview 포털 프라이빗 엔드포인트를 배포하는 목적은 무엇인가요?
Microsoft Purview 포털 프라이빗 엔드포인트는 Microsoft Purview 거버넌스 포털에 대한 프라이빗 연결을 제공합니다.
Microsoft Purview 수집 프라이빗 엔드포인트를 배포하는 목적은 무엇인가요?
Microsoft Purview는 수집 프라이빗 엔드포인트를 사용하여 Azure 또는 온-프레미스 환경에서 데이터 원본을 검색할 수 있습니다. 프라이빗 엔드포인트를 수집할 때 세 개의 다른 프라이빗 엔드포인트 리소스가 배포되고 Microsoft Purview 관리 또는 구성된 리소스에 연결됩니다.
- Blob 은 Microsoft Purview 관리형 스토리지 계정에 연결됩니다.
- 큐 는 Microsoft Purview 관리 스토리지 계정에 연결됩니다.
- 네임스페 이스는 Microsoft Purview가 구성한 이벤트 허브 네임스페이스에 연결됩니다.
내 Microsoft Purview 계정에서 프라이빗 엔드포인트가 사용하도록 설정된 경우 퍼블릭 엔드포인트를 통해 데이터 원본을 검사할 수 있나요?
예. 프라이빗 엔드포인트를 통해 연결되지 않은 데이터 원본은 퍼블릭 엔드포인트를 사용하여 검사할 수 있으며 Microsoft Purview는 프라이빗 엔드포인트를 사용하도록 구성됩니다.
프라이빗 엔드포인트를 사용하는 경우 서비스 엔드포인트를 통해 데이터 원본을 검색할 수 있나요?
예. 프라이빗 엔드포인트를 통해 연결되지 않은 데이터 원본은 서비스 엔드포인트를 사용하여 검사할 수 있으며 Microsoft Purview는 프라이빗 엔드포인트를 사용하도록 구성됩니다.
신뢰할 수 있는 Microsoft 서비스가 Azure에서 데이터 원본 리소스의 서비스 엔드포인트 구성 내에서 리소스에 액세스하도록 허용을 사용하도록 설정해야 합니다. 예를 들어 방화벽 및 가상 네트워크 설정이 선택한 네트워크로 설정된 Azure Blob Storage 검사하려는 경우 신뢰할 수 있는 Microsoft 서비스가 이 스토리지 계정에 액세스하도록 허용 확인란이 예외로 선택되어 있는지 확인합니다.
관리형 IR을 사용하여 퍼블릭 엔드포인트를 통해 데이터 원본을 검사할 수 있나요?
예. 데이터 원본이 관리되는 VNet에서 지원되는 경우 필수 조건으로 데이터 원본에 대한 관리형 프라이빗 엔드포인트를 배포해야 합니다.
관리형 IR을 사용하여 서비스 엔드포인트를 통해 데이터 원본을 검사할 수 있나요?
예. 데이터 원본이 관리되는 VNet에서 지원되는 경우 필수 조건으로 데이터 원본에 대한 관리형 프라이빗 엔드포인트를 배포해야 합니다.
공용 네트워크 액세스가 Microsoft Purview 계정 네트워킹에서 거부로 설정된 경우 공용 네트워크에서 Microsoft Purview 거버넌스 포털에 액세스할 수 있나요?
아니요. 공용 네트워크 액세스가 거부로 설정된 공용 엔드포인트에서 Microsoft Purview에 연결하면 다음 오류 메시지가 표시됩니다.
"이 Microsoft Purview 계정에 액세스할 수 있는 권한이 없습니다. 이 Microsoft Purview 계정은 프라이빗 엔드포인트 뒤에 있습니다. Microsoft Purview 계정의 프라이빗 엔드포인트에 대해 구성된 동일한 VNet(가상 네트워크)의 클라이언트에서 계정에 액세스하세요."
이 경우 Microsoft Purview 거버넌스 포털을 열려면 Microsoft Purview 포털 프라이빗 엔드포인트와 동일한 가상 네트워크에 배포된 컴퓨터를 사용하거나 하이브리드 연결이 허용되는 CorpNet에 연결된 VM을 사용합니다.
Microsoft Purview 관리형 스토리지 계정 및 이벤트 허브 네임스페이스(프라이빗 엔드포인트 수집에만 해당)에 대한 액세스를 제한할 수 있지만 웹에서 사용자에 대해 포털 액세스를 사용하도록 설정할 수 있나요?
