다음을 통해 공유

Azure Private Link를 사용하여 서버를 Azure Arc에 안전하게 연결

Azure Private Link를 사용하면 프라이빗 엔드포인트를 사용하여 Azure PaaS(Platform-as-a-Service) 서비스를 가상 네트워크에 안전하게 연결할 수 있습니다. 많은 서비스의 경우 리소스당 엔드포인트를 설정합니다. 그런 다음, 온-프레미스 또는 다중 클라우드 서버를 Azure Arc에 연결하고 공용 네트워크를 사용하는 대신 Azure ExpressRoute 또는 사이트간 VPN(가상 사설망) 연결을 통해 모든 트래픽을 보낼 수 있습니다.

Azure Arc 지원 서버를 사용하면 프라이빗 링크 범위 모델을 사용하여 여러 서버 또는 컴퓨터가 단일 프라이빗 엔드포인트를 사용하여 Azure Arc 리소스와 통신할 수 있습니다.

이 문서에서는 Azure Arc Private Link 범위를 사용하는 시기와 설정하는 방법을 설명합니다.

장점

Private Link를 사용하면 다음을 수행할 수 있습니다.

  • 공용 네트워크 액세스를 개방하지 않고 Azure Arc에 비공개로 연결
  • Azure Arc 지원 컴퓨터 또는 서버의 데이터가 권한 있는 프라이빗 네트워크를 통해서만 액세스되는지 확인합니다. 이 요구 사항에는 배포 후 관리 및 모니터링 지원을 제공하는 컴퓨터 또는 서버에 설치된 VM(가상 머신) 확장 의 데이터도 포함됩니다.
  • 프라이빗 엔드포인트를 통해 연결되는 Azure Monitor와 같은 특정 Azure Arc 지원 서버 및 기타 Azure 서비스 리소스를 정의하여 프라이빗 네트워크에서 데이터 반출을 방지합니다.
  • ExpressRoute 및 Private Link를 사용하여 프라이빗 온-프레미스 네트워크를 Azure Arc에 안전하게 연결합니다.
  • Microsoft Azure 백본 네트워크 내에서 모든 트래픽을 유지합니다.

자세한 내용은 Azure Private Link의 주요 이점을 참조하세요.

작동 방법

Azure Arc Private Link 범위는 프라이빗 엔드포인트(및 프라이빗 엔드포인트가 포함된 가상 네트워크)를 Azure 리소스에 연결합니다. 이 경우 Azure Arc 지원 서버입니다. Azure Monitor와 같은 Azure Arc 지원 서버에 대해 지원되는 VM 확장 중 하나를 사용하도록 설정하면 해당 리소스는 다음과 같은 다른 Azure 리소스를 연결합니다.

  • Azure Automation 변경 내용 추적 및 인벤토리, Azure Monitor VM 인사이트 및 Azure Monitor 에이전트를 사용한 Azure Monitor 로그 수집에 필요한 Log Analytics 작업 영역입니다.
  • Azure Key Vault.
  • 사용자 지정 스크립트 확장에 필요한 Azure Blob Storage입니다.

기본 리소스 토폴로지 다이어그램

아키텍처 다이어그램을 고해상도로 다운로드하려면 Jumpstart Gems를 방문하세요.

Azure Arc 지원 서버에서 다른 Azure 리소스에 연결하려면 각 서비스에 대한 Private Link를 구성해야 하며 이는 선택 사항이지만 권장됩니다. Private Link에는 서비스당 별도의 구성이 필요합니다.

앞서 나열된 Azure 서비스에 대한 Private Link를 구성하는 방법에 대한 자세한 내용은 Azure Automation, Azure Monitor, Key Vault 또는 Blob Storage에 대한 문서를 참조하세요.

중요합니다

이제 Private Link가 일반 공급 상태입니다. 프라이빗 엔드포인트 및 프라이빗 링크 서비스(표준 부하 분산 장치 뒤의 서비스)는 모두 일반적으로 사용할 수 있습니다. 다른 일정에 따라 Private Link에 온보딩되는 다양한 Azure PaaS 서비스입니다. Private Link에서 Azure PaaS의 업데이트된 상태는 Private Link 가용성을 참조하세요. 알려진 제한 사항은 프라이빗 엔드포인트프라이빗 링크 서비스를 참조하세요.

