다음을 통해 공유


자습서: Azure CLI를 사용하여 Azure Private Endpoint에서 Azure SQL 서버에 연결

Azure Private 엔드포인트는 Azure에서 Private Link를 만드는 데 사용되는 기본 구성 요소입니다. 이를 사용하면 VM(가상 머신)과 같은 Azure 리소스에서 Private Link 리소스와 비공개로 통신할 수 있습니다.

프라이빗 엔드포인트 빠른 시작에서 만들어진 리소스의 다이어그램.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 가상 네트워크 및 베스천 호스트를 만듭니다.
  • 가상 머신을 만듭니다.
  • Azure SQL Server 및 프라이빗 엔드포인트를 만듭니다.
  • SQL 서버 프라이빗 엔드포인트에 대한 연결을 테스트합니다.

필수 조건

리소스 그룹 만들기

Azure 리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다.

az group create를 사용하여 리소스 그룹을 만듭니다.

  • 이름을 CreateSQLEndpointTutorial-rg로 지정합니다.
  • 위치: eastus
az group create \
    --name CreateSQLEndpointTutorial-rg \
    --location eastus

가상 네트워크 및 베스천 호스트 만들기

이 섹션에서는 가상 네트워크, 서브넷 및 요새 호스트를 만듭니다.

요새 호스트는 프라이빗 엔드포인트를 테스트하기 위해 가상 머신에 안전하게 연결하는 데 사용됩니다.

az network vnet create를 사용하여 가상 네트워크를 만듭니다.

  • 이름: myVNet
  • 10.0.0.0/16의 주소 접두사.
  • 서브넷: myBackendSubnet
  • 10.0.0.0/24의 서브넷 접두사.
  • CreateSQLEndpointTutorial-rg 리소스 그룹에서
  • 위치: eastus.
az network vnet create \
    --resource-group CreateSQLEndpointTutorial-rg\
    --location eastus \
    --name myVNet \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name myBackendSubnet \
    --subnet-prefixes 10.0.0.0/24

az network vnet subnet update를 사용하여 프라이빗 엔드포인트에 대한 프라이빗 엔드포인트 네트워크 정책을 사용하지 않도록 서브넷을 업데이트합니다.

az network vnet subnet update \
    --name myBackendSubnet \
    --resource-group CreateSQLEndpointTutorial-rg \
    --vnet-name myVNet \
    --disable-private-endpoint-network-policies true

az network public-ip create를 사용하여 베스천 호스트에 대한 공용 IP 주소를 만듭니다.

  • myBastionIP라는 표준 영역 중복 공용 IP 주소를 만듭니다.
  • CreateSQLEndpointTutorial-rg에서
az network public-ip create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --name myBastionIP \
    --sku Standard

az network vnet subnet create를 사용하여 베스천 서브넷을 만듭니다.

  • 이름은 AzureBastionSubnet입니다.
  • 10.0.1.0/24의 주소 접두사.
  • 가상 네트워크: myVNet
  • 리소스 그룹 CreateSQLEndpointTutorial-rg에서
az network vnet subnet create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --name AzureBastionSubnet \
    --vnet-name myVNet \
    --address-prefixes 10.0.1.0/24

az network bastion create를 사용하여 베스천 호스트를 만듭니다.

  • 이름은 myBastionHost입니다.
  • CreateSQLEndpointTutorial-rg에서
  • 공용 IP myBastionIP와 연결됩니다.
  • 가상 네트워크 myVNet과 연결됩니다.
  • 위치: eastus.
az network bastion create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --name myBastionHost \
    --public-ip-address myBastionIP \
    --vnet-name myVNet \
    --location eastus

Azure Bastion 호스트를 배포하는 데 몇 분 정도 걸릴 수 있습니다.

테스트 가상 머신 만들기

이 섹션에서는 프라이빗 엔드포인트를 테스트하는 데 사용되는 가상 머신을 만듭니다.

az vm create로 VM을 만듭니다. 메시지가 표시되면 VM에 대한 자격 증명으로 사용할 암호를 제공합니다.

