커넥터를 사용하면 Microsoft Entra Private Access 및 애플리케이션 프록시를 사용할 수 있습니다. 이 문서에서는 커넥터의 정의, 커넥터 작동 방식 및 배포를 최적화하는 방법을 설명합니다.
개인 네트워크 커넥터란?
프라이빗 네트워크 커넥터는 네트워크 내의 Windows Server에 설치하는 경량 에이전트입니다. 프라이빗 액세스 및 애플리케이션 프록시 서비스에 대한 아웃바운드 연결을 만들어 백 엔드 리소스에 연결합니다.
사용자는 커넥터를 통해 트래픽을 앱으로 라우팅하는 클라우드 서비스에 연결합니다. 아키텍처 개요는 Microsoft Entra 애플리케이션 프록시를 사용하여 원격 사용자를 위한 온-프레미스 앱을 게시하는 방법을 참조하세요.
애플리케이션 프록시 서비스에 커넥터를 설정하고 등록하려면 다음을 수행합니다.
- 아웃바운드 포트 80 및 443을 열고 필요한 서비스 및 Microsoft Entra ID URL에 대한 액세스를 허용합니다.
- Microsoft Entra 관리 센터에 로그인하고 온-프레미스 Windows Server 컴퓨터에서 설치 관리자를 실행합니다.
- 애플리케이션 프록시 서비스를 수신 대기하도록 커넥터를 시작합니다.
- Microsoft Entra ID에 온-프레미스 애플리케이션을 추가하고 사용자 연결 URL을 설정합니다.
설치에 대한 자세한 내용은 Microsoft Entra Private Access 및 애플리케이션 프록시에 대한 프라이빗 네트워크 커넥터를 구성하는 방법을 참조하세요.
커넥터 및 서비스는 고가용성을 지원합니다. 언제든지 커넥터를 추가하거나 제거할 수 있습니다.
커넥터 그룹
커넥터를 특정 리소스에 대한 트래픽을 처리하는 커넥터 그룹으로 구성할 수 있습니다. 동일한 그룹의 커넥터는 고가용성 및 부하 분산을 위한 단일 단위로 작동합니다.
Microsoft Entra 관리 센터에서 그룹을 만들고 커넥터를 할당한 다음 그룹을 특정 애플리케이션에 매핑합니다. 고가용성을 위해 각 그룹에서 두 개 이상의 커넥터를 사용합니다.
커넥터 그룹을 사용하여 다음을 수행합니다.
- 위치 기반 앱 발행.
- 애플리케이션 세분화 및 격리.
- 클라우드 또는 온-프레미스에서 실행되는 웹앱을 게시합니다.
커넥터 그룹은 대규모 배포 관리를 간소화합니다. 리소스 및 애플리케이션이 다른 지역에 있는 테넌트에 대한 대기 시간을 줄일 수 있습니다. 로컬 애플리케이션만 제공하는 위치 기반 커넥터 그룹을 만듭니다.
Microsoft Entra 프라이빗 네트워크 커넥터 그룹에서 자세히 알아보세요.
유지 관리
서비스는 새 요청을 사용 가능한 커넥터로 라우팅합니다. 커넥터를 일시적으로 사용할 수 없는 경우 트래픽을 수신하지 않습니다.
커넥터는 무상태이며 기계에 구성 데이터를 저장하지 않습니다. 서비스 및 인증 인증서에 연결하기 위한 설정만 저장합니다. 서비스에 연결할 때 필요한 구성 데이터를 가져와서 몇 분마다 새로 고칩니다.
커넥터 상태
Microsoft Entra 관리 센터에서 커넥터의 상태를 볼 수 있습니다.
- 프라이빗 액세스의 경우: 글로벌 보안 액세스>연결>커넥터로 이동합니다.
- 애플리케이션 프록시의 경우: ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동한 다음 애플리케이션을 선택합니다. 애플리케이션 페이지에서 애플리케이션 프록시를 선택합니다.
로그
커넥터는 Windows Server에 설치되므로 대부분의 동일한 관리 도구가 있습니다. Windows 이벤트 로그 및 Windows 성능 카운터를 사용하여 커넥터를 모니터링할 수 있습니다.
