Azure Monitor Private Link 구성 디자인

AMPLS(Azure Monitor Private Link Scope)를 만들 때 Azure Monitor 리소스에 대한 액세스를 프라이빗 엔드포인트에 연결된 네트워크로만 제한합니다. 이 문서에서는 Azure Monitor에 대한 프라이빗 링크 구성의 지침을 사용하여 실제로 구현하기 전에 고려해야 하는 Azure Monitor 프라이빗 링크 구성 및 기타 고려 사항을 디자인하는 방법에 대한 지침을 제공합니다.

AMPLS 제한

AMPLS 개체에는 다음과 같은 제한이 있습니다.

• 가상 네트워크는 한 개의 AMPLS 개체에만 연결할 수 있습니다. 즉, AMPLS 개체는 가상 네트워크가 액세스할 수 있어야 하는 모든 Azure Monitor 리소스에 대한 액세스를 제공해야 합니다.
• AMPLS 개체는 최대 300개의 Log Analytics 작업 영역과 최대 1,000개의 Application Insights 구성 요소에 연결할 수 있습니다.
• Azure Monitor 리소스는 최대 5개의 AMPLS에 연결할 수 있습니다.
• AMPLS 개체는 최대 10개의 프라이빗 엔드포인트에 연결할 수 있습니다.

네트워크 토폴로지에 관한 계획

다음 섹션에서는 네트워크 토폴로지에 따라 Azure Monitor 프라이빗 링크 구성을 계획하는 방법을 설명합니다.

단일 AMPLS를 사용하여 DNS 재정의 방지

일부 네트워크는 여러 가상 네트워크나 다른 연결된 네트워크로 구성됩니다. 이러한 네트워크가 동일한 DNS를 공유하는 경우 해당 네트워크에서 프라이빗 링크를 구성하면 DNS가 업데이트되고 모든 네트워크의 트래픽에 영향을 줍니다.

다음 다이어그램에서 가상 네트워크 10.0.1.x는 AMPLS1에 연결되는데, 여기서 Azure Monitor 엔드포인트를 10.0.1.x 범위의 IP에 매핑하는 DNS 항목을 만듭니다. 나중에 가상 네트워크 10.0.2.x는 AMPLS2에 연결되고, 여기서 동일한 전역/지역 엔드포인트를 10.0.2.x 범위의 IP에 매핑하여 동일한 DNS 항목을 재정의합니다. 이러한 가상 네트워크는 피어링되지 않으므로 이제 첫 번째 가상 네트워크가 이러한 엔드포인트에 연결되지 않습니다. 이 충돌을 방지하려면 DNS당 단일 AMPLS 개체만 만듭니다.

허브 및 스포크 네트워크

허브 및 스포크 네트워크는 각 스포크 가상 네트워크가 아닌 허브(기본) 네트워크에 설정된 단일 프라이빗 링크 연결을 사용해야 합니다.

각 가상 네트워크가 제한된 모니터링 리소스 집합에 액세스할 수 있도록 스포크 가상 네트워크에 대한 별도의 프라이빗 링크를 만드는 것이 좋습니다. 이 경우 각 가상 네트워크에 대한 전용 프라이빗 엔드포인트 및 AMPLS를 만들 수 있습니다. 또한 DNS 재정의를 방지하기 위해 동일한 DNS 영역을 공유하지 않는지 확인해야 합니다.

피어된 네트워크

네트워크 피어링을 사용하면 네트워크가 서로의 IP 주소를 공유하고 동일한 DNS를 공유할 수 있습니다. 이 경우 다른 네트워크에서 액세스할 수 있는 단일 프라이빗 링크를 네트워크에 만듭니다. DNS의 마지막 집합만 적용되므로 여러 프라이빗 엔드포인트 및 AMPLS 개체를 만들지 마세요.

