네트워크 보안

이 문서에서는 Azure Arc 지원 서버에 대한 네트워킹 요구 사항 및 옵션을 설명합니다.

일반 네트워킹

Azure Arc 지원 서버는 모든 고객이 공유하는 전역 및 지역 엔드포인트의 조합으로 제공되는 SaaS(Software as a Service) 제품입니다. Azure Connected Machine Agent에서 나오는 모든 네트워크 통신은 Azure에 대해 아웃바운드로 진행됩니다. Azure는 컴퓨터를 관리하기 위해 네트워크에 "연결"되지 않습니다. 이러한 연결은 항상 TLS 인증서를 사용하여 암호화됩니다. 에이전트에서 액세스하는 엔드포인트 및 IP 주소 목록은 네트워크 요구 사항에 설명되어 있습니다.

설치하는 확장에는 Azure Arc 네트워크 요구 사항에 포함되지 않은 추가 엔드포인트가 필요할 수 있습니다. 해당 솔루션의 네트워크 요구 사항에 대한 자세한 내용은 확장 설명서를 참조하세요.

조직에서 TLS 검사를 사용하는 경우 Azure Connected Machine Agent는 인증서 고정을 사용하지 않으며 머신이 TLS 검사 서비스에서 제공하는 인증서를 신뢰하는 한, 계속 작동합니다. 일부 Azure Arc 확장은 인증서 고정을 사용하며 TLS 검사에서 제외해야 합니다. 배포하는 확장에 대한 설명서를 참조하여 TLS 검사를 지원하는지 확인합니다.

프라이빗 엔드포인트

프라이빗 엔드포인트는 Express Route 또는 사이트 간 VPN을 통해 네트워크 트래픽을 전송하고 Azure Arc를 사용할 수 있는 머신을 보다 세부적으로 제어할 수 있는 선택적 Azure 네트워킹 기술입니다. 프라이빗 엔드포인트를 사용하면 조직의’네트워크 주소 공간에서 개인 IP 주소를 사용하여 Azure Arc 클라우드 서비스에 액세스할 수 있습니다. 또한 권한을 부여한 서버만 이러한 엔드포인트를 통해 데이터를 보낼 수 있으므로 네트워크에서 Azure Connected Machine Agent를 무단으로 사용하지 않도록 보호합니다.

모든 엔드포인트와 모든 시나리오가 프라이빗 엔드포인트에서 지원되지는 않는다는 점에 유의해야 합니다. 프라이빗 엔드포인트 솔루션을 제공하지 않는 Microsoft Entra ID와 같은 일부 엔드포인트에 대해 방화벽 예외를 만들어야 합니다. 설치하는 모든 확장에는 다른 프라이빗 엔드포인트(지원되는 경우)가 필요하거나 해당 서비스를 위해 퍼블릭 엔드포인트에 액세스할 수 있습니다. 또한 SSH 또는 Windows Admin Center를 사용하여 프라이빗 엔드포인트를 통해 서버에 액세스할 수’없습니다.

프라이빗 엔드포인트를 사용하는지 또는 퍼블릭 엔드포인트를 사용하는지에 관계없이 Azure Connected Machine Agent와 Azure 간에 전송되는 데이터는 항상 암호화됩니다. 항상 퍼블릭 엔드포인트로 시작하고 나중에 비즈니스 요구 사항이 변경됨에 따라 프라이빗 엔드포인트로(또는 그 반대로) 전환할 수 있습니다.