프라이빗 링크는 가상 네트워크와 Microsoft Fabric 간에 안전한 프라이빗 연결을 제공하여 데이터에 대한 공용 인터넷 액세스를 차단하고 무단 액세스 또는 데이터 침해의 위험을 줄입니다. Azure Private Link 및 Azure 네트워킹 프라이빗 엔드포인트는 인터넷을 통해 가는 대신 Microsoft의 백본 네트워크 인프라를 사용하여 개인적으로 데이터 트래픽을 보내는 데 사용됩니다.
패브릭은 테넌트 및 작업 영역 수준 모두에서 프라이빗 링크를 지원합니다. 테넌트 수준 프라이빗 링크 는 전체 테넌트에 네트워크 제한을 적용하여 모든 작업 영역 및 리소스를 보호합니다. 작업 영역 수준 프라이빗 링크를 사용하면 테넌트 전체 변경을 요구하거나 패브릭 환경의 다른 작업 영역에 영향을 주지 않고도 특정 작업 영역의 중요한 데이터 또는 리소스에 대한 액세스를 보호할 수 있습니다.
이 문서에서는 Microsoft Fabric의 작업 영역 수준 프라이빗 링크에 대한 개요를 제공합니다. 자세한 설정 지침은 작업 영역 수준 프라이빗 링크 설정 및 사용을 참조하세요.
작업 영역 수준 프라이빗 링크 개요
작업 영역 수준 프라이빗 링크는 Azure Private Link 서비스를 사용하여 작업 영역을 특정 가상 네트워크에 매핑합니다. 프라이빗 링크를 사용하도록 설정하면 작업 영역에 대한 공용 인터넷 액세스를 제한하여 승인된 가상 네트워크 내의 리소스(프라이빗 엔드포인트를 통해)만 작업 영역에 액세스할 수 있도록 할 수 있습니다. 다음 다이어그램에서는 작업 영역 수준 프라이빗 링크의 다양한 구현을 보여 줍니다.
이 다이어그램에서는 다음을 수행합니다.
작업 영역 1 은 인바운드 공용 액세스를 제한하며 작업 영역 수준 프라이빗 링크를 통해 VNet A 및 VNet B 의 컴퓨터에서만 액세스할 수 있습니다.
작업 영역 2 는 인바운드 공용 액세스를 제한하며 작업 영역 수준 프라이빗 링크를 통해 VNet B 의 컴퓨터에서만 액세스할 수 있습니다.
제한된 인바운드 통신 규칙이 구성되어 있지 않으므로 공용 인터넷에서 작업 영역 3에 액세스할 수 있습니다. 작업 영역 수준 프라이빗 링크를 통해 VNet B 에서 액세스할 수도 있습니다. 이 구성은 퍼블릭 및 프라이빗 액세스를 모두 허용하며 프로덕션 환경에는 권장되지 않습니다. 이 설정은 공용 인터넷에 작업 영역을 노출하고 전체 인바운드 네트워크 보호를 제공하지 않으므로 테스트 목적으로만 사용해야 합니다.
제한된 인바운드 통신 규칙이 구성되어 있지 않으므로 공용 인터넷에서 작업 영역 4에 액세스할 수 있습니다.
다이어그램은 작업 영역 수준 프라이빗 링크에 대한 다음 주요 사항을 보여 줍니다.
인바운드 공용 액세스를 제한하도록 작업 영역을 구성한 경우 공용 인터넷에서 액세스할 수 없습니다. 작업 영역 수준 프라이빗 링크를 통해서만 액세스할 수 있습니다.
프라이빗 링크 서비스는 작업 영역과 일대일 관계를 맺습니다. 다이어그램에 표시된 것처럼 각 작업 영역에는 고유한 프라이빗 링크 서비스가 있습니다.
작업 영역의 프라이빗 링크 서비스에는 여러 프라이빗 엔드포인트가 있을 수 있습니다. 예를 들어 VNet A와 VNet B는 별도의 프라이빗 엔드포인트를 통해 작업 영역 1에 연결합니다. 프라이빗 엔드포인트 수의 제한은 지원되는 시나리오 및 작업 영역 수준 프라이빗 링크에 대한 제한 사항에서 찾을 수 있습니다.
가상 네트워크는 각각에 대해 별도의 프라이빗 엔드포인트를 만들어 여러 작업 영역에 연결할 수 있습니다. 예를 들어 VNet B는 세 개의 프라이빗 엔드포인트를 사용하여 작업 영역 1, 2 및 3에 연결합니다.
