다음을 통해 공유

Microsoft Purview 프라이빗 엔드포인트 및 관리되는 VNet에 대한 FAQ

  • 아티클

이 문서에서는 고객과 현장 팀이 Azure Private Link 또는 Microsoft Purview 관리형 VNet을 사용하여 Microsoft Purview 네트워크 구성에 대해 자주 묻는 일반적인 질문에 답변합니다. Microsoft Purview 방화벽 설정, 프라이빗 엔드포인트, DNS 구성 및 관련 구성에 대한 질문을 명확히 하기 위한 것입니다.

Private Link 사용하여 Microsoft Purview를 설정하려면 Microsoft Purview 계정에 프라이빗 엔드포인트 사용을 참조하세요. Microsoft Purview 계정에 대해 관리형 VNet을 구성하려면 Microsoft Purview 계정으로 관리형 가상 네트워크 사용을 참조하세요.

자체 호스팅 통합 런타임, 관리형 가상 네트워크 IR 또는 Azure IR을 사용해야 하는 경우는 언제인가요?

시나리오에 적합한 통합 런타임 구성 선택에서 자세히 알아보세요.

Microsoft Purview 계정 내에서 자체 호스팅 통합 런타임과 관리형 가상 네트워크 IR을 모두 사용할 수 있나요?

예. 단일 Microsoft Purview 계정(Azure IR, 관리형 가상 네트워크 IR 및 자체 호스팅 통합 런타임)에서 하나 이상의 런타임 옵션을 사용할 수 있습니다. 단일 검사에서 하나의 런타임 옵션만 사용할 수 있습니다.

Microsoft Purview 계정 프라이빗 엔드포인트를 배포하는 목적은 무엇인가요?

Microsoft Purview 계정 프라이빗 엔드포인트는 가상 네트워크 내에서 시작된 클라이언트 호출만 계정에 액세스할 수 있는 시나리오를 사용하도록 설정하여 다른 보안 계층을 추가하는 데 사용됩니다. 이 프라이빗 엔드포인트는 포털 프라이빗 엔드포인트의 필수 구성 요소이기도 합니다.

Microsoft Purview 포털 프라이빗 엔드포인트를 배포하는 목적은 무엇인가요?

Microsoft Purview 포털 프라이빗 엔드포인트는 Microsoft Purview 거버넌스 포털에 대한 프라이빗 연결을 제공합니다.

Microsoft Purview 수집 프라이빗 엔드포인트를 배포하는 목적은 무엇인가요?

Microsoft Purview는 수집 프라이빗 엔드포인트를 사용하여 Azure 또는 온-프레미스 환경에서 데이터 원본을 검색할 수 있습니다. 프라이빗 엔드포인트를 수집할 때 세 개의 다른 프라이빗 엔드포인트 리소스가 배포되고 Microsoft Purview 관리 또는 구성된 리소스에 연결됩니다.

  • kafka 알림에 관리되는 Event Hubs를 사용하는 경우 네임스페이스는 Microsoft Purview가 구성한 Event Hubs 네임스페이스에 연결됩니다.
  • 계정이 2023년 12월 15일 이전에 만들어진 경우:
    • Blob 은 Microsoft Purview 관리형 스토리지 계정에 연결됩니다.
    • 는 Microsoft Purview 관리 스토리지 계정에 연결됩니다.
  • 계정이 2023년 12월 15일 이후에 생성되었거나 API 버전 2023-05-01-preview를 사용하여 배포된 경우:
    • Blob 은 Microsoft Purview 수집 스토리지에 연결됩니다.
    • 는 Microsoft Purview 수집 스토리지에 연결됩니다.

내 Microsoft Purview 계정에서 프라이빗 엔드포인트가 사용하도록 설정된 경우 퍼블릭 엔드포인트를 통해 데이터 원본을 검사할 수 있나요?

