Azure Batch 계정으로 프라이빗 엔드포인트 사용
기본적으로 Azure Batch 계정에는 공용 엔드포인트가 있으며 공개적으로 액세스할 수 있습니다. Batch 서비스는 Batch 계정에 대한 프라이빗 엔드포인트를 만드는 기능을 제공하여 Batch 서비스에 대한 프라이빗 네트워크 액세스를 허용합니다.
Azure Private Link를 사용하면 프라이빗 엔드포인트를 통해 Azure Batch 계정에 연결할 수 있습니다. 프라이빗 엔드포인트는 가상 네트워크 내부에 있는 서브넷의 개인 IP 주소 세트입니다. 그런 다음, 개인 IP 주소를 통해 Azure Batch 계정에 대한 액세스를 제한할 수 있습니다.
Private Link를 사용하면 사용자가 가상 네트워크 내부에서 또는 피어링된 가상 네트워크에서 Azure Batch 계정에 액세스할 수 있습니다. Private Link에 매핑된 리소스 역시 프라이빗 피어링을 사용하여 VPN 또는 Azure ExpressRoute를 통해 온-프레미스에서 액세스할 수 있습니다. 자동 또는 수동 승인 방법을 사용하여 Private Link를 통해 구성된 Azure Batch 계정에 연결할 수 있습니다.
이 문서에서는 프라이빗 Batch 계정을 만들고 프라이빗 엔드포인트를 사용하여 액세스하는 단계를 설명합니다.
Batch 계정에 지원되는 프라이빗 엔드포인트 하위 리소스
Batch 계정 리소스에는 프라이빗 엔드포인트를 사용하여 액세스하도록 지원되는 두 개의 엔드포인트가 있습니다.
계정 엔드포인트(하위 리소스: batchAccount): 이 엔드포인트는 예를 들어 풀, 컴퓨팅 노드, 작업, 태스크 등을 관리하기 위한 Batch 서비스 REST API(데이터 평면)에 액세스하는 데 사용됩니다.
노드 관리 엔드포인트(하위 리소스: nodeManagement): Batch 풀 노드에서 Batch 노드 관리 서비스에 액세스하는 데 사용됩니다. 이 엔드포인트는 간소화된 컴퓨팅 노드 통신을 사용하는 경우에만 적용됩니다.
팁
배치 계정의 실제 사용량에 따라 가상 네트워크 내에서 둘 중 하나 또는 둘 다에 대한 프라이빗 엔드포인트를 만들 수 있습니다. 예를 들어 가상 네트워크 내에서 Batch 풀을 실행하지만 다른 위치에서 Batch 서비스 REST API를 호출하는 경우 가상 네트워크에서 nodeManagement 프라이빗 엔드포인트만 만들어야 합니다.
Azure Portal
다음 단계에 따라 Azure Portal을 사용하여 프라이빗 Batch 계정으로 프라이빗 엔드포인트를 만듭니다.
- Azure Portal에서 Batch 계정으로 이동합니다.
- 설정에서 네트워킹을 선택하고 프라이빗 액세스 탭으로 이동합니다. 그런 다음 + 프라이빗 엔드포인트를 선택합니다.
- 기본 창에서 구독, 리소스 그룹, 프라이빗 엔드포인트 리소스 이름 및 지역 세부 정보를 입력하거나 선택한 후 다음: 리소스를 선택합니다.
- 리소스 창에서 리소스 유형을 Microsoft.Batch/batchAccounts로 설정합니다. 액세스하려는 Batch 계정을 선택하고, 대상 하위 리소스를 선택한 후, 다음: 구성을 선택합니다.
- 구성 창에서 다음 정보를 입력하거나 선택합니다.
- 가상 네트워크에서 가상 네트워크를 선택합니다.
- 서브넷에서 서브넷을 선택합니다.
- 개인 IP 구성에서 기본값인 동적으로 IP 주소 할당을 선택합니다.