프라이빗 링크가 있거나 없는 작업 영역에 대한 공용 액세스를 제한할 수 있습니다. 공용 액세스가 제한되고 프라이빗 링크가 없는 경우 모든 네트워크에서 작업 영역에 액세스할 수 없습니다. 그러나 작업 영역 관리자는 통신 정책 API를 사용하여 인바운드 액세스 규칙을 수정할 수 있습니다.
작업 영역 수준 프라이빗 링크는 특정 작업 영역에 대한 프라이빗 링크 연결을 설정하는 데 사용됩니다. 다른 작업 영역에 연결하는 데 사용할 수 없습니다. 다이어그램에 표시된 구성에서는 VNet A에서 작업 영역 2에 연결할 수 없습니다. 반면 VNet A가 클라이언트 네트워크 설정에서 아웃바운드 공용 액세스를 허용하는 경우 VNet A에서 작업 영역 3 및 4에 연결할 수 있습니다.
작업 영역에 연결
작업 영역에 연결할 때는 FQDN(정규화된 도메인 이름) 작업 영역을 사용해야 합니다. 작업 영역 FQDN은 작업 영역 ID와 작업 영역 개체 ID의 처음 두 문자를 기반으로 생성됩니다. 다음은 작업 영역 FQDN의 형식입니다. workspaceid는 대시가 없는 작업 영역 개체 ID이며 xy는 작업 영역 개체 ID의 처음 두 문자를 나타냅니다. 패브릭 포털에서 작업 영역 페이지를 열 때 그룹 후 URL에서 작업 영역 개체 ID를 찾습니다. 목록 작업 영역 API 또는 작업 영역 가져오기 API를 실행하여 작업 영역 FQDN을 가져올 수도 있습니다.
https://{workspaceid}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceid}.z{xy}.c.fabric.microsoft.comhttps://{workspaceid}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceid}.z{xy}.dfs.fabric.microsoft.com-
https://{workspaceid}.z{xy}.blob.fabric.microsoft.com데이터 웨어하우스 연결 문자열을 사용할 때는, SQL 연결 문자열 아래에 있는 일반 웨어하우스 연결 문자열에 z{xy}를 추가해야 합니다.https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.comFQDN의 GUID는 각각 Base32의 테넌트 GUID와 Base32의 작업 영역 GUID에 해당합니다. 이 FQDN은 프라이빗 엔드포인트에 대한 DNS 구성의 일부로 사용할 수 없습니다.
작업 영역 FQDN이 다른 환경에서 확인하는 방법
작업 영역 FQDN은 다음 표에 요약된 대로 환경 및 Private Link 구성에 따라 다른 IP 주소로 확인됩니다.
| 환경 | 작업 영역 FQDN 확인 |
|---|---|
| Private Link가 설정되지 않음 | 공용 IP 주소로 확인됩니다. |
| 테넌트 수준 Private Link가 설정됩니다. | 테넌트 수준 Private Link 구성에 따라 개인 IP 주소로 확인됩니다. |
| 해당 작업 영역에 대해 작업 영역 수준 프라이빗 링크가 설정됩니다. | 작업 영역 수준 프라이빗 링크 구성에 따라 개인 IP 주소로 확인됩니다. 메모: 이 환경에서 작업 영역 FQDN은 특정 작업 영역에만 연결할 수 있습니다. 비작업 영역 리소스(예: 용량, 다른 작업 영역 또는 그룹 작업 영역)에 액세스하는 데 사용할 수 없습니다. |
| 작업 영역 수준 프라이빗 링크는 해당 작업 영역에 대해 설정되며 테넌트 수준 프라이빗 링크도 동일한 가상 네트워크에 설정됩니다. | 작업 영역 수준 프라이빗 링크 구성에 따라 개인 IP 주소로 확인됩니다. |
| 작업 영역 수준 프라이빗 링크가 다른 작업 영역에 대해 설정됩니다. | 인터넷으로 대체를 사용하도록 설정하면 공용 IP 주소로 확인됩니다. Azure 프라이빗 DNS 영역에 대한 인터넷 대체 참조 - Azure DNS | 자세한 내용은 Microsoft Learn을 참조하세요. 인터넷으로 대체를 사용하도록 설정하지 않으면 올바르게 확인되지 않습니다. |
작업 영역 FQDN은 대시가 없는 작업 영역 개체 ID와 올바른 xy 접두사(작업 영역 개체 ID의 처음 두 문자)를 사용하여 올바르게 구성되어야 합니다. FQDN의 형식이 올바르게 지정되지 않으면 의도한 개인 IP 주소로 확인되지 않으며 작업 영역 수준 프라이빗 링크 연결이 실패합니다.