안녕하세요~!!
오늘은 Azure Vritual Network 서비스 엔드포인트에 대해서 설명드리려고 합니다!
서비스 엔드포인트가 어떤 기능을 하는 서비스인가?
VNet(가상 네트워크) 서비스 엔드포인트는 Azure 백본 네트워크에서 최적화된 경로를 통해 Azure 서비스에 대한 안전한 직접 연결을 제공하는 서비스입니다!
그렇다면 서비스 엔드포인트를 왜 사용할까요?
엔드포인트를 사용하면 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있다는 이유가 있습니다~
서비스 엔드포인트를 통해 VNet의 개인 IP 주소는 VNet에 공용 IP 주소가 없어도 Azure 서비스의 엔드포인트에 연결할 수 있습니다.
그렇다면 서비스 엔드포인트가 제공되는 Azure 서비스 및 지역은 어떤 것이 있을까요?
- Azure Storage (Microsoft.Storage): 일반적으로 모든 Azure 지역에서 제공됩니다.
- Azure SQL Database (Microsoft.Sql): 일반적으로 모든 Azure 지역에서 제공됩니다.
- Azure Synapse Analytics (Microsoft.Sql): 일반적으로 모든 Azure 지역에서 전용 SQL 풀(이전의 SQL DW)에 대해 제공됩니다.
- Azure Database for PostgreSQL server (Microsoft.Sql): 일반적으로 데이터베이스 서비스를 사용할 수 있는 Azure 지역에 제공됩니다.
- Azure Database for MySQL server (Microsoft.Sql): 일반적으로 데이터베이스 서비스를 사용할 수 있는 Azure 지역에 제공됩니다.
- Azure Database for MariaDB (Microsoft.Sql): 일반적으로 데이터베이스 서비스를 사용할 수 있는 Azure 지역에 제공됩니다.
- Azure Cosmos DB (Microsoft.AzureCosmosDB): 일반적으로 모든 Azure 지역에서 제공됩니다.
- Azure Key Vault (Microsoft.KeyVault): 일반적으로 모든 Azure 지역에서 제공됩니다.
- Azure Service Bus (Microsoft.ServiceBus): 일반적으로 모든 Azure 지역에서 제공됩니다.
- Azure Event Hubs (Microsoft.EventHub): 일반적으로 모든 Azure 지역에서 제공됩니다.
- Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory): 일반적으로 ADLS Gen1을 사용할 수 있는 모든 Azure 지역에서 제공됩니다.
- Azure App Service (Microsoft.Web): 일반적으로 모든 App Service를 사용할 수 있는 모든 Azure 지역에서 제공됩니다.
- Azure Cognitive Services (Microsoft.CognitiveServices): 일반적으로 Cognitive Services를 사용할 수 있는 모든 Azure 지역에서 제공됩니다.
앞서서 서비스 엔드포인트의 장점에 대해서 정말 간략하게 설명 드렸는데,
자세히! 어떤 이점이 있는지 알아보도록 하겠습니다~!
주요 이점
서비스 엔드포인트는 다음과 같은 이점을 제공합니다.!
- Azure 서비스 리소스의 보안 향상: VNet 프라이빗 주소 공간은 겹칠 수 있습니다. 겹치는 공간을 사용하여 VNet에서 발생하는 트래픽을 고유하게 식별할 수 없습니다. 서비스 엔드포인트를 사용하면 VNet ID를 서비스로 확장하여 Azure 서비스 리소스를 가상 네트워크로 보호합니다. 가상 네트워크에서 서비스 엔드포인트를 사용하면 가상 네트워크 규칙을 추가하여 가상 네트워크에 대한 Azure 서비스 리소스를 보호할 수 있습니다. 규칙을 추가하면 리소스에 대한 퍼블릭 인터넷 액세스가 완전히 제거되고 가상 네트워크의 트래픽만 허용하여 보안이 향상됩니다.
- Virtual Network의 Azure 서비스 트래픽에 대한 최적의 라우팅: 현재 온-프레미스 및/또는 가상 어플라이언스에 인터넷 트래픽을 강제하는 가상 네트워크의 모든 경로는 Azure 서비스 트래픽이 인터넷 트래픽과 동일한 경로를 사용하도록 강제할 수도 있습니다. 서비스 엔드포인트는 Azure 트래픽에 대한 최적의 라우팅을 제공합니다. 엔드포인트는 항상 가상 네트워크의 서비스 트래픽을 직접 Microsoft Azure 백본 네트워크의 서비스로 이동시킵니다. 트래픽을 Azure 백본 네트워크에 유지하면 서비스 트래픽에 영향을 주지 않고 강제 터널링을 통해 가상 네트워크의 아웃바운드 인터넷 트래픽을 계속 감사하고 모니터링할 수 있습니다.
- 오버헤드 관리를 덜 사용한 간단한 설정: IP 방화벽을 통해 Azure 리소스를 보호하기 위해 가상 네트워크에서 예약된 공용 IP 주소가 더 이상 필요하지 않습니다. 서비스 엔드포인트를 설정하는 데 NAT(Network Address Translation) 또는 게이트웨이 디바이스가 필요하지 않습니다. 서브넷에서 단일 선택을 통해 서비스 엔드포인트를 구성할 수 있습니다. 엔드포인트를 유지 관리하는 데 추가 오버헤드가 없습니다.
하지만 이렇게 이점이 많은 서비스 엔드포인트에도 제한 사항은 있습니다!
제한 사항
- 이 기능은 Azure Resource Manager 배포 모델을 통해 배포된 가상 네트워크에만 사용할 수 있습니다.
- 엔드포인트는 Azure 가상 네트워크에서 구성된 서브넷에서 활성화됩니다. 프레미스에서 Azure 서비스로의 트래픽에 엔드포인트를 사용할 수 없습니다.
- Azure SQL의 경우 서비스 엔드포인트는 가상 네트워크의 지역 내에서 Azure 서비스 트래픽에만 적용됩니다.
- Azure Data Lake Storage(ADLS) Gen 1의 경우 VNet 통합 기능은 동일한 지역 내의 가상 네트워크에서만 사용할 수 있습니다. 또한 ADLS Gen1에 대한 가상 네트워크 통합은 가상 네트워크와 azure Active Directory(Azure AD) 간의 가상 네트워크 서비스 엔드포인트 보안을 사용하여 액세스 토큰에 추가 보안 클레임을 생성합니다. 그런 다음, 이러한 클레임을 사용하여 Data Lake Storage Gen1 계정에 대해 가상 네트워크를 인증하고 액세스를 허용합니다. 서비스 엔드포인트를 지원하는 서비스에 나열된 Microsoft.AzureActiveDirectory 태그는 ADLS Gen 1에 서비스 엔드포인트를 지원하는 데 사용됩니다. Azure AD는 기본적으로 서비스 엔드포인트를 지원하지 않습니다.
서비스 엔드포인트에 대한 내용은 너~~~~~~~~무 많기 때문에 오늘 포스팅은 여기까지만 하고!
다음 포스팅에 찾아뵙겠습니다!
'CSP (Cloud Service Provider) > Azure' 카테고리의 다른 글
| Network Security Group (0) | 2022.12.08 |
|---|---|
| Azure Virtual Network란? (0) | 2022.12.08 |
| Azure VPN Gateway를 통한 VPN Tunneling(2) (0) | 2022.11.18 |
| Azure VPN Gateway를 통한 VPN Tunneling(1) (0) | 2022.11.18 |
| Azure Managed ID (0) | 2022.11.02 |
댓글