다음을 통해 공유


온-프레미스 데이터 게이트웨이에 대한 통신 설정 조정

이 문서에서는 온-프레미스 데이터 게이트웨이와 관련된 여러 통신 설정에 대해 설명합니다. 이러한 설정은 데이터 원본 연결 및 출력 대상 액세스를 지원하도록 조정되어야 합니다.

아웃바운드 Azure 연결 사용

게이트웨이는 클라우드 연결을 위해 Azure Relay를 사용합니다. 게이트웨이는 해당하는 연결된 Azure 지역에 대한 아웃바운드 연결을 설정합니다.

Power BI 테넌트 또는 Office 365 테넌트 중 하나에 등록한 경우 Azure 지역은 기본적으로 해당 서비스의 지역으로 설정됩니다. 그렇지 않으면 Azure 지역이 가장 가까운 지역으로 설정될 수도 있습니다.

방화벽이 아웃바운드 연결을 차단하는 경우 게이트웨이에서 해당하는 연결된 Azure 지역으로 아웃바운드 연결을 허용하도록 방화벽을 구성합니다. 게이트웨이 서버 및/또는 고객의 프록시 서버에 대한 방화벽 규칙을 업데이트하여 게이트웨이 서버에서 아래 엔드포인트로의 아웃바운드 트래픽을 허용해야 합니다. 방화벽이 와일드카드를 지원하지 않는 경우 Azure IP 범위 및 서비스 태그IP 주소를 사용합니다. 매월 동기화 상태를 유지해야 합니다.

포트

게이트웨이는 TCP 443, 5671, 5672 및 9350에서 9354 사이의 아웃바운드 포트에서 통신합니다. 게이트웨이에 인바운드 포트가 필요하지 않습니다.

“*.servicebus.windows.net” DNS(도메인 이름 시스템)를 허용하는 것이 좋습니다. 변경될 수 있는 IP 주소를 사용하는 대신 FQDN(정규화된 도메인 이름)을 사용하여 온-프레미스 방화벽 및/또는 프록시를 설정하는 방법에 대한 지침은 Azure WCF 릴레이 DNS 지원의 단계를 따르세요.

또는 방화벽의 데이터 영역에 대해 IP 주소를 허용합니다. 아래 나열된 JSON 파일을 사용합니다. 매주 업데이트됩니다.

또는 게이트웨이 앱에서 주기적으로 네트워크 포트 테스트를 수행하여 필요한 포트 목록을 얻을 수 있습니다.

게이트웨이는 FQDN을 사용하여 Azure Relay와 통신합니다. 게이트웨이가 HTTPS를 통해 강제로 통신하면 FQDN만 엄격하게 사용하며 IP 주소를 사용하여 통신하지 않습니다.

참고 항목

Azure 데이터 센터 IP 목록은 CIDR(Classless Inter-Domain Routing) 표기법으로 IP 주소를 표시합니다. 이 표기법의 예는 10.0.0.0/24이며, 이는 10.0.0.0에서 10.0.0.24까지는 아닙니다. CIDR 표기법에 대해 자세히 알아봅니다.

다음 목록은 게이트웨이가 사용하는 FQDN을 설명합니다. 게이트웨이가 작동하려면 이러한 엔드포인트가 필요합니다.

퍼블릭 클라우드 도메인 이름 아웃바운드 포트 설명
*.download.microsoft.com 80 설치 관리자를 다운로드하는 데 사용됩니다. 게이트웨이 앱은 버전 및 게이트웨이 지역을 확인하는 데에도 이 도메인을 사용합니다.
*.powerbi.com 443 관련 Power BI 클러스터를 식별하는 데 사용됩니다.
*.analysis.windows.net 443 관련 Power BI 클러스터를 식별하는 데 사용됩니다.
*.login.windows.net, login.live.com, aadcdn.msauth.net, login.microsoftonline.com, *.microsoftonline-p.com 443 Microsoft Entra ID 및 OAuth2용 게이트웨이 앱을 인증하는 데 사용됩니다. 테넌트에 고유할 수 있는 Microsoft Entra ID 로그인 프로세스의 일부로 추가 URL이 필요할 수 있습니다.
*.servicebus.windows.net 5671-5672 AMQP(고급 메시지 큐 프로토콜)에 사용됩니다.
*.servicebus.windows.net 443 및 9350-9354 TCP를 통해 Azure Relay에서 수신 대기합니다. Azure Access Control 토큰을 가져오려면 포트 443이 필요합니다.
*.msftncsi.com 80 Power BI 서비스가 게이트웨이에 도달할 수 없는 경우 인터넷 연결을 테스트하는 데 사용됩니다.
*.dc.services.visualstudio.com 443 AppInsights에서 원격 분석 데이터를 수집하는 데 사용됩니다.
*.frontend.clouddatahub.net 443 패브릭 파이프라인 실행에 필요합니다.

