Azure Virtual Network 서비스 엔드포인트

안녕하세요! 이번 시간에는 Virtual Network 서비스 엔드포인트에 대해서 알아볼 거에요! 고고~

Virtual Network 서비스 엔드포인트

• 가상 네트워크 서비스 엔드포인트는 Azure 백본 네트워크에서 최적화된 경로를 통해 Azure 서비스에 대한 안전한 직접 연결을 제공합니다.
• 엔드포인트를 사용시 가상 네트워크에 대해 중요한 Azure 서비스 리소스를 보호할 수 있습니다.
• 서비스 엔드포인트를 통해 VNet의 Private IP 주소는 VNet에 Public IP 주소가 없어도 Azure 서비스의 엔드포인트에 연결할 수 있습니다.
• 서비스 엔드포인트는 다음 Azure 서비스 지역에서 제공됩니다. 서비스에 대한 서비스 엔드포인트를 구성하는 동안 서브넷 쪽에서 이 리소스를 사용하도록 설정합니다.

일반 공급

• Azure Storage(Microsoft.Storage): 일반적으로 모든 Azure 지역에서 제공 
• Azure SQL Databse(Microsoft.Sql): 일반적으로 모든 Azure 지역에서 제공
• Azure Synapse Analytics(Microsoft.Sql): 일반적으로 모든 Azure 지역에서 전용 SQL 풀(이전의 SQL DW)에 대해 제공
• Azure Databse for PostgreSQL server(Microsoft.Sql): 일반적으로 데이터베이스 서비스를 사용할 수 있는 Azure 지역에 제공
• Azure Databse for MySQL server(Microsoft.Sql): 일반적으로 데이터베이스 서비스 사용할 수 있는 Azure 지역에 제공
• Azure Databse for MariaDB(Microsoft.Sql): 일반적으로 데이터베이스 서비스 사용할 수 있는 Azure 지역에 제공
• Azure Cosmos DB(Microsoft.AzureCosmosDB): 일반적으로 모든 Azure 지역에서 제공
• Azure Key Vault(Microsoft.KeyVault): 일반적으로 모든 Azure 지역에서 제공
• Azure Service Bus(Microsoft.ServiceBus): 일반적으로 모든 Azure 지역에서 제공
• Azure Event Hubs(Microsoft.EventHub): 일반적으로 모든 Azure 지역에서 제공
• Azure Data Lake Store Gen 1(Microsoft.AzureActiveDirectory): 일반적으로 ADLS Gen1을 사용할 수 있는 모든 Azure 지역에서 제공
• Azure App Service(Microsoft.Web): 일반적으로 모든 App Service를 사용할 수 있는 모든 Azure 지역에서 제공
• Azure Cognitive Services(Microsoft.CognitiveServices): 일반적으로 CognitiveServices를 사용할 수 있는 모든 Azure 지역에서 제공 

공개 미리 보기

• Azure Container Registry(Microsoft.ContainerRegistry): Azure Container Registry를 사용할 수 있는 제한된 Azure 지역에서 사용 가능한 미리보기

주요 이점

• Azure 서비스 리소스의 보안 향상: VNet 프라이빗 주소 공간은 겹칠 수 있는데 겹치는 공간을 사용하여 VNet에서 발생하는 트래픽을 고유하게 식별할 수 없습니다. 이 때 서비스 엔드포인트를 사용하면 VNet ID를 서비스로 확장하여 Azure 서비스 리소스를 가상 네트워크로 보호합니다. 
  가상 네트워크에서 서비스 엔드포인트를 사용하면 가상 네트워크 규칙을 추가하여 가상 네트워크에 대한 Azure 서비스 리소스를 보호할 수 있습니다. 규칙을 추가하면 리소스에 대한 Public 인터넷 액세스가 완전히 제거되어 가상 네트워크의 트래픽만 허용하여 보안이 향상됩니다.
• Virtual Network의 Azure 서비스 트래픽에 대한 최적의 라우팅: 현재 온-프레미스 및 또는 가상 어플라이언스에 인터넷 트래픽을 강제하는 가상 네트워크의 모든 경로는 Azure 서비스 트래픽이 인터넷 트래픽과 동일한 경로를 사용하도록 강제할 수도 있습니다. 서비스 엔드포인트는 Azure 트래픽에 대한 최적의 라우팅을 제공합니다.
  엔드포인트는 항상 가상 네트워크의 서비스 트래픽을 직접 Microsoft Azure 백본 네트워크의 서비스로 이동시킵니다. 트래픽을 Azure 백본 네트워크에 유지하면 서비스 트래픽에 영향을 주지않고 강제 터널링을 통해 가상 네트워크의 아웃바운드 인터넷 트래픽을 계속 감시하고 모니터링 할 수 있습니다.
• 오버헤드 관리를 덜 사용한 간단한 설정: IP 방화벽을 통해 Azure 리소스를 보호하기 위해 가상 네트워크에서 예약된 공용 IP 주소가 더 이상 필요하지 않습니다. 서비스 엔드포인트를 설정하는 데 NAT 또는 게이트웨이 디바이스가 필요하지 않고 서브넷에서 단일 선택을 통해 서비스 엔드포인트를 구성할 수 있습니다. 엔드포인트를 유지 관리하는 데 추가 오버헤드가 없습니다.