커넥터에는 관리자 및 세션 로그가 모두 있습니다. 관리 로그에는 주요 이벤트와 해당 오류가 포함됩니다. 세션 로그에는 모든 트랜잭션 및 처리 세부 정보가 포함됩니다.
로그를 보려면 다음을 수행합니다.
이벤트 뷰어를 열고 애플리케이션 및 서비스 로그>Microsoft>Microsoft Entra 프라이빗 네트워크>커넥터로 이동합니다.
관리자 로그는 기본적으로 표시됩니다.
세션 로그를 표시하려면 보기 메뉴에서 분석 및 디버그 로그 표시를 선택합니다.
세션 로그는 일반적으로 문제 해결에 사용되며 기본적으로 사용하지 않도록 설정됩니다. 이벤트 수집을 시작하고 더 이상 필요하지 않은 경우 사용하지 않도록 설정합니다.
서비스 상태
커넥터는 실제 커넥터와 업데이트 프로그램의 두 가지 Windows 서비스로 구성됩니다. 둘 다 항상 실행되어야 합니다. 서비스 창에서 서비스의 상태를 검사할 수 있습니다 .
커넥터 서버 문제 처리
서버, 네트워크 또는 이와 유사한 중단으로 인해 하나 이상의 커넥터 서버가 중단된 경우 다음 단계에 따라 연속성을 유지합니다.
- 커넥터 그룹에서 영향을 받는 서버를 식별하고 제거합니다.
- 커넥터 그룹에 사용 가능한 정상 서버 또는 백업 서버를 추가하여 용량을 복원합니다.
- 영향을 받는 서버를 다시 시작하여 기존 연결을 드레이닝합니다. 기존 진행 중인 연결은 커넥터 그룹 변경으로 즉시 드레이닝되지 않습니다.
이 순서를 사용하여 서비스를 안정적으로 유지하고 커넥터 서버에 문제가 있는 경우 중단을 최소화합니다.
커넥터 업데이트
Microsoft Entra ID는 배포하는 커넥터에 대한 자동 업데이트를 가끔 제공합니다. 연결기는 업데이트를 위해 업데이트 서비스에 주기적으로 요청을 보냅니다. 최신 버전을 자동 업데이트에 사용할 수 있는 경우 커넥터가 직접 업데이트됩니다. Updater 서비스가 실행되는 한 커넥터는 최신 주 커넥터 릴리스로 자동으로 업데이트할 수 있습니다. 서버에 Updater 서비스가 표시되지 않으면 커넥터를 다시 설치하여 업데이트를 받아야 합니다.
모든 릴리스가 자동 업데이트로 예약된 것은 아닙니다. 버전 기록 페이지를 모니터링하여 업데이트가 자동으로 배포되는지 아니면 Microsoft Entra 포털에서 수동 배포가 필요한지 확인합니다. 수동 업데이트를 수행해야 하는 경우 커넥터를 호스트하는 서버에서 커넥터 다운로드 페이지 로 이동하여 다운로드를 선택합니다. 이 작업은 로컬 커넥터에 대한 업데이트를 시작합니다.
여러 커넥터가 있는 테넌트에서 자동 업데이트는 가동 중지 시간을 방지하기 위해 각 그룹에서 한 번에 하나의 커넥터를 대상으로 합니다. 다음과 같은 경우 업데이트 중에 가동 중지 시간이 발생할 수 있습니다.
- 커넥터가 하나뿐입니다. 가동 중지 시간을 방지하고 더 높은 가용성을 제공하려면 두 번째 커넥터와 커넥터 그룹을 추가합니다.
- 커넥터가 트랜잭션을 처리하는 동안 업데이트가 시작됩니다. 초기 트랜잭션이 손실되지만 브라우저는 자동으로 작업을 다시 시도하거나 페이지를 새로 고칠 수 있습니다. 다시 전송된 요청은 백업 커넥터로 라우팅됩니다.
이전 버전 및 해당 변경 내용에 대한 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터: 버전 릴리스 기록을 참조하세요.
