Private Link 서비스 및 프라이빗 엔드포인트 정의

  • 12분

Azure Private Link를 사용하면 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure PaaS Services와 Azure 호스팅 고객 소유/파트너 서비스에 액세스할 수 있습니다.

Azure Private Link와 그 기능 및 이점을 알아보기 전에 Private Link가 해결할 수 있는 문제를 검토해 보겠습니다.

Contoso에는 Azure 가상 네트워크가 있고, 사용자는 Azure SQL 데이터베이스와 같은 PaaS 리소스에 연결하고자 합니다. 이러한 리소스를 생성할 때 보통 공용 엔드포인트를 연결 방법으로 지정합니다.

공용 엔드포인트를 보유함으로써 리소스에 공용 IP 주소가 할당됩니다. 따라서 가상 네트워크와 Azure SQL 데이터베이스가 모두 Azure 클라우드 내에 있는 경우에도 인터넷을 통해 연결됩니다.

문제는 Azure SQL 데이터베이스가 공용 IP 주소를 통해 인터넷에 노출된다는 점입니다. 이러한 노출로 인해 여러 보안 위험이 발생합니다. 이러한 보안 위험은 다음과 같은 공용 IP 주소를 통해 Azure 리소스에 액세스할 때 발생합니다.

  • 피어링된 Azure 가상 네트워크.
  • ExpressRoute 및 Microsoft 피어링을 사용하는 Azure에 연결되는 온-프레미스 네트워크.
  • 회사에서 제공하는 Azure 서비스에 연결되는 고객의 Azure 가상 네트워크.

프라이빗 엔드포인트와 프라이빗 링크 영역을 보여 주는 다이어그램.

Private Link는 연결의 공개 부분을 제거함으로써 보안 위험을 제거하도록 설계되었습니다.

Private Link는 Azure 서비스에 대한 보안 액세스를 제공합니다. Private Link는 리소스의 공용 엔드포인트를 비공개 네트워크 인터페이스로 대체하여 이러한 보안을 달성합니다. 이 새로운 아키텍처에 대해 고려할 세 가지 사항이 있습니다.

  • Azure 리소스는 가상 네트워크의 일부가 됩니다.
  • 이제 리소스에 대한 연결에서 공개 인터넷 대신 Microsoft Azure 백본 네트워크를 사용합니다.
  • 더 이상 공용 IP 주소를 노출하지 않도록 Azure 리소스를 구성할 수 있으며, 이를 통해 잠재적인 보안 위험이 제거됩니다.

Azure 프라이빗 엔드포인트란?

프라이빗 엔드포인트는 Private Link의 핵심 기술입니다. 프라이빗 엔드포인트는 가상 네트워크와 Azure 서비스 사이의 비공개 보안 연결을 활성화하는 네트워크 인터페이스입니다. 즉, 프라이빗 엔드포인트는 리소스의 공용 엔드포인트를 대체하는 네트워크 인터페이스입니다.

Private Link는 Azure 서비스에 대한 보안 액세스를 제공합니다. Private Link는 리소스의 공용 엔드포인트를 비공개 네트워크 인터페이스로 대체하여 이러한 보안을 달성합니다. 프라이빗 엔드포인트는 VNet으로의 서비스에 개인 IP 주소를 사용합니다.

Azure 프라이빗 엔드포인트는 서비스 엔드포인트와 어떻게 다른가요?

프라이빗 엔드포인트는 세분화된 분할을 제공하는 특정 서비스의 배후에 있는 특정 리소스에 대한 네트워크 액세스를 제공합니다. 트래픽은 퍼블릭 엔드포인트를 사용하지 않고 온-프레미스에서 서비스 리소스에 도달할 수 있습니다.

서비스 엔드포인트는 공개적으로 라우팅 가능한 IP 주소를 유지합니다. 프라이빗 엔드포인트는 프라이빗 엔드포인트가 구성된 가상 네트워크의 주소 공간에 있는 개인 IP입니다.

참고

Microsoft는 Azure 플랫폼에서 호스트되는 서비스에 대한 보안 및 프라이빗 액세스를 위해 Azure Private Link를 사용할 것을 권장합니다.

