Azure Virtual Network Manager의 테넌트 간 지원

이 문서에서는 Azure Virtual Network Manager의 테넌트 간 지원에 대해 알아봅니다. 테넌트 간 지원을 통해 조직은 중앙 Network Manager 인스턴스를 사용하여 다양한 테넌트 및 구독에서 가상 네트워크를 관리할 수 있습니다.

교차 테넌트 개요

Azure Virtual Network Manager의 테넌트 간 지원을 통해 다른 테넌트의 구독 또는 관리 그룹을 네트워크 관리자에 추가할 수 있습니다. 이는 네트워크 관리자와 대상 테넌트 간에 양방향 연결을 설정하여 수행됩니다. 연결되면 중앙 관리자는 연결된 구독 또는 관리 그룹 전체에서 가상 네트워크에 연결 및/또는 보안 관리자 규칙을 배포할 수 있습니다. 이 지원은 다음 시나리오에 적합한 조직을 지원합니다.

• 인수 – 조직이 인수를 통해 합병되고 여러 테넌트가 있는 경우 테넌트 간 지원을 통해 중앙 네트워크 관리자가 테넌트 전체에서 가상 네트워크를 관리할 수 있습니다.

• 관리되는 서비스 공급자 – 관리되는 서비스 공급자 시나리오에서 조직은 다른 조직의 리소스를 관리할 수 있습니다. 테넌트 간 지원을 사용하면 여러 클라이언트에 대한 중앙 서비스 공급자가 가상 네트워크를 중앙에서 관리할 수 있습니다.

테넌트 간 연결

테넌트 간 지원 설정은 두 테넌트 간에 테넌트 간 연결을 만드는 것부터 시작합니다. 테넌트 간 지원에는 네트워크 관리자와 대상 테넌트의 가상 네트워크 관리자 허브의 양방향 동의가 필요합니다. 연결은 다음과 같습니다.

• 네트워크 관리자 연결 - 네트워크 관리자에서 테넌트 간 연결을 만듭니다. 연결에는 네트워크 관리자에서 관리할 테넌트의 구독 또는 관리 그룹의 정확한 범위가 포함됩니다.
• 가상 네트워크 관리자 허브 연결 - 테넌트는 가상 네트워크 관리자 허브에서 테넌트 간 연결을 만듭니다. 이 연결에는 중앙 네트워크 관리자가 관리할 구독 또는 관리 그룹의 범위가 포함됩니다.

테넌트 간 연결이 모두 존재하고 범위가 정확히 동일하면 진정한 연결이 설정됩니다. 관리자는 네트워크 관리자를 사용하여 네트워크 그룹에 테넌트 간 리소스를 추가하고 연결 범위에 포함된 가상 네트워크를 관리할 수 있습니다. 기존 연결 및/또는 보안 관리자 규칙은 기존 구성을 기반으로 리소스에 적용됩니다.

테넌트 간 연결은 각 당사자의 두 개체가 모두 존재하는 경우에만 설정 및 유지 관리할 수 있습니다. 연결 중 하나가 제거되면 테넌트 간 연결이 끊어집니다. 테넌트 간 연결을 삭제해야 하는 경우 다음을 수행합니다.

• Azure Portal에서 테넌트 간 연결 설정을 통해 네트워크 관리자 쪽에서 테넌트 간 연결을 제거합니다.
• Azure Portal에서 가상 네트워크 관리자 허브의 테넌트 간 연결 설정을 통해 테넌트 쪽에서 테넌트 간 연결을 제거합니다.

참고 항목

양쪽에서 연결이 제거되면 네트워크 관리자는 더 이상 이전 연결 범위에서 테넌트의 리소스를 보거나 관리할 수 없습니다.

연결 상태

테넌트 간 연결을 만드는 데 필요한 리소스에는 연결된 범위가 네트워크 관리자 범위에 추가되었는지 여부를 나타내는 상태가 포함됩니다. 가능한 상태 값은 다음과 같습니다.

• 연결됨: 범위 연결 및 네트워크 관리자 연결 리소스가 모두 존재합니다. 범위가 네트워크 관리자의 범위에 추가되었습니다.
• 보류 중: 두 승인 리소스 중 하나가 만들어지지 않았습니다. 범위가 네트워크 관리자의 범위에 아직 추가되지 않았습니다.
• 충돌: 이 구독 또는 관리 그룹이 해당 범위 내에 정의된 네트워크 관리자가 이미 있습니다. 동일한 범위 액세스 권한이 있는 두 네트워크 관리자는 동일한 범위를 직접 관리할 수 없으므로 이 구독/관리 그룹을 네트워크 관리자 범위에 추가할 수 없습니다. 충돌을 해결하려면 충돌하는 네트워크 관리자의 범위에서 범위를 제거하고 연결 리소스를 다시 만듭니다.
• 취소됨: 범위가 네트워크 관리자 범위에 한 번에 추가되었지만 승인 리소스가 제거되어 취소되었습니다.

범위가 네트워크 관리자 범위에 추가되었음을 나타내는 유일한 상태는 '연결됨'입니다.

필요한 사용 권한

Azure Virtual Network Manager에서 테넌트 간 연결을 사용하려면 사용자에게 다음 권한이 필요합니다.

• 중앙 관리 테넌트의 관리자는 대상 관리 테넌트에 게스트 계정이 있습니다.

• 관리자 게스트 계정에는 적절한 범위 수준(관리 그룹, 구독 또는 가상 네트워크)에서 적용된 네트워크 기여자 권한이 있습니다.

권한 설정에 도움이 필요하나요? Azure Portal에서 게스트 사용자를 추가하는 방법과 Azure Portal에서 리소스에 사용자 역할을 할당하는 방법을 확인합니다.

알려진 제한 사항

현재 테넌트 간 가상 네트워크는 네트워크 그룹에 수동으로만 추가할 수 있습니다. Azure Policy를 통해 네트워크 그룹에 테넌트 간 가상 네트워크를 동적으로 추가하는 것은 향후 기능입니다.

다음 단계

• Azure Portal을 사용하여 Azure Virtual Network Manager와 테넌트 간 연결을 구성하는 방법을 알아봅니다.
• Azure Virtual Network Manager FAQ를 확인합니다.