  • 가상 네트워크의 프라이빗 엔드포인트를 사용하면 이러한 엔드포인트의 공용 IP를 사용하는 대신 네트워크 풀에서 개인 IP를 통해 Azure Arc 지원 서버 엔드포인트에 연결할 수 있습니다. 이러한 방식으로 요청되지 않은 아웃바운드 트래픽에 가상 네트워크를 열지 않고도 Azure Arc 지원 서버 리소스를 계속 사용할 수 있습니다.
  • 프라이빗 엔드포인트에서 리소스로의 트래픽은 Azure 백본을 통해 이동하며 공용 네트워크로 라우팅되지 않습니다.
  • 공용 네트워크에서 수집 및 쿼리를 허용하거나 거부하도록 각 컴포넌트를 구성할 수 있습니다. 특정 리소스에 대한 트래픽을 제어할 수 있도록 리소스 수준 보호를 제공합니다.

제한 사항

Azure Arc 지원 서버 프라이빗 링크 범위 개체에는 Private Link 설정을 계획할 때 고려해야 할 몇 가지 제한이 있습니다.

  • 최대 하나의 Azure Arc 프라이빗 링크 범위를 가상 네트워크와 연결할 수 있습니다.
  • Azure Arc 지원 컴퓨터 또는 서버 리소스는 하나의 Azure Arc 지원 서버 프라이빗 링크 범위에만 연결할 수 있습니다.
  • 모든 온-프레미스 컴퓨터는 FQDN(정규화된 도메인 이름) 레코드 이름 및 개인 IP 주소와 같은 올바른 프라이빗 엔드포인트 정보를 확인하여 동일한 프라이빗 엔드포인트를 사용해야 합니다. 동일한 DNS(도메인 이름 시스템) 전달자를 사용해야 합니다. 자세한 내용은 Azure 프라이빗 엔드포인트 DNS 구성을 참조하세요.
  • Azure Arc 지원 서버와 Azure Arc 프라이빗 링크 범위는 서로 동일한 Azure 지역에 있어야 합니다. 프라이빗 엔드포인트와 가상 네트워크는 서로 동일한 Azure 지역에 있어야 하지만 Azure Arc 프라이빗 링크 범위 및 Azure Arc 지원 서버의 지역과 다를 수 있습니다.
  • Microsoft Entra ID 및 Azure Resource Manager에 대한 네트워크 트래픽은 Azure Arc 프라이빗 링크 범위를 트래버스하지 않으며 인터넷에 대한 기본 네트워크 경로를 계속 사용합니다. 필요에 따라 리소스 관리 프라이빗 링크를 구성 하여 Resource Manager 트래픽을 프라이빗 엔드포인트로 보낼 수 있습니다.
  • 사용하는 다른 Azure 서비스(예: Azure Monitor)에는 가상 네트워크에 자체 프라이빗 엔드포인트가 필요합니다.
  • Windows Admin Center 또는 SSH를 사용하여 서버에 대한 원격 액세스는 현재 프라이빗 링크를 통해 지원되지 않습니다.

프라이빗 링크를 통해 서버를 Azure Arc에 연결하려면 다음 작업을 수행하도록 네트워크를 구성해야 합니다.

  1. 사이트 간 VPN 또는 ExpressRoute 회로를 사용하여 온-프레미스 네트워크와 Azure 가상 네트워크 간에 연결을 설정합니다.

  2. 프라이빗 엔드포인트를 통해 Azure Arc와 통신할 수 있는 컴퓨터 또는 서버를 제어하는 Azure Arc 프라이빗 링크 범위를 배포합니다. 프라이빗 엔드포인트를 사용하여 Azure 가상 네트워크와 연결합니다.

  3. 로컬 네트워크에서 DNS 구성을 업데이트하여 프라이빗 엔드포인트 주소를 확인합니다.

  4. Microsoft Entra ID 및 Resource Manager에 대한 액세스를 허용하도록 로컬 방화벽을 구성합니다.

  5. Azure Arc 지원 서버에 등록된 컴퓨터 또는 서버를 프라이빗 링크 범위와 연결합니다.

  6. 필요에 따라 다음과 같이 머신 또는 서버를 관리하는 다른 Azure 서비스에 대한 프라이빗 엔드포인트를 배포합니다.