예. 프라이빗 엔드포인트를 통해 연결되지 않은 데이터 원본은 퍼블릭 엔드포인트를 사용하여 검사할 수 있으며 Microsoft Purview는 프라이빗 엔드포인트를 사용하도록 구성됩니다.

프라이빗 엔드포인트를 사용하는 경우 서비스 엔드포인트를 통해 데이터 원본을 검색할 수 있나요?

예. 프라이빗 엔드포인트를 통해 연결되지 않은 데이터 원본은 서비스 엔드포인트를 사용하여 검사할 수 있으며 Microsoft Purview는 프라이빗 엔드포인트를 사용하도록 구성됩니다. 시나리오에 적합한 통합 런타임 구성 선택에서 자세히 알아보세요.

공용 네트워크 액세스가 Microsoft Purview 계정 네트워킹에서 거부로 설정된 경우 공용 네트워크에서 Microsoft Purview 거버넌스 포털에 액세스할 수 있나요?

아니요. 공용 네트워크 액세스거부로 설정된 공용 엔드포인트에서 Microsoft Purview에 연결하면 다음 오류 메시지가 표시됩니다.

"이 Microsoft Purview 계정에 액세스할 수 있는 권한이 없습니다. 이 Microsoft Purview 계정은 프라이빗 엔드포인트 뒤에 있습니다. Microsoft Purview 계정의 프라이빗 엔드포인트에 대해 구성된 동일한 가상 네트워크(가상 네트워크)의 클라이언트에서 계정에 액세스합니다."

이 경우 Microsoft Purview 거버넌스 포털을 열려면 Microsoft Purview 포털 프라이빗 엔드포인트와 동일한 가상 네트워크에 배포된 컴퓨터를 사용하거나 하이브리드 연결이 허용되는 CorpNet에 연결된 VM을 사용합니다.

Microsoft Purview 관리 스토리지 계정 또는 수집 스토리지 계정 및 Event Hubs 네임스페이스(프라이빗 엔드포인트 수집에만 해당)에 대한 액세스를 제한할 수 있지만 웹에서 사용자에 대해 포털 액세스를 사용하도록 설정할 수 있나요?

참고

계정에는 2023년 12월 15일 이전에 생성되었거나 2023-05-01-preview 이전의 API 버전을 사용하여 배포된 경우에만 관리 스토리지 계정이 있습니다. 계정에는 kafka 알림에 대해 구성 되었거나 2022년 12월 15일 이전에 만들어진 경우에만 연결된 Event Hubs 네임스페이스가 있습니다.

예. 수집 전용(미리 보기)을 위해 Microsoft Purview 방화벽 설정을 사용 안 함으로 구성할 수 있습니다. 이 옵션을 선택하면 API 및 Microsoft Purview 거버넌스 포털을 통해 Microsoft Purview 계정에 대한 공용 네트워크 액세스가 허용되지만 공용 네트워크 액세스는 Microsoft Purview 계정의 관리되는 스토리지 계정에서 사용하지 않도록 설정됩니다. 또한 Event Hubs 네트워크 설정이 통신을 허용하는지 확인해야 합니다.

공용 네트워크 액세스가 허용으로 설정된 경우 관리되는 스토리지 계정 또는 수집 스토리지 계정 및 Event Hubs 네임스페이스에 누구나 액세스할 수 있음을 의미하나요?

참고

계정에는 2023년 12월 15일 이전에 생성되었거나 2023-05-01-preview 이전의 API 버전을 사용하여 배포된 경우에만 관리 스토리지 계정이 있습니다. 계정에는 kafka 알림에 대해 구성 되었거나 2022년 12월 15일 이전에 만들어진 경우에만 연결된 Event Hubs 네임스페이스가 있습니다.

아니요. 보호된 리소스로서 Microsoft Purview 관리 스토리지 계정 및 Event Hubs 네임스페이스에 대한 액세스는 RBAC 인증 체계를 사용하는 Microsoft Purview로만 제한됩니다. 이러한 리소스는 모든 보안 주체에 대한 거부 할당과 함께 배포되어 애플리케이션, 사용자 또는 그룹이 액세스 권한을 얻지 못하게 합니다.