보안 및 네트워킹
커넥터는 프라이빗 액세스 및 애플리케이션 프록시 서비스에 요청을 보낼 수 있도록 네트워크 어디에서나 설치할 수 있습니다. 중요한 것은 커넥터를 실행 중인 컴퓨터에 앱 및 리소스에 대한 액세스가 있는 것입니다.
회사 네트워크 내부 또는 클라우드에서 실행되는 VM(가상 머신)에 커넥터를 설치할 수 있습니다. 커넥터는 경계 네트워크 내에서 실행할 수 있지만 모든 트래픽이 네트워크 보안을 위해 아웃바운드이므로 필요하지 않습니다.
커넥터는 아웃바운드 요청만 보냅니다. 아웃바운드 트래픽은 서비스와 게시된 리소스 및 애플리케이션으로 전송됩니다. 세션이 설정된 후 트래픽이 양방향으로 흐르기 때문에 인바운드 포트를 열 필요가 없습니다. 또한 방화벽을 통해 인바운드 액세스를 구성할 필요가 없습니다.
성능 및 확장성
프라이빗 액세스 및 애플리케이션 프록시 서비스의 크기 조정은 투명하지만 크기 조정은 커넥터의 한 요소입니다. 최고 트래픽을 처리할 만큼 충분한 커넥터를 마련해야 합니다.
커넥터는 상태 비저장이며 사용자 또는 세션 수는 영향을 주지 않습니다. 대신 요청 수와 페이로드 크기에 응답합니다. 표준 웹 트래픽을 사용하면 평균적인 컴퓨터는 초당 2,000개의 요청을 처리할 수 있습니다. 특정 용량은 정확한 컴퓨터 특성에 따라 다릅니다.
CPU 및 네트워크는 커넥터 성능을 정의합니다. TLS 암호화 및 암호 해독에는 CPU 성능이 필요한 반면 네트워킹은 애플리케이션 및 온라인 서비스에 빠르게 연결해야 합니다.
반면, 커넥터에서는 메모리가 중요하지 않습니다. 온라인 서비스는 대부분의 프로세싱과 인증되지 않은 모든 트래픽을 처리합니다. 클라우드에서 수행할 수 있는 모든 작업은 클라우드에서 수행됩니다.
커넥터나 컴퓨터를 사용할 수 없는 경우 트래픽은 그룹의 다른 커넥터로 이동합니다. 커넥터 그룹의 여러 커넥터는 복원력을 제공합니다.
성능에 영향을 주는 또 다른 요소는 커넥터 간 네트워킹의 품질이며 다음과 같습니다.
- 온라인 서비스: Microsoft Entra 서비스에 대한 느린 연결 또는 대기 시간이 긴 연결은 커넥터 성능에 영향을 줍니다. 최상의 성능을 위해 Azure ExpressRoute를 통해 조직을 Microsoft에 연결합니다. 그렇지 않은 경우 네트워킹 팀에서 Microsoft 연결을 최대한 효율적으로 처리하도록 합니다.
- 백 엔드 애플리케이션: 경우에 따라 커넥터와 백 엔드 리소스와 애플리케이션 사이에 연결 속도가 느려지거나 차단될 수 있는 추가 프록시가 있습니다. 이 시나리오를 해결하려면 커넥터 서버에서 브라우저를 열고 애플리케이션 또는 리소스에 액세스합니다. 클라우드에서 커넥터를 실행하고 애플리케이션이 온-프레미스 상태이면 사용자가 기대한 환경이 아닐 수 있습니다.
- 도메인 컨트롤러: 커넥터가 KCD(Kerberos 제한 위임)를 사용하여 SSO(Single Sign-On)를 수행하는 경우 백 엔드로 요청을 보내기 전에 도메인 컨트롤러에 연결합니다. 커넥터에는 Kerberos 티켓 캐시가 있지만 도메인 컨트롤러의 응답성은 사용 중인 환경의 성능에 영향을 줄 수 있습니다. 이 문제는 Azure에서 실행되지만 온-프레미스 도메인 컨트롤러와 통신하는 커넥터에서 좀 더 자주 발생합니다.