    • Azure Monitor (Azure 모니터)
    • Azure Automation
    • Azure Blob Storage (애저 블롭 스토리지)
    • Azure Key Vault (애저 키 볼트)

이 문서에서는 ExpressRoute 회로 또는 사이트 간의 VPN 연결을 이미 설정한다고 가정합니다.

네트워크 구성

Azure Arc 지원 서버는 여러 Azure 서비스와 통합되어 하이브리드 컴퓨터 또는 서버에 클라우드 관리 및 거버넌스를 제공합니다. 이러한 서비스의 대부분은 이미 프라이빗 엔드포인트를 제공합니다. 이러한 서비스가 프라이빗 엔드포인트를 제공할 때까지 인터넷을 통해 Microsoft Entra ID 및 Resource Manager에 대한 액세스를 허용하도록 방화벽 및 라우팅 규칙을 구성해야 합니다.

액세스를 허용하는 방법에는 두 가지가 있습니다.

  • 네트워크가 Azure VPN 또는 ExpressRoute 회로를 통해 모든 인터넷 바인딩 트래픽을 라우팅하도록 구성된 경우 Azure의 서브넷과 연결된 NSG(네트워크 보안 그룹)를 구성할 수 있습니다. 서비스 태그를 사용하여 Microsoft Entra ID 및 Azure에 대한 아웃바운드 TCP 443(HTTPS) 액세스를 허용합니다. NSG 규칙은 다음 표와 같이 표시됩니다.

    설정 Microsoft Entra ID 규칙 Azure 규칙
    원본 가상 네트워크 가상 네트워크
    원본 포트 범위 * *
    대상 서비스 태그 서비스 태그
    대상 서비스 태그 AzureActiveDirectory AzureResourceManager
    대상 포트 범위 443 443
    프로토콜 TCP TCP
    작업 Allow Allow
    우선 순위 150(인터넷 액세스를 차단하는 규칙보다 낮아야 합니다.) 151(인터넷 액세스를 차단하는 규칙보다 낮아야 합니다.)
    이름 AllowAADOutboundAccess AllowAzOutboundAccess

  • 다운로드 가능한 서비스 태그 파일을 사용하여 Microsoft Entra ID 및 Azure에 대한 아웃바운드 TCP 443(HTTPS) 액세스를 허용하도록 로컬 네트워크에서 방화벽을 구성합니다. JSON 파일에는 Microsoft Entra ID 및 Azure에서 사용하는 모든 공용 IP 주소 범위가 포함되어 있으며 변경 내용을 반영하도록 매월 업데이트됩니다. Microsoft Entra ID 서비스 태그는 .입니다 AzureActiveDirectory. Azure 서비스 태그는 .입니다 AzureResourceManager. 방화벽 규칙을 구성하는 방법을 알아보려면 네트워크 관리자 및 네트워크 방화벽 공급 업체에 문의하세요.

네트워크 트래픽 흐름에 대해 자세히 알아보려면 이 문서의 작동 원리 섹션에 있는 다이어그램을 참조하세요.

  1. Azure Portal에 로그인합니다.

  2. Azure Portal에서 리소스 만들기로 이동하여 Azure Arc Private Link 범위를 검색한 다음 만들기를 선택합니다.

    만들기 단추가 있는 Azure Arc 프라이빗 링크 범위를 보여 주는 스크린샷

    또는 포털에서 Azure Arc Private Link 범위 페이지로 직접 이동한 다음 만들기를 선택합니다.

  3. 기본 사항 탭에서 구독 및 리소스 그룹을 선택합니다.

  4. Azure Arc 프라이빗 링크 범위의 이름을 입력합니다. 의미 있고 명확한 이름을 사용하는 것이 가장 좋습니다.

  5. 필요에 따라 이 Azure Arc 프라이빗 링크 범위와 연결된 모든 Azure Arc 지원 컴퓨터 또는 서버가 프라이빗 엔드포인트를 통해 서비스에 데이터를 보내도록 요구할 수 있습니다. 이렇게 하려면 이 Azure Arc 프라이빗 링크 범위와 연결된 컴퓨터 또는 서버가 프라이빗 또는 공용 네트워크를 통해 서비스와 통신할 수 있도록 공용 네트워크 액세스 허용 확인란을 선택합니다. 필요에 따라 범위를 만든 후 이 설정을 변경할 수 있습니다.