제한 사항

• 해당 기능은 Azure Resource Manager 배포 모델을 통해 배포된 가상 네트워크에만 사용할 수 있습니다.
• 엔드포인트는 Azure 가상 네트워크에서 구성된 서브넷에서 활성화 됩니다. 프레미스에서 Azure 서비스로의 트래픽에 엔드포인트는 사용 불가.
• Azure SQL의 경우 서비스 엔드포인트는 가상 네트워크의 지역 내에서 Azure 서비스 트래픽에만 적용됩니다. Azure Storage의 경우 미리보기에서 다른 지역의 가상 네트워크에 대한 액세스를 사용하도록 설정할 수 있습니다.
• Azure Data Lake Storage(ADLS) Gen 1의 경우 VNet 통합 기능은 동일한 지역 내의 가상 네트워크에서만 사용할 수 있습니다. 또한 ADLS Gen 1에 대한 가상 네트워크 통합은 가상 네트워크와 Azure AD 간의 가상 네트워크 서비스 엔드포인트 보안을 사용하여 액세스 토큰에 추가 보안 클레임을 생성합니다. 그 다음 이러한 클레임을 사용해 Data Lake Storage Gen1 계정에 대해 가상 네트워크를 인증하고 액세스를 허용합니다. 서비스 엔드포인트를 지원하는 서비스에 나열된 Microsoft.AzureActiveDirectory 태그는 ADLS Gen1에 서비스 엔드포인트를 지원하는데 사용하고, Azure AD는 기본적으로 서비스 엔드포인트 지원 X

가상 네트워크에 대한 Azure 서비스 보호

• 가상 네트워크 서비스 엔드포인트는 Azure 서비스에 가상 네트워크 ID 제공합니다. 가상 네트워크에서 서비스 엔드포인트를 사용하면 가상 네트워크 규칙을 추가하여 가상 네트워크에 대한 Azure 서비스 리소스를 보호할 수 있습니다.
• 현재 가상 네트워크의 Azure 서비스 트래픽은 공용 IP 주소를 원본 IP 주소로 사용합니다. 서비스 엔드포인트에서 서비스 트래픽은 가상 네트워크의 Azure 서비스에 액세스할 때 가상 네트워크 프라이빗 주소를 원본 IP 주소로 사용하도록 전환하며, 이 스위치를 사용하면 IP 방화벽에서 사용되는 예약된 공용 IP 주소 없이도 서비스 액세스 가능합니다.

온-프레미스에서 Azure 서비스 액세스 보호

가상 네트워크로 보호되는 Azure 서비스 리소스는 온-프레미스 네트워크에서 연결할 수 없습니다. 트래픽을 허용하려면 온프레미스 또는 ExpressRoute의 퍼블릭(일반적으로 NAT) IP 주소도 허용해야 하며, Azure 서비스 리소스에 대한 IP 방화벽 구성을 통해 이러한 IP 주소를 추가할 수 있습니다.

• ExpressRoute: 프레미스에서 퍼블릭 피어링 또는 Microsoft 피어링에 ExpressRoute를 사용하는 경우 사용중인 NAT IP 주소를 식별해야 합니다. 공용 피어링의 경우 각 ExpressRoute 회로는 기본적으로 트래픽이 Microsoft Azure 네트워크 백본에 들어갈 때 Azure 서비스 트래픽에 적용되는 두 개의 NAT IP주소를 사용합니다. 
  Microsoft 피어링의 경우 NAT IP 주소는 고객이 제공하거나 서비스 공급자가 제공하며, 서비스 리소스에 대한 액세스를 허용하려면 리소스 IP 방화벽 설정에서 이러한 공용 IP 주소를 허용해야 합니다.