- 프라이빗 DNS 영역과 통합에서 예를 선택합니다. 프라이빗 엔드포인트와 비공개로 연결하려면 DNS 레코드가 필요합니다. 프라이빗 엔드포인트를 프라이빗 DNS 영역과 통합하는 것이 좋습니다. 자체 DNS 서버를 활용하거나 가상 머신의 호스트 파일을 사용하여 DNS 레코드를 만들 수도 있습니다.
- 프라이빗 DNS 영역으로 privatelink.batch.azure.com을 선택합니다. 프라이빗 DNS 영역은 자동으로 결정됩니다. Azure Portal을 사용하여 이 설정을 변경할 수 없습니다.
Important
- 이전 프라이빗 DNS 영역
privatelink.<region>.batch.azure.com
으로 만든 기존 프라이빗 엔드포인트가 있는 경우 기존 Batch 계정 프라이빗 엔드포인트를 사용하여 마이그레이션을 수행하세요. - 프라이빗 DNS 영역 통합을 선택한 경우 프라이빗 DNS 영역이 가상 네트워크에 성공적으로 연결되었는지 확인합니다. Azure Portal을 사용하면 가상 네트워크에 연결되지 않을 수 있는 기존 프라이빗 DNS 영역을 선택할 수 있으며 수동으로 가상 네트워크 링크를 추가해야 합니다.
- 검토 + 만들기를 선택한 다음 Azure가 구성을 확인할 때까지 기다립니다.
- 유효성 검사를 통과했습니다 메시지가 표시되면 만들기를 선택합니다.
팁
Azure Portal의 Private Link 센터에서 프라이빗 엔드포인트를 만들거나 프라이빗 엔드포인트를 검색하여 새 리소스를 만들 수도 있습니다.
프라이빗 엔드포인트 사용
프라이빗 엔드포인트가 프로비전되면 개인 IP 주소를 사용하여 동일한 가상 네트워크 내에서 배치 계정에 액세스할 수 있습니다.
batchAccount에 대한 프라이빗 엔드포인트: Batch 계정 데이터 평면에 액세스하여 풀/작업/작업을 관리할 수 있습니다.
nodeManagement에 대한 프라이빗 엔드포인트: Batch 풀의 컴퓨팅 노드는 Batch 노드 관리 서비스에 연결하여 관리할 수 있습니다.
팁
또한 프라이빗 엔드포인트를 사용하는 경우 배치 계정으로 공용 네트워크 액세스를 사용하지 않도록 설정하는 것이 좋습니다. 그러면 개인 네트워크에 대한 액세스만 제한됩니다.
Important
Batch 계정으로 공용 네트워크 액세스를 사용하지 않도록 설정한 경우 프라이빗 엔드포인트가 프로비저닝된 가상 네트워크 외부에서 계정 작업(예: 풀, 작업)을 수행하면 Azure Portal에서 Batch 계정에 대한 "AuthorizationFailure" 메시지가 표시됩니다.
Azure Portal에서 프라이빗 엔드포인트에 대한 IP 주소를 보려면 다음을 수행합니다.
- 모든 리소스를 선택합니다.
- 이전에 만든 프라이빗 엔드포인트를 검색합니다.
- DNS 구성 탭을 선택하여 DNS 설정 및 IP 주소를 확인합니다.
DNS 영역 구성
프라이빗 엔드포인트를 만든 서브넷 내부의 프라이빗 DNS 영역을 사용합니다. 각 개인 IP 주소가 DNS 항목에 매핑되도록 엔드포인트를 구성합니다.
프라이빗 엔드포인트를 만들 때 Azure의 프라이빗 DNS 영역과 통합할 수 있습니다. 사용자 지정 도메인을 대신 사용하기로 선택하는 경우 프라이빗 엔드포인트에 대해 예약된 모든 개인 IP 주소의 DNS 레코드를 추가하도록 구성해야 합니다.
