가상 네트워크 서비스 엔드포인트 설명
ERP 시스템용 기존 앱 및 데이터베이스 서버를 VM으로서 Azure로 마이그레이션했습니다. 이제 비용 및 관리 요구 사항을 줄이기 위해 일부 Azure PaaS(Platform as a Service) 서비스의 사용을 고려하고 있습니다. 스토리지 서비스에는 엔지니어링 다이어그램과 같은 특정 대규모 파일 자산이 보관됩니다. 이러한 엔지니어링 다이어그램에는 재산적 가치를 가지는 정보가 있으며 무단 액세스로부터 안전하게 보호해야 합니다. 이러한 파일은 특정 시스템에서만 액세스할 수 있어야 합니다.
이 단원에서는 지원되는 Azure 서비스를 보호하기 위해 가상 네트워크 서비스 엔드포인트를 사용하는 방법을 살펴보겠습니다.
가상 네트워크 서비스 엔드포인트란 무엇인가요?
VNet(가상 네트워크) 서비스 엔드포인트는 Azure 백본 네트워크에서 최적화된 경로를 통해 Azure 서비스에 대한 안전한 직접 연결을 제공합니다. 엔드포인트를 사용하면 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있습니다. 서비스 엔드포인트를 통해 VNet의 개인 IP 주소는 VNet에 공용 IP 주소가 없어도 Azure 서비스의 엔드포인트에 연결할 수 있습니다.
기본적으로 Azure 서비스는 모두 직접 인터넷 액세스를 위해 설계되었습니다. Azure SQL Database 및 Azure Storage와 같은 PaaS 서비스를 포함한 모든 Azure 리소스에는 공용 IP 주소가 있습니다. 이 서비스는 인터넷에 공개되므로 잠재적으로 누구나 Azure 서비스에 액세스할 수 있습니다.
서비스 엔드포인트는 특정 PaaS 서비스를 Azure의 프라이빗 주소 공간에 직접 연결할 수 있으므로 동일한 가상 네트워크에 있는 것처럼 작동합니다. PaaS 서비스에 직접 액세스하려면 프라이빗 주소 공간을 사용합니다. 서비스 엔드포인트를 추가해도 공용 엔드포인트가 제거되지 않습니다. 단순히 트래픽이 리디렉션됩니다.
서비스 엔드포인트 구현 준비
서비스 엔드포인트를 사용하려면 다음 두 가지 작업을 수행해야 합니다.
- 서비스에 대한 공용 액세스를 해제합니다.
- 서비스 엔드포인트를 가상 네트워크에 추가합니다.
서비스 엔드포인트를 사용하면 트래픽 흐름을 제한하고 Azure VM이 개인 주소 공간에서 서비스에 직접 액세스할 수 있습니다. 디바이스는 공용 네트워크에서 서비스에 액세스할 수 없습니다. 배포된 VM vNIC에서 유효 경로를 살펴보면 서비스 엔드포인트가 다음 홉 유형으로 표시됩니다.
서비스 엔드포인트를 사용하기 전의 경로 테이블 예제는 다음과 같습니다.
| 원본 | 상태 | 주소 접두사 | 다음 홉 유형 |
|---|---|---|---|
| 기본값 | 활성 | 10.1.1.0/24 | VNet |
| 기본값 | 활성 | 0.0.0.0./0 | 인터넷 |
| 기본값 | Active | 10.0.0.0/8 | 없음 |
| 기본값 | Active | 100.64.0.0./ | None |
| 기본값 | Active | 192.168.0.0/16 | None |
또한 두 개의 서비스 엔드포인트를 가상 네트워크에 추가한 후의 경로 테이블 예제는 다음과 같습니다.
| 원본 | 상태 | 주소 접두사 | 다음 홉 유형 |
|---|---|---|---|
| 기본값 | 활성 | 10.1.1.0/24 | VNet |
| 기본값 | 활성 | 0.0.0.0./0 | 인터넷 |
| 기본값 | Active | 10.0.0.0/8 | 없음 |
| 기본값 | Active | 100.64.0.0./ | None |
| 기본값 | Active | 192.168.0.0/16 | 없음 |
| 기본값 | 활성 | 20.38.106.0/23, 10 이상 | VirtualNetworkServiceEndpoint |
| 기본값 | 활성 | 20.150.2.0/23, 9 이상 | VirtualNetworkServiceEndpoint |
이제 모든 서비스 트래픽이 가상 네트워크 서비스 엔드포인트로 라우팅되고 Azure 내부에서 유지됩니다.
