다음을 통해 공유

Azure Arc 지원 SQL Managed Instance에 대한 네트워크 연결

  • 아티클

Azure Arc 지원 데이터 서비스는 두 가지 연결 모드를 지원합니다. 직접 연결 및 간접 연결 모드는 Azure Arc 컨트롤 플레인이 있는 Azure Arc 지원 Kubernetes 클러스터에서 실행되는 Azure Arc 지원 SQL Managed Instance를 배포합니다.

Arc 지원 데이터 서비스 구성 요소는 다음과 같습니다.

  • Azure Arc 데이터 컨트롤러
  • Azure Arc Active Directory 커넥터
  • Azure Arc 지원 SQL Managed Instance

이러한 구성 요소는 온-프레미스 및 다른 클라우드 환경에서 실행되는 Azure Arc 엔드포인트, Active Directory 도메인 컨트롤러 및 DNS(도메인 이름 시스템) 서버와 통신합니다.

이 문서에서는 온-프레미스 또는 기타 클라우드 인프라에서 Azure 컨트롤 플레인에 연결하기 위한 네트워크 아키텍처, 디자인 고려 사항 및 디자인 권장 사항을 설명합니다. Arc 지원 데이터 서비스 및 온-프레미스 및 기타 클라우드 환경의 Arc 지원 Kubernetes 클러스터에서 실행되는 Arc 지원 SQL Managed Instance를 관리하고 운영하는 방법을 알아봅니다.

아키텍처

다음 다이어그램에서는 직접 연결되고 간접적으로 연결된 네트워크 모드를 지원하는 Arc 지원 데이터 서비스 네트워크 아키텍처를 보여 줍니다.

Azure Arc 지원 데이터 서비스 네트워크 아키텍처를 보여 주는 다이어그램.

다음 시나리오 다이어그램에서는 Arc 지원 SQL Managed Instance에 안전하게 액세스하는 다양한 소비자 서비스의 예를 보여 줍니다.

Azure Arc 지원 데이터 서비스 보안 액세스 네트워크 아키텍처를 보여 주는 다이어그램.

디자인 고려 사항

  • Azure 랜딩 존의 네트워크 토폴로지 및 연결 디자인 영역을 검토하여 Arc 지원 데이터 서비스 네트워크 연결을 조직에서 채택한 랜딩 존 디자인에 맞춥니다.

  • Arc 지원 Kubernetes 클러스터에서 Arc 지원 데이터 서비스를 배포하고 운영하기 위한 올바른 디자인 결정을 내리기 위한 네트워크 아키텍처 및 권장 사항을 이해하려면 Azure Arc 지원 Kubernetes에 대한 네트워크 연결을 검토합니다. Arc 지원 데이터 서비스는 서비스 배포 및 작업에 Azure Arc 지원 Kubernetes 네트워크 연결을 사용합니다.

  • Azure Arc 지원 데이터 서비스에 대한 연결 모드네트워크 요구 사항에 따라 Arc 지원 데이터 서비스 기능 가용성을 검토합니다. 직접 연결 모드 또는 간접 연결 모드가 온-프레미스 네트워크 또는 다른 클라우드 공급자의 조직 네트워크 보안 정책에 가장 적합한지 결정합니다.

  • 직접 연결 모드에서는 Azure에 직접 연결해야 하며 이 연결의 특성상 다른 이점을 제공합니다. 조직 보안 및 규정 준수 요구 사항에 따라 이 직접 연결을 사용하도록 설정하는 데 필요한 장단점을 고려합니다.

  • Arc 지원 Kubernetes 클러스터가 실행되는 위치에 따라 Kubernetes LoadBalancer 또는 NodePort 형식을 사용하는 것이 좋습니다. 이러한 서비스는 데이터 컨트롤러 및 SQL Managed Instance와 같은 Arc 지원 데이터 서비스를 노출합니다. 부하 분산 장치는 여러 인스턴스에서 동일한 포트 번호를 유지하는 반면 노드 포트에는 Arc 지원 SQL Managed Instance마다 다른 포트 번호가 필요합니다.

  • Arc 지원 SQL Managed Instance 서비스의 경우 온-프레미스 환경에서는 MetalLB와 같은 소프트웨어 부하 분산 장치 유형을 배포하고 클라우드 기반 환경에서는 내부 부하 분산 장치를 배포하는 것이 좋습니다. 부하 분산 장치는 일관된 IP 주소 및 SQL 서버 포트(예: 1433 또는 사용자 지정 포트)를 제공하고 Kubernetes 클러스터의 노드 부하를 제공합니다. 노드 IP는 자동 크기 조정 클러스터에서 변경됩니다. Pod가 한 Kubernetes 작업자 노드에서 다른 Kubernetes 작업자 노드로 이동할 때 고가용성을 제공하지 않습니다. 예를 들어 장애 조치(failover) 중에 Kubernetes 클러스터, 데이터 컨트롤러 및 Arc 지원 SQL Managed Instance를 업그레이드 및 유지 관리합니다.

  • 636 및 3269와 같은 TLS(전송 계층 보안) 포트와 Active Directory Domain Services를 사용하는 비 TLS 포트 389 및 3268을 사용하는 것이 좋습니다. TLS 포트는 Azure Arc 지원 SQL Managed Instance에서 AD 인증을 사용할 때 연결을 안전하게 유지합니다.