기존 Batch 계정 프라이빗 엔드포인트를 사용하여 마이그레이션
Batch 노드 관리 엔드포인트에 대한 새 프라이빗 엔드포인트 하위 리소스 nodeManagement가 도입되면서 배치 계정에 대한 기본 프라이빗 DNS 영역이 privatelink.<region>.batch.azure.com
에서 privatelink.batch.azure.com
으로 간소화됩니다. 이전에 사용된 프라이빗 DNS 영역과의 이전 버전과의 호환성을 유지하기 위해 승인된 batchAccount 프라이빗 엔드포인트가 있는 배치 계정의 경우 계정 엔드포인트의 DNS CNAME 매핑에는 두 영역이 모두 포함됩니다(이전 영역이 먼저 제공됨). 예를 들면 다음과 같습니다.
myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>
이전 프라이빗 DNS 영역 계속 사용
가상 네트워크에서 이미 이전 DNS 영역 privatelink.<region>.batch.azure.com
을 사용한 경우 기존 및 새 batchAccount 프라이빗 엔드포인트에 대해 계속 사용해야 하며 별도의 작업이 필요하지 않습니다.
Important
기존 프라이빗 DNS 영역을 기존에 사용하던 방식으로, 새로 만들어진 프라이빗 엔드포인트에서도 계속 사용하시기 바랍니다. 새 영역으로 마이그레이션할 수 있을 때까지 DNS 통합 솔루션에서 새 영역을 사용하지 마세요.
Azure Portal에서 DNS 통합을 사용하여 새 batchAccount 프라이빗 엔드포인트 만들기
자동 DNS 통합이 설정된 Azure Portal을 사용하여 새 batchAccount 프라이빗 엔드포인트를 수동으로 만드는 경우 DNS 통합을 위해 새 프라이빗 DNS 영역 privatelink.batch.azure.com
을 사용합니다. 프라이빗 DNS 영역을 만들고 가상 네트워크를 만들고 프라이빗 엔드포인트에 대한 영역에서 DNS A 레코드를 구성합니다.
그러나 가상 네트워크가 이미 이전 프라이빗 DNS 영역 privatelink.<region>.batch.azure.com
에 연결된 경우 가상 네트워크의 배치 계정에 대한 DNS 확인이 중단됩니다. 왜냐하면 새 프라이빗 엔드포인트에 대한 DNS A 레코드가 새 프라이빗 엔드포인트에 추가되지만 DNS 확인의 경우 이전 버전과의 호환성 지원을 위해 이전 영역을 먼저 확인하기 때문입니다.
다음 옵션을 사용하여 이 문제를 완화할 수 있습니다.
이전 프라이빗 DNS 영역이 더 이상 필요하지 않은 경우 가상 네트워크에서 연결을 해제합니다. 추가 조치가 필요하지 않습니다.
그렇지 않으면 새 프라이빗 엔드포인트를 만든 후 다음을 수행합니다.
자동 프라이빗 DNS 통합에서 새 프라이빗 DNS 영역
privatelink.batch.azure.com
에 만든 DNS A 레코드가 있는지 확인합니다. 예:myaccount.<region> A <IPv4 address>
.이전 프라이빗 DNS 영역
privatelink.<region>.batch.azure.com
으로 이동합니다.DNS CNAME 레코드를 수동으로 추가합니다. 예:
myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com
.
Important
이 수동 완화는 이전 프라이빗 DNS 영역에 이미 연결된 동일한 가상 네트워크에서 프라이빗 DNS 통합을 사용하여 새 batchAccount 프라이빗 엔드포인트를 만드는 경우에만 필요합니다.
이전 프라이빗 DNS 영역을 새 영역으로 마이그레이션
기존 배포 프로세스에서 이전 프라이빗 DNS 영역을 계속 사용할 수 있지만 DNS 구성 관리의 편의를 위해 새 영역으로 마이그레이션하는 것이 좋습니다.