커넥터를 설치하는 위치와 네트워크를 최적화하는 방법에 대한 지침은 Microsoft Entra 애플리케이션 프록시를 사용하여 트래픽 흐름 최적화를 참조하세요.
임시 포트 범위 확장
프라이빗 네트워크 커넥터는 지정된 대상 엔드포인트에 대한 TCP 및 UDP 연결을 시작합니다. 이러한 연결에는 커넥터 호스트 컴퓨터에서 사용 가능한 원본 포트가 필요합니다. 임시 포트 범위를 확장하면 특히 대량의 동시 연결을 관리하는 경우 원본 포트의 가용성이 향상될 수 있습니다.
시스템에서 현재 동적 포트 범위를 보려면 다음 netsh 명령을 사용합니다.
netsh int ipv4 show dynamicport tcpnetsh int ipv4 show dynamicport udpnetsh int ipv6 show dynamicport tcpnetsh int ipv6 show dynamicport udp
포트를 늘리는 샘플 netsh 명령은 다음과 같습니다.
netsh int ipv4 set dynamicport tcp start=1025 num=64511netsh int ipv4 set dynamicport udp start=1025 num=64511netsh int ipv6 set dynamicport tcp start=1025 num=64511netsh int ipv6 set dynamicport udp start=1025 num=64511
이러한 명령은 동적 포트 범위를 1025에서 최대 65535로 설정합니다. 최소 시작 포트는 1025입니다.
사양 및 크기 조정 요구 사항
각 Microsoft Entra 프라이빗 네트워크 커넥터에 대해 다음 사양을 사용하는 것이 좋습니다.
- 메모리: 8GiB 이상.
- CPU: 4개 이상의 CPU 코어.
커넥터당 최대 CPU 및 메모리 사용률을 70%미만으로 유지합니다. 지속적인 사용률이%70을 초과하는 경우 그룹에 커넥터를 추가하거나 호스트 용량을 확장하여 부하를 분산합니다. Windows 성능 카운터를 사용하여 모니터링하여 사용률이 허용 가능한 범위로 반환되는지 확인합니다.
4개의 vCPU로 크기가 조정된 Azure VM의 커넥터당 최대 1.5Gbps 집계 TCP 처리량(인바운드 및 아웃바운드 결합)과 표준 네트워킹을 사용하는 8GiB RAM을 예상할 수 있습니다. 더 큰 VM 크기(더 많은 vCPU, 더 많은 메모리, 가속 또는 높은 대역폭 NIC)를 사용하거나 스케일 아웃할 동일한 그룹에 더 많은 커넥터를 추가하여 더 높은 처리량을 달성할 수 있습니다.
전용 테스트 테넌트에서 iPerf3 TCP 데이터 스트림을 사용하는 제어된 랩 테스트에서 이 성능 지침을 파생시켰습니다. 실제 처리량은 다음 사항에 따라 달라질 수 있습니다.
- CPU 생성.
- NIC 기능(가속 네트워킹, 오프로드).
- TLS 암호 스위트.
- 네트워크 대기 시간 및 지터.
- 패킷 손실.
- 동시 프로토콜 조합(HTTPS, SMB, RDP).
- 중간 디바이스(방화벽, IDS/IPS, SSL 검사).
- 백 엔드 애플리케이션 응답성.
시나리오 기반 벤치마크 데이터(혼합 워크로드, 높은 연결 동시성, 대기 시간에 민감한 애플리케이션)가 사용 가능해지면 이 설명서에 추가됩니다.
커넥터가 등록되면 프라이빗 액세스 클라우드 인프라에 대한 아웃바운드 TLS 터널을 설정합니다. 이러한 터널은 모든 데이터 경로 트래픽을 처리합니다. 또한 컨트롤 플레인 채널은 최소 대역폭을 사용하여 연결 유지 하트비트, 상태 보고, 커넥터 업데이트 및 기타 기능을 구동합니다.