서비스 엔드포인트 만들기
네트워크 엔지니어는 중요한 엔지니어링 다이어그램 파일을 Azure Storage로 이동할 계획입니다. 이 파일은 회사 네트워크 내부의 컴퓨터에서만 액세스할 수 있어야 합니다. 스토리지 계정에 대한 연결을 보호하기 위해 Azure Storage용 가상 네트워크 서비스 엔드포인트를 만들려고 합니다.
서비스 엔드포인트 자습서에서는 다음 방법을 알아봅니다.
- 서브넷에서 서비스 엔드포인트 사용
- 네트워크 규칙을 사용하여 Azure Storage에 대한 액세스 제한
- Azure Storage에 대한 가상 네트워크 서비스 엔드포인트 만들기
- 액세스가 적절하게 정의되었는지 확인
서비스 태그 구성
서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다.
서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의할 수 있습니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다. 서비스 태그 이름(예: API Management)을 규칙의 적절한 원본 또는 대상 필드에 지정하면 해당 서비스 트래픽을 허용하거나 거부할 수 있습니다.
2021년 3월을 기준으로 사용자 정의 경로에서 명시적인 IP 범위 대신 서비스 태그를 사용할 수도 있습니다. 이 기능은 현재 공개 미리 보기로 제공됩니다.
퍼블릭 엔드포인트가 있는 Azure 서비스에 액세스하면서, 서비스 태그를 사용하여 네트워크 격리를 수행하고 일반 인터넷에서 Azure 리소스를 보호할 수 있습니다. 인바운드/아웃바운드 네트워크 보안 그룹 규칙을 만들어 인터넷에서 들어오고 나가는 트래픽을 거부하고 AzureCloud 또는 특정 Azure 서비스의 다른 사용 가능한 서비스 태그에서 들어오고 나가는 트래픽을 허용합니다.
사용 가능한 서비스 태그
다음 표에는 네트워크 보안 그룹 규칙에서 사용할 수 있는 모든 서비스 태그가 나와 있습니다.
열은 태그가 다음에 해당하는지 여부를 나타냅니다.
- 인바운드 또는 아웃바운드 트래픽을 포함하는 규칙에 적합합니다.
- 지역 범위를 지원합니다.
- Azure Firewall 규칙에서 사용할 수 있습니다.
기본적으로 서비스 태그는 전체 클라우드의 범위를 반영합니다. 일부 서비스 태그는 해당 IP 범위를 지정된 지역으로 제한하여 보다 자세히 제어할 수 있습니다. 예를 들어, 서비스 태그 Storage는 전체 클라우드의 Azure Storage를 나타내지만 Storage. WestUS는 범위를 WestUS 지역의 스토리지 IP 주소 범위로만 좁힙니다. 다음 표는 각 서비스 태그가 지역 범위를 지원하는지 여부를 보여 줍니다.
Azure 서비스의 서비스 태그는 사용되는 특정 클라우드의 주소 접두사를 나타냅니다. 예를 들어, Azure 퍼블릭 클라우드의 SQL 태그 값에 해당하는 기본 IP 범위는 Azure 중국 클라우드의 기본 범위와 다릅니다.
Azure Storage 또는 Azure SQL Database와 같은 서비스에 가상 네트워크 서비스 엔드포인트를 구현하는 경우 Azure는 서비스의 가상 네트워크 서브넷에 경로를 추가합니다. 경로의 주소 접두사는 해당하는 서비스 태그와 동일한 주소 접두사 또는 CIDR 범위입니다.