  • 이름을 myVM으로 지정합니다.
  • CreateSQLEndpointTutorial-rg에서
  • 네트워크 myVNet에서
  • 서브넷: myBackendSubnet
  • 서버 이미지 Win2019Datacenter.
az vm create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --name myVM \
    --image Win2019Datacenter \
    --public-ip-address "" \
    --vnet-name myVNet \
    --subnet myBackendSubnet \
    --admin-username azureuser

참고 항목

Azure는 공용 IP 주소가 할당되지 않았거나 내부 기본 Azure Load Balancer의 백 엔드 풀에 있는 VM에 대한 기본 아웃바운드 액세스 IP를 제공합니다. 기본 아웃바운드 액세스 IP 메커니즘은 구성할 수 없는 아웃바운드 IP 주소를 제공합니다.

다음 이벤트 중 하나가 발생하면 기본 아웃바운드 액세스 IP가 사용하지 않도록 설정됩니다.

  • 공용 IP 주소가 VM에 할당됩니다.
  • VM은 아웃바운드 규칙 유무에 관계없이 표준 Load Balancer의 백 엔드 풀에 배치됩니다.
  • Azure NAT Gateway 리소스는 VM의 서브넷에 할당됩니다.

유연한 오케스트레이션 모드에서 가상 머신 확장 집합을 사용하여 만드는 VM에는 기본 아웃바운드 액세스 권한이 없습니다.

Azure의 아웃바운드 연결에 대한 자세한 내용은 Azure의 기본 아웃바운드 액세스아웃바운드 연결에 SNAT(원본 네트워크 주소 변환) 사용을 참조하세요.

Azure SQL 서버 만들기

이 섹션에서는 SQL Server 및 데이터베이스를 만듭니다.

az sql server create를 사용하여 SQL 서버를 만듭니다.

  • <sql-server-name>을 고유한 서버 이름으로 대체합니다.
  • <your-password>를 사용자의 암호로 바꿉니다.
  • CreateSQLEndpointTutorial-rg에서
  • eastus 지역에서
az sql server create \
    --name <sql-server-name> \
    --resource-group CreateSQLEndpointTutorial-rg \
    --location eastus \
    --admin-user sqladmin \
    --admin-password <your-password>

az sql db create를 사용하여 데이터베이스를 만듭니다.

  • 이름을 myDataBase로 지정합니다.
  • CreateSQLEndpointTutorial-rg에서
  • <sql-server-name>을 고유한 서버 이름으로 대체합니다.
az sql db create \
    --resource-group CreateSQLEndpointTutorial-rg  \
    --server <sql-server-name> \
    --name myDataBase \
    --sample-name AdventureWorksLT

프라이빗 엔드포인트 만들기

이 섹션에서는 프라이빗 엔드포인트를 만듭니다.

az sql server list를 사용하여 SQL 서버의 리소스 ID를 셸 변수에 넣습니다.

az network private-endpoint create를 사용하여 엔드포인트 및 연결을 만듭니다.

  • 이름을 myPrivateEndpoint로 지정합니다.
  • 리소스 그룹 CreateSQLEndpointTutorial-rg에서
  • 가상 네트워크: myVNet
  • 서브넷: myBackendSubnet
  • myConnection이라는 연결입니다.
id=$(az sql server list \
    --resource-group CreateSQLEndpointTutorial-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --name myPrivateEndpoint \
    --resource-group CreateSQLEndpointTutorial-rg \
    --vnet-name myVNet --subnet myBackendSubnet \
    --private-connection-resource-id $id \
    --group-ids sqlServer \
    --connection-name myConnection  

프라이빗 DNS 영역 구성

이 섹션에서는 az network private-dns zone create를 사용하여 프라이빗 DNS 영역을 만들고 구성합니다.

az network private-dns link vnet create를 사용하여 dns 영역에 대한 가상 네트워크 링크를 만듭니 다.

az network private-endpoint dns-zone-group create를 사용하여 dns 영역 그룹을 만듭니다.