Azure 거부 할당에 대한 자세한 내용은 Azure 거부 할당 이해를 참조하세요.

프라이빗 엔드포인트에 대해 Microsoft Purview에 필요한 프라이빗 DNS 영역은 무엇인가요?

Microsoft Purview 계정, 포털플랫폼 프라이빗 엔드포인트의 경우:

  • privatelink.purview.azure.com - 클래식 Microsoft Purview 거버넌스 포털용입니다.
  • privatelink.purview-service.microsoft.com - Microsoft Purview 포털용입니다.

Microsoft Purview 수집 프라이빗 엔드포인트의 경우:

  • privatelink.blob.core.windows.net
  • privatelink.queue.core.windows.net
  • privatelink.servicebus.windows.net

Microsoft Purview 프라이빗 엔드포인트를 배포할 때 전용 가상 네트워크 및 전용 서브넷을 사용해야 하나요?

아니요. 그러나 프라이빗 엔드포인트를 PrivateEndpointNetworkPolicies 배포하기 전에 대상 서브넷에서 를 사용하지 않도록 설정해야 합니다. 가상 네트워크 피어링을 통해 데이터 원본 가상 네트워크에 대한 네트워크 연결이 있는 가상 네트워크에 Microsoft Purview를 배포하고 데이터 원본을 프레미스 간 검색하려는 경우 온-프레미스 네트워크에 액세스하는 것이 좋습니다.

프라이빗 엔드포인트에 대한 네트워크 정책 사용 안 함을 자세히 알아보세요.

Microsoft Purview 프라이빗 엔드포인트를 배포하고 구독의 기존 프라이빗 DNS 영역을 사용하여 A 레코드를 등록할 수 있나요?

예. 프라이빗 엔드포인트 DNS 영역은 Microsoft Purview 및 모든 데이터 원본 레코드에 필요한 모든 내부 DNS 영역에 대한 허브 또는 데이터 관리 구독에서 중앙 집중화할 수 있습니다. Microsoft Purview가 프라이빗 엔드포인트 내부 IP 주소를 사용하여 데이터 원본을 resolve 수 있도록 하려면 이 방법을 사용하는 것이 좋습니다.

또한 기존 프라이빗 DNS 영역에 대한 가상 네트워크에 대한 가상 네트워크 링크를 설정해야 합니다.

프라이빗 엔드포인트를 사용할 때 Microsoft Purview에 대한 자체 호스팅 통합 런타임이 있는 가상 머신에 대한 아웃바운드 포트 및 방화벽 요구 사항은 무엇인가요?

자체 호스팅 통합 런타임이 배포되는 VM에는 포트 443을 통해 Azure 엔드포인트 및 Microsoft Purview 개인 IP 주소에 대한 아웃바운드 액세스 권한이 있어야 합니다.

프라이빗 엔드포인트가 사용하도록 설정된 경우 자체 호스팅 통합 런타임을 실행하는 가상 머신에서 아웃바운드 인터넷 액세스를 사용하도록 설정해야 하나요?

아니요. 그러나 자체 호스팅 통합 런타임을 실행하는 가상 머신은 포트 443을 사용하여 내부 IP 주소를 통해 Microsoft Purview의 instance 연결할 수 있습니다. 이름 확인 및 연결 테스트(예: nslookup.exe 및 Test-NetConnection)에 일반적인 문제 해결 도구를 사용합니다.

관리형 가상 네트워크를 사용하는 경우에도 Microsoft Purview 계정에 대한 프라이빗 엔드포인트를 배포해야 하나요?