  6. 프라이빗 엔드포인트 탭을 선택한 다음 만들기를 선택합니다.

  7. 프라이빗 엔드포인트 만들기 창에서 다음을 수행합니다.

    1. 엔드포인트의 이름을 입력합니다.

    2. 프라이빗 DNS 영역과 통합하려면 예를 선택하고 새 프라이빗 DNS 영역을 자동으로 만들도록 합니다.

      참고

      아니요를 선택하고 DNS 레코드를 수동으로 관리하려는 경우 먼저 이 프라이빗 엔드포인트 및 프라이빗 범위 구성을 포함하여 프라이빗 링크 설정을 완료합니다. 그런 다음 , Azure 프라이빗 엔드포인트 DNS 구성의 지침에 따라 DNS를 구성합니다. 프라이빗 링크 설정에 대한 준비로 빈 레코드를 만들지 않도록 합니다. 만든 DNS 레코드는 기존 설정을 재정의하고 Azure Arc 지원 서버와의 연결에 영향을 줄 수 있습니다.

      프라이빗 링크를 사용하는 Azure Arc 리소스와 프라이빗 링크를 사용하지 않는 리소스 모두에 대해 동일한 가상 네트워크/DNS 영역을 사용할 수 없습니다. 프라이빗 링크에 연결되지 않은 Azure Arc 리소스는 퍼블릭 엔드포인트로 해결해야 합니다.

    3. 확인을 선택합니다.

  8. Review + create를 선택합니다.

    Private Link 범위 만들기 창을 보여 주는 스크린샷

  9. 유효성 검사를 통과하도록 한 다음, 생성을 선택합니다.

온-프레미스 DNS 전달 구성

온-프레미스 컴퓨터 또는 서버는 프라이빗 엔드포인트 IP 주소에 대한 프라이빗 링크 DNS 레코드를 확인할 수 있어야 합니다. 이 동작을 구성하는 방법은 사용 여부에 따라 달라집니다.

  • DNS 레코드를 유지하기 위한 Azure 프라이빗 DNS 영역입니다.
  • 자체 DNS 서버의 온프레미스 설정과 서버를 몇 대 구성할지

Azure 통합 프라이빗 DNS 영역을 사용하여 DNS 구성

프라이빗 엔드포인트를 만들 때 Azure Arc 지원 서버 및 게스트 구성에 대한 프라이빗 DNS 영역을 설정하는 경우 온-프레미스 컴퓨터 또는 서버는 프라이빗 엔드포인트 주소를 올바르게 확인하기 위해 기본 제공 Azure DNS 서버에 DNS 쿼리를 전달할 수 있어야 합니다. Azure에 DNS 전달자가 필요합니다(DNS 프록시를 사용하도록 설정된 Azure Firewall 인스턴스 또는 용도로 빌드된 VM). 그런 다음 Azure에 쿼리를 전달하여 프라이빗 엔드포인트 IP 주소를 확인하도록 온-프레미스 DNS 서버를 구성할 수 있습니다.

자세한 내용은 온-프레미스 DNS 전달자를 사용하는 Azure DNS Private Resolver를 참조하세요.

수동 DNS 서버 구성

프라이빗 엔드포인트를 만드는 동안 Azure 프라이빗 DNS 영역 사용을 옵트아웃한 경우 온-프레미스 DNS 서버에 필요한 DNS 레코드를 만들어야 합니다.

  1. Azure Portal에서 가상 네트워크 및 프라이빗 링크 범위와 연결된 프라이빗 엔드포인트 리소스로 이동합니다.

  2. 서비스 메뉴의 설정에서 DNS 구성 을 선택하여 DNS 서버에서 설정해야 하는 DNS 레코드 및 해당 IP 주소 목록을 확인합니다. FQDN 및 IP 주소는 프라이빗 엔드포인트에 대해 선택한 지역 및 서브넷에서 사용 가능한 IP 주소에 따라 변경됩니다.