  • privatelink.database.windows.net이라는 영역
  • 가상 네트워크: myVNet
  • 리소스 그룹 CreateSQLEndpointTutorial-rg에서
  • myDNSLink라는 DNS 링크.
  • myPrivateEndpoint와 연결됩니다.
  • MyZoneGroup이라는 영역 그룹.
az network private-dns zone create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --name "privatelink.database.windows.net"

az network private-dns link vnet create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --zone-name "privatelink.database.windows.net" \
    --name MyDNSLink \
    --virtual-network myVNet \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
   --resource-group CreateSQLEndpointTutorial-rg \
   --endpoint-name myPrivateEndpoint \
   --name MyZoneGroup \
   --private-dns-zone "privatelink.database.windows.net" \
   --zone-name sql

프라이빗 엔드포인트에 연결 테스트

이 섹션에서는 이전 단계에서 만든 가상 머신을 사용하여 프라이빗 엔드포인트에서 SQL Server에 연결합니다.

  1. Azure Portal에 로그인합니다.

  2. 왼쪽 탐색 창에서 리소스 그룹을 선택합니다.

  3. CreateSQLEndpointTutorial-rg를 선택합니다.

  4. myVM을 선택합니다.

  5. myVM에 대한 개요 페이지에서 연결을 선택한 다음, Bastion을 선택합니다.

  6. 파란색 Bastion 사용 단추를 선택합니다.

  7. 가상 머신 만들기에서 입력한 사용자 이름과 암호를 입력합니다.

  8. 연결한 후 서버에서 Windows PowerShell을 엽니다.

  9. nslookup <sqlserver-name>.database.windows.net를 입력합니다. <sqlserver-name>을 이전 단계에서 만든 SQL 서버의 이름으로 바꿉니다. 아래에 표시된 것과 유사한 메시지가 표시됩니다.

    Server:  UnKnown
    Address:  172.63.129.16
    
    Non-authoritative answer:
    Name:    mysqlserver8675.privatelink.database.windows.net
    Address:  10.0.0.5
    Aliases:  mysqlserver8675.database.windows.net
    

    SQL 서버 이름에 대해 10.0.0.5의 개인 IP 주소가 반환됩니다. 이 주소는 이전에 만든 가상 네트워크의 서브넷에 있습니다.

  10. SQL Server Management StudiomyVM에 설치합니다.

  11. SQL Server Management Studio를 엽니다.

  12. 서버에 연결에서 다음 정보를 입력하거나 선택합니다.

    설정
    서버 유형 데이터베이스 엔진을 선택합니다.
    서버 이름 <sql-server-name>.database.windows.net을 입력합니다.
    인증 SQL Server 인증을 선택합니다.
    사용자 이름 서버를 만드는 동안 입력한 사용자 이름을 입력합니다.
    암호 서버를 만드는 동안 입력한 암호를 입력합니다.
    암호 저장 를 선택합니다.
  13. 연결을 선택합니다.

  14. 왼쪽 메뉴에서 데이터베이스를 찾습니다.

  15. (선택 사항) mysqldatabase에서 정보를 만들거나 쿼리합니다.

  16. myVM에 대한 베스천 연결을 닫습니다.

리소스 정리

프라이빗 엔드포인트, SQL Server 및 VM을 다 사용했으면 리소스 그룹과 리소스 그룹에 포함된 모든 리소스를 삭제합니다.

az group delete \
    --name CreateSQLEndpointTutorial-rg

다음 단계

이 자습서에서는 다음을 만들었습니다.

  • 가상 네트워크 및 베스천 호스트
  • 가상 머신
  • 프라이빗 엔드포인트를 사용하는 Azure SQL 서버

가상 머신을 사용하여 프라이빗 엔드포인트에서 SQL 서버에 대한 연결을 안전하게 테스트했습니다.

다음 단계로, 가상 네트워크 외부의 웹 애플리케이션을 데이터베이스의 프라이빗 엔드포인트에 연결하는 Azure SQL 데이터베이스 아키텍처 시나리오에 대한 프라이빗 연결이 있는 웹앱을 검토합니다.