Microsoft Purview 계정의 공용 액세스가 거부되도록 설정된 경우 하나 이상의 계정 및 포털 프라이빗 엔드포인트가 필요합니다. Microsoft Purview 계정의 공용 액세스가 거부 로 설정되어 있고 자체 호스팅 통합 런타임을 사용하여 더 많은 데이터 원본을 검색하려는 경우 하나 이상의 계정, 포털 및 수집 프라이빗 엔드포인트가 필요합니다.

Microsoft Purview 관리형 VNet에 대한 퍼블릭 엔드포인트를 통해 허용되는 인바운드 및 아웃바운드 통신은 무엇인가요?

공용 네트워크에서 관리형 가상 네트워크로 인바운드 통신이 허용되지 않습니다. 아웃바운드 통신을 위해 모든 포트가 열립니다. Microsoft Purview에서 관리형 가상 네트워크를 사용하여 검사 중에 메타데이터를 추출하기 위해 Azure 데이터 원본에 비공개로 연결할 수 있습니다.

컴퓨터에서 Microsoft Purview 거버넌스 포털을 시작하려고 할 때 다음 오류 메시지가 표시되는 이유는 무엇인가요?

"이 Microsoft Purview 계정은 프라이빗 엔드포인트 뒤에 있습니다. Microsoft Purview 계정의 프라이빗 엔드포인트에 대해 구성된 동일한 가상 네트워크(가상 네트워크)의 클라이언트에서 계정에 액세스합니다."

Microsoft Purview 계정이 Private Link 사용하여 배포되고 Microsoft Purview 계정에서 공용 액세스가 사용하지 않도록 설정되어 있는 것일 수 있습니다. 따라서 Microsoft Purview에 대한 내부 네트워크 연결이 있는 가상 머신에서 Microsoft Purview 거버넌스 포털을 검색해야 합니다.

하이브리드 네트워크 뒤의 VM에서 연결하거나 가상 네트워크에 연결된 점프 머신을 사용하는 경우 이름 확인 및 연결 테스트(예: nslookup.exe 및 Test-NetConnection)에 대한 일반적인 문제 해결 도구를 사용합니다.

  1. Microsoft Purview 계정의 개인 IP 주소를 통해 다음 주소를 resolve 수 있는지 확인합니다.

    • Web.Purview.Azure.com
    • <YourPurviewAccountName>.Purview.Azure.com

  2. 다음 PowerShell 명령을 사용하여 Microsoft Purview 계정에 대한 네트워크 연결을 확인합니다.

    Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443

  3. 자체 DNS 확인 인프라를 사용하는 경우 프레미스 간 DNS 구성을 확인합니다.

프라이빗 엔드포인트에 대한 DNS 설정에 대한 자세한 내용은 Azure 프라이빗 엔드포인트 DNS 구성을 참조하세요.

Microsoft Purview 계정 또는 관리되는 리소스와 연결된 프라이빗 엔드포인트를 다른 Azure 구독 또는 리소스 그룹으로 이동할 수 있나요?

아니요. 계정, 포털 또는 수집 프라이빗 엔드포인트에 대한 이동 작업은 지원되지 않습니다. 자세한 내용은 네트워킹 리소스를 새 리소스 그룹 또는 구독으로 이동을 참조하세요.

다른 지역에 여러 관리형 가상 네트워크를 만들 수 있나요?

예. 여러 지역에서 사용할 수 있는 데이터 원본에 액세스할 수 있도록 단일 Microsoft Purview instance 여러 지역에 걸쳐 여러 관리형 가상 네트워크를 만들 수 있습니다. 이 기능은 다음을 수행할 수 있는 기능을 제공합니다.

  • 단일 Microsoft Purview instance 여러 지역에 여러 관리형 가상 네트워크(최대 5개)를 만듭니다.
  • 사용자 고유의 organization 내에서 네트워크 격리를 통해 잠재적인 데이터 보존을 해결하거나 성능 문제를 검사합니다.

다음 단계

Private Link 사용하여 Microsoft Purview를 설정하려면 Microsoft Purview 계정에 프라이빗 엔드포인트 사용을 참조하세요.