고려 사항

• 서비스 엔드포인트를 사용하도록 설정 후 원본 IP 주소는 해당 서브넷의 서비스와 통신할 때 공용 IPv4 주소가 아닌 개인 IPv4 주소를 사용하도록 전환됩니다. 이 전환 중에 서비스에 대한 기존의 모든 오픈 TCP 연결이 닫힙니다. 서브넷의 서비스에 서비스 엔드포인트를 사용하거나 사용하지 않도록 설정하는 경우 중요한 작업이 실행되지 않아야 합니다. 또한 IP 주소를 전환한 후 애플리케이션이 Azure 서비스에 자동으로 연결될 수 있어야 합니다.
  IP 주소 전환은 가상 네트워크의 서비스 트래픽에만 영향을 줍니다. 가상 머신에 할당된 공용 IPv4 주소 간에 주소가 지정된 다른 모든 트래픽에는 영향이 없습니다. Azure 서비스의 경우 Azure 공용 IP 주소를 사용하는 기존 방화벽 규칙이 있을 경우 가상 네트워크 프라이빗 주소로 전환하는 동시에 작동이 중지됩니다.
• 서비스 엔드포인트에서 Azure 서비스의 DNS 항목은 현재 상태로 유지되고 Azure 서비스에 할당된 공용 IP 주소로 계속 사용됩니다.
• 서비스 엔드포인트의 NSG(네트워크 보안 그룹)
  • 기본적으로 NSG는 아웃바운드 인터넷 트래픽을 허용하고 VNet에서 Azure 서비스로의 트래픽도 허용합니다. 이 트래픽은 서비스 엔드포인트와 그대로 계속 작동합니다.
  • 모든 아웃바운드 인터넷 트래픽을 거부하고 특정 Azure 서비스에 대한 트래픽만 허용하려는 경우 NSG에서 서비스 태그를 사용하여 수행이 가능합니다. NSG 규칙에서 대상으로 지원되는 Azure 서비스를 지정할 수 있으며 Azure에서는 각 태그의 기반이 되는 IP 주소의 유지 관리도 제공됩니다.

시나리오

• 피어링되거나 연결된 여러 가상 네트워크: 하나의 가상 네트워크나 여러 가상 네트워크의 여러 서브넷에 대한 Azure 서비스를 보호하려면 각 서브넷에서 서비스 엔드포인트를 독립적으로 활성화하고 모든 서브넷에 대한 Azure 서비스 리소스를 보호할 수 있습니다.
• 가상 네트워크에서 Azure 서비스로 아웃바운드 트래픽 필터링: 가상 네트워크에서 Azure 서비스로 전송된 트래픽을 검사하거나 필터링하려는 경우 해당 가상 네트워크 내에서 네트워크 가상 어플라이언스를 배포할 수 있습니다. 네트워크 가상 어플라이언스를 배포한 서브넷에 서비스 엔드포인트를 적용하고 이 서브넷에 대한 Azure 서비스 리소스만을 보호할 수 있습니다. 네트워크 가상 어플라이언스 필터링을 사용하여 가상 네트워크에서 특정 Azure 리소스로의 Azure 서비스 액세스만을 제한하도록 하려는 경우 이 시나리오가 유용할 수 있습니다.
• 가상 네트워크에 직접 배포된 서비스에 대한 Azure 리소스 보호: 다양한 Azure 서비스를 가상 네트워크의 특정 서브넷에 직접 배포할 수 있습니다. 관리되는 서비스 서브넷에서 서비스 엔드포인트를 설정하여 관리되는 서비스 서브넷에 대한 Azure 서비스 리소스를 보호할 수 있습니다.
• Azure 가상 머신의 디스크 트래픽: 관리 디스크 및 비관리 디스크에 대한 가상 머신 디스크 트래픽은 Azure Storage의 서비스 엔드포인트 라우팅 변경의 영향을 받지 않습니다. 이 트래픽에는 탑재 및 탑재 해제뿐 아니라 diskIO도 포함됩니다. 서비스 엔드포인트 및 Azure Storage 네트워크 규칙을 통해 REST 액세스를 네트워크를 선택하도록 페이지 Blob으로 제한할 수 있습니다.

이상으로 마치겠습니다!!!

출처-https://learn.microsoft.com/ko-kr/azure/virtual-network/virtual-network-service-endpoints-overview