  3. DNS 서버 공급업체의 지침에 따라 포털의 테이블과 일치하도록 필요한 DNS 영역 및 A 레코드를 추가합니다. 네트워크에 대해 적절하게 범위가 지정된 DNS 서버를 선택해야 합니다. 이제 이 DNS 서버를 사용하는 모든 컴퓨터 또는 서버가 프라이빗 엔드포인트 IP 주소를 확인합니다. 각 컴퓨터 또는 서버는 Azure Arc 프라이빗 링크 범위와 연결되어야 합니다. 그렇지 않으면 연결이 거부됩니다.

단일 서버 시나리오

프라이빗 링크를 사용하여 몇 대의 컴퓨터 또는 서버만 지원하려는 경우 전체 네트워크의 DNS 구성을 업데이트하지 않을 수 있습니다. 이 경우 프라이빗 엔드포인트 호스트 이름 및 IP 주소를 운영 체제의 호스트 파일에 추가할 수 있습니다 . OS 구성에 따라 호스트 파일은 IP 주소에 대한 호스트 이름을 확인하는 기본 또는 대체 방법이 될 수 있습니다.

윈도우즈

  1. 관리자 권한이 있는 계정을 사용하여 C:\Windows\System32\drivers\etc\hosts를 엽니다.

  2. 수동 DNS 서버 구성에 설명된 대로 DNS 구성 목록에서 프라이빗 엔드포인트 IP 및 호스트 이름을 추가합니다. 호스트 파일에는 먼저 IP 주소가 필요하고, 그 다음에는 공백과 호스트 이름이 필요합니다.

  3. 변경 내용이 있는 파일을 저장합니다. 먼저 다른 디렉터리에 저장한 다음 파일을 원래 경로에 복사해야 할 수 있습니다.

Linux

  1. 텍스트 편집기에서 /etc/hosts 파일을 엽니다.

  2. 수동 DNS 서버 구성에 설명된 대로 DNS 구성 목록에서 프라이빗 엔드포인트 IP 및 호스트 이름을 추가합니다. 호스트 파일은 먼저 IP 주소를 요청하고, 그 다음에는 공백과 호스트 이름을 묻습니다.

  3. 변경 내용이 있는 파일을 저장합니다.

Azure Arc 지원 서버에 연결

프라이빗 엔드포인트를 사용하려면 Azure Connected Machine 에이전트 버전 1.4 이상이 필요합니다. 포털에서 생성된 Azure Arc 지원 서버 배포 스크립트는 최신 버전을 다운로드합니다.

컴퓨터 또는 서버를 Azure Arc 지원 서버와 처음으로 연결하는 경우 필요에 따라 프라이빗 링크 범위에 연결할 수 있습니다.

  1. 브라우저에서 Azure Portal로 이동합니다.

  2. Machines - Azure Arc로 이동합니다.

  3. 컴퓨터 - Azure Arc 페이지의 왼쪽 위 모서리에서 추가/만들기를 선택한 다음 드롭다운 메뉴에서 컴퓨터 추가를 선택합니다.

  4. Azure Arc를 사용하여 서버 추가 페이지에서 배포 시나리오에 따라 단일 서버 추가 또는 여러 서버 추가를 선택한 다음 스크립트 생성을 선택합니다.

  5. 기본 사항 페이지에서 다음 정보를 제공합니다.

    1. 컴퓨터에 대한 구독 및 리소스 그룹을 선택합니다.

    2. 지역 드롭다운 목록에서 컴퓨터 또는 서버 메타데이터를 저장할 Azure 지역을 선택합니다.

    3. 운영 체제 드롭다운 목록에서 스크립트가 실행되도록 구성된 운영 체제를 선택합니다.

    4. 연결 방법에서 프라이빗 엔드포인트를 선택하고 드롭다운 목록에서 1부에서 만든 Azure Arc 프라이빗 링크 범위를 선택합니다.

      프라이빗 엔드포인트 연결 옵션을 선택하는 방법을 보여 주는 스크린샷.

    5. 다음: 태그를 선택합니다.