격리된 네트워크

네트워크가 피어링되지 않은 경우 프라이빗 링크를 사용하려면 DNS도 분리해야 합니다. 그런 다음 각 네트워크에 대해 별도의 프라이빗 엔드포인트와 별도의 AMPLS 개체를 만들 수 있습니다. AMPLS 개체는 동일한 작업 영역/구성 요소 또는 다른 작업 영역/구성 요소에 연결할 수 있습니다.

액세스 모드 선택

프라이빗 링크 액세스 모드를 사용하면 프라이빗 링크가 네트워크 트래픽에 미치는 영향을 제어할 수 있습니다. 선택하는 것은 연속적이고 중단 없는 네트워크 트래픽을 보장하는 데 중요합니다.

액세스 모드는 AMPLS에 연결된 모든 네트워크 또는 연결된 특정 네트워크에 적용할 수 있습니다. 액세스 모드는 수집 및 쿼리에 대해 별도로 설정됩니다. 예를 들어, 수집에 대해 프라이빗 전용 모드를 설정하고 쿼리에 대해 공개 모드를 설정할 수 있습니다.

Important

Log Analytics 수집은 리소스별 엔드포인트를 사용하므로 AMPLS 액세스 모드를 준수하지 않습니다. Log Analytics 수집 요청이 AMPLS 외부의 작업 영역에 액세스할 수 없도록 하려면 AMPLS 액세스 모드에 관계없이 공용 엔드포인트에 대한 트래픽을 차단하도록 네트워크 방화벽을 설정합니다.

프라이빗 전용 액세스 모드

이 모드를 사용하면 가상 네트워크가 AMPLS의 프라이빗 링크 리소스에만 연결할 수 있습니다. 가장 안전한 옵션이며 AMPLS에서 Azure Monitor 리소스로의 트래픽을 차단하여 데이터 반출을 방지합니다.

액세스 모드 열기

이 모드를 사용하면 가상 네트워크가 AMPLS에 없는 프라이빗 링크 리소스와 리소스 모두에 연결할 수 있습니다(공용 네트워크의 트래픽을 허용하는 경우). 열기 액세스 모드는 데이터 반출을 방지하지는 않지만 여전히 프라이빗 링크의 다른 이점을 제공합니다. 프라이빗 링크 리소스에 대한 트래픽은 유효성을 검사하기 전에 프라이빗 엔드포인트를 통해 전송된 다음 Microsoft 백본을 통해 전송됩니다. 열기 모드는 일부 리소스가 공개적으로 액세스되고 다른 리소스가 프라이빗 링크를 통해 액세스하는 혼합 모드에 유용합니다. 점진적 온보딩 프로세스 중에도 유용할 수 있습니다.

Important

액세스 모드를 선택할 때는 주의해야 합니다. 프라이빗 전용 액세스 모드를 사용하면 구독 또는 테넌트에 관계없이 동일한 DNS를 공유하는 모든 네트워크에서 AMPLS에 없는 리소스에 대한 트래픽을 차단합니다. 모든 Azure Monitor 리소스를 AMPLS에 추가할 수 없는 경우 먼저 선택 리소스를 추가하고 열기 액세스 모드를 적용합니다. 모든 Azure Monitor 리소스를 AMPLS에 추가한 후에만 최대 보안을 위해 프라이빗 전용 모드로 전환합니다.

특정 네트워크에 대한 액세스 모드 설정

AMPLS 리소스에 설정된 액세스 모드는 모든 네트워크에 영향을 주지만 특정 네트워크에 대해 해당 설정을 재정의할 수 있습니다.

다음 다이어그램에서 VNet1은 공개 모드를 사용하고 VNet2는 프라이빗 전용 모드를 사용합니다. VNet1의 요청은 프라이빗 링크를 통해 작업 영역 1 및 구성 요소 2에 도달할 수 있습니다. 요청은 구성 요소 3이 공용 네트워크의 트래픽을 수락하는 경우에만 구성 요소 3에 도달할 수 있습니다. VNet2 요청은 구성 요소 3에 도달할 수 없습니다.

AMPLS 리소스에 대한 네트워크 액세스 제어

Azure Monitor 구성 요소는 다음 중 하나로 설정할 수 있습니다.