Private Link를 통해 Azure 가상 네트워크에서 Azure의 PaaS 서비스 및 Microsoft 파트너 서비스에 비공개로 액세스할 수 있습니다. 하지만 회사에 자체 Azure 서비스가 있는 경우는 어떨까요? 이러한 고객에게 회사의 서비스에 대한 비공개 연결을 제공할 수 있을까요?

예, Azure Private Link 서비스를 사용하면 가능합니다. 이 서비스를 통해 사용자 지정 Azure 서비스에 대한 Private Link 연결을 제공할 수 있습니다. 사용자 지정 서비스의 사용자는 자체 Azure 가상 네트워크에서 인터넷을 사용하지 않고 이러한 서비스에 비공개로 액세스할 수 있습니다.

Azure Private Link 서비스는 Azure Private Link에서 제공하는 자체 서비스에 대한 참조입니다. Azure Standard Load Balancer 뒤에서 실행되는 서비스를 Private Link 액세스에 사용하도록 설정하면 서비스 소비자가 자신의 VNet에서 비공개로 액세스할 수 있습니다. 고객은 VNet 내에서 프라이빗 엔드포인트를 만들고 이 서비스에 매핑할 수 있습니다. Private Link 서비스는 여러 프라이빗 엔드포인트로부터 연결을 받습니다. 프라이빗 엔드포인트는 하나의 Private Link 서비스에 연결합니다.

프라이빗 링크 서비스 워크플로 다이어그램.

프라이빗 엔드포인트 속성

프라이빗 엔드포인트를 만들기 전에 프라이빗 엔드포인트 속성을 고려하고 특정 요구 사항에 대한 데이터를 수집해야 합니다.

  • 리소스 그룹이 있는 고유한 이름.
  • 가상 네트워크에서 개인 IP 주소를 배포하고 할당하는 서브넷.
  • 사용 가능한 형식 목록에서 리소스 ID 또는 별칭을 사용하여 연결할 프라이빗 링크 리소스. 이 리소스로 전송되는 모든 트래픽에 대해 고유한 네트워크 식별자가 생성됩니다.
  • 연결할 하위 리소스입니다. 각 프라이빗 링크 리소스 종류에는 기본 설정에 따라 선택할 수 있는 다양한 옵션이 있습니다.
  • 자동 또는 수동 연결 승인 방법. Azure RBAC(역할 기반 액세스 제어) 권한에 따라 프라이빗 엔드포인트가 자동으로 승인될 수 있습니다. 수동 방법의 경우 리소스 소유자가 연결을 승인합니다.
  • 승인된 상태의 프라이빗 엔드포인트만 트래픽을 보내는 데 사용될 수 있습니다.

또한 다음을 고려해야 합니다.

  • 클라이언트가 네트워크 연결을 시작합니다. 연결은 단일 방향으로만 설정될 수 있습니다.
  • 프라이빗 엔드포인트에는 리소스 수명 주기 동안 읽기 전용 네트워크 인터페이스가 있습니다. 이 인터페이스에는 프라이빗 링크 리소스에 매핑되는 서브넷의 동적 개인 IP 주소가 할당됩니다. 개인 IP 주소 값은 프라이빗 엔드포인트의 전체 수명 주기 동안 변경되지 않은 상태로 유지됩니다.
  • 프라이빗 엔드포인트는 가상 네트워크와 동일한 지역과 구독에 배포되어야 합니다.
  • 프라이빗 링크 리소스는 가상 네트워크 및 프라이빗 엔드포인트가 아닌 다른 지역에 배포될 수 있습니다.
  • 동일한 프라이빗 링크 리소스를 사용하여 여러 프라이빗 엔드포인트를 만들 수 있습니다.
  • 동일한 가상 네트워크 내에서 동일하거나 다른 서브넷에 여러 프라이빗 엔드포인트를 만들 수 있습니다.

지식 점검

1.

Private Link의 핵심 기술은 무엇일까요?

2.

서비스 엔드포인트와 프라이빗 엔드포인트의 차이점은 무엇일까요?