- 새로운 프라이빗 DNS 영역
privatelink.batch.azure.com
을 사용하면 배치 계정으로 각 지역에 대해 서로 다른 영역을 구성하고 관리할 필요가 없습니다. - 새 프라이빗 DNS 영역도 사용하는 새 nodeManagement 프라이빗 엔드포인트를 사용하기 시작하면 두 유형의 프라이빗 엔드포인트에 대해 하나의 프라이빗 DNS 영역만 관리하면 됩니다.
다음 단계에 따라 이전 프라이빗 DNS 영역을 마이그레이션할 수 있습니다.
- 새 프라이빗 DNS 영역
privatelink.batch.azure.com
을 만들고 가상 네트워크에 연결합니다. - 이전 프라이빗 DNS 영역의 모든 DNS A 레코드를 새 영역으로 복사합니다.
From zone "privatelink.<region>.batch.azure.com":
myaccount A <ip>
To zone "privatelink.batch.azure.com":
myaccount.<region> A <ip>
- 가상 네트워크에서 이전 프라이빗 DNS 영역의 연결을 해제합니다.
- 가상 네트워크 내에서 DNS 확인을 검증하고 배치 계정 DNS 이름은 계속해서 프라이빗 엔드포인트 IP 주소로 확인되어야 합니다.
nslookup myaccount.<region>.batch.azure.com
- 새 프라이빗 엔드포인트에 대한 배포 프로세스에서 새 프라이빗 DNS 영역을 사용하기 시작합니다.
- 마이그레이션이 완료된 후 이전 프라이빗 DNS 영역을 삭제합니다.
가격 책정
프라이빗 엔드포인트와 관련된 비용에 대한 자세한 내용은 Azure Private Link 가격 책정을 참조하세요.
현재 제한 사항 및 모범 사례
Batch 계정을 사용하여 프라이빗 엔드포인트를 만들 때는 다음 사항에 유의하세요.
- 프라이빗 엔드포인트 리소스는 배치 계정과 다른 구독에서 만들어질 수 있지만 구독은 Microsoft.Batch 리소스 공급자에 등록되어야 합니다.
- 배치 계정이 있는 프라이빗 엔드포인트에서는 리소스 이동이 지원되지 않습니다.
- Batch 계정 리소스를 다른 리소스 그룹 또는 구독으로 이동하는 경우 프라이빗 엔드포인트는 여전히 작동할 수 있지만 Batch 계정에 대한 연결은 중단됩니다. 프라이빗 엔드포인트 리소스를 삭제하는 경우 연결된 프라이빗 엔드포인트 연결이 Batch 계정에 계속 존재합니다. Batch 계정에서 연결을 수동으로 제거할 수 있습니다.
- 프라이빗 연결을 삭제하려면 프라이빗 엔드포인트 리소스를 삭제하거나 Batch 계정에서 프라이빗 연결을 삭제합니다. 이 작업을 수행하면 관련 프라이빗 엔드포인트 리소스의 연결이 끊어집니다.
- Batch 계정에서 프라이빗 엔드포인트 연결을 삭제해도 프라이빗 DNS 영역의 DNS 레코드는 자동으로 제거되지 않습니다. 이 프라이빗 DNS 영역에 연결된 새 프라이빗 엔드포인트를 추가하기 전에 DNS 레코드를 수동으로 제거해야 합니다. DNS 레코드를 정리하지 않으면 예기치 않은 액세스 문제가 발생할 수 있습니다.
- 배치 계정에 대해 프라이빗 엔드포인트가 사용하도록 설정되면 Batch 태스크에 대한 태스크 인증 토큰이 지원되지 않습니다. 해결 방법은 관리 ID가 포함된 Batch 풀을 사용하는 것입니다.
다음 단계
- 가상 네트워크에서 배치 풀을 만드는 방법에 대해 알아봅니다.
- 공용 IP 주소 없이 배치 풀을 만드는 방법을 알아봅니다.
- Batch 계정에 대한 퍼블릭 네트워크 액세스 구성 방법을 알아봅니다.
- Batch 계정에 대한 프라이빗 엔드포인트 연결 관리 방법을 알아봅니다.
- Azure Private Link에 대해 알아봅니다.