예. 수집 전용(미리 보기)을 위해 Microsoft Purview 방화벽 설정을 사용 안 함으로 구성할 수 있습니다. 이 옵션을 선택하면 API 및 Microsoft Purview 거버넌스 포털을 통해 Microsoft Purview 계정에 대한 공용 네트워크 액세스가 허용되지만 공용 네트워크 액세스는 Microsoft Purview 계정의 관리 스토리지 계정 및 이벤트 허브에서 사용하지 않도록 설정됩니다.
공용 네트워크 액세스가 허용으로 설정된 경우 누구나 관리되는 스토리지 계정 및 이벤트 허브 네임스페이스에 액세스할 수 있음을 의미하나요?
아니요. 보호된 리소스로서 Microsoft Purview 관리 스토리지 계정 및 이벤트 허브 네임스페이스에 대한 액세스는 RBAC 인증 체계를 사용하는 Microsoft Purview로만 제한됩니다. 이러한 리소스는 모든 보안 주체에 대한 거부 할당과 함께 배포되어 애플리케이션, 사용자 또는 그룹이 액세스 권한을 얻지 못하게 합니다.
Azure 거부 할당에 대한 자세한 내용은 Azure 거부 할당 이해를 참조하세요.
프라이빗 엔드포인트를 사용할 때 지원되는 인증 유형은 무엇인가요?
Azure Key Vault 저장된 SQL 인증, Windows 인증, 기본 인증, 서비스 주체 등과 같은 데이터 원본 형식에서 지원하는 인증 유형에 따라 달라집니다. MSI를 사용할 수 없습니다.
관리형 IR을 사용할 때 지원되는 인증 유형은 무엇인가요?
Azure Key Vault 또는 MSI에 저장된 SQL 인증, Windows 인증, 기본 인증, 서비스 주체 등과 같은 데이터 원본 형식에서 지원하는 인증 유형에 따라 달라집니다.
프라이빗 엔드포인트에 대해 Microsoft Purview에 필요한 프라이빗 DNS 영역은 무엇인가요?
Microsoft Purview 계정 및 포털 프라이빗 엔드포인트의 경우:
privatelink.purview.azure.com
Microsoft Purview 수집 프라이빗 엔드포인트의 경우:
privatelink.blob.core.windows.netprivatelink.queue.core.windows.netprivatelink.servicebus.windows.net
Microsoft Purview 프라이빗 엔드포인트를 배포할 때 전용 가상 네트워크 및 전용 서브넷을 사용해야 하나요?
아니요. 그러나 프라이빗 엔드포인트를 PrivateEndpointNetworkPolicies 배포하기 전에 대상 서브넷에서 를 사용하지 않도록 설정해야 합니다. VNet 피어링을 통해 데이터 원본 가상 네트워크에 대한 네트워크 연결이 있는 가상 네트워크에 Microsoft Purview를 배포하고 온-프레미스 네트워크에 액세스하는 것이 좋습니다( 데이터 원본을 프레미스 간 검색하려는 경우).
프라이빗 엔드포인트에 대한 네트워크 정책 사용 안 함을 자세히 알아보세요.
Microsoft Purview 프라이빗 엔드포인트를 배포하고 구독의 기존 프라이빗 DNS 영역을 사용하여 A 레코드를 등록할 수 있나요?
예. 프라이빗 엔드포인트 DNS 영역은 Microsoft Purview 및 모든 데이터 원본 레코드에 필요한 모든 내부 DNS 영역에 대한 허브 또는 데이터 관리 구독에서 중앙 집중화할 수 있습니다. Microsoft Purview가 프라이빗 엔드포인트 내부 IP 주소를 사용하여 데이터 원본을 resolve 수 있도록 하려면 이 방법을 사용하는 것이 좋습니다.
또한 기존 프라이빗 DNS 영역에 대한 가상 네트워크에 대한 가상 네트워크 링크를 설정해야 합니다.
Azure 통합 런타임을 사용하여 프라이빗 엔드포인트를 통해 데이터 원본을 검사할 수 있나요?
아니요. 프라이빗 연결을 사용하여 데이터를 검사하려면 자체 호스팅 통합 런타임을 배포하고 등록해야 합니다. Azure Key Vault 또는 서비스 주체는 데이터 원본에 대한 인증 방법으로 사용해야 합니다.
관리 IR을 사용하여 프라이빗 엔드포인트를 통해 데이터 원본을 검사할 수 있나요?
관리 IR을 사용하여 지원되는 데이터 원본을 검사하려는 경우 데이터 원본에는 Microsoft Purview Managed VNet 내에서 만든 관리되는 프라이빗 엔드포인트가 필요합니다. 자세한 내용은 Microsoft Purview 관리 VNet을 참조하세요.