적절한 네트워크 및 인터넷 연결을 사용할 수 있는 경우 동일한 커넥터 그룹에 더 많은 커넥터를 배포하여 전체 처리량을 늘릴 수 있습니다. 복원력과 일관된 가용성을 보장하기 위해 정상 커넥터를 두 개 이상 유지하는 것이 좋습니다.
자세한 내용은 커넥터의 고가용성을 위한 모범 사례를 참조하세요.
도메인 가입
커넥터는 도메인에 가입되지 않은 컴퓨터에서 실행할 수 있습니다. 그러나 Windows 통합 인증을 사용하는 애플리케이션에 SSO를 사용하려면 도메인에 가입된 컴퓨터가 필요합니다. 이 경우 커넥터 머신은 게시된 애플리케이션에 대한 사용자를 대신하여 KCD를 수행할 수 있는 도메인에 가입되어야 합니다.
커넥터를 조인하여 다음을 수행할 수도 있습니다.
- 부분 신뢰를 가진 포리스트 내의 도메인입니다.
- 읽기 전용 도메인 컨트롤러입니다.
내구성이 강화된 환경에서 커넥터 배포
일반적으로 커넥터 배포는 매우 간단하며 특별한 구성이 필요하지 않습니다. 그러나 다음과 같은 고유한 조건을 고려합니다.
- 아웃바운드 트래픽을 사용하려면 특정 포트를 열어야 합니다(80 및 443).
- FIPS 규격 머신은 커넥터 프로세스에서 인증서를 생성 및 저장할 수 있도록 구성을 변경해야 할 수 있습니다.
- 아웃바운드 전달 프록시는 양방향 인증서 인증을 중단하고 통신이 실패할 수 있습니다.
커넥터 인증
안전한 서비스를 제공하기 위해 커넥터는 서비스에 대해 인증되어야 하고 서비스는 커넥터에 대해 인증되어야 합니다. 이 인증은 커넥터가 연결을 시작할 때 클라이언트 및 서버 인증서를 사용합니다. 이렇게 하면 관리자의 사용자 이름 및 암호가 커넥터 머신에 저장되지 않습니다.
인증서는 서비스와 관련이 있습니다. 인증서는 초기 등록 중에 생성되며 몇 개월마다 자동으로 갱신됩니다.
첫 번째 인증서 갱신이 성공하면 커넥터 서비스에는 로컬 컴퓨터 저장소에서 이전 인증서를 제거할 수 있는 권한이 없습니다. 인증서가 만료되거나 서비스에서 인증서를 사용하지 않는 경우 안전하게 삭제할 수 있습니다.
인증서 갱신 문제를 방지하려면 커넥터에서 문서화된 대상으로의 네트워크 통신을 사용하도록 설정해야 합니다.
커넥터가 몇 달 동안 서비스에 연결되지 않은 경우 해당 인증서가 오래되었을 수 있습니다. 이 경우 커넥터를 제거 후 다시 설치하여 등록을 트리거합니다. 다음 PowerShell 명령을 실행하면 됩니다.
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
Azure Government의 경우 -EnvironmentName "AzureUSGovernment"을(를) 사용하세요. 자세한 내용은 Azure Government 클라우드에 대한 에이전트 설치를 참조하세요.
인증서를 확인하고 문제를 해결하는 방법을 알아보려면 프라이빗 네트워크 커넥터 설치 문제 해결을 참조하세요.
비활성 커넥터
사용하지 않는 커넥터를 수동으로 삭제할 필요가 없습니다. 서비스는 비활성 커넥터에 태그를 지정 _inactive_ 하고 10일 후에 제거합니다.
커넥터를 제거하려면 커넥터 서비스와 업데이트 관리자 서비스를 모두 제거합니다. 그런 다음 컴퓨터를 다시 시작합니다.
활성 상태가 될 것으로 예상되는 커넥터가 커넥터 그룹에서 비활성으로 표시되는 경우 방화벽이 필요한 포트를 차단하고 있을 수 있습니다. 아웃바운드 방화벽 규칙 구성에 대한 자세한 내용은 기존 온-프레미스 프록시 서버 작업을 참조하세요.