  • Azure Key Vault를 사용하여 AD 인증을 위해 Arc 지원 SQL Managed Instance Kubernetes 비밀을 보호하는 경우 Azure Key Vault 프라이빗 엔드포인트를 사용하여 연결을 비공개로 유지하는 것이 좋습니다. Azure Arc 지원 Kubernetes 클러스터로 비밀을 가져오는 방법과 Arc 지원 Kubernetes 클러스터에서 Azure Key Vault를 사용하는 방법에 대한 자세한 내용은 Azure Key Vault 비밀 공급자 확장을 참조하세요.

  • 장기 보존을 위해 Azure Storage 계정 보관 Blob을 사용하여 Arc 지원 SQL Managed Instance 데이터베이스 백업 파일을 유지하는 경우 퍼블릭 엔드포인트와 프라이빗 엔드포인트를 평가합니다.

디자인 권장 사항

  • 기존 Arc 지원 Kubernetes 클러스터에 배포된 Arc 지원 SQL Managed Instance로 Azure Arc 지원 Kubernetes 네트워킹 디자인 권장 사항을 검토합니다.

  • Arc 지원 데이터 서비스 및 Arc 지원 SQL Managed Instance의 간접 연결 모드 배포 대신 직접 연결 모드를 사용하여 직접 연결 모드 배포의 기능 이점을 얻을 수 있습니다.

  • 데이터 컨트롤러, 대시보드 및 Arc 지원 SQL Managed Instance와 같은 Arc 지원 데이터 서비스에 대한 NodePort 서비스 유형 위에 있는 Kubernetes LoadBalancer 서비스 유형을 선택합니다. LoadBalancer 유형은 Kubernetes 클러스터의 업그레이드 및 유지 관리 중에 Kubernetes 노드 오류, 노드 다시 시작 및 노드 제거 전반에서 복원력을 제공합니다.

  • Arc 지원 데이터 서비스 배포에 퍼블릭 클라우드 인프라를 사용할 때 외부 부하 분산 장치를 통해 내부 부하 분산 장치를 사용합니다. 내부 부하 분산 장치는 가상 네트워크에서 개인 IP 주소를 할당하고 데이터베이스 트래픽을 내부 네트워크에 비공개로 유지합니다.

  • 온-프레미스 배포의 경우 MetalLB와 같은 컨테이너화된 부하 분산 장치를 사용하여 부하 분산 장치 서비스 유형을 지원합니다. 컨테이너화된 부하 분산 장치는 표준 SQL 포트 1433을 사용하여 방화벽 규칙을 간소화합니다. NodePort 서비스 형식에 임의 포트를 사용하는 것보다 기억하기가 더 쉽습니다. Azure Arc 지원 Kubernetes 클러스터에 배포된 Arc 지원 SQL Managed Instance의 수를 지원하기 위해 서브넷 CIDR 크기를 할당해야 합니다.

  • 시스템 관리형 또는 고객 관리형 키 탭 모드 모두에서 Arc 지원 SQL Managed Instance에 대해 AD 인증을 사용하는 경우 Arc 지원 SQL Managed Instance 엔드포인트에 대한 DNS 등록을 자동화해야 합니다. 자동화를 통해 온-프레미스 또는 다른 클라우드 DNS 서버를 사용하여 서비스를 검색할 수 있습니다. 또한 작업 오버헤드를 제거하고 IP 주소가 변경되거나 서비스 인스턴스를 삭제할 때 자동으로 업데이트됩니다.

  • 방화벽 규칙을 사용하여 Arc 지원 SQL Managed Instance, 데이터 컨트롤러 및 대시보드 엔드포인트에 대한 네트워크 액세스를 제한하여 신뢰할 수 없는 소스의 액세스를 방지합니다. 방화벽 규칙은 Arc 지원 SQL Managed Instance의 공격 표면을 줄이고 데이터 반출을 방지합니다.

  • Microsoft 아티팩트 레지스트리(Microsoft Container Registry 또는 MCR이라고도 함), Azure Key Vault, Azure Log Analytics 및 스토리지 계정에 Azure 프라이빗 엔드포인트를 사용하는 경우 Azure의 DNS 전달자에 DNS 쿼리를 전달하도록 온-프레미스 DNS 서버를 구성합니다. 이 방식을 사용하면 DNS 이름을 사용하여 이러한 프라이빗 엔드포인트를 자동으로 검색할 수 있으며 온-프레미스 DNS 서버에서 호스트 항목 또는 DNS 항목 등록을 사용할 필요가 없습니다.

  • Arc 지원 SQL Managed Instance에 대한 AD 인증에는 Active Directory Domain Services에 대한 연결이 필요합니다. 고가용성을 위해 기본 및 재해 복구 사이트의 도메인 컨트롤러에 대한 연결을 설정합니다. 많은 기업이 여러 지역에 사이트 복구 포리스트를 배포하므로 가장 가까운 사이트를 사용하여 도메인 컨트롤러에 대한 네트워크 대기 시간을 줄입니다. 자세한 지침은 Azure Arc 지원 SQL Managed Instance 비즈니스 연속성 및 재해 복구를 검토하세요.

다음 단계

하이브리드 클라우드 및 다중 클라우드 경험에 대한 자세한 내용은 다음 문서를 참조하세요.