프라이빗 엔드포인트를 사용할 때 Microsoft Purview에 대한 자체 호스팅 통합 런타임이 있는 가상 머신에 대한 아웃바운드 포트 및 방화벽 요구 사항은 무엇인가요?
자체 호스팅 통합 런타임이 배포되는 VM에는 포트 443을 통해 Azure 엔드포인트 및 Microsoft Purview 개인 IP 주소에 대한 아웃바운드 액세스 권한이 있어야 합니다.
프라이빗 엔드포인트가 사용하도록 설정된 경우 자체 호스팅 통합 런타임을 실행하는 가상 머신에서 아웃바운드 인터넷 액세스를 사용하도록 설정해야 하나요?
아니요. 그러나 자체 호스팅 통합 런타임을 실행하는 가상 머신은 포트 443을 사용하여 내부 IP 주소를 통해 Microsoft Purview의 instance 연결할 수 있습니다. 이름 확인 및 연결 테스트(예: nslookup.exe 및 Test-NetConnection)에 일반적인 문제 해결 도구를 사용합니다.
관리형 VNet을 사용하는 경우에도 Microsoft Purview 계정에 대한 프라이빗 엔드포인트를 배포해야 하나요?
Microsoft Purview 계정의 공용 액세스가 거부되도록 설정된 경우 하나 이상의 계정 및 포털 프라이빗 엔드포인트가 필요합니다. Microsoft Purview 계정의 공용 액세스가 거부 로 설정되어 있고 자체 호스팅 통합 런타임을 사용하여 추가 데이터 원본을 검색하려는 경우 하나 이상의 계정, 포털 및 수집 프라이빗 엔드포인트가 필요합니다.
Microsoft Purview 관리형 VNet에 대한 퍼블릭 엔드포인트를 통해 허용되는 인바운드 및 아웃바운드 통신은 무엇인가요?
공용 네트워크에서 관리되는 VNet에 대한 인바운드 통신이 허용되지 않습니다. 아웃바운드 통신을 위해 모든 포트가 열립니다. Microsoft Purview에서 관리형 VNet을 사용하여 검사 중에 메타데이터를 추출하기 위해 Azure 데이터 원본에 비공개로 연결할 수 있습니다.
컴퓨터에서 Microsoft Purview 거버넌스 포털을 시작하려고 할 때 다음 오류 메시지가 표시되는 이유는 무엇인가요?
"이 Microsoft Purview 계정은 프라이빗 엔드포인트 뒤에 있습니다. Microsoft Purview 계정의 프라이빗 엔드포인트에 대해 구성된 동일한 VNet(가상 네트워크)의 클라이언트에서 계정에 액세스하세요."
Microsoft Purview 계정이 Private Link 사용하여 배포되고 Microsoft Purview 계정에서 공용 액세스가 사용하지 않도록 설정되어 있는 것일 수 있습니다. 따라서 Microsoft Purview에 대한 내부 네트워크 연결이 있는 가상 머신에서 Microsoft Purview 거버넌스 포털을 검색해야 합니다.
하이브리드 네트워크 뒤의 VM에서 연결하거나 가상 네트워크에 연결된 점프 머신을 사용하는 경우 이름 확인 및 연결 테스트(예: nslookup.exe 및 Test-NetConnection)에 대한 일반적인 문제 해결 도구를 사용합니다.
Microsoft Purview 계정의 개인 IP 주소를 통해 다음 주소를 resolve 수 있는지 확인합니다.
Web.Purview.Azure.com<YourPurviewAccountName>.Purview.Azure.com
다음 PowerShell 명령을 사용하여 Microsoft Purview 계정에 대한 네트워크 연결을 확인합니다.
Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443자체 DNS 확인 인프라를 사용하는 경우 프레미스 간 DNS 구성을 확인합니다.
프라이빗 엔드포인트에 대한 DNS 설정에 대한 자세한 내용은 Azure 프라이빗 엔드포인트 DNS 구성을 참조하세요.
Microsoft Purview 계정 또는 관리되는 리소스와 연결된 프라이빗 엔드포인트를 다른 Azure 구독 또는 리소스 그룹으로 이동할 수 있나요?
아니요. 계정, 포털 또는 수집 프라이빗 엔드포인트에 대한 이동 작업은 지원되지 않습니다. 자세한 내용은 네트워킹 리소스를 새 리소스 그룹 또는 구독으로 이동을 참조하세요.
다음 단계
Private Link 사용하여 Microsoft Purview를 설정하려면 Microsoft Purview 계정에 프라이빗 엔드포인트 사용을 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기