다음을 통해 공유

Azure Private Link를 사용하여 네트워크를 Azure Monitor에 연결

  • 아티클

Azure Private Link를 사용하면 프라이빗 엔드포인트를 사용하여 Azure PaaS(Platform as a Service) 리소스를 가상 네트워크에 안전하게 연결할 수 있습니다. Azure Monitor 프라이빗 링크는 다른 서비스에 대한 프라이빗 링크와 다르게 구성됩니다. 이 문서에서는 Azure Monitor 프라이빗 링크의 주요 원칙과 작동 방식에 대해 설명합니다.

Azure Monitor에서 Private Link를 사용할 경우의 장점은 다음과 같습니다. 추가 혜택은 Private Link의 주요 이점을 참조하세요.

  • 공용 네트워크 액세스를 허용하지 않고 Azure Monitor에 비공개로 연결합니다. 권한 있는 개인 네트워크를 통해서만 모니터링 데이터에 액세스할 수 있는지 확인합니다.
  • 프라이빗 엔드포인트를 통해 연결되는 특정 Azure Monitor 리소스를 정의하여 개인 네트워크에서 데이터 반출을 방지합니다.
  • Azure ExpressRoute 및 프라이빗 링크를 사용하여 온-프레미스 개인 네트워크를 Azure Monitor에 안전하게 연결합니다.
  • Azure 백본 네트워크 내에서 모든 트래픽을 유지합니다.

기본 개념

가상 네트워크가 연결하는 각 리소스에 대한 프라이빗 링크를 만드는 대신 Azure Monitor는 가상 네트워크의 프라이빗 엔드포인트를 사용하여 단일 프라이빗 링크 연결을 사용하여 AMPLS(Azure Monitor Private Link 범위)로 이동합니다. AMPLS는 모니터링 네트워크의 경계를 정의하는 Azure Monitor 리소스 집합입니다.

기본 리소스 토폴로지를 보여 주는 다이어그램.

AMPLS의 주목할 만한 측면은 다음과 같습니다.

  • 프라이빗 IP 사용: 가상 네트워크의 프라이빗 엔드포인트를 사용하면 이러한 엔드포인트의 공용 IP를 사용하는 대신 네트워크 풀에서 개인 IP를 통해 Azure Monitor 엔드포인트에 연결할 수 있습니다. 이렇게 하면 가상 네트워크를 열지 않고도 Azure Monitor 리소스를 계속 사용하여 아웃바운드 트래픽을 확인할 수 있습니다.
  • Azure 백본에서 실행: 프라이빗 엔드포인트에서 Azure Monitor 리소스로의 트래픽은 공용 네트워크로 라우팅되지 않고 Azure 백본을 통과합니다.
  • Azure Monitor 리소스에 연결할 수 있는 컨트롤: Private Link 리소스에만 트래픽을 허용할지 또는 AMPLS 외부의 Private Link 및 Private Link가 아닌 리소스에 대한 트래픽만 허용할지 여부를 구성합니다.
  • Azure Monitor 리소스에 대한 네트워크 액세스를 제어합니다. 데이터 수집 및 쿼리 요청에 대해 서로 다른 설정을 사용하여 공용 네트워크의 트래픽을 허용하거나 차단하도록 각 작업 영역 또는 구성 요소를 구성합니다.

DNS 영역

AMPLS를 만들 때 DNS 영역은 프라이빗 링크를 통해 트래픽을 보내도록 Azure Monitor 엔드포인트를 프라이빗 IP에 매핑합니다. Azure Monitor는 리소스별 엔드포인트와 공유 전역/지역 엔드포인트를 모두 사용하여 AMPLS의 작업 영역 및 구성 요소에 연결합니다.

Azure Monitor는 일부 공유 엔드포인트를 사용하므로 단일 리소스에 대해서도 프라이빗 링크를 구성하면 모든 리소스에 대한 트래픽에 영향을 주는 DNS 구성이 변경됩니다. 공유 엔드포인트를 사용한다는 것은 동일한 DNS를 공유하는 모든 네트워크에 대해 단일 AMPLS를 사용해야 한다는 의미이기도 합니다. 여러 AMPLS 리소스를 만들면 Azure Monitor DNS 영역이 서로 재정의되고 기존 환경이 중단됩니다. 자세한 내용은 네트워크 토폴로지별 계획을 참조하세요.

공유된 전역 및 지역 엔드포인트

단일 리소스에 대해서도 프라이빗 링크를 구성할 경우 할당된 개인 IP를 통해 다음 엔드포인트로 트래픽이 전송됩니다.

  • 모든 Application Insights 엔드포인트: 수집, 라이브 메트릭, .NET Profiler 및 Application Insights 엔드포인트에 대한 디버거를 처리하는 엔드포인트는 전역입니다.
  • 쿼리 엔드포인트: Application Insights와 Log Analytics 리소스 모두에 대한 쿼리를 처리하는 엔드포인트가 전역입니다.

리소스별 엔드포인트

Log Analytics 엔드포인트는 앞에서 설명한 쿼리 엔드포인트를 제외하고 작업 영역에 따라 다릅니다. 결과적으로 특정 Log Analytics 작업 영역을 AMPLS에 추가하면 프라이빗 링크를 통해 이 작업 영역에 수집 요청을 보냅니다. 다른 작업 영역에 대한 수집은 공용 엔드포인트를 계속 사용합니다.

데이터 수집 엔드포인트도 리소스에 따라 다릅니다. 이러한 엔드포인트를 사용하여 새 Azure Monitor 에이전트데이터 수집 규칙을 사용할 때 컴퓨터(또는 컴퓨터 집합)에서 게스트 OS 원격 분석 데이터를 수집하기 위한 수집 설정을 고유하게 구성할 수 있습니다. 컴퓨터 집합에 대한 데이터 수집 엔드포인트를 구성해도 새 에이전트를 사용하는 다른 컴퓨터에서 게스트 원격 분석 수집에 영향을 미치지 않습니다.

다음 단계