  6. 인증 페이지에서 여러 서버 추가를 선택한 경우 드롭다운 목록에서 Azure Arc 지원 서버에 대해 만든 서비스 주체를 선택합니다. Azure Arc 지원 서버에 대한 서비스 주체를 만들어야 하는 경우 서비스 주체를 만들어 사용 권한 및 이를 만드는 데 필요한 단계에 대해 알아봅니다. 계속하려면 다음: 태그를 선택합니다.

  7. 태그 페이지에서 제안된 기본 물리적 위치 태그를 검토하고 값을 입력하거나 표준을 지원하기 위해 하나 이상의 사용자 지정 태그를 지정합니다.

  8. 다음: 스크립트 다운로드 및 실행을 선택합니다.

  9. 스크립트 다운로드 및 실행 페이지에서 요약 정보를 검토한 다음, 다운로드를 선택합니다.

스크립트를 다운로드한 후에는 권한 있는(관리자 또는 루트) 계정을 사용하여 컴퓨터 또는 서버에서 스크립트를 실행해야 합니다. 네트워크 구성에 따라 인터넷에 액세스할 수 있는 컴퓨터에서 에이전트를 다운로드하여 컴퓨터 또는 서버로 전송해야 할 수 있습니다. 그런 다음 에이전트 경로로 스크립트를 수정합니다.

Windows 에이전트Linux 에이전트를 다운로드할 수 있습니다. OS 배포 디렉터리에서 최신 버전을 azcmagent 찾고 로컬 패키지 관리자와 함께 설치합니다.

스크립트는 온보딩이 완료된 후 성공했는지 알려주는 상태 메시지를 반환합니다.

Azure Connected Machine 에이전트에서 Microsoft Entra ID(, login.windows.net,login.microsoftonline.com) 및 Resource Manager(pas.windows.netmanagement.azure.com)로의 네트워크 트래픽은 계속해서 퍼블릭 엔드포인트를 사용합니다. 서버가 이러한 엔드포인트에 도달하기 위해 프록시 서버를 통해 통신해야 하는 경우 Azure에 연결하기 전에 프록시 서버 URL로 에이전트를 구성 합니다. 또한 프록시 서버에서 프라이빗 엔드포인트에 액세스할 수 없는 경우 Azure Arc 서비스에 대한 프록시 바이패스를 구성 해야 할 수도 있습니다.

기존 Azure Arc 지원 서버 구성

프라이빗 링크 범위 이전에 설정된 Azure Arc 지원 서버의 경우 Azure Arc 지원 서버 프라이빗 링크 범위를 사용하여 시작하도록 허용할 수 있습니다.

  1. Azure Portal에서 Azure Arc 프라이빗 링크 범위 리소스로 이동합니다.

  2. 서비스 메뉴의 구성에서 Azure Arc 리소스를 선택한 다음 + 추가를 선택합니다.

  3. 프라이빗 링크 범위와 연결하려는 목록에서 서버를 선택한 다음 선택을 선택하여 변경 내용을 저장합니다.

    Azure Arc 리소스를 선택하는 방법을 보여 주는 스크린샷.

프라이빗 링크 범위가 최근에 연결된 서버의 연결을 수락하는 데 최대 15분이 걸릴 수 있습니다.

문제 해결

문제가 발생하면 다음 제안이 도움이 될 수 있습니다.

  • 온-프레미스 DNS 서버를 확인하여 Azure DNS로 전달되는지 또는 프라이빗 링크 영역에 적절한 A 레코드가 구성되어 있는지 확인합니다. 이러한 조회 명령은 Azure Virtual Network에서 개인 IP 주소를 반환해야 합니다. 공용 IP 주소를 확인하는 경우 컴퓨터 또는 서버와 네트워크의 DNS 구성을 다시 확인합니다.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com

  • 컴퓨터 또는 서버 온보딩과 관련된 문제의 경우 로컬 네트워크 방화벽에 Microsoft Entra ID 및 Resource Manager 서비스 태그를 추가했음을 확인합니다. 에이전트는 이러한 서비스에 대해 프라이빗 엔드포인트를 사용할 수 있을 때까지 인터넷을 통해 해당 서비스와 통신해야 합니다.

자세한 문제 해결 도움말은 Azure 프라이빗 엔드포인트 연결 문제 해결을 참조하세요.

관련 콘텐츠

  • Last updated on