GCC, GCC high 및 DoD의 경우 게이트웨이에서 다음 FQDN을 사용합니다.

포트 GCC GCC High DoD
80 *.download.microsoft.com *.download.microsoft.com *.download.microsoft.com
443 *.powerbigov.us, *.powerbi.com *.high.powerbigov.us *.mil.powerbigov.us
443 *.analysis.usgovcloudapi.net *.high.analysis.usgovcloudapi.net *.mil.analysis.usgovcloudapi.net
443 *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net Go 설명서 설명서로 이동
5671-5672 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 및 9350-9354 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 *.core.usgovcloudapi.net *.core.usgovcloudapi.net *.core.usgovcloudapi.net
443 *.login.microsoftonline.com *.login.microsoftonline.us *.login.microsoftonline.us
443 *.msftncsi.com *.msftncsi.com *.msftncsi.com
443 *.microsoftonline-p.com *.microsoftonline-p.com *.microsoftonline-p.com
443 *.dc.applicationinsights.us *.dc.applicationinsights.us *.dc.applicationinsights.us

중국 클라우드(Mooncake)의 경우 게이트웨이에서 다음 FQDN을 사용합니다.

포트 중국 클라우드(Mooncake)
80 *.download.microsoft.com
443 *.powerbi.cn
443 *.asazure.chinacloudapi.cn
443 *.login.chinacloudapi.cn
5671-5672 *.servicebus.chinacloudapi.cn
443 및 9350-9354 *.servicebus.chinacloudapi.cn
443 *.chinacloudapi.cn
443 login.partner.microsoftonline.cn
443 Mooncake 해당 없음-게이트웨이를 실행하는 데 필요하지 않음-장애 조건 동안 네트워크를 확인하는 데만 사용됨
443 Microsoft Entra ID 로그인 중에 사용되는 Mooncake 등가 항목이 없습니다. Microsoft Entra ID 엔드포인트에 대한 자세한 내용은 Azure에서 엔드포인트 확인으로 이동 하세요.
443 applicationinsights.azure.cn
433 clientconfig.passport.net
433 aadcdn.msftauth.cn
433 aadcdn.msauth.cn

참고 항목

게이트웨이를 설치하고 등록한 후에는 이전 표의 servicebus.windows.net 대해 설명한 대로 Azure Relay에서 필요한 포트와 IP 주소만 필요합니다. 게이트웨이 앱에서 주기적으로 네트워크 포트 테스트를 수행하여 필요한 포트 목록을 얻을 수 있습니다. 게이트웨이를 강제로 HTTPS를 사용하여 통신할 수 있습니다.

게이트웨이를 사용하여 Fabric Dataflow Gen1 및 Gen2에 대한 포트 열기

매시업 기반 워크로드(예: 의미 체계 모델, 패브릭 데이터 흐름 등)에 온-프레미스 데이터 원본(온-프레미스 데이터 게이트웨이 사용) 및 클라우드 데이터 원본 모두에 연결하는 쿼리가 포함된 경우 전체 쿼리는 온-프레미스 데이터 게이트웨이의 매시업 엔진에서 실행됩니다. 따라서 모든 매시업 기반 워크로드의 온-프레미스 데이터 게이트웨이가 데이터 원본 및 출력 대상 모두에 대한 클라우드 데이터 원본에 대한 가시적인 액세스 권한을 갖도록 하려면 엔드포인트를 열어야 합니다.

특히 Fabric Dataflow Gen1 및 Gen2의 경우 Azure Data Lake 및 Fabric 스테이징 레이크하우스 클라우드 데이터 원본에 대한 온-프레미스 데이터 게이트웨이 액세스를 허용하려면 다음 엔드포인트도 열려 있어야 합니다.

퍼블릭 클라우드 도메인 이름 아웃바운드 포트 설명
*.core.windows.net 443 Dataflow Gen1에서 Azure Data Lake에 데이터를 쓰는 데 사용됩니다.
*.dfs.fabric.microsoft.com 1433 Dataflow Gen1 및 Gen2에서 OneLake에 연결하는 데 사용하는 엔드포인트입니다. 자세한 정보
*.datawarehouse.pbidedicated.windows.net 1433 Dataflow Gen2에서 스테이징 레이크하우스에 연결하는 데 사용하는 이전 엔드포인트입니다. 자세한 정보
*.datawarehouse.fabric.microsoft.com 1433 Dataflow Gen2에서 스테이징 레이크하우스에 연결하는 데 사용하는 새 엔드포인트입니다. 자세한 정보

참고 항목

*.datawarehouse.pbidedicated.windows.net *.datawarehouse.fabric.microsoft.com 대체되고 있습니다. 이 전환 프로세스 중에 데이터 흐름 Gen2 새로 고침을 보장하기 위해 두 엔드포인트를 모두 열어야 합니다.

네트워크 포트 테스트

게이트웨이가 모든 필요한 포트에 액세스를 가지고 있는지 테스트하려면 다음을 수행합니다.