• 공용 네트워크(리소스 AMPLS에 연결되지 않은 네트워크)의 수집을 허용하거나 차단합니다.
• 공용 네트워크(리소스 AMPLS에 연결되지 않은 네트워크)의 쿼리를 허용하거나 차단합니다.

이 세분성을 사용하면 특정 요구 사항에 따라 작업 영역당 액세스를 설정할 수 있습니다. 예를 들어 프라이빗 링크 연결 네트워크를 통해서만 수집을 수락할 수 있지만 모든 네트워크, 퍼블릭 및 프라이빗의 쿼리를 허용하도록 선택할 수 있습니다.

참고 항목

공용 네트워크에서 쿼리를 차단한다는 것은 연결된 AMPLS 외부의 컴퓨터 및 SDK와 같은 클라이언트가 리소스의 데이터를 쿼리할 수 없음을 의미합니다. 해당 데이터에는 로그, 메트릭, 라이브 메트릭 스트림이 포함됩니다. 공용 네트워크의 쿼리를 차단하면 통합 문서, 대시보드, Azure Portal의 Insights, Azure Portal 외부에서 실행되는 쿼리 등 이러한 쿼리를 실행하는 모든 환경에 영향을 줍니다.

다음은 이 네트워크 액세스에 대한 예외입니다.

• 진단 로그. 진단 설정에서 작업 영역으로 전송된 로그 및 메트릭은 보안 프라이빗 Microsoft 채널을 통해 전송되며 이러한 설정에 의해 제어되지 않습니다.
• 사용자 지정 메트릭 또는 Azure Monitor 게스트 메트릭. Azure Monitor 에이전트에서 보낸 사용자 지정 메트릭 은 DCE에서 제어되지 않으며 프라이빗 링크를 통해 구성할 수 없습니다.

참고 항목

Resource Manager API를 통해 전송된 쿼리는 Azure Monitor 프라이빗 링크를 사용할 수 없습니다. 이러한 쿼리는 대상 리소스가 공용 네트워크에서 쿼리를 허용하는 경우에만 액세스 권한을 얻을 수 있습니다.

Resource Manager API를 통해 쿼리를 실행하는 것으로 알려진 환경은 다음과 같습니다.

• LogicApp 커넥터
• 업데이트 관리 솔루션
• 변경 내용 추적 솔루션
• VM 인사이트
• 컨테이너 인사이트
• Log Analytics 작업 영역 요약(사용되지 않음) 창(솔루션 대시보드 표시)

특별 고려 사항

Application Insights

• 모니터링되는 워크로드를 호스팅하는 리소스를 프라이빗 링크에 추가합니다. 예를 들어, Azure 웹앱용 프라이빗 엔드포인트 사용을 참조하세요.
• 포털이 아닌 사용 환경은 모니터링되는 워크로드를 포함하는 프라이빗 링크 가상 네트워크에서도 실행해야 합니다.
• .NET Profiler 및 디버거에 대한 프라이빗 링크를 지원하려면 사용자 고유의 스토리지 계정을 제공합니다.

참고 항목

작업 영역 기반 Application Insights를 완전히 보호하려면 Application Insights 리소스 및 기본 Log Analytics 작업 영역에 대한 액세스를 잠급니다.

관리되는 Prometheus

• Private Link 수집 설정은 Prometheus 메트릭을 저장하는 데 사용되는 Azure Monitor 작업 영역을 참조하는 DCE(데이터 컬렉션 엔드포인트)에서 AMPLS 및 설정을 사용하여 수행됩니다.
• Private Link 쿼리 설정은 Prometheus 메트릭을 저장하는 데 사용되는 Azure Monitor 작업 영역에서 직접 수행되며 AMPLS로 처리되지 않습니다.

다음 단계

• 프라이빗 링크를 구성하는 방법을 참조하세요.
• 사용자 지정 로그 및 고객 관리형 키용 프라이빗 스토리지에 대해 알아봅니다.
• Private Link 자동화에 대해 자세히 알아보세요.