  1. 게이트웨이를 실행하는 컴퓨터에서 Windows 검색에 “gateway”를 입력한 다음 온-프레미스 데이터 게이트웨이 앱을 선택합니다.

  2. 진단을 선택합니다. 네트워크 포트 테스트 아래에 새로운 테스트 시작을 선택합니다.

    새로운 네트워크 포트 테스트를 시작하는 방법.

게이트웨이가 네트워크 포트 테스트를 실행하면 Azure Relay에서 포트 및 서버 목록을 검색한 다음 모든 포트에 연결하려고 시도합니다. 새 테스트 시작 링크가 다시 나타나면 네트워크 포트 테스트 실행이 완료됩니다.

테스트 요약 결과는 “완료(성공)” 또는 “완료(실패, 마지막 테스트 결과 참조)”입니다. 테스트에 성공한 경우 게이트웨이가 모든 필수 포트에 연결됩니다. 테스트에 실패한 경우 네트워크 환경이 이러한 필수 포트 및 서버를 차단한 것일 수 있습니다.

참고 항목

방화벽은 종종 차단된 사이트의 트래픽을 간헐적으로 허용합니다. 테스트가 성공하더라도 방화벽에서 해당 서버를 허용 목록에 추가해야 할 수도 있습니다.

마지막으로 완료된 테스트 결과를 보려면 마지막으로 완료된 테스트 결과 열기 링크를 선택합니다. 테스트 결과는 기본 텍스트 편집기에서 열립니다.

테스트 결과는 게이트웨이가 필요한 모든 서버, 포트 및 IP 주소를 나열합니다. 테스트 결과가 다음 스크린샷과 같이 포트에 “닫힘”을 표시하는 경우 네트워크 환경이 연결을 차단하지 않았는지 확인합니다. 필수 포트를 열려면 네트워크 관리자에게 문의해야 할 수도 있습니다.

메모장에 표시된 테스트 결과.

Azure Relay를 사용하여 HTTPS 통신 강제 적용

직접 TCP 대신 HTTPS를 사용하여 게이트웨이가 Azure Relay와 통신하도록 강제할 수 있습니다.

참고 항목

2019년 6월 게이트웨이 릴리스부터 릴레이의 권장 사항에 따라 새 설치는 기본적으로 TCP 대신 HTTPS로 설정됩니다. 이 기본 동작은 업데이트된 설치에는 적용되지 않습니다.

게이트웨이 앱을 사용하여 이 동작을 강제로 채택하도록 할 수 있습니다. 게이트웨이 앱에서 네트워크를 선택한 다음 HTTPS 모드를 켭니다.

HTTPS 모드 설정.

이 변경을 한 후 적용을 선택하면 게이트웨이 Windows 서비스가 자동으로 다시 시작되어 변경 사항이 적용됩니다. 적용 단추는 변경 시에만 나타납니다.

게이트웨이 앱에서 게이트웨이 Windows 서비스를 다시 시작하려면 게이트웨이 다시 시작으로 이동합니다.

참고 항목

게이트웨이가 TCP를 사용하여 통신할 수 없는 경우 자동으로 HTTPS를 사용합니다. 게이트웨이 앱에서 선택하면 항상 현재 프로토콜 값이 반영됩니다.

게이트웨이 트래픽에 대한 TLS 1.3

기본적으로 게이트웨이는 TLS(전송 계층 보안) 1.3을 사용하여 Power BI 서비스 통신합니다. 모든 게이트웨이 트래픽이 TLS 1.3을 사용하도록 하려면 게이트웨이 서비스를 실행하는 컴퓨터에서 다음 레지스트리 키를 추가하거나 수정해야 할 수 있습니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

참고 항목

이러한 레지스트리 키를 추가하거나 수정하면 모든 .NET 애플리케이션에 변경 내용이 적용됩니다. 다른 애플리케이션의 TLS에 영향을 주는 레지스트리 변경 내용에 대한 자세한 내용은 TLS(전송 계층 보안) 레지스트리 설정으로 이동하세요.

서비스 태그

서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다. 데이터 게이트웨이는 다음 서비스 태그에 종속됩니다.

  • PowerBI
  • Service Bus
  • AzureActiveDirectory
  • AzureCloud

온-프레미스 데이터 게이트웨이는 일부 통신에 Azure Relay를 사용합니다. 그러나 Azure Relay 서비스에 대한 서비스 태그는 없습니다. ServiceBus 서비스 태그는 Azure Relay용은 아니지만 여전히 서비스 큐 및 토픽 기능과 관련이 있기 때문에 여전히 필요합니다.

AzureCloud 서비스 태그는 모든 전역 Azure 데이터 센터 IP 주소를 나타냅니다. Azure Relay 서비스는 Azure Compute 위에 구축되므로 Azure Relay 공용 IP는 AzureCloud IP의 하위 집합입니다. 추가 정보: Azure 서비스 태그 개요

다음 단계